Audyt bezpieczeństwa systemów informatycznych powinien obejmować zarówno technologię, jak i sposób organizacji pracy. Sam zakup firewalla lub programu antywirusowego nie wystarczy, jeżeli firma nie zna swoich zasobów, nie kontroluje uprawnień i nie potrafi odtworzyć danych po awarii.
1. Co powinien obejmować audyt?
Zakres należy dopasować do wielkości organizacji, rodzaju przetwarzanych danych i sposobu świadczenia usług. W małej firmie warto objąć oceną co najmniej następujące obszary:
- inwentaryzację komputerów, serwerów, urządzeń sieciowych, usług chmurowych i oprogramowania,
- konta użytkowników, uprawnienia administratorów i sposób uwierzytelniania,
- aktualizacje systemów, aplikacji oraz urządzeń sieciowych,
- konfigurację routera, firewalla, sieci Wi-Fi, VPN i dostępu zdalnego,
- ochronę stacji roboczych i serwerów,
- kopie zapasowe, ich odseparowanie oraz testy odtwarzania,
- monitorowanie zdarzeń i sposób reagowania na incydenty,
- procedury dotyczące nowych pracowników, odejść z firmy i nadawania dostępów.
2. Etapy audytu bezpieczeństwa
Rozpoznanie środowiska
Pierwszym krokiem jest ustalenie, jakie systemy faktycznie działają w organizacji. W praktyce często pojawiają się zapomniane konta, nieużywane usługi, stare urządzenia i prywatne rozwiązania wdrożone bez wiedzy osób odpowiedzialnych za firmę.
Wywiady i dokumentacja
Rozmowa z właścicielem, administratorem i kluczowymi pracownikami pozwala zrozumieć procesy biznesowe. Należy ustalić, które systemy są niezbędne do pracy, jakie przestoje są akceptowalne i kto podejmuje decyzje podczas awarii.
Weryfikacja techniczna
Audytor sprawdza konfiguracje, wersje oprogramowania, polityki dostępu, segmentację sieci, logi, działanie zabezpieczeń i mechanizmy kopii zapasowych. Zakres testów powinien być wcześniej uzgodniony, aby nie spowodować przerwy w pracy.
Ocena ryzyka i raport
Każdą nieprawidłowość należy ocenić według prawdopodobieństwa wykorzystania oraz możliwego wpływu na organizację. Raport powinien odróżniać problemy krytyczne od usprawnień, które można zaplanować w dalszej kolejności.
3. Przykładowa lista kontrolna
| Obszar | Pytanie kontrolne | Typowe ryzyko |
|---|---|---|
| Konta | Czy każdy użytkownik ma własne konto i odpowiednie uprawnienia? | Brak rozliczalności i nadmierny dostęp. |
| MFA | Czy poczta, VPN i kluczowe usługi wymagają drugiego składnika? | Przejęcie konta po wycieku hasła. |
| Aktualizacje | Czy systemy i urządzenia mają wspierane wersje? | Wykorzystanie znanych podatności. |
| Backup | Czy istnieje kopia poza głównym środowiskiem i test odtworzenia? | Utrata danych po awarii lub ransomware. |
| Sieć | Czy goście, urządzenia firmowe i systemy krytyczne są odseparowane? | Łatwe rozprzestrzenianie się incydentu. |
4. Jak ustalać priorytety?
Nie wszystkie zalecenia należy realizować jednocześnie. Najpierw usuwa się sytuacje, które mogą doprowadzić do natychmiastowej utraty danych, przejęcia kont lub zatrzymania działalności.
- zabezpieczenie kopii zapasowych i sprawdzenie odtwarzania,
- usunięcie krytycznych podatności i nieużywanych dostępów zdalnych,
- włączenie MFA dla poczty, administratorów i usług zewnętrznych,
- ograniczenie uprawnień i uporządkowanie kont,
- aktualizacja urządzeń oraz systemów niewspieranych,
- segmentacja sieci i wdrożenie monitoringu.
5. Co powinno znaleźć się w raporcie?
Raport dla małej firmy musi być zrozumiały nie tylko dla informatyka. Powinien zawierać streszczenie dla osoby zarządzającej, opis środowiska, wykryte ryzyka, dowody techniczne, ocenę pilności oraz konkretne zalecenia. Przydatny jest podział na działania natychmiastowe, do 30 dni, do 90 dni i długoterminowe.
6. Jak często wykonywać audyt?
Pełny audyt warto przeprowadzać regularnie oraz po większych zmianach: migracji serwerów, wdrożeniu nowego systemu, zmianie dostawcy IT, połączeniu sieci oddziałów albo poważnym incydencie. Pomiędzy audytami należy wykonywać krótsze przeglądy aktualizacji, kont, kopii zapasowych i alertów.
Źródła i dalsza lektura
Słownik
Skróty i pojęcia użyte w artykule
Kliknij wybraną nazwę, aby rozwinąć jej znaczenie.
MFA
Uwierzytelnianie wieloskładnikowe. Logowanie wymaga co najmniej dwóch niezależnych elementów, np. hasła i kodu z aplikacji.
VPN
Szyfrowany tunel umożliwiający bezpieczny dostęp do firmowej sieci lub usług przez internet.
VLAN
Logiczny podział jednej infrastruktury sieciowej na odseparowane segmenty, np. dla pracowników, gości, serwerów i urządzeń IoT.
NGFW
Zapora nowej generacji łącząca filtrowanie ruchu z kontrolą aplikacji, IPS, filtrowaniem treści i często inspekcją szyfrowanego ruchu.
SIEM
System centralnie zbierający i analizujący logi oraz zdarzenia bezpieczeństwa z wielu urządzeń i usług.
EDR
Ochrona stacji roboczych i serwerów, która wykrywa podejrzane zachowania i wspiera reakcję na incydenty.
RPO
Maksymalna akceptowalna utrata danych wyrażona w czasie, np. RPO 4 godziny oznacza możliwość utraty najwyżej 4 godzin pracy.
RTO
Docelowy maksymalny czas przywrócenia usługi po awarii lub incydencie.

