Audyt bezpieczeństwa informacji może zostać przeprowadzony w firmie przygotowującej się do procesu certyfikacji ISO, stosującej już certyfikat i chcącej zweryfikować swoje działania, jak i firmie nie mającej w planach dostosowywania się do wymogów norm ISO, ale dbającej o wysoki poziom zabezpieczenia informacji. Audyt pozwala zidentyfikować zagrożenia, które mogą skutkować utratą poufności, integralności lub dostępności informacji przechowywanych i przetwarzanych przez firmę. Dlaczego warto przeprowadzić go dla swojej działalności, kiedy audyty bezpieczeństwa informacji są obowiązkowe i jakie korzyści mogą przynieść dla firmy?

Dlaczego firmy muszą przechodzić audyty bezpieczeństwa informacji?

Audyty bezpieczeństwa informacji mogą być wymagane prawnie, dla firm przetwarzających informacje o charakterze krytycznym, lub przeprowadzane przez firmy dobrowolnie w ramach weryfikacji skuteczności stosowanych przez siebie zabezpieczeń. Zgodnie z rekomendacją Komisji Nadzoru Finansowego, audyt obszarów technologii informacyjnej powinien być przeprowadzany regularnie i każdorazowo po wprowadzeniu zmian, które mogą w znaczny sposób wpłynąć na poziom bezpieczeństwa środowiska IT. Częstotliwość audytów powinna być dopasowana do poziomu ryzyka związanego z poszczególnymi obszarami audytowymi, ale także dopasowana do wyników poprzednich audytów – jeśli te wypadły słabo, kolejny audyt bezpieczeństwa informacji warto przeprowadzić tak szybko, jak tylko uda się wdrożyć zmiany mające na celu ponowne podniesienie poziomu bezpieczeństwa danych.

Prawny obowiązek przeprowadzania audytów bezpieczeństwa informacji ciąży także na instytucjach publicznych, zgodnie z rozporządzeniem w sprawie Krajowych Ram Interoperacyjności. Zgodnie z nim, audyt powinien być przeprowadzany przynajmniej raz w roku.

Jeśli firma nie podlega prawnemu obowiązkowi przeprowadzania audytów bezpieczeństwa informacji, ale na co dzień operuje na informacjach krytycznych lub wymagających szczególnego poziomu zabezpieczeń, przeprowadzanie audytów bezpieczeństwa informacji może okazać się wartościowym narzędziem do wzmacniania zabezpieczeń i integralności informacji. Dobrym nawykiem w przypadku takich firm będzie decyzja o wdrożeniu i stosowaniu systemu zarządzania bezpieczeństwem informacji na podstawie normy ISO 27001 i audytowanie zgodnie z wymogami normy.

Jakie działania wykonuje się w ramach audytu bezpieczeństwa informacji w prywatnej firmie?

W ramach audytu bezpieczeństwa informacji, zarówno tego wymaganego prawnie jak i przeprowadzanego dobrowolnie, audytorzy wykonują szereg działań weryfikujących bezpieczeństwo, integralność, poufność i dostępność informacji w różnych obszarach działalności firmy. Na bezpieczeństwo mogą wpływać różne czynniki, stąd konieczność systemowego podejścia do ochrony informacji sugerowanego m.in. przez normę ISO 27001. W praktyce większość przeprowadzanych dziś audytów bezpieczeństwa informacji w prywatnych firmach odbywa się na podstawie wytycznych ISO, nawet jeśli firma nie posiada certyfikatu potwierdzającego stosowanie normy.

Wśród zabezpieczeń technicznych, których obecność jest sprawdzana podczas audytu bezpieczeństwa informacji, weryfikacji podlegają między innymi:

  • wprowadzona przez firmę polityka bezpieczeństwa informacji,
  • organizacja bezpieczeństwa informacji,
  • stosowanie i zabezpieczenia urządzeń mobilnych oraz telepracy,
  • bezpieczeństwo zasobów ludzkich (zabezpieczenia wdrożone zarówno względem aktualnie pracującej kadry, jak i osób nowo zatrudnianych oraz już zwolnionych),
  • odpowiedzialność za aktywa,
  • postępowanie z nośnikami informacji cyfrowej,
  • zarządzanie dostępami i odpowiedzialność użytkowników,
  • kontrola dostępu do aplikacji i systemów,
  • sprzęt,
  • kopie zapasowe,
  • dane testowe,
  • zarządzanie bezpieczeństwem sieci,

i wiele innych. Bardzo szeroki zakres pracy i obszarów weryfikacji podczas audytów jest niezbędny, bo we współczesnych firmach informacja przechowywana jest w bardzo różnych formach, a zagrożenia mogą pochodzić nie tylko od słabo zabezpieczonych systemów IT czy nieprawidłowo przygotowanych dokumentów w formie papierowej. Jedynie kompleksowe rozumienie zagadnień związanych z bezpieczeństwem informacji pozwala wykluczyć zagrożenia dla ich integralności.

Audyt bezpieczeństwa informacji

Korzyści z audytu bezpieczeństwa informacji: przed czym może uchronić Twoją firmę?

Największe korzyści z przeprowadzenia audytu bezpieczeństwa informacji odnoszą firmy prowadzące działalność o charakterze krytycznym, tj. te, dla których utrata bezpieczeństwa informacji mogła by nieść ze sobą bardzo dotkliwe skutki. Do grupy tej zaliczamy firmy będące w posiadaniu tajnych procedur, technologii lub danych, a także organizacje przetwarzające dane medyczne, dane finansowe czy wrażliwe dane osobowe. W ich przypadku audyt pozwoli nie tylko spełnić prawny obowiązek w zakresie przeprowadzenia kontroli bezpieczeństwa, ale przede wszystkim zwiększy wewnętrzną pewność firmy o podejmowanie wszystkich niezbędnych działań na potrzeby zabezpieczania informacji. Przeprowadzenie audytów bezpieczeństwa może poskutkować także wskazaniem, że firma jest gotowa na wdrożenie systemu opartego o ISO 27001 i uzyskanie certyfikacji lub wskazać czy konieczne jest wprowadzenie zmian i poprawek w celu zachowania uzyskanego już certyfikatu.