Audyt bezpieczeństwa IT w 5 krokach

audyt kobieta na białym whiteboardzie

W dzisiejszych czasach, kiedy krwiobiegiem przedsiębiorstwa jest infrastruktura IT, a wymiana informacji najczęściej odbywa się elektronicznie, dane mają postać wyłącznie cyfrową i w takiej formie są przechowywane, organizacje muszą zmierzyć się z zupełnie nowymi wyzwaniami. Jednym z nich jest zapewnienie bezpieczeństwa danych. Dotyczy ono zarówno możliwości dostępu do danych, jak również zabezpieczenie ich  przed niepowołanym dostępem lub utratą. Jak jednak sprawdzić, czy infrastruktura IT spełnia wymagania i dane są w wystarczający sposób zabezpieczone? 

Podstawowym narzędziem, które pozwala stwierdzić jak wygląda bezpieczeństwo danych jest audyt bezpieczeństwa IT. Poniżej wskazujemy
5 punktów, które pomogą przygotować i przeprowadzić audyt w organizacji.

Linie papilarne, pin, bezpieczeństwo, lupka, szukanie, proces, ochrona

Po pierwsze musisz zdefiniować zakres audytu. Jakie dokładnie zasoby i procedury chcesz audytować, a jakie należy pominąć. Efektem analizy powinna być, spisana lista wszystkich istotnych z punktu widzenia bezpieczeństwa danych, zasobów. W opracowanie listy warto zaangażować jak najwięcej osób wykorzystujących dane w swojej codziennej pracy.

Na liście może znaleźć się wiele pozycji, od prostych rzeczy jak stacja robocza, telefony IP, aż do procedury odtworzenia środowiska IT po pożarze serwerowni.  Co istotne często okazuje się, że na takiej liście znajdą się też zasoby co do których nie miałeś świadomości, że są używane w Twojej organizacji. Ponadto należy stworzyć listę polityk jakie są zdefiniowane w organizacji. Np. polityka dot. stosowanych haseł, polityka bezpieczeństwa sieciowego, polityka dostępu do Internetu, polityka zdalnego dostępu, polityka prywatności itp.

Data privacy with technology concept

Po drugie stwórz listę potencjalnych zagrożeń jakie chcesz brać pod uwagę audytując zasoby. To oczywiste, że w zależności od zasobu lista zagrożeń może być różna. Dlatego podpowiadamy, że najczęstszymi zagrożeniami jakie warto brać pod uwagę są:

  • Złośliwe oprogramowanie tzw. malware (ransomware, trojany, spyware, itp)
  • Ataki DDoS (Distributed Denial of Service)
  • Ataki, których celem są pracownicy (phising, słabe hasła, nieuprawiony dostęp do danych)
  • Włamania komputerowe (wycieki danych)
  • Fizyczne włamania
  • Katastrofy naturalne

W celu weryfikacji, czy na liście uwzględniliśmy odpowiednie rodzaje zagrożeń, warto oprzeć się o framwework taki jak np. CIS Controls

Security Operations Services bezpieczeństwo

Po trzecie określ jakie aktualnie stosujesz zabezpieczenia, jakiego są poziomu, a przede wszystkim czy są kompletne, czyli czy obejmują wszystkie wyszczególnione na liście zasoby.

dane ochrona liczy bezpieczeństwo cybersecurity

Po czwarte sprawdź jaki jest rzeczywisty poziom zabezpieczeń i zgodności ze zdefiniowanymi politykami. Do sprawdzenia rzeczywistości najlepiej użyć zautomatyzowanego systemu, który przeskanuje sieć firmową z punktu widzenia publicznego Internetu. Dzięki temu, otrzymasz obraz tego co mogą zobaczyć i wykorzystać atakujący z zewnątrz.

⇒ Zobacz na czym polega skan podatności

Równie ważne jest przeskanowanie sieci firmowej z jej wnętrza, z punktu widzenia zwykłej stacji roboczej. Wtedy uzyskamy obraz infrastruktury w sytuacji, gdyby stacja robocza została skompromitowana lub atakujący uzyskał dostęp do sieci np. poprzez włamanie się przez sieć WiFi. Taki skan powinien pokazać systemy operacyjne, usługi sieciowe, ich aktualność, a co za tym idzie podatność na włamanie, potencjalne problemy np. domyślne hasła administratora. Do sprawdzenia zgodności ze zdefiniowanymi politykami wykorzystaj spotkania z pracownikami, którzy objęci są daną polityką i sprawdź jak wygląda stosowanie danej polityki w praktyce.

Business analysis chart on digital tablet

Po piąte przygotuj raport zawierający wszystkie elementy opisane powyżej. Co bardzo istotne raport powinien zawierać opis działań jakie należy podjąć w odpowiedzi na rezultaty audytu.

Tak sporządzony raport będzie potem punktem odniesienia do kolejnego audytu i sprawdzenia, czy wszystkie zdefiniowane działania zostały podjęte i czy cel został osiągnięty. Raport powinien być załącznikiem np. do analizy ryzyka. Jest on dowodem na to w jaki sposób organizacja podchodzi do zapewnienia bezpieczeństwa w przypadku np. wycieku danych osobowych.

Skontaktuj się z nami

Wypełnij formularz a nasz zespół jak najszybciej się z Tobą skontaktuje.

    Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu