Audyty bezpieczeństwa IT

• Audyt mający na celu określenia czy system informatyczny Klienta i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane.
• Audyt bezpieczeństwa IT obejmuje wiele różnych aspektów. Jedynym z nich jest audyt Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) jako element całościowego systemu zarządzania opartego na podejściu wynikającym z ryzyka biznesowego, odnoszącym się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.
• Przed wykonaniem audytu systemu zarządzania bezpieczeństwem informacji wykonywane są opcjonalnie szczegółowe audyty w obszarach: zarządzanie tożsamością (identity management), zarządzanie incydentami bezpieczeństwa, rozwój systemów IT (systems development), zarządzanie projektami (project management), zarządzanie ryzykiem IT (IT risk management) czy zarządzanie podatnościami (vulnerability management).
• Zakres audytu bezpieczeństwa IT:
  • ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management
  • ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems
  • ISO 22301:2012 Societal security — Business continuity management systems
  • Rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.

Ocena dojrzałości organizacji w zakresie bezpieczeństwa informacji

• Dokonanie oceny dojrzałości przedsiębiorstw zgodnie z modelem COBIT 4.1/5.0.
• COBIT to standard opracowany przez ISACA oraz IT Governance Institute, zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych. Metodyka ta zakłada powiązanie celów biznesowych organizacji z celami IT wraz z zapewnieniem mierników i modeli dojrzałości umożliwiających ocenę wyników, oraz określeniu odpowiednich obowiązków właścicieli procesów biznesowych i IT. Zastosowanie oceny dojrzałości organizacji pozwala Zarządom i wyższej kadrze kierowniczej dokonać niezależnej oceny jakości zarządzania działalnością IT i porównać swoje przedsiębiorstwo na tle innych firm z branży.
• Ocena dojrzałości na potrzeby zarządzania i sprawowania kontroli nad procesami IT opiera się na metodzie oceny organizacji, której stopień dojrzałości może być oceniony w skali od 0 (brak) do 5 (optymalna).
• Dla każdego obszaru z zakresu IT zostanie przypisany poziom dojrzałości zgodnie z poniższą klasyfikacją:
  • Poziom 0: Procesy zarządzania nie są w ogóle stosowane.
  • Poziom 1: Procesy są doraźne i zdezorganizowane.
  • Poziom 2: Procesy mają regularną strukturę.
  • Poziom 3: Procesy są dokumentowane, a informacje o nich są przekazywane.
  • Poziom 4: Procesy są monitorowane i mierzone.
  • Poziom 5: Dobre praktyki są przestrzegane i zautomatyzowane

Testy penetracyjne i socjotechniczne

• Testy penetracyjne
  • Test penetracyjny polega na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.
  • Test polega na analizie systemu pod kątem występowania potencjalnych błędów bezpieczeństwa spowodowanych niewłaściwą konfiguracją, lukami w oprogramowaniu lub sprzęcie, słabościami w technicznych lub proceduralnych środkach zabezpieczeń, a nawet niewystarczającą świadomością użytkowników.
  • Analiza przeprowadzana z perspektywy potencjalnego włamywacza i może zawierać aktywne wykorzystywanie podatności (np. poprzez użycie exploitów).
• Testy socjotechniczne
  • Test socjotechniczny polega na sprawdzeniu na ile pracownicy lub dostawcy przedsiębiorstwa są podatni na różne metody socjotechniczne.
  • W ramach testów prowadzone są działania mające skłonić wybranych przedstawicieli Klienta do podjęcia działań, które pozwolą na uzyskanie przez atakującego korzyści w postaci np. wejścia do systemów informatycznych (np. SAP) i wykradzenia danych z firmy.
  • Testy socjotechniczne prowadzone przez Xademi odpowiadają aktualnym zagrożeniom stawiającym pracowników firm na pierwszej linii frontu w walce z cyberprzestępczością. Przykładowe ataki socjotechniczne to złośliwe oprogramowanie rozsyłane poprzez korporacyjną pocztę elektroniczną, rozmowy telefoniczne mające na celu wyłudzenie informacji bądź podjęcie przez pracownika konkretnych działań na rzecz przestępcy (np. zatwierdzenie płatności) czy ustawianie otwartych sieci WiFi w celu wyłudzenia haseł dostępowych i wiele innych.

Weryfikacja pracowników i kontrahentów z punktu widzenia bezpieczeństwa informacji

• Postępowania sprawdzające przed zatrudnieniem w stosunku do przyszłych pracowników i kontrahentów: weryfikowanie historii kandydatów zgodnie z przepisami prawa oraz regulacjami i zasadami etycznymi oraz proporcjonalnie do wymagań biznesowych, klasyfikacji informacji, do których będzie potrzebny dostęp oraz zidentyfikowanych ryzyk
• W zakresie realizacji z pracownikami:
  • Ustalenie formalnych warunków zatrudnienia zabezpieczające interes pracodawcy
  • Zapewnianie szkoleń dla pracowników z zakresu bezpieczeństwa informacji
  • Opracowanie mechanizmów bezpiecznego dla pracodawcy rozwiązywania umów
• W zakresie dostawców i zarządzania bezpieczeństwem łańcucha dostaw:
  • Udokumentowanie wymagań bezpieczeństwa informacji wobec dostawców
  • Ograniczenia ryzyka związanego z łańcuchem dostaw produktów
  • Przegląd usług świadczonych przez dostawców pod kątem utrzymania uzgodnionego poziomu bezpieczeństwa informacji
  • Audyty kontrolne u kontrahentów