Przedsiębiorstwa, w których sieć informatyczna stanowi krwiobieg, a wymiana dokumentów oraz informacji odbywa się elektronicznie, dane przechowywane są wyłącznie w formie cyfrowej. Po wprowadzeniu przepisów i regulacji RODO, organizacje muszą spełnić obowiązek zapewnienia bezpieczeństwa danych w firmie. Przepisy dotyczą zarówno przetwarzania, przechowywania danych jak i możliwości dostępu, utraty czy niepowołanym dostępem. Urzędy oraz firmy muszą spełniać wymogi audytu bezpieczeństwa IT w celu pozyskania dofinansowania, np. w postaci dotacji.
W jaki sposób sprawdzić, czy nasza infrastruktura IT spełnia wymagania?
Podstawowym narzędziem do sprawdzenia, czy nasza infrastruktura IT spełnia wymogi, jest przeprowadzenia audytu bezpieczeństwa IT w firmie. Poniżej przygotowaliśmy kilka punktów, które pomogą przygotować się w przeprowadzeniu audytu bezpieczeństwa IT w przedsiębiorstwie.
Audyt bezpieczeństwa IT – informacje w przedsiębiorstwie – etapy działań
Należy zdefiniować zakres audytu, który ma być przeprowadzony w firmie. Przygotuj listę zasobów, procedur, które chcesz audytować. W opracowaniu listy powinny czynnie brać udział osoby korzystające z danych w codziennej pracy.
Na liście mogą znajdować się takie pozycje jak stacje robocze, adresy IP urządzeń sieciowych, zasoby sieciowe – istotne są nie tylko urządzenia oraz zasoby i usługi z nimi związane. Ważne są takie aspekty procedury przywracania danych w przypadku awarii, polityki stosowania haseł, polityka prywatności oraz polityka dostępu do Internetu.
Kolejny punkt, to stworzenie listy potencjalnych zagrożeń, które chcesz wziąć pod uwagę w trakcie przeprowadzonego audytu bezpieczeństwa. Oczywisty jest fakt, że lista zagrożeń dla danych elementów naszej infrastruktury IT jest zmienna. Na liście, dla przykładu powinny znaleźć się poniższe zagrożenia:
- Ataki typu DDOS (Distributed Denial of Services);
- Ataki na pracowników (słaba lub brak polityki haseł, phishing, socjotechnika);
- Katastrofy naturalne;
- Włamania fizyczne;
- Złośliwe oprogramowanie tzw. Malware.
Następnym aspektem jest określenie, jakie aktualne zabezpieczenia stosujesz. Określ, jakiego są one poziomu. Przede wszystkim, czy zastosowane zabezpieczenia są kompletne. Dokładnie oznacza to, czy obejmują wszystkie wcześniej uwzględnione zasoby na liście.
Audyt bezpieczeństwa IT – co dalej?
W kolejnym kroku sprawdź, jaki jest faktyczny stan zastosowanych zabezpieczeń. Czy jest on zgodny ze zdefiniowanymi w dokumentacji politykami bezpieczeństwa. Do sprawdzenia, najlepiej jest użyć zautomatyzowanego systemu, który pozwoli przeskanować sieć firmową od strony Internetu publicznego. W raporcie można otrzymać informacje, które dadzą obraz, co może wydarzyć się po przeprowadzeniu umyślnego ataku z zewnątrz.
Ważne również jest skanowanie sieci firmowej wewnątrz z punktu widzenia różnych urządzeń sieciowych, np. stacji roboczej. W tym przypadku możemy dowiedzieć się, co może się zdarzyć w sytuacji zainfekowania komputera przez niepożądane oprogramowanie lub gdyby atakujący hacker uzyskałby dostęp do sieci np. poprzez włamanie się do punktu dostępowego WiFi.
Tego typu skan w wynikach najczęściej przedstawia systemy operacyjne oraz ich wersje, z czego możemy wywnioskować i ocenić podatność na włamanie.
Do sprawdzenia zgodności ze zdefiniowanymi politykami bezpieczeństwa, warto jest również organizować spotkania z użytkownikami systemów, pracownikami firmy. Sprawdź, jak wygląda zastosowanie polityki bezpieczeństwa w praktyce.
Ostatnim punktem, który pomoże przygotować Twoją firmę do przeprowadzenia audytu IT jest sporządzenie raportu z wszystkimi opisanymi wyżej elementami. Ważne jest, żeby raport zawierał opis działań i zaleceń, jakie należałoby zastosować po wyniku audytu.
Mam już gotowy raport po audycie – co następnie?
Sporządzony raport będzie dobrym punktem odniesienia do kolejnego audytu i sprawozdania, czy zastosowane działania i procedury zostały wdrożone oraz czy założony cel został osiągnięty. Przygotowany raport powinien stanowić załącznik do tzw. analizy ryzyka. Jest to dowód na to, w jaki sposób organizacja podchodzi do zapewnienia bezpieczeństwa informacji np. w przypadku wycieku danych osobowych.