PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Audyty bezpieczeństwa informacji

Gwarancja spokoju w biznesie

Udostępnij
Drukuj:
Wyłączyłam żelazko? Zamknąłem samochód? – Chyba każdy doświadczył napadu podobnych wątpliwości w życiu prywatnym. A w pracy? Czy w odniesieniu do biznesu też pojawiają się takie myśli? Czy mamy pewność, że to, co najważniejsze dla prowadzonego biznesu, jest dobrze zabezpieczone? A jeśli nie ma tych wątpliwości, to czy nie powinny się pojawić? Audyt bezpieczeństwa informacji pozwoli zidentyfikować i wyeliminować luki w systemach i procedurach bezpieczeństwa.
 

Statystyki są bezlitosne. Częstotliwość i skuteczność ataków na organizacje wzrasta. Narzędzia podmiotów atakujących są coraz lepsze, a ich kompetencje wyższe. Publikowana przez Center for Strategic and International Studies (CSIS) lista udanych cyberataków na agencje rządowe, sektor obronny, zaawansowane technologicznie firmy lub przestępstwa gospodarcze, w których straty z powodu ataków przekroczyły milion dolarów, zawiera już blisko 600 przykładów. W samym tylko 2019 r. przybyło na niej prawie 100 pozycji.

Wobec przytoczonych danych obawy o to, czy w naszym biznesie na nie mamy jakichś nieznanych, „niewyłączonych żelazek”, są jak najbardziej uzasadnione. Musimy też pamiętać, że nawet w wyspecjalizowanych zespołach zajmujących się bezpieczeństwem z czasem czujność może osłabnąć. Pojawia się przypadkowa niewrażliwość na oczywiste luki lub akceptacja dla znanych ryzyk, które jednak przez wiele lat nie zakończyły się incydentem.

Audyt bezpieczeństwa informacji

W eliminowaniu luk bezpieczeństwa bardzo pomocne jest wykonanie audytu bezpieczeństwa informacji, szczególnie gdy wykonują go eksperci zewnętrzni, mający świeże spojrzenie na liczne zagadnienia. Audytorzy – co oczywiste – nie mają pełnych informacji o organizacji o muszą je uzyskać od pracowników audytowanego podmiotu. Równocześnie jednak audytorzy przystępują do pracy uzbrojeni w wiedzę na temat zapewnienia bezpieczeństwa informacji w biznesie oraz praktyczne doświadczenie i znajomość najczęściej popełnianych błędów i luk bezpieczeństwa.

Dodatkowe wsparcie stanową kryteria oraz dobre praktyki zawarte w normach, np. ISO 27001, 20000, 22301, 62443, i systemach bezpieczeństwa (VDA ISA/TISAX, TPN i in.). Nie bez znaczenia jest także efekt świeżego spojrzenia na istniejące rozwiązania. Często osoba z zewnątrz łatwiej dostrzega oczywiste błędy, na które zespół wewnętrzny stał się nieczuły.

Cele audytu

Wykonanie audytu bezpieczeństwa informacji pozwala zrealizować różne cele, zależnie od aktualnych potrzeb danej organizacji. Audyt prowadzony przez zewnętrznego partnera pozwoli także rozszerzyć zakres i podnieść jakość realizowanych audytów wewnętrznych.

Jeśli przedsiębiorstwo przygotowuje się do wdrożenia systemu zarządzania opartego na konkretnej normie lub systemie, wykonanie audytu bezpieczeństwa według danych kryteriów pozwala na stwierdzenie skali odstępstw organizacji od wybranego standardu. Zyskujemy możliwość określenia szczegółowego planu oraz kosztorysu wdrożenia (powyższe może też dotyczyć określonych ustaw, np. UODO lub KRI).

Gdy organizacja posiada już wdrożony system zarządzania i chce uzyskać certyfikat, wykonanie audytu pozwala określić stopień przygotowania do certyfikacji. Warto taki audyt przeprowadzić jako próbę generalną. W razie wykrycia luk zyskujemy możliwość uniknięcia kosztownego przerwania audytu certyfikującego w wyniku wykrytych dużych niezgodności.

Audyt w organizacji, która posiada już certyfikat, może być użyty jako przykład audytu wykonanego przez niezależną jednostkę zewnętrzną. Niektóre normy wymagają takich działań. Można go też wykorzystać jako element przeglądu systemu zarządzania.

Oderwijmy się jednak od zagadnień certyfikacyjnych. Wykonanie audytu zerowego tworzy „snapshot” poziomu zarządzania i bezpieczeństwa organizacji w danym momencie. Obnażamy luki bezpieczeństwa informacji oraz ciągłości działania w odniesieniu do ogólnie przyjętych dobrych praktyk. Możemy określić realny poziom ryzyk związanych z różnymi aktywami i celami strategicznymi. Możemy wreszcie dokonać korekt planów postępowania z ryzykiem w oparciu o rzeczywiste potrzeby.

Doświadczeni audytorzy przychodzący do organizacji z zewnątrz są w stanie w trakcie audytu wyłapać ukryte lub oczywiste luki (efekt „dziecka we mgle”), które umykają specjalistom z wewnątrz organizacji.

Podczas audytu audytorzy występują jako neutralna, zewnętrzna organizacja. To ułatwia rozmowy z pracownikami. Gwarantując im anonimowość, zbierają informacje na temat luk bezpieczeństwa. Często to jedyny sposób, by ta wiedza dotarła do najwyższego kierownictwa danej organizacji.

Poprzez wykonanie audytu organizacja uzyskuje weryfikację, czy procesy i incydenty bezpieczeństwa informacji są prawidłowo adresowane i raportowane do najwyższego szczebla.

Przygotowując się do audytu, pracownicy mimowolnie, „przy okazji”, podnoszą swoje kompetencje, zwiększając zgodność realizowanych procesów z przyjętymi w firmie politykami i procedurami. Ponadto audytorzy, rozmawiając z pracownikami w trakcie audytu, podnoszą ich poziom wiedzy o możliwych ryzykach i wskazują metody ich unikania;

Udokumentowany audyt bezpieczeństwa informacji, w szczególności w połączeniu z testami penetracyjnymi oraz socjotechnicznymi, można wykorzystać do udowodnienia kontrahentom, jak dużą wagę przykładamy do zagadnienia bezpiecznego zarządzania organizacją i danymi. To  istotne, bo praktycznie każda interakcja biznesowa wiąże się z wymianą wrażliwych danych.

Rosnąca odpowiedzialność

Organizacje ponoszą coraz większą odpowiedzialność za zapewnienie poziomu bezpieczeństwa informacji zgodnego z przyjętymi rynkowo dobrymi praktykami oraz standardami. Kolejne ustawy, w tym ostatnia ustawa o krajowym systemie cyberbezpieczeństwa, czy wcześniejsze ogólne rozporządzenie o ochronie danych osobowych, zwiększają odpowiedzialność finansową, a nawet karną przedsiębiorstw i osób nimi kierujących. Z samego tylko tytułu naruszeń RODO w Europie nałożono już 130 kar, z czego najwyższe przekroczyły pułap 10 milinów euro.

Typowe obszary ryzyka

Zagrożenia dla bezpieczeństwa informacji kojarzą się zwykle z atakami hakerskimi, wirusami, zaawansowanym technologicznie wrogim oprogramowaniem. Jednak duże, a często ignorowane ryzyko wiąże się z banalnymi lukami bezpieczeństwa, które nie mają nic wspólnego z IT, a wynikają z braku świadomości, zaniedbań czy lekkomyślności. Przedstawiamy wybrane przykłady zagrożeń bezpieczeństwa napotkane przez audytorów SNP.

Otwarte tylne drzwi. Bardzo mocne zabezpieczenia „od frontu” organizacji, a równocześnie brak zabezpieczenia innych dróg dostępu (niezabezpieczone drzwi, furtki i szlabany, ochrona tylko z jednej strony obiektu, z przodu przeciwpancerne mury, z tyłu zardzewiałe siatki).

Oczywiste luki bezpieczeństwa. Monitory CCTV z obrazami z obszarów wrażliwych widoczne dla gości, ochrona zapewniona 24 godz., ale tylko 5 dni w tygodniu, pracownicy wyłączający lub demontujący zabezpieczenia albo wprost sprzeciwiający się ich instalacji.
Zakłócenia komunikacji. Brak procesów on/off boardingu (byli pracownicy mający latami dostęp do aktywów organizacji, wykorzystujący zasoby firmy do swoich celów, np. mieszkanie na terenie firmy, kopalnia Bitcoin na serwerach firmowych), części firmy działające „na własną rękę”, brak rozwoju struktury organizacyjnej mimo wzrostu liczby pracowników od kilku do kilku tysięcy osób, pracownicy obcojęzyczni niedostający materiałów w swoim języku.
Brak ciągłości działania. Prezesi noszący backupy w kieszeni, na pendrive, pracownicy szyfrujący całe zasoby firmy jednym malware/pendrive, opieranie się na „poduszkach finansowych” dla zapewnienia dalszego działania, wąskie gardła z powodu braku wyznaczonych zastępstw na wypadek nieobecności, delegacji zadań lub brak jasnych kanałów przepływu informacji, szczególnie w razie kryzysu, utrata dostępu do aktywów z powodu odejścia jednego pracownika, uszkodzenia backupu niezweryfikowane testami odtworzeniowymi, pojedyncze punkty awarii (sześć urządzeń, jedna ładowarka).
Dokumentacja „na półkę”. Nieaktualne polityki, niestosowanie się do polityk (np. brak kasowania uprawnień, kont, pracownicy korzystający z kont firmowych 2 lata po zwolnieniu), realizacja certyfikacji przez nieznane firmy, wykazywanie zgodności i ryzykowanie utraty kontraktu przy braku faktycznie wdrożonych rozwiązań, wyznaczanie pracowników „z przypadku” do realizacji odpowiedzialnych ról i zadań.
Wirtualne strefy bezpieczeństwa. Dostawca cateringu wchodzi wszędzie, sale konferencyjne sąsiadujące przez cienką ściankę z publicznymi kuchniami, szatnie pracownicze w pomieszczeniach serwerowni, strefa produkcyjna niezabezpieczona przed kradzieżami przez pracowników, obszary logistyki otwierane „na guzik”, hasła do zasobów IT w obszarach logistyki/produkcji/załadunku przyklejone do monitorów, otwarte pokoje pocztowe/faksowe.
Niewłaściwa kontrola środowiska. Klimatyzowanie serwerowni poprzez otwarte okna, generatory nietestowane od momentu instalacji, węzły komunikacyjne i serwerowe otwarte dla gości, wykorzystywanie serwerowni jako magazynów zużytych części IT, braki systemów powiadamiania, systemy gaszenia wodą w obiektach z instalacjami elektrycznymi, systemy ogrzewania wodą w serwerowniach, umiejscowienie wrażliwych obiektów w miejscach szczególnie narażonych (dyspozytornie w sąsiedztwie BOK-ów, prysznice dla załogi zlokalizowane nad serwerowniami, lokalizacja serwerowni w kotłowniach, kuchniach, szybach wind), detekcja pożaru ropy czujnikami gazu, zainstalowane systemy i urządzenia, których nikt nie nadzoruje lub nie wiadomo nawet, do czego służą.
Brak zasobów. Drukowanie list płac na brudnopisach, wystawianie starszych materiałów, nadal wrażliwych, w obszary niezabezpieczone, zabezpieczanie newralgicznych zasobów tylko w minimalny sposób (kluczyk).
Nieuczciwi pracownicy. Prywatne chmury, praca na zasobach prywatnych (Windows 95 serwisowany przez wnuczka), wykorzystanie zasobów firmowych do działań prywatnych/konkurencyjnych (materiały problematyczne pozostawione w środowisku firmy – obce dane, nagie zdjęcia).
Braki kompetencji pracowników. Pożyczanie haseł, zapisywanie haseł w niezabezpieczonych aktywach, wykonywanie działań ryzykownych, brak szkoleń, wyrzucanie wrażliwych informacji do kosza na śmieci.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00