Zwracają się do nas firmy i instytucje, których osoby zarządzające całą organizacją mają wątpliwości, czy ich systemy są prawidłowo utrzymywane przez działy IT (informatyków). Zgodnie z zasadą, że najsłabszym ogniwem jest człowiek, często okazuje się, że działy IT odkładają „na później” zadania, które jednak nie powinny czekać. Z najczęściej popełnianych zaniedbań można wyróżnić TOP 5. Są to:
- Brak instalacji aktualizacji oprogramowania (firmware’u) na urządzeniach infrastruktury teleinformatycznej. Szczególnie niebezpieczna sytuacja, gdy chodzi o punkt styku z siecią Internet.
- Dodawanie do urządzeń typu firewall nowych reguł filtracji ruchu „puszczających” dodatkową komunikację IP bez konsultacji z osobami odpowiedzialnymi za bezpieczeństwo w organizacji.
- Brak instalacji poprawek bezpieczeństwa w systemach operacyjnych – zarówno serwerów, jak i użytkowników.
- Brak zainstalowanego oprogramowania antywirusowego, brak aktualnych poprawek czy nieaktualna licencja.
- Brak segmentacji sieci, gdzie odseparowane byłyby środowiska o różnych poziomach zaufania np. segmenty obsługujące księgowość i kadry od pozostałej części sieci.
W brew pozorom, powyższe sytuacje nie są wcale rzadko obserwowane, ale żeby to wychwycić, organizacja powinna posiadać prężny zespół bezpieczeństwa lub zamawiać zewnętrzne, cykliczne audyty bezpieczeństwa środowisk teleinformatycznych.
Audyt bezpieczeństwa infrastruktury teleinformatycznej realizuje się z zaangażowaniem wyspecjalizowanych w tym obszarze audytorów z wieloletnim technicznym doświadczeniem. Celem takiego audytu jest potwierdzenia zgodności obecnych rozwiązań wdrożonych w organizacji (również procesów) z wymaganiami bezpieczeństwa zapisanymi w obowiązujących politykach bezpieczeństwa. Na podstawie standardów międzynarodowych, można wytypować, że są to:
- Wymagania dotyczące procesów związanych z zabezpieczaniem danych i wykorzystaniem w tym celu nowoczesnej technologii.
- Wymagania związane z zarządzaniem infrastrukturą, w szczególności dotyczące nadzoru i odpowiedzialności za poszczególne obszary.
- Wymagania związane z polityką haseł administracyjnych stosowanych na urządzeniach infrastruktury.
- Wymagania związane z aktualizacją oprogramowania (np. firmware na urządzeniach infrastruktury teleinformatycznej).
- Wymagania związane z ochroną przed złośliwym kodem.
W związku z powyższym, proponujemy Państwu swoje usługi w zaplanowaniu i realizacji takiego audytu.
Co wchodzi w podstawowy zakres takiego audytu?
- Inwentaryzacja zasobów technicznych wchodzących w skład infrastruktury teleinformatycznej, w szczególności:
- Analiza przebiegu okablowania strukturalnego (sieć LAN).
- Inwentaryzacja zainstalowanych sieciowych urządzeń teleinformatycznych odpowiadających za: dostęp do internetu, warstwę dystrybucyjną oraz dostępową.
- Inwentaryzacja systemów operacyjnych pracowników oraz zainstalowanego oprogramowania antywirusowego.
- Analiza bezpieczeństwa:
- Posiadanej dokumentacji technicznej dotyczącej wdrożonych systemów objętych zakresem.
- Uprawnień osób zarządzających infrastrukturą teleinformatyczna;
- Uprawnień osób posiadających dostęp do kont uprzywilejowanych;
- Topologii sieci z uwzględnieniem sieci bezprzewodowych.
- Konfiguracji zabezpieczeń punktu dostępu do sieci Internet (router/firewall);
- Konfiguracji urządzeń aktywnych warstwy dostępowej oraz dystrybucyjnej;
- Warunków serwisowych (EoL, EoS) dla objętego zakresem sprzętu.
- Usunięcie poważnych błędów oraz podatności mogących w określonych warunkach sprzyjać nieautoryzowanemu dostępowi do aktywów / zasobów.
- Zmiany w filtracji ruchu na styku z siecią Internet.
- Zmiany w konfiguracji urządzeń dystrybucyjnych (L3).
- Zmiany w konfiguracji urządzeń dostępowych (L2).
- Przygotowanie raportu.
Planują audyty bezpieczeństwa teleinformatycznego badamy zgodność środowiska oraz dobranych mechanizmów zabezpieczeń z:
- Standardem CISA, który definiuje metody badania obszarów związanych z bezpieczeństwem danych w systemach informatycznych
- Standardem CISSP, który określa wymagania dla wprowadzanych mechanizmów bezpieczeństwa
- Standardem CEH, który wytycza jak badać systemy IT z poziomu etycznego hackera.