Case study - audyt bezpieczeństwa IT
05/06/2016
Bezpieczeństwo systemów IT wymaga ciągłego monitorowania jego stanu i korygowania czynników decydujących o jego stałym, odpowiednim poziomie. Jednym z najbardziej skutecznych narzędzi weryfikacji prawidłowości funkcjonowania bezpieczeństwa organizacji jest audyt bezpieczeństwa IT. Podstawowym jego założeniem jest dokonanie niezależnej, bezstronnej oceny stanu bezpieczeństwa IT organizacji.
Profil klienta
Nasz Klient jest jedną z najbardziej znaczących i najszybciej rozwijających się firm energetycznych w Polsce. Obecnie świadczy usługi przesyłania energii elektrycznej, przy zachowaniu wymaganych kryteriów bezpieczeństwa pracy Krajowego Systemu Elektroenergetycznego (KSE).
4 IT SECURITY
Zespół 4 IT SECURITY to kilkuosobowa grupa ekspertów o bardzo szerokiej specjalizacji, która jest w stanie zapewnić kompleksową obsługę audytorską oraz pełną ochronę danych sieci teleinformatycznej Klienta. Oferujemy spójne, kompleksowe i sprawdzone rozwiązania, dzięki kompetencjom, kreatywności i elastyczności naszego Zespołu.
Rozwiązanie
Celem, który wraz z Klientem, chcieliśmy osiągnąć było dokonanie niezależnej, bezstronnej oceny stanu bezpieczeństwa IT Spółki.
Na potrzeby jednego z największych koncernów energetycznych zrealizowaliśmy audyt dotyczący przygotowania Spółki do zapewnienia bezpieczeństwa teleinformatycznego, którego celem było podniesienie wewnętrznego i zewnętrznego poziomu bezpieczeństwa Spółki w tym ochrony danych będących w jej posiadaniu. Audyt również miał na celu ocenę skuteczności wdrożonych mechanizmów w zakresie bezpieczeństwa infrastruktury teleinformatycznej, w tym sposobu zarządzania oraz zasad wdrożenia procedur awaryjnych i odtworzeniowych. Zakresem audytu objęto także architekturę IT, w tym ocenę transformacji obszaru IT pod kątem bezpieczeństwa teleinformatycznego (bezpieczeństwa IT).
Zakres audytu obejmował następujące obszary:
Zarządzanie bezpieczeństwem informacji: struktura zarządzania bezpieczeństwem danych osobowych, system zarządzania bezpieczeństwem danych osobowych, szkolenia w zakresie bezpieczeństwa, klasyfikacja informacji i sposób postępowania z danymi osobowymi, ocena środków zabezpieczeń dla informacji i zasobów oraz incydenty związane z bezpieczeństwem, dopuszczalność przetwarzania danych (podstawy dopuszczalności przetwarzania danych osobowych), zgodność z zasadami przetwarzania danych, sposób realizacji obowiązków nałożonych na administratora danych, sposób udostępniania danych, dokumentacja przetwarzania danych.
Bezpieczeństwo fizyczne: lokalizacja i układ infrastruktury, identyfikacja zabezpieczeń infrastruktury, ocena zabezpieczeń fizycznych, zabezpieczenie danych (zastosowane środki techniczne i organizacyjne służące przetwarzaniu i ochronie danych)
Bezpieczeństwo logiczne: analiza architektury sieci teleinformatycznych, zabezpieczenia sieci, bezpieczeństwo systemów, eksploatacja systemów informatycznych, bezpieczeństwo stacji roboczych, ochrona przed szkodliwym oprogramowaniem.
Bezpieczeństwo osobowe: przyznawanie/unieważniania dostępu do określonego poziomu zabezpieczeń, sposób nawiązywania i rozwiązywania umowy o pracę, szkolenia w zakresie bezpieczeństwa.
Zarządzanie bezpieczeństwem w sytuacjach kryzysowych: identyfikacja, szacowanie i analiza ryzyka, strategia postępowania w przypadku materializacji ryzyka, działania biznesowe podejmowane w sytuacjach kryzysowych (BCP), odtwarzanie systemów IT po awarii (DRP).
Kluczowym wynikiem audytu był obszerny raport dla osób zarządzających bezpieczeństwem IT w Spółce. Przeprowadzony przez 4 IT SECURITY audyt pozwolił zapoznać się zarządowi Spółki ze stanem bezpieczeństwa IT oraz zoptymalizować wybrane rozwiązania techniczne i organizacyjne. Audyt bezpieczeństwa IT umożliwił zidentyfikowanie najważniejszych obszarów zagrożeń. Wyniki audytu dały osobom zarządzającym Spółką niezależną i obiektywną ocenę jej bezpieczeństwa IT. Audyt dał podstawę do podjęcia działań naprawczych, zanim nastąpią straty związane z ewentualnymi lukami systemów zabezpieczeń.
Korzyści
Przeprowadzony audyt bezpieczeństwa IT umożliwił naszemu klientowi:
- Wykrycie odstępstw przyjętych rozwiązań od wymagań prawnych,
- Rekomendacje i zalecenia pozwalające na usunięcie wykrytych słabości, a tym samym podniesienie poziomu bezpieczeństwa badanych systemów,
- Porównanie przyjętych rozwiązań z najlepszymi praktykami w tym zakresie,
- Wzorcowe rozwiązania systemowe dla innych zasobów informacyjnych instytucji,
- Wzrost ogólnego poziomu bezpieczeństwa informacyjnego,
- Optymalizację rozwiązań organizacyjnych i wykorzystania infrastruktury informatycznej,
- Optymalizację kosztów bezpieczeństwa informacyjnego,
- Planowanie nakładów na bezpieczeństwo informacyjne,
Umiejętne wykorzystanie audytu jako narzędzia w zarządzaniu pozwoliło na wprowadzenia zmian organizacyjnych oraz technicznych, które na trwałe wpisały się w obowiązujący model działania w Spółce. Usprawnienia wdrożone w procesach zarządzania obniżyły poziom ryzyka, a w wielu przypadkach podniosły efektywność działań.
Jesteś zainteresowany audytem bezpieczeństwa IT w Twojej firmie? Zapraszamy do kontaktu z naszymi konsultantami, którzy udzielą dodatkowych informacji, poznają oczekiwania oraz przygotują ofertę spełniającą Państwa potrzeby i wymagania.
Wróć do Case Study