Szukasz rozwiązania? | Potrzebujesz konsultacji? | Skontaktuj się!

Masz pytanie?

+48 737 185 903

// Znaczenie, działanie, korzyści i najlepsze praktyki

System Zarządzania Bezpieczeństwem Informacji (SZBI) - co to jest?

Aktualne czasy nierozerwalnie związane są z informatyzacją wszystkich dziedzin życia i rozwojem różnego rodzaju systemów teleinformatycznych – zarówno sprzętowych, programowych oraz obejmujących oba wymienione obszary. W związku z tym, ciężko sobie wyobrazić branżę, która z jednej strony nie miałaby  swojego udziału w tym rozwoju, a z drugiej – nie była beneficjentem korzyści z niego płynących. Te czynniki spowodowały wzrost zainteresowania ustandaryzowaną usługą weryfikacji swojej infrastruktury i procedur, jaką jest audyt IT.

Niestety obecna sytuacja geopolityczna, chęć zysku, zwykła złośliwość czy chęć czynienia szkód jako specyficzna forma wandalizmu powodują, że ten zdawałoby się idylliczny i nieograniczony rozwój, obciążony jest pewnymi zagrożeniami. W pocie czoła i z ogromnymi nakładami finansowymi budowane rozwiązania mające w założeniu służyć i przynosić korzyść, umożliwiać rozwój, dawać nowe funkcjonalności mogą stać się źródłem kłopotów, utraty zysków lub wystąpieniu kosztów, utraty reputacji, czy wręcz konsekwencji natury prawnej.

Zagrożenia informatyzacji dla szpitali
Audyt IT i jego rola
// czym jest cyberbezpieczeństwo?

Rola audytu IT

Oba wymienione powyżej zjawiska, tj. z jednej strony szeroko rozumiana informatyzacja, z drugiej wszelkie zagrożenia na nią czyhające, spowodowały, że pojawiło się i coraz bardziej nabiera na znaczeniu pojęcie „cyberbezpieczeństwa”. Można je w skrócie scharakteryzować jako kompleksowe działania zmierzające do jak najlepszego zabezpieczenie środowisk teleinformatycznych, w zakresie technicznym oraz organizacyjnym. Rolę zunifikowanego testu pełni właśnie audyt IT.

A dlaczego kompleksowe?

Ponieważ cyberbezpieczeństwo obejmuje nie tylko kwestie techniczne typu software, czy hardware, ale również kwestie proceduralne, definiowane przez procedury i instrukcje czy też ogólną kulturę technologiczną personelu. Jak życie pokazuje, jest ono bogatsze, pełniejsze i potrafiące nas postawić przed sytuacjami, o których się analitykom nie śniło :). Do tego jako element niepewności i najsłabszy element każdego systemu bezpieczeństwa dochodzi użytkownik, który jest w swoich działaniach nieprzewidywalny.

Skąd jednak wiedzieć w jaki sposób przeanalizować swoją infrastrukturę teleinformatyczną i w jaki sposób zweryfikować uwarunkowania środowiskowe danego przedsiębiorstwa? I przede wszystkim kto to ma zrobić, przy obciążonych do granic możliwościach działach IT? 

Najlepiej wyznaczyć do tego dedykowanego audytora posiadającego odopowiednie certyfikaty.

Audyt IT jako element polisy

W szeroko rozumianym biznesie zaczęto utożsamiać bezpieczeństwo swoich systemów i danych w nich przetwarzanych jako aktywa mające realny wpływ na wynik finansowy, a wydatki ponoszone na ten cel jako specyficzny rodzaj polisy. Element tej polisy naturalnie stanowią także przeprowadzane audyty bezpieczeństwa IT, które zaczęto realizować zarówno w gminach, jednostkach służby zdrowia czy firmach prywatnych.

W sektorze prywatnym finansowanie poprawy poziomu bezpieczeństwa odbywa się zazwyczaj ze środków własnych w miarę możliwości finansowych danego podmiotu, a wysokość tych nakładów jest wprost proporcjonalna do świadomości istnienia zagrożeń przez Zarządzających…ale nie zawsze i nie do końca.

Nasze doświadczenie w zarządzaniu złożonymi środowiskami teleinformatycznymi i współpracy z Biznesem podpowiada nam znamienne w skutkach stwierdzenie: Co się może stać?” Tutaj pozostawiamy „…..”, aby każdy zainteresowany sobie to wyobraził i dopowiedział.   

Audyt IT i cyberbezpieczeństwo jako aktywa w szpitalu lub firmie

Obszary weryfikowane przez audyt KRI

01
Infrastruktura IT
Celem jest jest określenie stanu fizycznego i konfiguracyjnego infrastruktury IT jako całości. Analizie podlegają wszystkie obszary środowiska IT: sieci (LAN, WAN, MAN), serwery, stacje robocze, backup danych, wirtualizacja, etc.
02
Aplikacje
W tym obszarze weryfikowane są aplikacje biznesowe, środowiska wirtualne, oprogramowanie systemowe. Poddawane ocenie jest także zarządzanie użytkownikami i uprawnieniami pod kątem bezpieczeństwa informacji, tworzenia kopii zapasowych, zarządzania dostępami oraz prawidłowego korzystania z licencji.
03
Procesy
W tym obszarze analizowane i optymalizowane są procesy, a dział IT przygotowywany jest do wdrożenia procedur będących wynikiem audytu.
04
Organizacja obszaru IT
Celem tego elementu jest przypisanie pracowników do odpowiednich ról i zdefiniowanie zakresów ich obowiązków. Szczególną uwagę zwraca się tutaj na doświadczenie i kompetencje zespołu IT.
05
Umowy utrzymania i wsparcia
Inwentaryzacja aktualnie posiadanych umów, weryfikacja biznesowej zasadności ich posiadania, ewentualne rekomendacje zmian, co ma skutkować optymalnym doborem parametrów SLA i umów dla utrzymania środowiska IT.

Dla kogo realizujemy audyt IT?

Dla szpitali
Dla Biznesu
Dla Gmin

I dla Ciebie też możemy!

+48 737 185 903

    Masz pytania?

    Wypełnij formularz poniżej, jeśli potrzebujesz konsultacji, wyceny audytu lub wsparcia w zakresie doboru rozwiązań.

    Jakim rodzajem audytu jesteś zainteresowany?

    Czy audyt IT może zostać przeprowadzony zdalnie?

    Tak, audyt może mieć formę zdalną. Należy jednak zdawać sobie sprawę z tego, że taka forma ma swoje ograniczenia i nie daje możliwości weryfikacji stanu w naturze. Opiera się on wtedy na pozyskaniu materiału dowodowego od audytowanego.

    Czy audytowany powinien się w jakiś sposób przygotować do audytu?

    Wcześniejsze przygotowanie audytowanego w jakiś szczególny sposób nie jest obligatoryjne. Natomiast uprzednie usystematyzowanie wiedzy, przygotowanie funkcjonujących dokumentów na pewno taki audyt usprawni i przyspieszy.

    Jak długo trwa audyt?

    Jest to uzależnione od audytowanego obszaru i zakresu. W większości przypadków czas potrzebny na jego realizację nie przekracza 1-2 dni.

    Jaki jest koszt audytu?

    Koszt audytu wyceniany jest indywidualnie, w zależności od jego formy (zdalny lub na miejscu), czasu trwania, audytowanego zakresu oraz specyfiki danego środowiska.

    Co jest weryfikowane podczas audytu?

    Podczas audytu weryfikowana jest zgodność funkcjonujących u audytowanego polityk, procedur, sposobu postępowania z normą ISO 27001.

    Czy audytu należy się obawiać?

    Nie, audytu nie należy się obawiać. Jest on przeprowadzany w przyjaznej atmosferze i ma na celu pomóc audytowanemu, a nie zaszkodzić w jakikolwiek sposób.

    Kto ma wziąć udział w audycie?

    Nie ma określonych konkretnych osób, które biorą udział w audycie ze strony audytowanego. Powinny to być osoby, bądź osoba, która ma wiedzę na temat audytowanego obszaru, ewentualnie będzie w stanie takie osoby wskazać i umożliwić z nimi kontakt.

    Kto przeprowadza audyt?

    Audyt przeprowadzają audytorzy wiodący normy ISO 27001. Liczba audytorów i ich kompetencje określone są w warunkach audytu. Są audyty które wymagają udziału np. 2 audytorów.

    // Chętnie porozmawiamy i doradzimy

    Szukasz audytu dla swojej firmy lub jednostki publicznej?

    737 185 903