Audyt bezpieczeństwa w branży automotive- na co zwrócić uwagę?
Nasz zespół IT przeprowadził ostatnio firmę przez audyt bezpieczeństwa informacji.Na czym taki audyt polega i na co zwrócić uwagę w trakcie przygotowań opowiedzieli nam Patryk Kozłowski (IT Manager) oraz Krzysztof Jaworecki (IT Specialist).
Mariusz Maćkowiak: Witajcie. Na początku poproszę Was, żebyście wyjaśnili, czym w zasadzie jest audyt bezpieczeństwa.
Patryk Kozłowski: Po pierwsze audyt bezpieczeństwa informacji jest często rozumiany jako audyt IT. Nie do końca tak jest. Bezpieczeństwo informacji to dbanie o wszelkie informacje, nie tylko o dane znajdujące się na komputerach czy serwerach. Są to także wszelkiego rodzaju dokumenty, materiały marketingowe, kartoteki pracownicze, dane finansowe, projekty konstruktorskie- jednym słowem wszelkie dane przetwarzane w każdym dziale firmy.
Ta firmowa wiedza musi być odpowiednio chroniona, aby nikt jej nie wykorzystał np. do produkcji produktów opartych na informacjach wypracowanych w Aircom.
Także nie jest to audyt IT. Ten audyt ma za zadanie wykazać, czy w naszej firmie informacje są odpowiednio chronione.
Audytor może sprawdzić każdy dział, a nawet zadać pytanie przypadkowemu pracownikowi spotkanemu na korytarzu.
M.M.: Z tego, co mówisz, samo pojęcie audytu bezpieczeństwa informacji jest często błędnie rozumiane. Czy istnieje jeszcze jakieś przekonanie na temat audytu bezpieczeństwa, które funkcjonuje w obiegowej opinii, a nie jest słuszne?
P.K.: Tak, błędem jest przekonanie, że norma nam coś narzuca, że musimy spełnić konkretne wytyczne. A prawdą jest tylko to, że norma ISO/IEC 27001 mówi, że musimy chronić informacje, natomiast to, w jakim stopniu i w jaki sposób chronimy te informacje, zależy od nas. Każda firma indywidualnie określa na swoje potrzeby tzw. poziom akceptowalnego ryzyka.
Niemniej, tak jak wspomniałem, w normie wyszczególnione są punkty, które wskazują obszary do zabezpieczenia, ale nie wskazują, w jaki sposób to zrobić.
M.M.: Jak więc dobrać odpowiedni sposób ochrony danych, skoro norma pozostawia nam tak dużą dowolność?
P.K.: Po pierwsze przeprowadzamy analizę ryzyka. Identyfikujemy zagrożenia i staramy się je zminimalizować lub tak się zabezpieczyć, aby prawdopodobieństwo ich wystąpienia było niskie.
Przed audytem rozesłałem wśród pracowników ankietę świadomości bezpieczeństwa informacji. Zdecydowana większość odpowiedzi była poprawna, ale taka ankieta pokazuje nam również, o czym użytkownicy nie myślą, o czym nie wiedzą, na co my powinniśmy zwrócić większą uwagę na szkoleniach wstępnych oraz okresowych.
M: Czyli można powiedzieć, że Wy, jako dział IT, opracowujecie strategię bezpieczeństwa dla firmy?
Krzysztof Jaworecki: Opracowujemy deklarację stosowania wymagań normy zabezpieczeń, w której wyszczególniamy, jakie konkretnie działania podejmujemy, by chronić informacje.
Sam audyt polega na tym, że osoba, która go przeprowadza, szuka dowodów na to, co zadeklarowaliśmy.
Warto też dodać, że w wielu firmach normy ISO są wprowadzane tylko po to, by pochwalić się przed klientami certyfikatem.
P.K.: Przykładowo audytor przychodzi do nas i mówi np. „W deklaracji napisaliście, że niszczycie nośniki, więc macie rejestr tych nośników. W takim razie ja bym chciał zobaczyć ten rejestr”. My wtedy, dostarczamy mu taki dokument, a audytor zaznacza, że to, co zadeklarowaliśmy, jest rzeczywiście stosowane.
K.J.: Tak, brak dowodu na to, co zgłosiliśmy, oznaczałby niespełnienie wymagania, czyli niezgodność. Wystąpienie niezgodności nie sprzyja jakości. Niezgodności kwalifikujemy na małe oraz duże (krytyczne).
M: Jakie konkretnie mogą być skutki wykrycia przez audytora niezgodności?
K.J.: Mała niezgodność może być szansą do doskonalenia, ale niestety przy dużych niezgodnościach można nawet utracić certyfikat.
P.K.: Utrata certyfikatu nie odbywa się jednak od razu. Zaraz po wykryciu dużej niezgodności zostaje od zawieszony i firma ma określoną ilość czasu, by podjąć działania korygujące, czyli naprawić niezgodność.
K.J.: Co ciekawe, akcję korygującą można podjąć już podczas audytu. Jeśli zdążymy naprawić niezgodność przed końcem audytu, nie jest ona odnotowywana.
M.M.: Czy chcecie podzielić się jeszcze jakimiś ciekawostkami odnośnie do samego przebiegu audytu?
K.J.: Tegoroczny audyt różnił się od poprzednich, gdyż osoba, która go przeprowadzała, pracowała wcześniej jako programista. Przez to, że miała duże doświadczenie w branży IT, audyt był naprawdę dokładny. Pierwszego dnia spędziliśmy z audytorem około 7 godzin, drugiego 3-4.
P.K.: Dla porównania powiem, że zazwyczaj takie spotkanie naszego działu z audytorem trwa mniej więcej 3 godziny. Tym razem wnikliwie sprawdzona została zgodność z każdym punktem i podpunktem, wspomnianej wcześniej, deklaracji.
M: Czyli sam audyt okazał się dość czasochłonny. Dużego nakładu pracy na pewno wymagało również przygotowanie do niego. Powiedzcie, proszę, co było największym wyzwaniem w trakcie przygotowań.
P.K.: Oczywiście, jak co roku, musieliśmy pouzupełniać dane, przeszkolić pracowników, ale tym razem, po raz pierwszy, sami zajmowaliśmy się całą stroną formalną audytu. Deklaracja stosowania i same zabezpieczenia nie są dla nas problemem, gdyż pracujemy w IT i znamy się na tym, jednak zadbanie o prawidłowe przygotowanie dokumentów, rewizje, to była nowość i wyzwanie.
K.J.: Mieliśmy szerszy obraz audytu i zyskaliśmy dzięki temu cenne doświadczenie związane z niezależną oceną naszej organizacji.
P.K.: My z Krzyśkiem byliśmy odpowiedzialni za audyt, ale bardzo dużą pomocą był dla nas Marek Żak (Junior IT Specialist). Marek odpowiada za Help Desk i nie wprowadzaliśmy go bezpośrednio w sprawy audytowe. Jednak, kiedy my zajęci byliśmy dokumentacją i przygotowaniem do audytu, Marek odciążył nas z wielu codziennych zadań, dając nam możliwość do skupienia się na dobrym przygotowaniu.
K.J.: Oprócz tego pomógł nam wdrążyć wiele rozwiązań np. szyfrowanie dysków, VPN. Staramy się harmonijnie ze sobą współpracować, dzielić wiedzą i doświadczeniem.
M.M.: Wspomnieliście już, że sam audytor, jego wnikliwość i poświęcony czas, były nowością. Co z kwestiami związanymi z pandemią- czy one również sprawiły, że audyt bezpieczeństwa informacji w tym roku był inny niż zazwyczaj?
K.J.: Przede wszystkim audyt odbył się zdalnie, co się wcześniej nie zdarzało. Wykorzystaliśmy oprogramowanie funkcjonujące w firmie do bezpiecznego udostępniania dokumentacji, prezentacji wdrożonych aplikacji IT na żywo poprzez udostępnianie pulpitów serwerów. Taka forma audytu okazała się bardzo efektywna.
M.M.: No tak, obecnie wszelka możliwa praca przenoszona jest w warunki zdalne. Czy po zakończonym audycie obserwujecie w firmie jakieś zmiany?
K.J.: Świadomość bezpieczeństwa informacji wśród pracowników rośnie z roku na rok. Taki system funkcjonuje od wielu lat w naszej firmie i ludzie dostrzegają, że pewne mechanizmy nie są wymysłem działu IT utrudniające nam funkcjonowanie, a troską o zapobieganie utraty danych.
P.K.: Aircom chce być wiarygodnym partnerem biznesowym i pracodawcą, dlatego wszystko, co deklarujemy, jest skrupulatnie wprowadzane w firmie. Jednym z naszych założeń jest ciągły rozwój, więc co roku, po zakończonym audycie nie spoczywamy na laurach. Zaczynamy pracować nad jeszcze bardziej efektywnymi zabezpieczeniami.
M.M.: Czy od zeszłorocznego audytu bezpieczeństwa informacji wprowadziliście nowe rozwiązania w Aircom?
P.K.: Tak. Rok temu nie mieliśmy, chociażby szyfrowania laptopów. W tej chwili wszystkie laptopy w firmie są zaszyfrowane.
K.J.: Polega to w praktyce na tym, że jeśli laptop zostanie zgubiony lub skradziony, to inna osoba nie pozyska z niego danych. Nawet jeśli wyjmie dysk i podłączy do innego komputera nie odczyta żadnych informacji.
M.M.: Czy możemy powiedzieć, że audyt po raz kolejny potwierdził bardzo dobrą jakość naszych zabezpieczeń?
P.K.: Tak, spotykałem się z firmami, które miały o wiele niższe standardy ochrony danych, więc Aircom w porównaniu z innymi wypada naprawdę dobrze na tym polu.
K.J.: Pamiętajmy, że skradziony czy uszkodzony sprzęt można odkupić, ale stracone daną są, w większości przypadków, nie do odzyskania. W naszej firmie dzięki wdrożonym nowoczesnym narzędziom możemy z dużym prawdopodobieństwem odzyskać utracone dane, skasowane przypadkiem lub przez celowe działanie.
M: Dziękuję bardzo za rozmowę i za to, że dzięki wam możemy być spokojni o bezpieczeństwo naszych informacji w Aircom.
P.K.: Dziękujemy!