Audyt bezpieczeństwa (niewyłącznie) informatycznego w organizacji – dobre praktyki

Nieustannie zmieniający się krajobraz bezpieczeństwa organizacji wymaga od specjalistów ds. bezpieczeństwa bieżącej analizy zmieniającego się środowiska, warunków ekonomicznych państwa i otoczenia technologicznego, aby być na bieżąco z najlepszymi praktykami.

MC_73_26.jpg

Powiedzmy sobie szczerze, mało osób decyzyjnych w organizacjach lubi audyty. Większość patrzy na nie jak na sytuacje, w których „obcy” ludzie z zewnątrz szukają dziur w systemie, w naszych organizacjach, z którymi jesteśmy mocno związani i zależni. Na audytorów patrzymy jak na tych, którzy za wszelką cenę starają się ujawnić słabe punkty naszego przedsiębiorstwa i wytknąć nam błędy. Czy to jest dobry punkt widzenia? Czy nie jest raczej tak, że właśnie odkrywanie słabości i błędów stanowi o sile i potędze organizacji? Na ciągłych pochwałach, wyróżnieniach i niejednokrotnie fałszywym przeświadczeniu o własnej doskonałości i bezpieczeństwie nie sposób budować solidnych murów twierdzy bezpieczeństwa.

Globalne wydarzenia ostatnich miesięcy wskazują na rosnącą tendencję przenoszenia systemów produkcji i usług, narzędzi, zasobów, aktywów do środowiska wirtualnego. Tendencji tej nie powstrzymamy, podobnie jak trendu delegowania pracy online, która jeszcze niedawno dla wielu przedsiębiorstw była czymś niemal futurystycznym. Nagle okazało się, że wielu przedsiębiorców potrafi mimo wszystko wydzielić obszary w swojej organizacji, które mogą realizować skutecznie zadania w sposób zdalny i nie obniża to wydajności, a nawet ją zwiększa. Nie zmienia to jednak faktu, że mimo coraz głębszej cyfryzacji wiele organizacji będzie wciąż mieć zasoby fizyczne poza tymi cyfrowymi. Wiele organizacji jest niebezpiecznie nieświadomych własnych słabych punktów, co naraża je na szeroki zakres potencjalnych zagrożeń.

Bezpieczeństwo w wielu organizacjach należy analizować pod kątem trzech głównych obszarów: fizycznym, cyfrowym i socjotechnicznym. Przy czym wielu audytorów te dwa ostatnie obszary łączy w jeden. W dalszej części artykułu postaram się wykazać dlaczego osobiście traktuję je oddzielnie.

Rzetelny audyt wymaga, by analizie poddać wszystkie obszary. Wiele z jego elementów to typowa koegzystencja informacyjna i przepływ danych, a analizowanie wyłącznie jednego z obszarów daje niepełne wyniki, a co za tym idzie ubogą analizę, niepełny raport oraz niejednokrotnie błędne wnioski. Jak np. można mówić profesjonalnie o bezpieczeństwie fizycznym organizacji, nie łącząc go jednocześnie z systemem nadzoru wideo, systemem alarmowym czy systemem dostępu?

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 83% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.

Kilka wariantów prenumeraty Pokaż opcje
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 100 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 100 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.