W dzisiejszej szybkobieżnej, zglobalizowanej rzeczywistości bezpieczeństwo informacji może decydować o przetrwaniu przedsiębiorstwa lub instytucji. Poniżej niewielka próbka pytań, na które decydenci w przedsiębiorstwie powinni w każdej chwili uzyskać przekonującą odpowiedź:
- Co daje nam pewność, że informacje i usługi informacyjne niezbędne do działalności naszego przedsiębiorstwa są bezpieczne?
- Czy informacje są dostarczane na czas właściwym odbiorcom?
- Czy jakieś procesy biznesowe mogą ulec zaburzeniu lub zatrzymaniu w wyniku awarii infrastruktury?
- Czy w ogóle wiemy, jaką informację trzeba szczególnie chronić i przed czym?
- Czy mamy świadomość, gdzie jest przechowywana informacja szczególnie wartościowa dla przedsiębiorstwa? Kto może mieć do niej dostęp i na jakich zasadach?
- Skąd wiemy, że dane przechowywane w naszych systemach nie zostały zmanipulowane?
- Skąd wiemy, że informacje, którymi dysponowaliśmy jeszcze miesiąc temu, nie zostały tymczasem usunięte?
- Czy spełniamy wszystkie wymagania ustawowe? Co nam grozi, jeśli ich nie spełniamy?
- Czy ważne pomieszczenia (np. serwerownia) są chronione przed niepowołanym dostępem?
- Jak wygląda zabezpieczenie przeciwpożarowe serwerowni?
- Czy nośniki z danymi są przechowywane w bezpiecznych miejscach? Jak są usuwane z obiegu?
- Kto spośród naszych kooperantów ma dostęp do naszych zasobów sieciowych?
Osiągnięcie zadowalającego poziomu bezpieczeństwa wymaga więcej działań, niż tylko uszczelnienia konfiguracji systemów informatycznych i sieci. Konieczne jest przeanalizowanie innych obszarów decydujących o bezpieczeństwie informacji: uwarunkowań prawnych, organizacji zarządzania bezpieczeństwem, świadomości i wiedzy użytkowników, powszechności przestrzegania procedur, zabezpieczeń dostępu do budynku i pomieszczeń, zasad wymiany danych z obcymi podmiotami czy zasad współpracy z władzami.
Kluczowym czynnikiem bezpieczeństwa pozostaje jednak odporność systemów i sieci informatycznych i telekomunikacyjnych na penetrację, a także na awarie mogące zaszkodzić przechowywanym danym i wykonywanym usługom. Dlatego opracowaliśmy dla Państwa usługę rozszerzonego audytu bezpieczeństwa systemów informatycznych, która bierze pod uwagę zarówno czynniki ściśle informatyczne, jak i środowisko bezpieczeństwa systemów informatycznych. Usługa obejmuje:
- wykonanie zewnętrznych testów penetracyjnych z poziomu sieci Internet,
- wykonanie wewnętrznych testów penetracyjnych z wykorzystaniem uprawnień systemowych oraz bez uprawnień systemowych,
- analizę konfiguracji wybranych systemów informatycznych,
- analizę zastosowanych systemów zabezpieczających, od archiwizacji poprzez oprogramowanie antywirusowe aż po zaawansowane systemy IDS/IPS
- ocenę bezpieczeństwa fizycznego i pożarowego pomieszczenia serwerowni i innych wybranych pomieszczeń
- ocenę zagrożeń związanych z bezpieczeństwem wykonania okablowania sygnałowego sieci komputerowej,
- ocenę bezpieczeństwa zasilania sieci komputerowej w oparciu o ocenę bezpieczeństwa zasilania obiektu,
- zbadanie organizacyjnych aspektów bezpieczeństwa informatycznego, w tym struktury obowiązków i uprawnień,
- zbadanie zgodności z obowiązującymi ustawami i ewentualnymi zarządzeniami organów nadrzędnych.