To nie jest automatyczny skan. Audyt łączy rozmowę o krytycznych procesach, przegląd konfiguracji, analizę dowodów i — jeśli obejmuje to zakres — praktyczny test przywrócenia.
Kiedy audyt ma sens?
Usługa jest przeznaczona dla firm, które mają już istotne środowisko IT, ale nie wiedzą, czy obecne zabezpieczenia rzeczywiście ograniczą skutki incydentu. Typowy zakres obejmuje organizacje korzystające z Microsoft 365 lub Google Workspace, serwerów, NAS-ów, maszyn wirtualnych, systemów branżowych, VPN i kilku lub kilkudziesięciu stanowisk.
- Backup istnieje, ale nie był regularnie testowany.
- Nikt nie ma pełnej, aktualnej dokumentacji infrastruktury.
- Dostępy administracyjne są rozproszone między pracowników i dostawców.
- Firma chce przygotować się do wymagań kontrahenta, ubezpieczyciela lub dalszego audytu.
- Właściciel chce znać realny koszt i kolejność potrzebnych poprawek.
Co sprawdzamy?
Zarządzanie i odpowiedzialność
Kluczowe procesy, właściciele systemów, dostawcy, kontakty awaryjne i podejmowanie decyzji.
Konta i tożsamość
MFA, role administratorów, konta współdzielone, konta byłych pracowników i odzyskanie dostępu.
Poczta i domena
Dostępy administracyjne, SPF, DKIM, DMARC, reguły skrzynek i mechanizmy odzyskiwania.
Sieć i zdalny dostęp
Firewall, VPN, segmentacja, Wi-Fi, urządzenia IoT, kamery i usługi widoczne z internetu.
Serwery, NAS i urządzenia
Aktualizacje, konta lokalne, szyfrowanie, kopie konfiguracji, wsparcie producenta i punkty awarii.
Backup i odzyskiwanie
Zakres kopii, retencja, separacja, kopia off-site lub immutable oraz dotychczasowe testy przywracania.
Monitoring i wykrywanie
Alerty, sprawdzanie stanu usług, backupów, miejsca, certyfikatów i istotnych zdarzeń.
Reakcja na incydent
Pierwsze działania, sposób izolacji urządzeń, kontakty, dokumentacja dostępna poza głównym systemem.
Jak przebiega audyt?
1. Rozmowa kwalifikacyjna
Ustalamy wielkość środowiska, krytyczne procesy, oczekiwania i czy potrzebny jest pełny audyt, czy mniejszy Cyber Check.
2. Zakres formalny
Określamy systemy, dozwolone czynności, osoby kontaktowe, godziny działań, sposób przekazywania dostępów i ochrony materiałów.
3. Ankieta i wywiad biznesowy
Zbieramy informacje o danych, systemach, dostawcach, wcześniejszych incydentach oraz maksymalnym akceptowalnym przestoju.
4. Przegląd techniczny
Analizujemy uzgodnione konfiguracje i dowody. Audyt nie obejmuje agresywnych testów ani prób wykorzystania podatności bez odrębnej pisemnej zgody.
5. Test odtworzenia
W wariancie rozszerzonym przywracamy wybrany plik, bazę, konfigurację lub system w bezpiecznym środowisku i mierzymy realny czas.
6. Raport i prezentacja
Przekazujemy podsumowanie zarządcze, ustalenia techniczne, dowody oraz plan działań. Omawiamy, co zrobić samodzielnie, z obecnym dostawcą lub z Resilentą.
Co zawiera raport?
Raport jest podzielony tak, aby był użyteczny zarówno dla właściciela firmy, jak i osoby technicznej. Nie zawiera haseł, tokenów ani zbędnych danych osobowych.
- Podsumowanie najważniejszych ryzyk i możliwych skutków biznesowych.
- Zakres, zastosowane metody i ograniczenia audytu.
- Opis kluczowych systemów i zależności.
- Ustalenia z priorytetem, dowodem i rekomendowanym działaniem.
- Plan działań na 7, 30, 90 i opcjonalnie 180 dni.
- Protokół testu odtworzenia, jeśli został wykonany.
- Lista działań możliwych do wdrożenia etapami.
Czego audyt nie obejmuje automatycznie?
Jasne granice są elementem bezpieczeństwa. Podstawowy audyt odporności nie jest testem penetracyjnym, certyfikacją ISO, audytem ustawowym KSC ani opinią prawną. Takie prace mogą wymagać oddzielnego zakresu i udziału wyspecjalizowanego partnera.
Najczęstsze pytania
Ile trwa audyt?
Zależy od liczby użytkowników, lokalizacji i systemów. Małe środowisko można przeanalizować w kilku etapach w ciągu około 2–4 tygodni kalendarzowych. Termin jest ustalany przed rozpoczęciem.
Czy audyt może odbyć się zdalnie?
Znaczna część prac może być wykonana zdalnie. Elementy wymagające obecności, inwentaryzacji lokalnej lub kontrolowanego okna technicznego są ustalane oddzielnie.
Czy obecny informatyk może uczestniczyć?
Tak. Audyt nie ma służyć szukaniu winnego. Współpraca z osobą znającą środowisko skraca analizę i zwiększa jakość zaleceń.
Czy po audycie musimy zamówić wdrożenie?
Nie. Raport ma pozwolić wykonać poprawki samodzielnie, z obecnym dostawcą albo w oddzielnie wycenionych etapach.
Czy otrzymamy gwarancję, że nie dojdzie do ataku?
Nie istnieje uczciwa gwarancja braku incydentu. Celem jest ograniczenie prawdopodobieństwa, skrócenie czasu wykrycia i zwiększenie zdolności do odtworzenia działania.