Audyt bezpieczeństwa (niewyłącznie) informatycznego w organizacji – dobre praktyki
Nieustannie zmieniający się krajobraz bezpieczeństwa organizacji wymaga od specjalistów ds. bezpieczeństwa bieżącej analizy zmieniającego się środowiska, warunków ekonomicznych państwa i otoczenia technologicznego, aby być na bieżąco z najlepszymi praktykami.
Powiedzmy sobie szczerze, mało osób decyzyjnych w organizacjach lubi audyty. Większość patrzy na nie jak na sytuacje, w których „obcy” ludzie z zewnątrz szukają dziur w systemie, w naszych organizacjach, z którymi jesteśmy mocno związani i zależni. Na audytorów patrzymy jak na tych, którzy za wszelką cenę starają się ujawnić słabe punkty naszego przedsiębiorstwa i wytknąć nam błędy. Czy to jest dobry punkt widzenia? Czy nie jest raczej tak, że właśnie odkrywanie słabości i błędów stanowi o sile i potędze organizacji? Na ciągłych pochwałach, wyróżnieniach i niejednokrotnie fałszywym przeświadczeniu o własnej doskonałości i bezpieczeństwie nie sposób budować solidnych murów twierdzy bezpieczeństwa.
Globalne wydarzenia ostatnich miesięcy wskazują na rosnącą tendencję przenoszenia systemów produkcji i usług, narzędzi, zasobów, aktywów do środowiska wirtualnego. Tendencji tej nie powstrzymamy, podobnie jak trendu delegowania pracy online, która jeszcze niedawno dla wielu przedsiębiorstw była czymś niemal futurystycznym. Nagle okazało się, że wielu przedsiębiorców potrafi mimo wszystko wydzielić obszary w swojej organizacji, które mogą realizować skutecznie zadania w sposób zdalny i nie obniża to wydajności, a nawet ją zwiększa. Nie zmienia to jednak faktu, że mimo coraz głębszej cyfryzacji wiele organizacji będzie wciąż mieć zasoby fizyczne poza tymi cyfrowymi. Wiele organizacji jest niebezpiecznie nieświadomych własnych słabych punktów, co naraża je na szeroki zakres potencjalnych zagrożeń.
Bezpieczeństwo w wielu organizacjach należy analizować pod kątem trzech głównych obszarów: fizycznym, cyfrowym i socjotechnicznym. Przy czym wielu audytorów te dwa ostatnie obszary łączy w jeden. W dalszej części artykułu postaram się wykazać dlaczego osobiście traktuję je oddzielnie.
Rzetelny audyt wymaga, by analizie poddać wszystkie obszary. Wiele z jego elementów to typowa koegzystencja informacyjna i przepływ danych, a analizowanie wyłącznie jednego z obszarów daje niepełne wyniki, a co za tym idzie ubogą analizę, niepełny raport oraz niejednokrotnie błędne wnioski. Jak np. można mówić profesjonalnie o bezpieczeństwie fizycznym organizacji, nie łącząc go jednocześnie z systemem nadzoru wideo, systemem alarmowym czy systemem dostępu?
Wykorzystałeś swój limit bezpłatnych treści
Pozostałe 83% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.