Audyt bezpieczeństwa systemów informatycznych powinien obejmować zarówno technologię, jak i sposób organizacji pracy. Sam zakup firewalla lub programu antywirusowego nie wystarczy, jeżeli firma nie zna swoich zasobów, nie kontroluje uprawnień i nie potrafi odtworzyć danych po awarii.

Najważniejsza zasadaDobry audyt nie kończy się listą błędów. Powinien dostarczyć możliwy do wykonania plan działań, podzielony według pilności, kosztu i wpływu na działalność firmy.

1. Co powinien obejmować audyt?

Zakres należy dopasować do wielkości organizacji, rodzaju przetwarzanych danych i sposobu świadczenia usług. W małej firmie warto objąć oceną co najmniej następujące obszary:

  • inwentaryzację komputerów, serwerów, urządzeń sieciowych, usług chmurowych i oprogramowania,
  • konta użytkowników, uprawnienia administratorów i sposób uwierzytelniania,
  • aktualizacje systemów, aplikacji oraz urządzeń sieciowych,
  • konfigurację routera, firewalla, sieci Wi-Fi, VPN i dostępu zdalnego,
  • ochronę stacji roboczych i serwerów,
  • kopie zapasowe, ich odseparowanie oraz testy odtwarzania,
  • monitorowanie zdarzeń i sposób reagowania na incydenty,
  • procedury dotyczące nowych pracowników, odejść z firmy i nadawania dostępów.

2. Etapy audytu bezpieczeństwa

Rozpoznanie środowiska

Pierwszym krokiem jest ustalenie, jakie systemy faktycznie działają w organizacji. W praktyce często pojawiają się zapomniane konta, nieużywane usługi, stare urządzenia i prywatne rozwiązania wdrożone bez wiedzy osób odpowiedzialnych za firmę.

Wywiady i dokumentacja

Rozmowa z właścicielem, administratorem i kluczowymi pracownikami pozwala zrozumieć procesy biznesowe. Należy ustalić, które systemy są niezbędne do pracy, jakie przestoje są akceptowalne i kto podejmuje decyzje podczas awarii.

Weryfikacja techniczna

Audytor sprawdza konfiguracje, wersje oprogramowania, polityki dostępu, segmentację sieci, logi, działanie zabezpieczeń i mechanizmy kopii zapasowych. Zakres testów powinien być wcześniej uzgodniony, aby nie spowodować przerwy w pracy.

Ocena ryzyka i raport

Każdą nieprawidłowość należy ocenić według prawdopodobieństwa wykorzystania oraz możliwego wpływu na organizację. Raport powinien odróżniać problemy krytyczne od usprawnień, które można zaplanować w dalszej kolejności.

3. Przykładowa lista kontrolna

ObszarPytanie kontrolneTypowe ryzyko
KontaCzy każdy użytkownik ma własne konto i odpowiednie uprawnienia?Brak rozliczalności i nadmierny dostęp.
MFACzy poczta, VPN i kluczowe usługi wymagają drugiego składnika?Przejęcie konta po wycieku hasła.
AktualizacjeCzy systemy i urządzenia mają wspierane wersje?Wykorzystanie znanych podatności.
BackupCzy istnieje kopia poza głównym środowiskiem i test odtworzenia?Utrata danych po awarii lub ransomware.
SiećCzy goście, urządzenia firmowe i systemy krytyczne są odseparowane?Łatwe rozprzestrzenianie się incydentu.

4. Jak ustalać priorytety?

Nie wszystkie zalecenia należy realizować jednocześnie. Najpierw usuwa się sytuacje, które mogą doprowadzić do natychmiastowej utraty danych, przejęcia kont lub zatrzymania działalności.

  1. zabezpieczenie kopii zapasowych i sprawdzenie odtwarzania,
  2. usunięcie krytycznych podatności i nieużywanych dostępów zdalnych,
  3. włączenie MFA dla poczty, administratorów i usług zewnętrznych,
  4. ograniczenie uprawnień i uporządkowanie kont,
  5. aktualizacja urządzeń oraz systemów niewspieranych,
  6. segmentacja sieci i wdrożenie monitoringu.

5. Co powinno znaleźć się w raporcie?

Raport dla małej firmy musi być zrozumiały nie tylko dla informatyka. Powinien zawierać streszczenie dla osoby zarządzającej, opis środowiska, wykryte ryzyka, dowody techniczne, ocenę pilności oraz konkretne zalecenia. Przydatny jest podział na działania natychmiastowe, do 30 dni, do 90 dni i długoterminowe.

6. Jak często wykonywać audyt?

Pełny audyt warto przeprowadzać regularnie oraz po większych zmianach: migracji serwerów, wdrożeniu nowego systemu, zmianie dostawcy IT, połączeniu sieci oddziałów albo poważnym incydencie. Pomiędzy audytami należy wykonywać krótsze przeglądy aktualizacji, kont, kopii zapasowych i alertów.

WniosekNajwiększą wartość daje audyt, który koncentruje się na rzeczywistych procesach i najpoważniejszych ryzykach, a następnie prowadzi do wdrożenia konkretnych zmian.

Słownik

Skróty i pojęcia użyte w artykule

Kliknij wybraną nazwę, aby rozwinąć jej znaczenie.

MFA
Multi-Factor Authentication

Uwierzytelnianie wieloskładnikowe. Logowanie wymaga co najmniej dwóch niezależnych elementów, np. hasła i kodu z aplikacji.

VPN
Virtual Private Network

Szyfrowany tunel umożliwiający bezpieczny dostęp do firmowej sieci lub usług przez internet.

VLAN
Virtual Local Area Network

Logiczny podział jednej infrastruktury sieciowej na odseparowane segmenty, np. dla pracowników, gości, serwerów i urządzeń IoT.

NGFW
Next-Generation Firewall

Zapora nowej generacji łącząca filtrowanie ruchu z kontrolą aplikacji, IPS, filtrowaniem treści i często inspekcją szyfrowanego ruchu.

SIEM
Security Information and Event Management

System centralnie zbierający i analizujący logi oraz zdarzenia bezpieczeństwa z wielu urządzeń i usług.

EDR
Endpoint Detection and Response

Ochrona stacji roboczych i serwerów, która wykrywa podejrzane zachowania i wspiera reakcję na incydenty.

RPO
Recovery Point Objective

Maksymalna akceptowalna utrata danych wyrażona w czasie, np. RPO 4 godziny oznacza możliwość utraty najwyżej 4 godzin pracy.

RTO
Recovery Time Objective

Docelowy maksymalny czas przywrócenia usługi po awarii lub incydencie.