+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Case Study

Case study - audyt bezpieczeństwa IT

05/06/2016

Case study - audyt bezpieczeństwa IT

Bezpieczeństwo systemów IT wymaga ciągłego monitorowania jego stanu i korygowania czynników decydujących o jego stałym, odpowiednim poziomie. Jednym z najbardziej skutecznych narzędzi weryfikacji prawidłowości funkcjonowania bezpieczeństwa organizacji jest audyt bezpieczeństwa IT. Podstawowym jego założeniem jest dokonanie niezależnej, bezstronnej oceny stanu bezpieczeństwa IT organizacji.

Profil klienta

Nasz Klient jest jedną z najbardziej znaczących i najszybciej rozwijających się firm energetycznych w Polsce. Obecnie świadczy usługi przesyłania energii elektrycznej, przy zachowaniu wymaganych kryteriów bezpieczeństwa pracy Krajowego Systemu Elektroenergetycznego (KSE).

4 IT SECURITY

Zespół 4 IT SECURITY to kilkuosobowa grupa ekspertów o bardzo szerokiej specjalizacji, która jest w stanie zapewnić kompleksową obsługę audytorską oraz pełną ochronę danych sieci teleinformatycznej Klienta. Oferujemy spójne, kompleksowe i sprawdzone rozwiązania, dzięki kompetencjom, kreatywności i elastyczności naszego Zespołu.

 

Rozwiązanie

Celem, który wraz z Klientem, chcieliśmy osiągnąć było dokonanie niezależnej, bezstronnej oceny stanu bezpieczeństwa IT Spółki.

Na potrzeby jednego z największych koncernów energetycznych zrealizowaliśmy audyt dotyczący przygotowania Spółki do zapewnienia bezpieczeństwa teleinformatycznego, którego celem było podniesienie wewnętrznego i zewnętrznego poziomu bezpieczeństwa Spółki w tym ochrony danych będących w jej posiadaniu. Audyt również miał na celu ocenę skuteczności wdrożonych mechanizmów w zakresie bezpieczeństwa infrastruktury teleinformatycznej, w tym sposobu zarządzania oraz zasad wdrożenia procedur awaryjnych i odtworzeniowych. Zakresem audytu objęto także architekturę IT, w tym ocenę transformacji obszaru IT pod kątem bezpieczeństwa teleinformatycznego (bezpieczeństwa IT).

Zakres audytu obejmował następujące obszary:

Zarządzanie bezpieczeństwem informacji: struktura zarządzania bezpieczeństwem danych osobowych, system zarządzania bezpieczeństwem danych osobowych, szkolenia w zakresie bezpieczeństwa, klasyfikacja  informacji i sposób postępowania z danymi osobowymi, ocena środków zabezpieczeń dla informacji i zasobów oraz incydenty związane z bezpieczeństwem, dopuszczalność przetwarzania danych (podstawy dopuszczalności przetwarzania danych osobowych), zgodność z zasadami przetwarzania danych, sposób realizacji obowiązków nałożonych na administratora danych, sposób udostępniania danych, dokumentacja przetwarzania danych.

Bezpieczeństwo fizyczne: lokalizacja i układ infrastruktury, identyfikacja zabezpieczeń infrastruktury, ocena zabezpieczeń fizycznych, zabezpieczenie danych (zastosowane środki techniczne i organizacyjne służące przetwarzaniu i ochronie danych)

Bezpieczeństwo logiczne: analiza architektury sieci teleinformatycznych, zabezpieczenia sieci, bezpieczeństwo systemów, eksploatacja systemów informatycznych, bezpieczeństwo stacji roboczych, ochrona przed szkodliwym oprogramowaniem.

Bezpieczeństwo osobowe: przyznawanie/unieważniania dostępu do określonego poziomu zabezpieczeń, sposób nawiązywania i rozwiązywania umowy o pracę, szkolenia w zakresie bezpieczeństwa.

Zarządzanie bezpieczeństwem w sytuacjach kryzysowych: identyfikacja, szacowanie i analiza ryzyka, strategia postępowania w przypadku materializacji ryzyka, działania biznesowe podejmowane w sytuacjach kryzysowych (BCP), odtwarzanie systemów IT po awarii (DRP).

Kluczowym wynikiem audytu był obszerny raport dla osób zarządzających bezpieczeństwem IT w Spółce. Przeprowadzony przez 4 IT SECURITY audyt pozwolił zapoznać się zarządowi Spółki ze stanem bezpieczeństwa IT oraz zoptymalizować wybrane rozwiązania techniczne i organizacyjne. Audyt bezpieczeństwa IT umożliwił zidentyfikowanie najważniejszych obszarów zagrożeń. Wyniki audytu dały osobom zarządzającym Spółką niezależną i obiektywną ocenę jej bezpieczeństwa IT. Audyt dał podstawę do podjęcia działań naprawczych, zanim nastąpią straty związane z ewentualnymi lukami systemów zabezpieczeń.

Korzyści

Przeprowadzony audyt bezpieczeństwa IT umożliwił naszemu klientowi:

  • Wykrycie odstępstw przyjętych rozwiązań od wymagań prawnych,
  • Rekomendacje i zalecenia pozwalające na usunięcie wykrytych słabości, a tym samym podniesienie poziomu bezpieczeństwa badanych systemów,
  • Porównanie przyjętych rozwiązań z najlepszymi praktykami w tym zakresie,
  • Wzorcowe rozwiązania systemowe dla innych zasobów informacyjnych instytucji,
  • Wzrost ogólnego poziomu bezpieczeństwa informacyjnego,
  • Optymalizację rozwiązań organizacyjnych i wykorzystania infrastruktury informatycznej,
  • Optymalizację kosztów bezpieczeństwa informacyjnego,
  • Planowanie nakładów na bezpieczeństwo informacyjne,

Umiejętne wykorzystanie audytu jako narzędzia w zarządzaniu pozwoliło na wprowadzenia zmian organizacyjnych oraz technicznych, które na trwałe wpisały się w obowiązujący model działania w Spółce. Usprawnienia wdrożone w procesach zarządzania obniżyły poziom ryzyka, a w wielu przypadkach podniosły efektywność działań.

Jesteś zainteresowany audytem bezpieczeństwa IT w Twojej firmie? Zapraszamy do kontaktu z naszymi konsultantami, którzy udzielą dodatkowych informacji, poznają oczekiwania oraz przygotują ofertę spełniającą Państwa potrzeby i wymagania.

 

 

Wróć do Case Study
Case study - audyt bezpieczeństwa IT

Jak do nas trafić?

Chętnie podejmiemy dyskusję na tematy związane z bezpieczeństwem IT i ochroną danych, działalnością uświadamiającą oraz ochroną infrastruktury krytycznej. Zapraszamy do kontaktu.

Bądź bezpieczny, czytaj newsletter

Otrzymuj informacje o najnowszych wpisach na blogu, wydarzeniach 4 IT SECURITY