W firmach z branży informatycznej cyberbezpieczeństwo jest bardzo ważne – zagrożenie jakie wynikają z braku odpowiednich zabezpieczeń, mogą spowodować wyciek wrażliwych danych i zrujnować reputację naszego przedsiębiorstwa. Regularne przeprowadzanie audytu bezpieczeństwa ma zapobiec sytuacjom, w których cenne informacje są zagrożone ujawnieniem. Jak więc powinien wyglądać dobrze przeprowadzony audyt bezpieczeństwa informatycznego? Jakie normy powinien spełniać?
Audyt bezpieczeństwa bez stresu – kilka kroków do bezpieczeństwa informatycznego
Do audytu przystępują firmy, które starają się o uzyskanie certyfikatu ISO w ramach normy ISO 27001. Oczywiście certyfikat nie jest jedynym, co zyskujemy, po zaliczeniu audytu bezpieczeństwa informatycznego. Przede wszystkim otrzymujemy pewność, że nasza firma i dane klientów, którzy nam zaufali nie dostaną się w niepowołane ręce. Działania, jakie przeprowadza się w ramach audytu bezpieczeństwa, można podzielić na cztery grupy:
- Wywiad środowiskowy dotyczący zabezpieczeń, jakie stosowane są w firmie – zadanie pytań dotyczących bezpieczeństwa w sieci;
- Sprawdzenie infrastruktury firmy i czynnika ludzkiego, przeprowadzenie testów – próba wyłudzenia danych;
- Przygotowanie raportu – opisanie nieprawidłowości, jakie odnaleziono;
- Zaproponowanie zmian.
W normie ISO 27001 możne wyróżnić aż jedenaście obszarów, które mają wpływ na bezpieczeństwo firmy pod względem informatycznym. Warto więc każdemu z nich dokładnie się przyjrzeć, by wyłapać najsłabsze punkty i móc je dopracować jeszcze przed audytem. Należą do nich:
- polityka bezpieczeństwa,
- zgodność ze standardami i wymaganiami prawnymi,
- organizacja zabezpieczeń informacji,
- sposób rozwiązywania problemów związanych z bezpieczeństwem informacjami,
- zarządzanie aktywami,
- systemy informacyjne – ich pozyskiwanie, sposób utrzymania i rozwój,
- bezpieczeństwo zasobów ludzkich,
- kontrolowanie dostępu,
- bezpieczeństwo środowiskowe i fizyczne,
- ciągłość działania,
- systemy i sieci – zarządzanie i rozwój.
Pytania, jakie mogą zostać zadane podczas audytu
Choć odpowiedź na część pytań może nam się wydawać oczywista, nie można ich ignorować. Warto się porządnie przygotować do pytań z listy kontrolnej. To od nich może zależeć to, jak zostanie oceniona nasza firma. Pytań jest wiele, ale kilka z nich jest szczególnie wartych uwagi.
Czy posiadasz program antywirusowy?
Żadna firma wykorzystująca w swoim działaniu różnego rodzaju systemy informatyczne nie może funkcjonować bez dobrego programu zabezpieczającego przed wirusami. Program ten powinien chronić firmę także przed zagrożeniami, jakie czyhają w internecie.
Czy twój program antywirusowy to produkt darmowy?
Tego typu subskrypcje zazwyczaj przeznaczone są do użytku domowego, a firma potrzebuje oprogramowania z licencją komercyjną. Dodatkowo darmowe oprogramowanie może być mniej skuteczne ze względu na rzadsze aktualizacje. Warto też pamiętać, że tak zwane antywirusy nie służą do usuwania wirusów z komputera, a mają nie dopuścić do ich zainstalowania się na dysku.
Jak długie są hasła, które stosujesz?
Technologia idzie do przodu coraz bardziej i obecnie za bezpieczne hasło uważa się takie, które ma minimum osiem znaków, zawiera małe i duże litery oraz cyfry. Jeśli dodamy do tego znaki specjalne, znacznie wydłuża się czas potrzebny do złamania takiego hasła.
Czy używasz jednego hasła do kilku systemów?
W takiej sytuacji istnieje niebezpieczeństwo, że w przypadku wycieku danych z serwera, przestępca internetowy pozna hasło do kilku naszych kont, co sprawia, że możemy stać się łatwą ofiarą ataku cybernetycznego.
Jak często zmieniasz swoje hasło?
Hasło powinno zmieniać się raz na kwartał. Nie muszę to być duże zmiany, czasami wystarczy zamiana jednego znaku, by zmienić jego wygląd. Dzięki takim zmianom, wyciek nawet jednego hasła może być nieszkodliwy.