Audyt bezpieczeństwa IT

audyt bezpieczeństwa. IT Security kontrola zabezpieczeń komputerowych. Closed Padlock Concept. Technology Security.

Audyt bezpieczeństwa, zwany również audytem zabezpieczeń lub audytem bezpieczeństwa informacji, jest de facto podstawą Polityki Bezpieczeństwa Informacji w firmie. Należy pamiętać, że bezpieczeństwo nie jest ciągłe, gdyż wraz z rozwojem techniki informatycznej pojawiają się coraz to nowe zagrożenia, zwłaszcza dla danych przetwarzanych lub przechowywanych w systemach informatycznych. Należy tutaj wspomnieć, że identyfikacja zagrożeń oraz analiza ryzyka dla systemów informatycznych są̨ usankcjonowane prawnie, w postaci odpowiednich zapisów w Ustawie o ochronie danych osobowych oraz Ustawie o ochronie informacji niejawnych. Wycieki lub utrata danych mogą poza tym spowodować poważne konsekwencje prawne, finansowe, wizerunkowe, organizacyjne, a nawet zaważyć na istnieniu firmy.

Przebieg i zakres formalny audytu

Zwykle audyt przebiega w 4 fazach:

  • sporządzenie listy sprawdzającej według dobranego standardu
  • wypełnienie listy za pomocą ankiety
  • badanie systemów
  • raport końcowy

Zakres i stopień szczegółowości audytu jest opracowywany indywidualnie. Standardowo zawiera sekcje dotyczące Polityki bezpieczeństwa:

  • Organizacja bezpieczeństwa;
  • Kontrola i klasyfikacja zasobów;
  • Bezpieczeństwo a personel;
  • Bezpieczeństwo fizyczne;
  • Zarządzanie komputerami i siecią komputerową;
  • Kontrola dostępu do systemu;
  • Projektowanie i utrzymywanie systemu;
  • Planowanie ciągłości procesów biznesowych;
  • Zgodność z obowiązującymi regulacjami prawnymi.

W ramach audytu często pomagamy stworzyć pisemne regulaminy korzystania z oprogramowania i opracować firmowe procedury bezpieczeństwa.

Wśród tematów, jakie sprawdzane są podczas audytu znajdują się m.in.:

  • Zabezpieczenia i konfiguracja serwer, role, analiza logów, zasoby udostępnione
  • Zabezpieczenia sieci LAN i WLAN, eskalacja uprawnień z zewnątrz i wewnątrz
  • Podsłuch komunikacji i transferu danych poufnych, stosowanie szyfrowania
  • Komputery klienckie, terminale i ich zabezpieczenie, skanowanie portów
  • Urządzenia techniczne w infrastrukturze firmowej, a zagrożenia dla firmy
  • Kopie zapasowe, poprawność odtwarzania, separacja, fizyczny stan nośników
  • Archiwizacja poczty firmowej, monitoring i mechanizmy przywracania
  • Niebezpieczeństwa socjotechniczne, prawidłowość polityk bezpieczeństwa
  • Bezpieczeństwo podstawowe w zakresie ataków niekonwencjonalnych na firmę
  • Obecność w systemach ukrytych rootkitów, trojanów, luk bezpieczeństwa
  • Dostępy, współdzielenie, bezpieczeństwo przechowywania i użycia haseł
  • Prawidłowość dokumentacji sieci firmowej, aktualność schematów

 

Cena audytu: indywidualnie; średnio 3985 zł netto

Czas trwania: Do 15 dni roboczych

Zakres: Cała infrastruktura techniczna firmy, sprzęty, procedury i dokumentacje

Cennik poaudytowych działań naprawczych: W ramach aktualnej Umowy o Outsourcing IT

 

usługi dodatkowe bezpieczeństwo IT

 

Usługi dodatkowe do audytu bezpieczeństwa:

W ścisłej współpracy z certyfikowanymi, uznanymi w branży specjalistami od bezpieczeństwa IT oferujemy także profesjonalne, zaawansowane testy bezpieczeństwa IT w firmie w formie kontrolowanych ataków hackerskich na przedsiębiorstwo (bez niszczenia danych i powodowania większych przestojów w pracy). Pozwala to na realną weryfikację działania firmy w przypadku wystąpienia prawdziwych kryzysów oraz pozwala na lepsze zabezpieczenie się przed nimi.

  • Atak phishingowy na pracowników bez penetracji sieci firmowej

Cena usługi: indywidualnie; średnio 5020 zł netto

Czas trwania: Do 14 dni roboczych

Zakres: Zaatakowanie firmy przez Internet poprzez spreparowane wiadomości e-mail

Cennik działań naprawczych: Szkolenie 200 zł netto/h, Konsultacje 150 zł netto/h

  • Atak socjotechniczny na pracowników bez penetracji sieci firmowej

Cena usługi: indywidualnie; średnio 9530 zł netto

Czas trwania: Do 30 dni roboczych

Zakres: Indywidualnie zaprojektowany atak na firmę i pozyskanie danych poufnych

Cennik działań naprawczych: Szkolenie 200 zł netto/h, Konsultacje 200 zł netto/h

  • Atak socjotechniczny na pracowników z penetracją sieci firmowej

Cena usługi: indywidualnie; średnio 13250 zł netto

Czas trwania: Do 50 dni roboczych

Zakres: Zaatakowanie pracowników, pozyskanie danych poufnych oraz atak na infrastrukturę

Cennik działań naprawczych: Szkolenie 200 zł netto/h, Konsultacje 200 zł netto/h

 

Podane ceny są informacją, nie stanowią oferty w rozumieniu Kodeksu Cywilnego.

Dlaczego my?

Przy realizacji projektów informatycznych jesteśmy idealnym wyborem z kilku powodów:

Rozpocznij projekt

Jesteśmy tu, by Ci pomóc

Uzyskaj poradę, odpowiedzi i rozwiązania zawsze, gdy tego potrzebujesz.