Audyt bezpieczeństwa IT w 5 krokach

audyt kobieta na białym whiteboardzie

W dzisiejszych czasach, kiedy krwiobiegiem przedsiębiorstwa jest infrastruktura IT, a wymiana informacji najczęściej odbywa się elektronicznie, dane mają postać wyłącznie cyfrową i w takiej formie są przechowywane, organizacje muszą zmierzyć się z zupełnie nowymi wyzwaniami. Jednym z nich jest zapewnienie bezpieczeństwa danych. Dotyczy ono zarówno możliwości dostępu do danych, jak również zabezpieczenie ich przed niepowołanym dostępem lub utratą. Jak jednak sprawdzić, czy infrastruktura IT spełnia wymagania i dane są w wystarczający sposób zabezpieczone?

Podstawowym narzędziem, które pozwala stwierdzić jak wygląda bezpieczeństwo danych jest audyt bezpieczeństwa IT. Poniżej wskazujemy
5 punktów, które pomogą przygotować i przeprowadzić audyt w organizacji.

Linie papilarne, pin, bezpieczeństwo, lupka, szukanie, proces, ochrona

Po pierwsze musisz zdefiniować zakres audytu. Jakie dokładnie zasoby i procedury chcesz audytować, a jakie należy pominąć. Efektem analizy powinna być, spisana lista wszystkich istotnych z punktu widzenia bezpieczeństwa danych, zasobów. W opracowanie listy warto zaangażować jak najwięcej osób wykorzystujących dane w swojej codziennej pracy.

Na liście może znaleźć się wiele pozycji, od prostych rzeczy jak stacja robocza, telefony IP, aż do procedury odtworzenia środowiska IT po pożarze serwerowni. Co istotne często okazuje się, że na takiej liście znajdą się też zasoby co do których nie miałeś świadomości, że są używane w Twojej organizacji. Ponadto należy stworzyć listę polityk jakie są zdefiniowane w organizacji. Np. polityka dot. stosowanych haseł, polityka bezpieczeństwa sieciowego, polityka dostępu do Internetu, polityka zdalnego dostępu, polityka prywatności itp.

Data privacy with technology concept

Po drugie stwórz listę potencjalnych zagrożeń jakie chcesz brać pod uwagę audytując zasoby. To oczywiste, że w zależności od zasobu lista zagrożeń może być różna. Dlatego podpowiadamy, że najczęstszymi zagrożeniami jakie warto brać pod uwagę są:

Złośliwe oprogramowanie tzw. malware (ransomware, trojany, spyware, itp)
Ataki DDoS (Distributed Denial of Service)
Ataki, których celem są pracownicy (phising, słabe hasła, nieuprawiony dostęp do danych)
Włamania komputerowe (wycieki danych)
Fizyczne włamania
Katastrofy naturalne

W celu weryfikacji, czy na liście uwzględniliśmy odpowiednie rodzaje zagrożeń, warto oprzeć się o framwework taki jak np. CIS Controls

Security Operations Services bezpieczeństwo

dane ochrona liczy bezpieczeństwo cybersecurity

Po czwarte sprawdź jaki jest rzeczywisty poziom zabezpieczeń i zgodności ze zdefiniowanymi politykami. Do sprawdzenia rzeczywistości najlepiej użyć zautomatyzowanego systemu, który przeskanuje sieć firmową z punktu widzenia publicznego Internetu. Dzięki temu, otrzymasz obraz tego co mogą zobaczyć i wykorzystać atakujący z zewnątrz.

⇒ Zobacz na czym polega skan podatności ⇐

Równie ważne jest przeskanowanie sieci firmowej z jej wnętrza, z punktu widzenia zwykłej stacji roboczej. Wtedy uzyskamy obraz infrastruktury w sytuacji, gdyby stacja robocza została skompromitowana lub atakujący uzyskał dostęp do sieci np. poprzez włamanie się przez sieć WiFi. Taki skan powinien pokazać systemy operacyjne, usługi sieciowe, ich aktualność, a co za tym idzie podatność na włamanie, potencjalne problemy np. domyślne hasła administratora. Do sprawdzenia zgodności ze zdefiniowanymi politykami wykorzystaj spotkania z pracownikami, którzy objęci są daną polityką i sprawdź jak wygląda stosowanie danej polityki w praktyce.

Business analysis chart on digital tablet

Po piąte przygotuj raport zawierający wszystkie elementy opisane powyżej. Co bardzo istotne raport powinien zawierać opis działań jakie należy podjąć w odpowiedzi na rezultaty audytu.

Tak sporządzony raport będzie potem punktem odniesienia do kolejnego audytu i sprawdzenia, czy wszystkie zdefiniowane działania zostały podjęte i czy cel został osiągnięty. Raport powinien być załącznikiem np. do analizy ryzyka. Jest on dowodem na to w jaki sposób organizacja podchodzi do zapewnienia bezpieczeństwa w przypadku np. wycieku danych osobowych.

Audyt można przeprowadzić samodzielnie. Zaletą takiego podejścia jest łatwy dostęp do szczegółów dot. wykorzystywanych zasobów, infrastruktury IT i osób istotnych z punktu widzenia bezpieczeństwa IT. Trudnością może być subiektywne podejście i brak profesjonalnych narzędzi, szczególnie do skanowania sieci. Warto zatem rozważyć zlecenie wykonania audytu bezpieczeństwa IT również zewnętrznej firmie. Najważniejszym argumentem jest to, że zewnętrzni specjaliści spojrzą na audytowane przedsiębiorstwo, niejako „z boku”, bez emocji. W oparciu o swoje eksperckie doświadczenie mogą zwrócić uwagę na obszary, które dla pracowników firmy mogą pozostawać poza obszarem dotychczasowej analizy.

Najlepszym rozwiązaniem jest przeprowadzanie audytów samodzielnie oraz z wykorzystaniem zewnętrznych ekspertów, dzięki temu cenne firmowe dane będą bezpieczniejsze, a w rezultacie przedsiębiorstwo nie będzie wydawać pieniędzy np. na okup dla przestępców lub kary nakładane przez UODO. Nie wspominając o możliwych utrudnieniach w operacyjnej działalności firmy lub stratach wizerunkowych.

⇒ Zobacz opis usługi, korzyści i przebieg audytu bezpieczeństwa IT ⇐

Grzegorz Paszka

Grzegorz Paszka

Członek Zarządu Grupy 3S Dyrektor ds. Technicznych

Grzegorz Paszka

Zobacz profil na Linkedin

[contact-form-7 404 "Nie znaleziono"]

Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu

Dowiedz się więcej