Baza wiedzy

Jak wygląda Audyt bezpieczeństwa informacji w praktyce

 

Początkowo audyt bezpieczeństwa informacji kojarzy się wielu klientom Security Partners jedynie z procesem weryfikacji obszarów związanych z systemami informatycznymi. Ponieważ większość procesów przetwarzania danych odbywa się w systemach informatycznych, jest to zrozumiały tok myślenia. Audyt bezpieczeństwa informacji wykracza jednak poza ramy IT ponieważ obejmuje także aspekty bezpieczeństwa fizycznego, organizacyjnego, osobowego i prawnego.

 

Jaki jest cel audytu bezpieczeństwa informacji?

Celem audytu bezpieczeństwa informacji jest zidentyfikowanie zagrożeń mogących skutkować:

  • utratą poufności,
  • integralności,
  • dostępności i rozliczalności informacji w każdym z ww. obszarów.

Wartością jaką daje prawidłowo wykonana usługa jest raport zawierający informacje o zaobserwowanych podatnościach wraz z propozycjami ich wyeliminowana.

 

Kto jest najczęstszym klientem?

Największe zainteresowanie usługą audytu zerowego bezpieczeństwa danych odnotowujemy wśród przedsiębiorców dla których poufność przetwarzania informacji ma charakter strategiczny i krytyczny. Różne są jednak sposoby w jaki firmy dowiadują się, że ochrona informacji jest dla nich ważna. Najbardziej przykre konsekwencje ma utrata informacji np. w wyniku awarii lub utraty sprzętu komputerowego, działania złośliwego oprogramowania, kradzieży itp. Skutki finansowe i wizerunkowe w takich przypadkach są na tyle dotkliwe, że przedsiębiorcy chcą ocenić ryzyko powtórki takiej sytuacji aby podjąć kroki zapobiegawcze. Inną przyczyną chęci wykonania audytu jest wymaganie ze strony partnera biznesowego np. uzależnienie podpisania umowy od zagwarantowania bezpieczeństwa procesów przetwarzania informacji. Niestety świadomość znaczenia bezpieczeństwa danych w procesach biznesowych dopiero rodzi się wśród polskich przedsiębiorców dlatego własną, prewencyjną inicjatywę zabezpieczenia danych, jeszcze przed wystąpieniem incydentu bezpieczeństwa, klasyfikujemy dopiero na 3 miejscu.

 

Jak przeprowadzić audyt bezpieczeństwa informacji i kto powinien go wykonać?

Nie ma uniwersalnego wzoru opisującego jak przeprowadzić audyt bezpieczeństwa informacji tak aby spostrzeżenia i wnioski stanowiły realną korzyść dla przedsiębiorstwa. W Security Partners audyt wykonujemy na podstawie pytań weryfikacyjnych zadawanych przez audytora będącego specjalistą – praktykiem w zakresie zarządzana systemami informatycznymi i procesowym zarządzaniu bezpieczeństwem informacji w oparciu o normy rodziny ISO 27000. Nie wysyłamy ankiet – kluczowa przy zbieraniu informacji jest rozmowa podczas stacjonarnej wizyty. Jeżeli chciałbyś przeprowadzić audyt bezpieczeństwa informacji samodzielnie, proponujemy wykonać go o następującą listę kontrolną:

  • Polityka bezpieczeństwa informacji
  • Organizacja bezpieczeństwa informacji
  • Zarządzanie aktywami
  • Kontrola dostępu
  • Kryptografia
  • Bezpieczeństwo fizyczne i środowiskowe
  • Bezpieczna eksploatacja
  • Bezpieczeństwo komunikacji
  • Pozyskiwanie, rozwój i utrzymanie systemów
  • Relacje z dostawcami
  • Zarządzanie incydentami związanymi z bezpieczeństwem informacji
  • Zarządzanie ciągłością działania
  • Zgodność

Oczywiście aby audyt był efektywny należy zadbać o obecność osób mających wiedzę o systemie informatycznym firmy i procesach przetwarzania danych. Każda zauważona niezgodność z normami lub dobrymi praktykami w zakresie bezpieczeństwa informacji powinna zostać opisana w „Raporcie z audytu”. Raport ten oprócz spostrzeżeń dot. obecnego stanu zabezpieczeń zawiera zalecenia, których wykonanie poprawi bezpieczeństwo systemu przetwarzania informacji w firmie.

 

Ile kosztuje audyt bezpieczeństwa informacji?

Nie ma jednej ceny – wszystko zależy od wielkości organizacji m. in. ilości pracowników i departamentów, oddziałów zamiejscowych, poziomu skomplikowania procesów biznesowych związanych z przetwarzaniem informacji oraz poziomu skomplikowania infrastruktury teleinformatycznej.

 

Czym jest raport z audytu bezpieczeństwa informacji?

Raport z audytu bezpieczeństwa informacji to kluczowy dokument, który zawiera obserwacje, wnioski i zalecenia w zakresie wszystkich przebadanych aspektów systemu bezpieczeństwa informacji. Raport z audytu powinien zostać omówiony na osobnym spotkaniu z klientem. Od jego zrozumienia zależy sposób postępowania z ryzykiem w zakresie przetwarzania informacje oraz właściwe dobranie metod jego zmniejszania.