Audyt bezpieczeństwa IT

Bezpieczeństwo IT

Współcześnie niemal każda firma, nawet jednoosobowa, wykorzystują w swojej działalności technologie informacyjne. Stąd też tak ważne jest cyberbezpieczeństwo. Ochrona danych przedsiębiorstwa, jak i jego Klientów, jest o tyle konieczna, że wszelkie wycieki mogą oznaczać ogromne straty finansowe czy wizerunkowe, nie mówiąc o konsekwencjach prawnych.

W celu kontroli bezpieczeństwa danych na firmowym sprzęcie warto wykonać profesjonalny audyt IT. Tego typu kontrola pozwoli sprawdzić siłę zabezpieczeń systemów informatycznych przedsiębiorstwa, a także określić zachowania pracowników w obliczu potencjalnych zagrożeń. Jest to szczególnie istotne w kontekście obowiązujących wymagań prawnych, związanych m.in. z ochroną danych osobowych.

Wiedza jest potężnym narzędziem, szczególnie jeśli na rynku jest twarda konkurencja. Dzięki zdobyciu najrzetelniejszych informacji dotyczących nowoczesnych rozwiązań technicznych i organizacyjnych przedsiębiorcy mają możliwość wprowadzenia optymalnym kosztem zabezpieczeń w swoich systemach teleinformatycznych.

Audyt KSC

Cyberbezpieczeństwo stało się w obecnym czasie wyzwaniem dla wielu organizacji.

Wiąże się to nie tylko ze znalezieniem odpowiednich rozwiązań technicznych, które uchronią organizację przed cyberzagrożeniami, ale to także duże wyzwanie kadrowe i kompetencyjne. Wyzwanie, które wymusza na firmach zupełnie nowe podejście do doskonalenia umiejętności pracowników, tak aby potrafili skutecznie zadbać o cyberbezpieczeństwo.

W dzisiejszych czasach każda organizacja wykorzystuje narzędzia elektroniczne do komunikacji z klientami i kontrahentami czy pomiędzy pracownikami, a większości przypadków dostępność tych narzędzi jest kluczowa z punktu widzenia możliwości prowadzenia działalności, świadczenia usług czy produkcji.

W tym celu przed kilkoma laty w Unii Europejskiej przyjęto dyrektywę Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (w skrócie: dyrektywa NIS), która narzuca na operatorów usług kluczowych (czyli m.in. z sektora bankowego, energetycznego czy logistycznego), a także dostawców usług cyfrowych (m.in. platformy e-commerce czy wyszukiwarki) wprowadzenie określonych norm bezpieczeństwa, które mają zapewnić wysoki poziom cyberbezpieczeństwa państw członkowskich UE. W Polsce dyrektywa NIS została włączona do porządku prawnego pod postacią Ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

Dla kogo przeznaczony jest audyt wg ustawy o krajowym systemie cyberbezpieczeństwa?

  • Operatorów usług kluczowych.
  • Dostawców usług cyfrowych.
  • Dostawców zaangażowanych w świadczenie usługi kluczowej.

W terminie roku od daty wyznaczenia a następnie co dwa lata Operatorzy Usług Kluczowych mają obowiązek przeprowadzić audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Nasz zespół specjalistów posiada pełne kompetencje do wykonania takiego audytu.

Audyt KSC – Case study

Kilka spółek firmy z branży energetycznej, pokrywającej obszarowo znaczną część Polski, otrzymało decyzje Ministra Energetyki o uznaniu ich za operatorów usług kluczowych. Firma ta zwróciła się do nas o pomoc w spełnieniu ustawowych wymagań dotyczących zgodności z KSC. W pierwszym kroku Audytel we współpracy z blisko współpracującą kancelarią prawną dokonała analizy otrzymanych decyzji pod kątem prawidłowości ustalenia stanu faktycznego przy wydawaniu decyzji. Ze względu na to, że treść nie budziła zastrzeżeń przystąpiono wspólnie z klientem do prac wdrożeniowych.

Projekt składał się z kilku etapów:

  • Audyt zerowy, w celu ustalenia luki względem wymogów KSC.
  • Opracowanie niezbędnych procesów, w tym obsługi incydentów, wykrywania i analizy podatności dla kluczowych systemów informatycznych.
  • Wykonanie analizy ryzyka wraz z opracowaniem planu postępowania w formie mapy drogowej.
  • Powołanie struktur organizacyjnych zgodnie z wymaganiami rozporządzenia wykonawczego.
  • Opracowanie i wdrożenie brakującej dokumentacji cyberbezpieczeństwa.

 

Po przeprowadzeniu ww. kroków w organizacji znacząco podniósł się poziom świadomości nt. ryzyk związanych z cyberzagrożeniami a wdrożone procesy i nowe zabezpieczenia wpłynęły na zwiększenie odporności przed nowymi zagrożeniami.

Case study – Audyt bezpieczeństwa kluczowego systemu obiegu informacji finansowych

W ramach audytu bezpieczeństwa systemu obiegu informacji finansowych, wykonywanego na rzecz naszego Klienta, pod uwagę wzięliśmy konfigurację oraz stosowane zabezpieczenia wszystkich komponentów tego systemu. Zakres przeprowadzanych prac obejmował wykonanie testów penetracyjnych serwerów – komponentów systemu automatyzacji obiegu informacji finansowej oraz podsłuchanie i analizę ruchu sieciowego pomiędzy tymi komponentami. Przeprowadzone przez nas testy ujawniły pewnego rodzaju niedociągnięcia, które mimo tego, że nie stanowiły krytycznego zagrożenia dla bezpieczeństwa, to mogły zostać łatwo wyeliminowane (poprzez wgranie odpowiednich poprawek, czy zmianę konfiguracji usług i zabezpieczeń).

Zapytaj o ofertę:

Wiesław Krawczyński

22 537 50 50








    Administratorem danych osobowych jest Audytel S.A., ul. ks. I. Skorupki 5, 00-546 Warszawa, tel. +48 22 5375050, e-mail info@audytel.pl. Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się pod adresem iod@audytel.pl.
    Dane będą przetwarzane w celach udzielenia odpowiedzi na zapytanie (podstawa prawna: prawnie uzasadniony interes administratora) oraz marketingu produktów własnych (podstawa prawna: prawnie uzasadniony interes administratora). Podanie danych jest warunkiem udzielenia odpowiedzi, a ich niepodanie uniemożliwi udzielenie odpowiedzi na pytanie. Dane będą przechowywane do czasu udzielenia odpowiedzi na przesłane zapytanie.
    Każdej osobie przysługuje prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz ich przenoszenia. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do organu nadzorczego oraz cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych na podstawie prawnie uzasadnionego interesu administratora, a także sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu.