Menu

Region US

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Raport z audytu bezpieczeństwa – co powinien zawierać?

    Raport z audytu bezpieczeństwa – co powinien zawierać?

    Date: 06.06.2024




    Bezpieczeństwo każdej organizacji zależy od jej najsłabszego punktu. Nie zawsze jest to kwestia połączenia internetowego lub kiepskich urządzeń. Do organizacji można dostać się na wiele sposobów, między innymi fizycznie lub wykorzystując socjotechnikę. Ważne jest, aby regularnie sprawdzać zabezpieczenia, szkolić pracowników i usprawniać bariery. Raport z audytu bezpieczeństwa jest do tego własciwymi narzędziami.

    Wykonywanie wewnętrznego audytu bezpieczeństwa najczęściej nie jest obiektywne, ponieważ osoby zabezpieczające system, znają go na wylot i mogą pominąć istotne kwestie. To zadanie dobrze więc powierzyć zewnętrznym wykonawcom, którzy mogą zastosować nieszablonowe podejście do problemu i wykonać zestaw testów bezpieczeństwa (w tym testów penetracyjnych), oszczędzając przy tym czas firmowych zespołów.

    Raport z audytu bezpieczeństwa – dla kogo jest?

    Informacja to potężna broń, która może stanowić o sukcesie lub porażce każdego biznesu. To rozliczenia, dane pracowników, strategia, patenty, plany cenowe i wiele innych. Odpowiedniego poziomu zabezpieczeń potrzebuje więc każda firma, niezależnie od charakteru jej działalności. Niektóre, takie jak podmioty przetwarzające duże ilości danych osobowych czy te o charakterze strategicznym nawet bardziej niż inne. Istotne jest, żeby wykonywane testy bezpieczeństwa były dostosowane do wymagań biznesowych organizacji, a raport z ich wykonania jak najszczegółowiej opisywał stan infrastruktury IT.

    Dobrą praktyką jest wykonywać audyty nie rzadziej niż raz w roku i za każdym razem, gdy zaszła znacząca zmiana w infrastrukturze.

    Audyty najczęściej przeprowadzamy w firmach, które:

    • cyklicznie sprawdzają swoją gotowość na współczesne zagrożenia;
    • chcą dopasować stosowane zabezpieczenia do wymogów prawnych RODO lub NIS2;
    • mają świadomość luk w systemie bezpieczeństwa lub chcą podnieść poziom zabezpieczeń;
    • chcą uporządkować dokumentację i sprawdzić stan faktyczny;
    • potrzebują wsparcia w negocjacjach lub uzasadnienia dla inwestycji.

    W pakiecie lub osobno

    Aby dokładnie przeprowadzić sam audyt i sporządzić raport z audytu bezpieczeństwa, musimy najpierw dobrze poznać klienta. Jeszcze przed etapem ofertowania zadajemy więc szereg pytań dotyczących obszarów działania i procesów w firmie, posiadanej infrastruktury czy dostępów dla specjalistów. Te informacje pozwolą nam lepiej oszacować oczekiwania, kryteria audytu, zakres pracy i sposób przeprowadzenia kontroli.

    Jakie informacje warto przygotować? Poniżej przedstawiamy niektóre z nich.

    • Jakie urządzenia wchodzą w elementy infrastruktury?
    • Ilu pracowników w ilu lokalizacjach ma firma?
    • Jakie serwery wykorzystuje?
    • Z jakich aplikacji krytycznych korzysta się w organizacji?
    • W jaki sposób przechowuje dane i dba o backup?
    • Jaki jest system operacyjny?
    • Komu został przydzielony dostęp i do jakich zasobów?
    • Jakie systemy zabezpieczeń funkcjonują w jednostce?
    • Czy w organizacji istnieją procedury bezpieczeństwa? Jeśli tak, to jakie?
    • Ile jest end-point’ów?
    • Czy są jakieś dodatkowe systemy? (np. CCTV)

    Na tej podstawie wyznaczamy poszczególne obszary infrastruktury jak np. łączność bezprzewodowa, end-pointy, zabezpieczenia sieciowe, które później szczegółowo opiszemy. Nie zawsze istnieje potrzeba weryfikacji na wszystkich szczeblach. Niekiedy też budżet nie pozwala na pełną diagnostykę. W takich przypadkach dajemy możliwość wyboru elementów, które zbadamy. Raport będzie zawierał analizę wszystkich wybranych elementów.

    Raport z działań read-only

    Jesteśmy w stałym kontakcie z osobami wyznaczonymi po stronie klienta i konsultujemy z nimi wszystkie kroki, harmonogramy, zakres i dostępy. Dzięki temu obie strony mają pewność, że wszystko odbywa się z pełną kontrolą. Jeśli sytuacja na to pozwala, audyt wykonujemy off-site, za pomocą pulpitu zdalnego, gdzie administratorzy mają podgląd naszych działań. 

    Dbając o interes naszych klientów i swój, staramy się działać w trybie read-only. Oznacza to, że mamy dostęp do podglądu konfiguracji, ale nie możemy jej zmieniać. Raport będzie zawierał wszystkie ewentualne nieprawidłowości, a zmiany będą mogły dokonać właściwe osoby. Niektóre urządzenia oferują jednak wyłącznie pełen dostęp administratora i nic pomiędzy. W takiej sytuacji indywidualnie ustalamy warunki dostępu z klientem.

    Na życzenie klienta możemy przeprowadzić również zestaw testów bezpieczeństwa, testów penetracyjnych (w tym testy socjotechniki) na wybranej grupie pracowników. Możemy zrobić to on-line poprzez wysłanie kampanii phishingowej lub na miejscu, na jeden z proponowanych sposobów. To doskonałe narzędzie, by sprawdzić procedury i świadomość pracowników w praktyce.

    Audyt bezpieczeństwa – raport czarno na białym

    Staramy się, aby raport nie był jedynie skomplikowanym dokumentem dla wybranej grupy administratorów sieci, ale dzięki prostemu językowi zrozumiały i przystępny również dla osób decyzyjnych. 

    raport z audytu bezpieczeństwa - proces przeprowadzenia audytu

    W pierwszym rozdziale stawiamy na maksymalnie treściwe podsumowanie. Opisujemy w sposób nietechniczny wszystkie zagrożenia i luki, które wykryliśmy, zaznaczamy, nad czym warto się pochylić oraz rekomendujemy, w co zainwestować. 

    Kolejne części już szczegółowo, z technicznymi detalami opisują wybrane przez klienta obszary. W pierwszej kolejności przedstawiamy stan faktyczny i najważniejsze z perspektywy audytu elementy jak np. istotna dla bezpieczeństwa infrastruktura, w tym punkty konfiguracji lub rodzaj urządzenia. To pełne uporządkowanie dokumentacji, spis urządzeń i konfiguracji, który daje nam pełen przegląd sytuacji.

    Kolejny krok zawiera już nieprawidłowości, za którymi idą rekomendacje. Wskazują np. na wiekowość sprzętu i zalecenie wymiany, nieprawidłową konfigurację itd. Jeśli mamy pełen przegląd infrastruktury klienta, zawsze staramy się dopasować zalecenia w taki sposób, by jak najlepiej zgrywały się z istniejącymi już elementami.  Każda pozycja ma swój priorytet, który ułatwi podejmowanie decyzji. 

    Czy istnieje coś takiego jak zbyt wysoki poziom zabezpieczeń? Tak, dlatego rekomendacje nie zawsze będą wskazywać na luki. Jeśli istnieją obszary, które nie wymagają szczególnej ochrony, nadmiar środków bezpieczeństwa może generować niepotrzebne koszty, hamować pracę i powodować niepotrzebną frustrację. Raport może zawierać również takie wnioski.

    Raport z audytu bezpieczeństwa – co dalej?

    Dobrze wiemy, że sam raport nie zawsze jest wystarczający i mimo bardzo prostego zapisu – może być trudny w zrozumieniu. Nasi eksperci są więc gotowi do osobistej wizyty w siedzibie klienta, gdzie nie tylko szczegółowo omówią wskazówki, ale też udzielą szczegółowej odpowiedzi dotyczącej przebiegu samego audytu infrastruktury czu testów penetracyjnych, jeśli pojawią się pytania.

    Zdarza się również, że opinia niezależnych podmiotów jest kluczowa dla dalszych inwestycji lub ważnych decyzji, dlatego podczas spotkania możemy skupić się na najważniejszych elementach i wesprzeć ewentualne negocjacje wskazując na korzyści i zagrożenia lub proponując kierunek rozwoju. 

    Dzięki takim spotkaniom mamy pewność, że klient rozumie wszystkie zapisy, a zmiany zostaną wprowadzone w rekomendowany sposób.

    Audyt cyberbezpieczeństwa infrastruktury IT

    Porozmawiajmy o bezpieczeństwie

    Zajmujemy się siecą i infrastrukturą IT, a nie tylko jej bezpieczeństwa. Dzięki szerokiej, międzyobszarowej wiedzy patrzymy więc na problemy holistycznie i szukamy optymalnych dla naszych klientów rozwiązań. Sprawdzamy każdy element, aby wyeliminować zagrożenia sieciowe, ale też fizyczne, wynikające na przykład z single point of failure. Jeśli przy okazji trafimy na inne problemy, chociażby związane z wydajnością lub pokryciem sygnałem – zamieścimy to w raporcie. 

    Ekspercka wiedza potwierdzona jest certyfikatami, latami doświadczenia i zrealizowanymi pracami. Niektóre z nich możesz zobaczyć tutaj.

    Jeśli masz pytania, lub chcesz porozmawiać z naszymi inżynierami o audycie w twojej firmie – odezwij się do nas!

    Autor

    Karol Goliszewski

    Z doświadczeniem w komercyjnych obszarach network oraz network & data security. Aktywny w obszarze komunikacji z Klientami, pomoże w rozpoznaniu problemu, doborze rozwiązań i zaproponuje efektowny model wdrożenia. Jego kompetencje potwierdzają certyfikaty techniczne z rozwiązań marek Cisco, Sophos, Palo Alto czy Fortinet.

    Komentarze są niedostępne
    Grandmetric: Network & Security