3-6 minut

Jak przygotować się do audytu bezpieczeństwa?

W zeszłym roku 69 proc. firm w Polsce odnotowało przynajmniej jeden incydent naruszenia bezpieczeństwa, a obecnie aż 92 proc. przedsiębiorców wskazuje szeroko rozumianą cyberprzestępczość jako jedno z głównych zagrożeń dla swoich biznesów1. W związku z tym inwestowanie w odporność i szczelność systemów cyfrowych stopniowo staje się koniecznością dla firm chcących utrzymać swą wiarygodność i pozycję rynkową. Pierwszym krokiem do stworzenia sprawnego mechanizmu wykrywania cyberataków i reagowania na nie jest przeprowadzenie audytu bezpieczeństwa.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

  1. DLCZEGO CORAZ WIĘCEJ FIRM DECYDUJE SIĘ NA PRZEPROWADZENIE AUDYTU BEZPIECZEŃSTWA?
  2. JAK SKUTECZNIE PRZYGOTOWAĆ SIĘ DO AUDYTU, ABY SKRÓCIĆ JEGO CZAS I KOSZTY ORAZ ZMAKSYMALIZOWAĆ ZYSKI?
  3. NA CO NAJCZĘŚCIEJ ZWRACAJĄ UWAGĘ EKSPERCI PRZEPROWADZAJĄCY AUDYT BEZPIECZEŃSTWA?
  4. JAK PRZYGOTOWAĆ ZESPÓŁ DO PRACY W WARUNKACH TRWAJĄCEGO AUDYTU?
  5. KIEDY ZACZĄĆ WDRAŻAĆ REKOMENDACJE AUDYTORÓW?

Audyt bezpieczeństwa jest jednym z niewielu testów, którego wynik należy interpretować wbrew wyniesionym ze szkoły czy pracy schematom. Im więcej rzeczywistych bądź potencjalnych nieprawidłowości zostanie zidentyfikowanych podczas kontrolowanego cyberataku, tym lepiej przedsiębiorstwo poradzi sobie w przyszłości z realnym zagrożeniem. Jednak, aby wyciągnąć z audytu jak najwięcej korzyści, należy się do niego rzetelnie przygotować.

Ułatw zadanie audytorowi

Przygotowania najlepiej rozpocząć od stworzenia diagramu bezpieczeństwa, czyli opracowania prezentacji ogólnej struktury sieci – jej elementów, połączeń pomiędzy poszczególnymi działami oraz istniejących zabezpieczeń. Posiadanie takiego diagramu istotnie usprawnia proces oceny dokonywany przez audytora, zapewniając mu podstawowe informacje o sposobie funkcjonowania i organizacji wewnętrznej firmy, co z kolei oznacza oszczędność czasu i środków dla obu stron.

Jest również bardzo prawdopodobne, że audytor będzie chciał porozmawiać z wybranymi pracownikami, zazwyczaj odpowiedzialnymi za funkcjonowanie najbardziej newralgicznych działów przedsiębiorstwa, aby uzyskać pełny obraz polityki i architektury cyberbezpieczeństwa. Dlatego też, przed rozpoczęciem audytu, należy określić grupę kluczowych interesariuszy, posiadających odpowiednie kwalifikacje oraz wiedzę, a także wygospodarować w ich harmonogramie pracy czas na wspomniane konsultacje.

Dodatkowo eksperci ci powinni pojawić się na spotkaniu ze wszystkimi niezbędnymi narzędziami (laptopy, tablety), pozwalającymi uzyskać natychmiastowy dostęp do najważniejszych plików, baz danych czy oprogramowania.

Zadbaj o przejrzystość i bezpieczeństwo informacji

Coraz częściej audytorzy nie ograniczają się jedynie do zapoznania się z polityką bezpieczeństwa informacji w danym przedsiębiorstwie, ale również analizują wiedzę pracowników na jej temat. Ustawodawca bowiem nakłada na każdą firmę obowiązek posiadania jasnych zasad dotyczących postępowania z danymi (organizacji bądź jej klientów czy partnerów) oraz odpowiedniego przygotowania wszystkich członków załogi do zarzadzania nimi w sposób odpowiedzialny i zgodny ze standardami etyczno-prawnymi.

Audytor prawdopodobnie będzie chciał zapoznać się z polityką bezpieczeństwa informacji i przeprowadzić z pracownikami, nawet najniższego szczebla, rozmowę dotyczącą zagrożeń cybernetycznych. Oczywiście, jeśli polityka bezpieczeństwa informacji jest wdrożona prawidłowo, każdy w organizacji powinien dysponować szczegółową wiedzą na temat swoich obowiązków w zakresie danych. Kluczową rolę odgrywa w tym kontekście bieżąca edukacja pracowników.

Polityka bezpieczeństwa powinna zawierać wszystkie klasyfikacje danych przechowywanych w sieci, aby określić poziom ich ochrony w kontekście:

  • poufności, czyli prywatności danych i konkretnych pracowników upoważnionych do dostępu;
  • integralności, czyli utrzymywania danych w stanie nienaruszonym, kompletnym i dokładnym;
  • dostępności, czyli sposobów na udostępnianie danych dla uprawnionych użytkowników na przejrzystych, precyzyjnych warunkach;
  • dodatkowych informacji definiowanych jako dane wysokiego ryzyka bądź poufne, których brak ochrony za pomocą odpowiednich środków bezpieczeństwa może skutkować nałożeniem poważnych kar finansowych.

Przygotowując się do audytu bezpieczeństwa, warto więc przeprowadzić ponowne rozmowy z pracownikami dotyczące polityki bezpieczeństwa firmy, jak również rozważyć dodatkowe szkolenia. Pozwoli to uzyskać pewność, że każdy członek ekipy będzie przygotowany do odpowiedzi na pytania dotyczące zarządzania zagrożeniami i prywatności danych.

Jednocześnie, należy zadbać o zgromadzenie i uporządkowanie całej dokumentacji dotyczącej strategii oraz procedur bezpieczeństwa cybernetycznego firmy w jednym miejscu, aby w odpowiedniej chwili udostępnić ją audytorowi. Pozwoli mu to w pełni ocenić ogólną świadomość organizacji w zakresie bezpieczeństwa cybernetycznego, jak również dostrzec potencjalne luki w polityce i procedurach, które należy wyeliminować.

Przed audytem warto także dokonać przeglądu wszystkich obowiązujących standardów zgodności, które dana firma stara się spełniać, oraz poinformować o nich osobę przeprowadzającą audyt, aby końcowe wnioski i kryteria oceny odpowiadały rzeczywistym potrzebom przedsiębiorstwa.

Przeprowadź próbę generalną audytu

Po podjęciu wszystkich wstępnych kroków przygotowujących do audytu, warto przeprowadzić test wstępny we własnym zakresie. Wewnętrzny audyt bezpieczeństwa powinien łączyć przegląd polityk, procesów i procedur ze sprawdzeniem kluczowej infrastruktury i systemów bezpieczeństwa.

Przeprowadzona podobnie jak audyt zewnętrzny, wewnętrzna ocena bezpieczeństwa cybernetycznego zidentyfikuje potencjalne luki i zagrożenia, które mogły zostać pominięte najwcześniejszych etapach. Ma ona również kluczowe znaczenie dla całego personelu, który będzie mógł lepiej przygotować się do prawdziwego audytu. Próbny test pomoże przełamać niepokój załogi i da wyobrażenie współpracy z profesjonalnym audytorem.

Wewnętrzny audyt bezpieczeństwa warto przeprowadzić na tyle wcześnie, aby pozostawić wystarczający margines czasu na usunięcie ewentualnych luk i braków. Pozwoli to profesjonalnym audytorom zewnętrznym skoncentrować się na bardziej skomplikowanych wyzwaniach.

Audyt bezpieczeństwa to dopiero początek

Audyt bezpieczeństwa nie jest celem samym w sobie – od pierwszych chwil należy zwracać się do ekspertów oceniających strategię i architekturę bezpieczeństwa firmy o bieżące informowanie o wszelkich uwagach, obserwacjach czy rekomendacjach. Nie ma potrzeby czekać na oficjalny koniec całego procesu, aby zacząć szukać optymalnych sposobów na naprawienie problemów i rozpocząć ich wdrażanie. Dzięki temu podstawowy cel każdego przedsiębiorstwa, jakim jest bezpieczeństwo informacji i danych samej organizacji oraz jej klientów, zostanie osiągnięty w możliwie krótkim czasie.

Podsumowanie

Przypomnijmy, w jaki sposób firma powinna przygotować się do audytu bezpieczeństwa:

  • Audyt bezpieczeństwa staje się działaniem typu „must have” dla firm, które chcą utrzymać swoją pozycję rynkową i wiarygodność w oczach konsumentów.
  • Efektywność audytu zależy od poczynionych przed nim przygotowań, zarówno na płaszczyźnie strukturalnej, jak i technologicznej.
  • Aby skrócić czas i koszty audytu, należy stworzyć tzn. diagram bezpieczeństwa, w prosty sposób opisujący strukturę całej sieci, a także przygotować wybranych pracowników do rozmowy z audytorem na temat obszarów, za które odpowiadają.
  • Należy zgromadzić i uporządkować dokumentację dotyczącą strategii oraz procedur bezpieczeństwa cybernetycznego firmy w jednym miejscu, a także upewnić się, że cały personel zna i rozumie politykę bezpieczeństwa organizacji.
  • Warto rozważyć próbę generalną przed prawdziwym audytem, która pozwoli zidentyfikować problemy i luk w systemie, które pominęliśmy na wcześniejszych etapach przygotowań, a także przełamać niepokój pracowników i oswoić ich z nadchodzącą sytuacją.
  • Podczas audytu zwracajmy się do ekspertów o przekazywanie na bieżąco wszystkich uwag i rekomendacji, aby podejmować działania wzmacniające system bezpieczeństwa cybernetycznego przedsiębiorstwa bez zbędnej zwłoki.

1Barometr cyberbezpieczeństwa KPMG, link: https://home.kpmg/content/dam/kpmg/pl/pdf/2022/05/pl-raport-kpmg-w-polsce-barometr-cyberbezpieczenstwa-ochrona-cyfrowej-tozsamosci-secured.pdf

Usługi Bezpieczeństwa IT

Ten artykuł dotyczy produktu

Usługi Bezpieczeństwa IT

Przejdź do produktu

Data publikacji: 22.07.2022

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail