IT audit jako základ kybernetické bezpečnosti

aneb Jak jsme třikrát vystřízlivěli během jednoho týdne Jeden z našich prvních zákazníků si nejprve stěžoval na výpadky sítě a nestabilní aplikaci, kterou potřeboval používat nepřetržitě po celou pracovní dobu. Začali jsme od těch nejjednodušších pokusů o nápravu. A ty jeden za druhým selhávaly. Zdánlivě nesouvisející problémy vedly ke zjištění, že problém je mnohem rozsáhlejší a […]

aneb Jak jsme třikrát vystřízlivěli během jednoho týdne

Jeden z našich prvních zákazníků si nejprve stěžoval na výpadky sítě a nestabilní aplikaci, kterou potřeboval používat nepřetržitě po celou pracovní dobu. Začali jsme od těch nejjednodušších pokusů o nápravu. A ty jeden za druhým selhávaly. Zdánlivě nesouvisející problémy vedly ke zjištění, že problém je mnohem rozsáhlejší a hlubší, než se jevilo.
Začali jsme systematičtěji zjišťovat, kde by mohl být problém. A proto jsme si u zákazníka vyžádali přístupové údaje. A tady jsme vystřízlivěli poprvé. Ptáte se proč? Zákazník totiž sáhl po stolním áčkovém kalendáři. Z jeho vnitřku vytáhl hromádku umolousaných papírků a se značným soustředěním začal mumlat, že to tady někde přece musí být. A že mu to tam předcházející ajťák sám dával Sami jsme byli zaslepení vlastním oborem a znalostmi až nám nedocházelo, že ne každému jsou známa pravidla bezpečného nakládání a zacházení s přístupovými údaji v kybernetickém prostoru. Za nalezené přístupové údaje jsme poděkovali a domluvili se se zákazníkem na nejbližších bezpečnostních opatřeních, kdy mu vysvětlíme, jak začít spravovat a řídit přístupové údaje do kybernetického prostoru jeho firmy. Naše první velká radost.
Druhé vystřízlivění přišlo po pár okamžicích. Máme zpracovaný dotazník, který si s sebou máme na úvodní schůzky a postupně jej se zákazníkem vyplňujeme, abychom zjistili vše potřebné. A my jsme si začali povídat a ptát se dál. Zákazník nemá dokumentaci své infrastruktury. Což znamená, že kromě účetní evidence nemá informace o jednotlivých zařízeních. Neví, kde se fyzicky nacházejí, jaký je jejich technický, licenční či softwarový stav. Dále neví kdo, jak, kdy a k čemu tato zařízení používá. Se zákazníkem jsme dlouho jednali o nutnosti dokumentace. Nakonec jsme se dohodli na rozložení prací v čase s ohledem na finance uvolněné do IT. Tady nám začala docházet složitost a náročnost úkolu, který je před námi. Bude to téměř archeologická, mravenčí práce. Bude vyžadovat pečlivost, soustředěnost a systematičnost.
Třetí vystřízlivění přicházelo spíše postupně. Kousek po kousku jsme se prokousávali infrastrukturou. Hledali jsme, zjišťovali detaily, popisovali, pojmenovávali a zakreslovali jedno zařízení za druhým. A spolu tím jsme tvořili soupis osob, které mají přístup k zařízení či softwaru. Čím hlouběji jsme pronikali a čím více jsme si povídali s lidmi, docházelo nám, že nejtěžší práce bude komunikace s lidmi. A hlavně to, abychom jim srozumitelně vysvětlili, že nijak neusilujeme o jejich práci, nechceme ji nijak komplikovat nebo devalvovat. Naopak, naše práce má vést k pohodlnému a fungujícímu prostředí, které jim pomůže efektivněji plnit jejich pracovní povinnosti. Zároveň taky vysvětlit, že bude potřeba i jejich součinnost a ochota postupně měnit zaběhnuté procesy a naučit se nově pracovat s kybernetickým prostředím. Proto považujeme IT audit za základ kybernetické bezpečnosti firem. Vy jako investor musíte vědět co máte, kde a v jakém stavu, k čemu se to používá a kdo má přístup k vašemu majetku.
Kontaktujte nás: info@f13cybertech.cz | 704 936 347

Napište nám

Odesláním souhlasíte s podmínkami zpracování osobních údajů