Baza wiedzy

Audyt Bezpieczeństwa Informacji (audyt zerowy). Badamy systemy informatyczne pod kątem bezpieczeństwa przetwarzanych tam danych i optymalizacji biznesowej.

 

Otrzymujemy wiele pytań związanych z audytem bezpieczeństwa informacji. Dlatego postanowiliśmy przygotować dla Państwa krótki artykuł, który odpowie na te najczęściej zadawane:

  • Czym jest audyt zerowy?
  • W jakim celu audyt zostaje wykonany?
  • W jaki sposób zostaje wykonany audyt i czy zaburza funkcjonowanie pracy w firmie/instytucji?

 

Czym jest Audyt zerowy?

Audyt zerowy (wstępny) z zakresu bezpieczeństwa informacji przeprowadza się celem oceny, czy wewnętrzne procesy i zastosowane środki techniczne sprzyjają bezpiecznemu przetwarzaniu danych w organizacji. Na podstawie stacjonarnego wywiadu z Audytorem obejmującego m. in.:

  • przegląd procesów,
  • dokumentacji,
  • zastosowanego sprzętu informatycznego i jego konfiguracji

Następnie dokonujemy porównania z normami z zakresu bezpieczeństwa informacji i tzw. dobrymi praktykami przetwarzania danych. Następnie tworzymy raport z audytu, który zawiera nie tylko spostrzeżenia, ale i zalecenia do naprawy spostrzeżonych nieprawidłowości. Raport ten staje się punktem odniesienia do wdrożenia niezbędnych działań korygujących by lepiej chronić informacje w firmie.

 

Audyt zerowy często mylony jest z testami penetracyjnymi, dlatego warto wiedzieć, że testy penetracyjne nie są jego elementem.

 

Jak powinno wyglądać przygotowanie firmy do wykonania audytu bezpieczeństwa informacji.

Aby zmaksymalizować korzyści z audytu zerowego nie powinniśmy się do niego przygotowywać. Istotne jest, aby audyt został przeprowadzony w „naturalnych” warunkach pracy przedsiębiorstwa. Wszelkie przygotowania w tym szczególnie próby tymczasowej naprawy stanu procesów ochrony danych spowodują, że wnioski z audytu nie będą adekwatne do rzeczywistej sytuacji. Ważne jest natomiast, aby w audycie uczestniczyły osoby mające dobre pojęcie o procesach przetwarzania danych zachodzących w firmie oraz o infrastrukturze informatycznej.

 

Rolą audytora jest zebranie spostrzeżeń i porównanie zastanego stanu z zakresu bezpieczeństwa informacji do opisanych w normach i dobrych praktykach wytycznych. Audytor nie jest inspektorem – nie ocenia pracy poszczególnych osób, a jedynie stan procesów ochrony informacji w przedsiębiorstwie. Często jest on wynikiem innych obiektywnych czynników takich jak początkowa strategia firmy, brak wystarczających nakładów finansowych, wykorzystanie nieskalowalnych narzędzi informatycznych itp. Im więcej spostrzeżeń przekażemy Państwu w raporcie końcowym, tym większa szansa na wdrożenie kompleksowych i adekwatnych do potrzeb zabezpieczeń, dlatego tzw. „pudrowanie” sytuacji mija się z celem i powoduje, że wnioski z audytu zerowego nie będą adekwatne do rzeczywistego stanu procesów.

 

Dla kogo jest audyt zerowy z zakresu bezpieczeństwa informacji?

Polecamy przeprowadzenie audytu zerowego każdej organizacji, która dopiero buduje albo już udoskonala swój system ochrony informacji. Dzięki identyfikacji problemów z zakresu ochrony informacji można rozpocząć budowanie strategii ochrony danych lub kontynuować proces ciągłego doskonalenia.

 

Jakie korzyści przyniesie Twojej organizacji audyt zerowy?

  • identyfikacja ryzyk i podatności w zakresie ochrony informacji;
  • pomoc we wdrożeniu działań naprawczych;
  • pomoc w planowaniu procesów ochrony danych;
  • uniknięcie zbędnych kosztów wynikających ze zidentyfikowania (ewentualnie) źle działających procesów w zakresie ochrony informacji;
  • pomoc w ocenie dopasowania infrastruktury IT pod kątem realizacji celów biznesowych
  • ocena poziomu bezpieczeństwa informacji (IT+ procedury + dane osobowe)
  • ocena planów awaryjnych BCP w tym zdolności przywracania otoczenia IT po awarii,
  • sprawdzenie możliwości w zakresie rozbudowy sprzętu i technologii IT

 

Jak przeprowadzamy audyt zerowy?

Audyt zerowy przeprowadzany jest na podstawie pytań ankietowych. Pytania zadawane są przez audytora. Audytora który jest specjalistą w zakresie zarządzana systemami informatycznymi i procesowym zarządzaniu bezpieczeństwem informacji w oparciu o normę ISO 27001. Nie wysyłamy ankiet – kluczowa przy zbieraniu informacji jest dla nas rozmowa podczas stacjonarnej wizyty. Oczywiście, aby audyt był efektywny należy zadbać o obecność osób mających wiedzę o systemie informatycznym firmy i procesach przetwarzania danych w firmie.

 

Security Partners na tydzień przed audytem przesyła listę zagadnień, których dotyczy audyt i w ramach których zadajemy następnie pytania szczegółowe. Dostępność osób mających wiedzę w zakresu poszczególnych zagadnień pozwoli na bezproblemowe przeprowadzenie audytu (zwykle są to max. 2-3 osoby – w tym informatyk). Ponieważ pytania szczegółowe są elementem know-how niestety nie możemy ich udostępnić. Przykładowe pytania można znaleźć na naszej stronie “Przykładowe pytania dotyczące audytu bezpieczeństwa IT (audyt zerowy)”.

 

Zakończeniem audytu jest przedstawienie raportu przygotowanego przez audytorów i omówienie go na osobnym spotkaniu. Ważną informacją jest to, że podczas audytu na podstawie listy kontrolnej audytor odnajduje niezgodności i występujące zagrożenia. Każda niezgodność zawsze opisywana jest w „Raporcie niezgodności i działań naprawczych”. Raport ten oprócz obecnej sytuacji zawiera także zalecenia, których wykonanie poprawi funkcjonowanie wdrażanego systemu bezpieczeństwa IT.

 

 

Masz więcej pytań lub wątpliwości nie czekaj, tylko napisz do nas na adres biuro@securitypartners.pl