Czym jest audyt bezpieczeństwa, dlaczego warto go wykonać, komu powierzyć?
Spis treści
Audyt bezpieczeństwa sieci ma na celu przygotowanie szczegółowego raportu na temat podatności sieci komputerowej na ataki oraz ewentualnych ich konsekwencji. Jest to jeden z procesów o największym znaczeniu, mogący wpływać na decyzje strategiczne i taktyczne w firmie. Jednocześnie jest to również obszar szczególnie wrażliwy, ponieważ w przypadku testów bezpieczeństwa prowadzonych niezgodnie z zasadami może dojść do nieodwracalnego uszkodzenia danych.
Co to jest audyt bezpieczeństwa?
Audyt bezpieczeństwa to złożony i wieloetapowy proces analizy bezpieczeństwa na wielu warstwach sieci. Przeprowadzana przez zewnętrzny podmiot kontrola ma wykazać braki techniczne i programowe, które mogą wpływać na obniżenie bezpieczeństwa przechowywanych informacji oraz przekazywanej korespondencji. W ramach audytu bezpieczeństwa sprawdza się szczegółowo kilka najpopularniejszych problemów sieciowych, natomiast w wersji rozszerzonej audyt bezpieczeństwa może wiązać się z wykonaniem testów penetracyjnych albo złożonych prób bezpieczeństwa teleinformatycznego obejmujących również uzyskanie dostępu do sieci dzięki technikom socjotechnicznym.
Zaufanie jako kryterium wyboru audytora
Nawet proste sprawdzenie konfiguracji urządzeń wymaga uzyskania do nich fizycznego dostępu, czyli jest w każdym przypadku ryzykowne. Im większy zaś jest zakres przeprowadzanego audytu, tym staranniej należy dobierać audytorów. Oferty wyróżniające się niską ceną powinny budzić nieufność, ponieważ nie jest to usługa tania, a udostępnienie fizycznego dostępu do sieci i usankcjonowanie tego umową, której stroną jest niezweryfikowany partner, jest niewybaczalnym błędem. Morele.net to firma, która od lat działa w branży informatycznej i zatrudnia jednych z najlepszych specjalistów w Polsce – to partner, któremu można zaufać i na którym można polegać.
Na czym polega audyt bezpieczeństwa?
W zależności od zakresu przewidzianych umową audytu czynności, procedura kontrolna może ograniczać się do podstawowego sprawdzenia kluczowych parametrów, albo być bardziej rozbudowana i weryfikować również te obszary związane z bezpieczeństwem, których normalnie się nie sprawdza. Lista podstawowych czynności wykonywanych w ramach audytu bezpieczeństwa sieci obejmuje:
- weryfikację mechanizmów ochrony sieci interfejsów LAN i WAN;
- analizę konfiguracji sieci VPN wraz z opisem sposobu i siły szyfrowania oraz charakterystyką bezpieczeństwa komunikacji między oddziałami organizacji;
- audyt bezpieczeństwa dostępu fizycznego (zgodnie z zasadą: jeśli ktoś ma dostęp do Twojego komputera, to już nie jest to Twój komputer);
- podstawowe testy bezpieczeństwa i odporności na ataki, np. SQL injection, DDOS, bruteforce haseł administracyjnych i uzyskanie dostępu do plików konfiguracyjnych – ten element audytu bezpieczeństwa ma dowolny zakres.
Im więcej, tym lepiej
Zakres audytu bezpieczeństwa sieci może być bardzo szeroki. O ile bowiem w podstawowym zakresie, czyli konfiguracji sprzętu i podstawowych ustawień programowych najczęściej nie znajduje się krytycznych błędów (choć oczywiście w każdej sytuacji warto się o tym przekonać), o tyle już w zakresie ustawień programowych systemów operacyjnych problemy są często bardzo duże, co chętnie wykorzystują włamywacze.
W firmach przetwarzających dane finansowe (lub zajmujących się finansami), dokumenty zawierające dane o szczególnym znaczeniu lub po prostu w tych organizacjach, które ze względu na ilość gromadzonych danych są atrakcyjnym celem dla osób działających poza prawem, zaleca się przeprowadzenie rozszerzonych testów bezpieczeństwa.
Testy penetracyjne, w których audytorzy próbują różnych technik w celu przejęcia kontroli nad całością systemu lub zdobycia danych poufnych mogą trwać dość długo i mieć bardzo złożoną formę, natomiast w najlepszy sposób sprawdzają realne zdolności sieci do przetrwania nawet celowanego ataku, a przy okazji stanowią też dobry punkt wyjścia do przygotowania polityk bezpieczeństwa dla pracowników. W standardowym audycie bezpieczeństwa sieci również znajdą się pewne cenne wskazówki, jednak z uwagi na ograniczony zakres weryfikacji, nie będą one najczęściej pełne.
