Bezpieczeństwo każdej organizacji zależy od jej najsłabszego punktu. Nie zawsze jest to kwestia połączenia internetowego lub kiepskich urządzeń. Do organizacji można dostać się na wiele sposobów, między innymi fizycznie lub wykorzystując socjotechnikę. Ważne jest, aby regularnie sprawdzać zabezpieczenia, szkolić pracowników i usprawniać bariery. Raport z audytu bezpieczeństwa jest do tego własciwymi narzędziami.
Wykonywanie wewnętrznego audytu bezpieczeństwa najczęściej nie jest obiektywne, ponieważ osoby zabezpieczające system, znają go na wylot i mogą pominąć istotne kwestie. To zadanie dobrze więc powierzyć zewnętrznym wykonawcom, którzy mogą zastosować nieszablonowe podejście do problemu i wykonać zestaw testów bezpieczeństwa (w tym testów penetracyjnych), oszczędzając przy tym czas firmowych zespołów.
Informacja to potężna broń, która może stanowić o sukcesie lub porażce każdego biznesu. To rozliczenia, dane pracowników, strategia, patenty, plany cenowe i wiele innych. Odpowiedniego poziomu zabezpieczeń potrzebuje więc każda firma, niezależnie od charakteru jej działalności. Niektóre, takie jak podmioty przetwarzające duże ilości danych osobowych czy te o charakterze strategicznym nawet bardziej niż inne. Istotne jest, żeby wykonywane testy bezpieczeństwa były dostosowane do wymagań biznesowych organizacji, a raport z ich wykonania jak najszczegółowiej opisywał stan infrastruktury IT.
Dobrą praktyką jest wykonywać audyty nie rzadziej niż raz w roku i za każdym razem, gdy zaszła znacząca zmiana w infrastrukturze.
Audyty najczęściej przeprowadzamy w firmach, które:
Aby dokładnie przeprowadzić sam audyt i sporządzić raport z audytu bezpieczeństwa, musimy najpierw dobrze poznać klienta. Jeszcze przed etapem ofertowania zadajemy więc szereg pytań dotyczących obszarów działania i procesów w firmie, posiadanej infrastruktury czy dostępów dla specjalistów. Te informacje pozwolą nam lepiej oszacować oczekiwania, kryteria audytu, zakres pracy i sposób przeprowadzenia kontroli.
Jakie informacje warto przygotować? Poniżej przedstawiamy niektóre z nich.
Na tej podstawie wyznaczamy poszczególne obszary infrastruktury jak np. łączność bezprzewodowa, end-pointy, zabezpieczenia sieciowe, które później szczegółowo opiszemy. Nie zawsze istnieje potrzeba weryfikacji na wszystkich szczeblach. Niekiedy też budżet nie pozwala na pełną diagnostykę. W takich przypadkach dajemy możliwość wyboru elementów, które zbadamy. Raport będzie zawierał analizę wszystkich wybranych elementów.
Jesteśmy w stałym kontakcie z osobami wyznaczonymi po stronie klienta i konsultujemy z nimi wszystkie kroki, harmonogramy, zakres i dostępy. Dzięki temu obie strony mają pewność, że wszystko odbywa się z pełną kontrolą. Jeśli sytuacja na to pozwala, audyt wykonujemy off-site, za pomocą pulpitu zdalnego, gdzie administratorzy mają podgląd naszych działań.
Dbając o interes naszych klientów i swój, staramy się działać w trybie read-only. Oznacza to, że mamy dostęp do podglądu konfiguracji, ale nie możemy jej zmieniać. Raport będzie zawierał wszystkie ewentualne nieprawidłowości, a zmiany będą mogły dokonać właściwe osoby. Niektóre urządzenia oferują jednak wyłącznie pełen dostęp administratora i nic pomiędzy. W takiej sytuacji indywidualnie ustalamy warunki dostępu z klientem.
Na życzenie klienta możemy przeprowadzić również zestaw testów bezpieczeństwa, testów penetracyjnych (w tym testy socjotechniki) na wybranej grupie pracowników. Możemy zrobić to on-line poprzez wysłanie kampanii phishingowej lub na miejscu, na jeden z proponowanych sposobów. To doskonałe narzędzie, by sprawdzić procedury i świadomość pracowników w praktyce.
Staramy się, aby raport nie był jedynie skomplikowanym dokumentem dla wybranej grupy administratorów sieci, ale dzięki prostemu językowi zrozumiały i przystępny również dla osób decyzyjnych.
W pierwszym rozdziale stawiamy na maksymalnie treściwe podsumowanie. Opisujemy w sposób nietechniczny wszystkie zagrożenia i luki, które wykryliśmy, zaznaczamy, nad czym warto się pochylić oraz rekomendujemy, w co zainwestować.
Kolejne części już szczegółowo, z technicznymi detalami opisują wybrane przez klienta obszary. W pierwszej kolejności przedstawiamy stan faktyczny i najważniejsze z perspektywy audytu elementy jak np. istotna dla bezpieczeństwa infrastruktura, w tym punkty konfiguracji lub rodzaj urządzenia. To pełne uporządkowanie dokumentacji, spis urządzeń i konfiguracji, który daje nam pełen przegląd sytuacji.
Kolejny krok zawiera już nieprawidłowości, za którymi idą rekomendacje. Wskazują np. na wiekowość sprzętu i zalecenie wymiany, nieprawidłową konfigurację itd. Jeśli mamy pełen przegląd infrastruktury klienta, zawsze staramy się dopasować zalecenia w taki sposób, by jak najlepiej zgrywały się z istniejącymi już elementami. Każda pozycja ma swój priorytet, który ułatwi podejmowanie decyzji.
Czy istnieje coś takiego jak zbyt wysoki poziom zabezpieczeń? Tak, dlatego rekomendacje nie zawsze będą wskazywać na luki. Jeśli istnieją obszary, które nie wymagają szczególnej ochrony, nadmiar środków bezpieczeństwa może generować niepotrzebne koszty, hamować pracę i powodować niepotrzebną frustrację. Raport może zawierać również takie wnioski.
Dobrze wiemy, że sam raport nie zawsze jest wystarczający i mimo bardzo prostego zapisu – może być trudny w zrozumieniu. Nasi eksperci są więc gotowi do osobistej wizyty w siedzibie klienta, gdzie nie tylko szczegółowo omówią wskazówki, ale też udzielą szczegółowej odpowiedzi dotyczącej przebiegu samego audytu infrastruktury czu testów penetracyjnych, jeśli pojawią się pytania.
Zdarza się również, że opinia niezależnych podmiotów jest kluczowa dla dalszych inwestycji lub ważnych decyzji, dlatego podczas spotkania możemy skupić się na najważniejszych elementach i wesprzeć ewentualne negocjacje wskazując na korzyści i zagrożenia lub proponując kierunek rozwoju.
Dzięki takim spotkaniom mamy pewność, że klient rozumie wszystkie zapisy, a zmiany zostaną wprowadzone w rekomendowany sposób.
Zajmujemy się siecą i infrastrukturą IT, a nie tylko jej bezpieczeństwa. Dzięki szerokiej, międzyobszarowej wiedzy patrzymy więc na problemy holistycznie i szukamy optymalnych dla naszych klientów rozwiązań. Sprawdzamy każdy element, aby wyeliminować zagrożenia sieciowe, ale też fizyczne, wynikające na przykład z single point of failure. Jeśli przy okazji trafimy na inne problemy, chociażby związane z wydajnością lub pokryciem sygnałem – zamieścimy to w raporcie.
Ekspercka wiedza potwierdzona jest certyfikatami, latami doświadczenia i zrealizowanymi pracami. Niektóre z nich możesz zobaczyć tutaj.
Jeśli masz pytania, lub chcesz porozmawiać z naszymi inżynierami o audycie w twojej firmie – odezwij się do nas!