Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Czasem z daleka widać więcej

Czasem z daleka widać więcej

Jak zweryfikować poziom przygotowania organizacji do odpierania cyberataków? Trudno zrobić to z poziomu pracownika firmy lub instytucji, w której przywykło się do procesów i warunków pracy. Czasem z daleka, z perspektywy zewnętrznego obserwatora widać więcej, zwłaszcza gdy nie znamy kontekstu. Przeczytaj o tym, jak powinien wyglądać Audyt bezpieczeństwa informacji i dlaczego jest ważny!

Audyt bezpieczeństwa informacji – robić czy nie robić?

Nie ma dziś organizacji, która nie byłaby narażona na cyberataki. Kompleksowa budowa warstwowego bezpieczeństwa organizacji wymaga szerokiego spojrzenia. To trudne, gdy przywykło się do procesów i warunków pracy – trudno spojrzeć na własną organizację z „lotu ptaka”. Każda firma czy instytucja, niezależnie od wielkości powinna uwzględniać ryzyka dla własnych zasobów i informacji, jak też danych klientów. To ważne także dlatego, że za niezapewnienie odpowiednich zabezpieczeń dostosowanych do organizacji można zapłacić niemałą karę. 

Procedury i polityki bezpieczeństwa, choć często wymagają ogromu pracy i czasu na przygotowanie, są skutecznym narzędziem wprowadzania zabezpieczeń na poziomie procesów i systemów, które spełniają wymagania i są właściwie stosowane. 

Audyty bezpieczeństwa informacji są z kolei narzędziem weryfikacji, czy faktycznie są one stosowane.   

Czym jest audyt bezpieczeństwa informacji?

Audyt jest to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu obiektywnego oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu. Według norm ISO audyt to ocena stanu zastanego jakiegoś środowiska, porównanie go ze stanem pożądanym i ocena czy te stany są ze sobą zgodne. Czyli po krótce czy dane środowisko spełnia wymagania danej normy.

Taką definicję możemy znaleźć w normach ISO, m. in. ISO19011

Audyt bezpieczeństwa informacji wiąże się z uzyskaniem rzetelnej, niezależnej oceny w postaci raportu, po przeglądzie i analizie polityk i procedur bezpieczeństwa i porównaniu stanu zastanego ze stanem oczekiwanym oraz dobrymi praktykami bezpieczeństwa. Wystawiając ocenę po takim audycie analizuje się czy dana organizacja realizuje zgodnie z wybranymi kryteriami np. kopie zapasowe, aktualizacje, chroni swoje informacje przed wyciekiem czy w jaki sposób zabezpiecza się przed różnego typu cyberatakami

Teoria a praktyka – dwa różne spojrzenia 

Audyty bezpieczeństwa informacji są bardzo różnie rozumiane. Spotkałam się z sytuacjami, kiedy audytem bezpieczeństwa informacji nazywa się przeglądy i inwentaryzacje, testy penetracyjne, audyty zgodności z danymi przepisami lub audyty zgodności z daną normą. 

Zapewnienie bezpieczeństwa informacji potrzebuje skrupulatności i dokładności, dlatego my interpretujemy audyt bezpieczeństwa informacji w bardzo szerokim zakresie – jest zestawem różnych działań, które mają na celu sprawdzenie poziomu bezpieczeństwa informacji w danej organizacji. 

W jego zakres wchodzi analiza dokumentacji, procedur, polityk i konfiguracji oraz interpretacja stanu zastanego. To składa się na część proceduralno-organizacyjną. Kolejny obszar to przełożenie procedur na stan faktyczny. Tu przeprowadza się rozmowy z pracownikami, ale także weryfikowane są sprzęty pod kątem konfiguracji, aktualizacji i zabezpieczeń.

ISO 27001 – punkt odniesienia dla audytora?

Najbardziej znaną normą w środowisku europejskim jest ISO27001. Audyt bezpieczeństwa informacji jest przeprowadzany głównie na jej podstawie, choć jest kilka innych standardów, z których można czerpać, by tworzyć cyberbezpieczne środowiska. Należy do nich norma ISO 22301, w której opisane są procesy dotyczące ciągłości działania.

Pod względem prawnym jest wiele aktów prawnych z różnych sektorów, które obligują organizacje w pewnym zakresie do zapewnienia odpowiednich zabezpieczeń fizycznych i informatycznych. Z takich myślę wszystkim znanych i na czasie to RODO, NIS 2 i wprowadzający ją nowy KSC.

Także kodeks pracy zobowiązuje pracodawcę do przechowywania dokumentacji pracowniczej w sposób gwarantujący zachowanie POUFNOŚCI, INTEGRALNOŚCI, KOMPLETNOŚCI i DOSTĘPNOŚCI, co bezpośrednio przekłada się na triadę bezpieczeństwa informacji CIA(PID).

Ustawa o rachunkowości również mówi o tym, że dokumentację taką, jak księgi rachunkowe i dowody księgowe należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem lub zniszczeniem, co również ma odniesienie w zabezpieczeniach informatycznych.

Rola audytu bezpieczeństwa informacji

Audytu bezpieczeństwa informacji nie należy się bać! Rolą audytora nie jest „pognębienie organizacji” i znalezienie haków, a tym bardziej nie wskazanie braku kompetencji. Audyt to świetne narzędzie, które pomoże znaleźć i wskazać słabe punkty organizacji, których z wewnątrz nie dostrzegamy lub bagatelizujemy je. W wyniku audytu możemy wspólnie z audytorem znaleźć rozwiązanie i podnieść poziom zabezpieczenia organizacji pod wieloma względami. 

Rodzaje audytów

Audyty możemy podzielić na trzy rodzaje – pierwszej, drugiej i trzeciej strony. 

  1. Audyt pierwszej strony, zwany inaczej audytem wewnętrznym, który organizacja realizuje na swoje potrzeby — nie oznacza, że musi je realizować swoimi pracownikami. Można to zlecić wyspecjalizowanej firmie zewnętrznej;

  2. Audyt drugiej strony - jest stosowany najczęściej pomiędzy partnerami biznesowymi – np. spółka matka lub partner zlecający wykonanie jakiejś czynności, wykonuje na spółce córce, lub u dostawcy audyt kontrahenta;

  3. Audyt trzeciej strony – wykonywany na potrzeby certyfikacji, wykonywany przez zewnętrzną jednostkę zajmującą się certyfikacjami. 

Audyt ma być narzędziem dla danej organizacji, które przysłuży się doskonaleniu organizacji, a szczególnie podniesienia poziomu jej bezpieczeństwa, szczególnie w aspekcie cyber z uwagi na to, w jakiej rzeczywistości żyjemy. 

Podczas przeprowadzania zadań audytowych zwracamy uwagę na takie aspekty jak: 

    • polityki bezpieczeństwa informacji, 
    • organizacja zarządzania bezpieczeństwem informacji, 
      • jeśli jest w organizacji, to organizację pracy zdalnej, 
        • zabezpieczenie urządzeń mobilnych, 
          • bezpieczeństwo zasobów ludzkich w przed, w trakcie i po zatrudnieniu, 
            • sklasyfikowanie i dostępy do informacji, jak organizacja postępuje z nośnikami informacji, zarówno papierowymi jak i elektronicznymi, 
              • role i odpowiedzialności pracowników, 
                • kontrole dostępu do budynków, sprzętów, aplikacji, informacji etc… jakie zabezpieczenia są stosowane od fizycznych po ludzkie i informatyczne, jakie sprzęty są w organizacji i czy są regularnie przeglądane i aktualizowane i wiele innych aspektów….

                  Obecnie trwają prace nad wdrożeniem nowej ustawy o KSC. Ocenia się, że Polsce będzie obejmowała około 8 tysięcy organizacji, a być może będzie ich znacznie więcej,  a to szczególnie przez wgląd na łańcuchy dostaw. Co za tym idzie będą one zobowiązane do stałego monitorowania, kontroli, utrzymywania i doskonalenia swoich systemów zarządzania bezpieczeństwem informacji w celu zwiększenie ogólnokrajowego cyberbezpieczeństwa.

                  Perceptus realizuje audyty bezpieczeństwa informacji. Kierujemy tę usługę do wszystkich organizacji. instytucji, branż, administracji publicznej, ochrony zdrowia etc.

                  Audyty przeprowadzamy we współpracy z profesjonalnymi konsultantami.  W zależności od potrzeb naszych klientów audyty bezpieczeństwa informacji realizowane są w ustalonym zakresie, w oparciu o analizę dokumentacji, a także weryfikację konfiguracji środowisk IT, zabezpieczeń fizycznych i wspierających oraz wywiadów osobowych.

                  Jak wygląda audyt bezpieczeństwa informacji w Perceptus?

                  Sam audyt rozpoczynamy spotkaniem otwierającym, na którym nasz zespół audytowy spotyka się z wyznaczonymi przez organizację pracownikami. Omawiamy wspólnie założenia, cel i sposób komunikacji audytu.

                  Omawiamy, podział zadań i czego będą oczekiwali audytorzy. Kolejno przechodzimy do realizacji zadań audytowych tj. analizujemy dokumentacje, procedury, instrukcje stanowiskowe, przeprowadzamy wywiady z pracownikami i jeśli są określone – różne testy i sprawdzenia. Zebrane dowody są analizowane i przedstawiane Państwu w postaci raportu, w którym wykazane są wnioski w raz z rekomendacjami, które są omawiane wstępnie na spotkaniu zamykającym.  

                  Jako firma będąca integratorem rozwiązań cyberbezpieczeństwa i posiadająca wielu specjalistów z zakresu bezpieczeństwa IT jesteśmy w stanie wesprzeć klienta również we wdrażaniu działań naprawczych, jeśli zostanie określona taka potrzeba. Niemniej audyt jest usługą niezależną. Działania w tych obszarach są realizowane przez niezależne od siebie zespoły.  

                  Jeśli szukają Państwo partnera, który pomoże ocenić poziom zabezpieczenia organizacji przed zagrożeniami cybernetycznych oraz zweryfikuje dokumentację opisującą bezpieczeństwo organizacji, audyt bezpieczeństwa informacji od Perceptus będzie dobrym wyborem.

                  MATERIAŁ PARTNERA.

                  Oceń artykuł

                  Sprawdź się!

                  Powiązane materiały

                  Zapisz się do newslettera

                  Bądź na bieżąco z najnowszymi informacjami na temat
                  cyberbezpieczeństwa