Audyt bezpieczeństwa informacji – czym jest? | Biznes Netia
Menu główne

Audyt bezpieczeństwa informacji – czym jest?

04 października 2022, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

Jednym z najcenniejszych zasobów przedsiębiorstw są dane, dlatego też muszą być one skutecznie chronione. Audyt bezpieczeństwa informacji pomaga wykryć niewidoczne na pierwszy rzut oka podatności systemów informatycznych i tym samym pozwala zapobiec potencjalnym atakom. W porównaniu z kosztami związanymi z naprawą skutków incydentów, audyt bezpieczeństwa przeprowadzony przez wyspecjalizowanych specjalistów nie stanowi relatywnie dużego wydatku dla firmowego budżetu i powinien być wykonywany regularnie lub po każdej istotnej zmianie w infrastrukturze teleinformatycznej przedsiębiorstwa czy jego procedurach bezpieczeństwa.

 
 
 
   

Audyt bezpieczeństwa informacji – na czym polega?

 

Audyt bezpieczeństwa informacji jest szczegółową kontrolą, którą wykonują zewnętrzni specjaliści celem wykrycia luk w zabezpieczeniach, ewentualnych podatności na ataki oraz sprawdzenia zgodności z obowiązującymi przepisami i polityką bezpieczeństwa firmy. Audyt może, ale nie musi być wykonywany pod wymagania konkretnego standardu czy normy. Każdy audyt kończy się raportem z listą obszarów do poprawy i wskazaniem, które są najbardziej priorytetowe.

 

Sposób przeprowadzania audytu różni się w zależności od strategii przyjętej przez zespół wykonujący czynności sprawdzające i specyfiki firmy zlecającej. W większości przypadków audyt składa się z następujących etapów:

 
  • Wywiad – audytorzy muszą zebrać niezbędne informacje o firmie, w tym o Systemie Zarządzania Bezpieczeństwem Informacji (SZBI), jaki w niej obowiązuje. Konieczny jest wgląd do dokumentacji technicznej i organizacyjnej oraz innych dokumentów dotyczących tego systemu. Na tym etapie ustalany jest także harmonogram poszczególnych działań.

  • Badanie podatności i zbieranie informacji – certyfikowani audytorzy punkt po punkcie sprawdzają wszystkie składowe firmowej sieci pod kątem wykrycia ewentualnych luk w zabezpieczeniach. Audyty mające na celu poprawę bezpieczeństwa informacji w firmie często są przeprowadzane według wytycznych normy ISO/IEC 27001.

  • Analiza – zebrane podczas kontroli informacje należy usystematyzować i sformułować w jasne wnioski. Tylko w takiej formie mają one wartość dla klienta.

  • Raport i podsumowanie – czyli kluczowa część procesu. Wskazanie słabych stron i podatności to nie wszystko. Najważniejsze jest określenie obszarów do poprawy i zasugerowanie konkretnych rozwiązań.
 

Czy audyt bezpieczeństwa informacji jest obligatoryjny?

 

Podmioty z niektórych sektorach gospodarki i administracji podlegają przepisom nakazującym przeprowadzanie okresowo audytów. Należą do nich m.in.:

 
  • Operatorzy Usług Kluczowych (według ustawy o Krajowym Systemie Cyberbezpieczeństwa), których prawo zobowiązuje do przeprowadzania audytu bezpieczeństwa systemu informacyjnego raz na dwa lata,
  • Banki (zgodnie z ustawą Prawo bankowe i z Rekomendacją Komisji Nadzoru Finansowego),
  • Jednostki administracji publicznej – w tym urzędy gminy i powiatu, jednostki ZUS czy powiatowe urzędy pracy.
 

Czy firmy, które nie muszą przeprowadzać audytów bezpieczeństwa powinny je robić?

 

Zgodnie ze Statystykami obsługi incydentów w 2021 r. CERT Polska, zespół ds. reagowania tylko w ubiegłym roku zarejestrował prawie 30 tys. unikalnych incydentów bezpieczeństwa. Ta liczba odnosi się jedynie do zgłoszonych przypadków, więc ataków było z pewnością znacznie więcej.

 

Liczba sektorów gospodarki, które ucierpiały na skutek incydentów bezpieczeństwa jest długa. Najwięcej zgłoszeń pochodziło jednak z takich sektorów, jak media (social media, prasa, TV), handel hurtowy i detaliczny, energetyka oraz usługi pocztowe i kurierskie.

 

Dane archiwalne pokazują zdecydowany wzrost liczby incydentów rok do roku, co pozwala wyciągnąć wniosek, że w najbliższych latach liczba prób wyłudzeń, oszust i ataków zarówno na jednostki administracji publicznej, jak i prywatne firmy będzie rosła. Zapobieganie tego typu zdarzeniom jest właściwszą strategią niż późniejsze usuwanie ich skutków.

 

Regularny audyt bezpieczeństwa informacji jest niezbędny nie tylko tam, gdzie wymaga tego prawo. Wszystkie firmy dysponują cennymi danymi z biznesowego punktu widzenia i choćby przez wzgląd na to powinny dbać o ich bezpieczeństwo. Wiele niezobligowanych przepisami podmiotów zleca przeprowadzanie audytów bezpieczeństwa informacji z uwagi na to, że jest to dobrą praktyką rynkową lub wymagają tego partnerzy biznesowi czy wewnętrzne przepisy przedsiębiorstwa.

 

Jak przeprowadzić audyt bezpieczeństwa informacji i komu go zlecić?

 

Przeprowadzenie audytu IT warto zlecić wyspecjalizowanej firmie, zatrudniającej certyfikowanych audytorów z dużym doświadczeniem i posiadających aktualną wiedzę w zakresie bezpieczeństwa. Zagwarantuje to bardziej obiektywną ocenę sprawdzanej infrastruktury IT i to nie tylko ze względu na profesjonalizm. Poprzez „świeże spojrzenie” audytora zewnętrznego mogą bowiem zostać wykryte luki w zabezpieczeniach, na które pracownicy IT klienta przez zwykłą rutynę nie zwróciliby uwagi.

 

Co ważne, wykonywanie audytów bezpieczeństwa przez zewnętrzne podmioty podnosi renomę firmy i buduje jej wizerunek jako dbającej o bezpieczeństwo informacji. Ma to z kolei coraz większe znaczenie dla klientów i partnerów biznesowych.
 

Cyberbezpieczeństwo w Twojej firmie – jak o nie zadbać?

 

Audyt bezpieczeństwa informacji jest tylko jednym z narzędzi, które pozwalają zachować bezpieczeństwo zasobów firmowych. W zbudowaniu trwałego Systemu Zarządzania Bezpieczeństwem Informacji w Twojej firmie pomogą również doświadczeni specjaliści z Netia Security Operations Center (SOC). Będą oni monitorować stan zabezpieczeń infrastruktury IT, zadbają o szybką reakcję na ewentualne incydenty bezpieczeństwa, a także przeprowadzą szkolenia z zakresu security awareness, czyli świadomości bezpieczeństwa, pozwalające zmniejszyć ryzyko wystąpienia ataków wynikających z zaniedbań pracowników. Co więcej, przed wdrożeniem usługi SOC przeprowadzą kompleksowy przedwdrożeniowy audyt bezpieczeństwa, który stanie się punktem wyjścia do poprawy poziomu bezpieczeństwa teleinformatycznego organizacji.

 

Poszukując rozwiązań pozwalających zwiększyć bezpieczeństwo cybernetyczne firmy warto rozważyć wykonywanie kontrolowanych ataków phishingowych i testów podatności, które w praktyce sprawdzą jakość systemów zabezpieczeń i zachowanie pracowników w kryzysowej sytuacji.

 

Może Cię również zainteresować...

Dowiedz się więcej o naszych rozwiązaniach

Umów kontakt

Wybierz swój język ×