Audit kybernetické bezpečnosti
Audit kybernetické bezpečnosti je proces, který se zaměřuje na analýzu bezpečnostních opatření, postupů a procesů organizace v oblasti informačních technologií, ve vztahu k definovaným požadavkům.
Tento proces zahrnuje analýzu fyzických, technických a organizačních opatření, která organizace používá k ochraně svých dat a systémů.Výsledky konzultací, analýz a testů převedeme do srozumitelené závěrečné zprávy, ve které navrhneme i konrétní doporučení pro dosažení požadované úrovně kybernetické bezpečnosti.
Cílem auditu je identifikovat rizika a potenciální hrozby v systémech, sítích a procesech organizace, aby bylo možné navrhnout a implementovat účinná opatření pro zlepšení celkové kybernetické ochrany.
Audit také pomáhá organizaci splnit legislativní povinnosti a požadavky na shodu s předpisy a standardy v oblasti kybernetické bezpečnosti.
Stanovení kritérií a cílů auditu
Prvním krokem v procesu auditu kybernetické bezpečnosti je stanovení kritérií auditu, neboli určení zdroje požadavků na zajištění bezpečnosti informací oproti kterým budeme váš systém ověřovat.Může se jednat o:
obecné prověření bezpečnosti sítě a organizace
požadavky mezinárodní normy (např. EN ISO/IEC 27001)
nařízení GDPR
zákona 181/2014 Sb., o kybernetické bezpečnosti, resp. vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti
směrnice NIS2 (nový zákon o kybernetické bezpečnosti)
Důležité je stanovit si cíle auditu - čeho chceme auditem dosáhnout.
Stanovení rozsahu auditu a týmu
Druhým krokem je stanovení rozsahu auditu. To zahrnuje identifikaci klíčových systémů, aplikací, infrastruktury, procesů a politik, které potřebují být zkontrolovány. Je důležité zohlednit všechny aspekty vaší firmy, od interních sítí až po cloudové služby.
Je potřeba vytvořit samotný tým, který bude provádět audit. Tento tým by měl být složen z vašich interních zaměstnanců a našich specialistů a auditorů na kybernetickou bezpečnost.
Sestavení kontrolního seznamu
Ještě před zahájením auditu je důležité sestavit kontrolní seznam, který bude obsahovat všechny klíčové oblasti, které je třeba zkontrolovat.Tento seznam vychází z definovaných kritérií a rozsahu auditu definovaných v předchozích krocích a může zahrnovat například:
Fyzickou bezpečnost (zabezpečení prostor, přístupová práva)
Správu přístupových práv a identit (autentizace, autorizace)
Šifrování dat (jak při ukládání, tak při přenosu)
Zabezpečení sítě (firewall, antispam, zálohování, obnovení, detekce průniku, 2FA)
Zabezpečení aplikací (zranitelnosti, aktualizace)
Ochrana koncových zařízení (antivirové programy, EDR, XDR)
Řízení incidentů (plány reakce na incidenty, školení zaměstnanců)
Penetrační testování (infrastruktury, aplikací, webu)
Samotný audit
Tým auditorů pečlivě prozkoumá každou oblast na kontrolním seznamu, identifikuje a zhodnotí úroveň zabezpečení ve vaší firmě.
Analýza výsledků
Po dokončení auditu je třeba pečlivě analyzovat výsledky a určit priority pro zlepšení kybernetické bezpečnosti ve vaší firmě. Je důležité nejen identifikovat slabiny, ale také určit jejich potenciální dopad na vaši firmu a jejich pravděpodobnost využití útočníky. Analýzu výsledků předáme ve formě závěrečné zprávy a závěrečné konzultace.
Nezapomeňte
kvalita auditu je založena především na zkušenostech auditora
ani kvalitní audit nezajistí kvalitu samotné implementace doporučených kroků
následná kontrola a sledování stavu je důležitá pro udržení požadované úrovně kybernetické bezpečnosti