Audyt skutecznej ochrony danych
Sprawdzamy, czy Twoja firma będzie w stanie szybko odzyskać dane i wrócić do pracy po awarii, ransomware, błędzie pracownika, pożarze, kradzieży sprzętu lub problemie z kluczową aplikacją.
Audyt jest dla firm, które mają dane krytyczne dla działania biznesu i chcą niezależnie ocenić, czy obecne kopie bezpieczeństwa, procedury odzyskiwania, infrastruktura i organizacja pracy rzeczywiście chronią firmę przed długim przestojem.
Po audycie otrzymujesz raport z mapą kluczowych danych i systemów, listą ryzyk, oceną obecnych zabezpieczeń oraz rekomendowanymi działaniami.
Kiedy warto zrobić audyt?
Przedsiębiorcy często mają obsługujące ich firmy IT, co więcej są ze współpracy zadowoleni. Jednak czasem mają wątpliwości.
Najczęściej nie mają kompetencji, żeby potwierdzić, że to co robią dla nich firmy IT zapewni im optymalną ochronę. Dostają zapewnienia o kopiach bezpieczeństwa, antywirusach, firewallach i innych słowach-kluczach, które mają ich uspokoić.
Absolutnie nie oznacza to, że ich firmy IT robią złą robotę. Jednak często pojawiają się dwa problemy:
- Pomylenie pojęć. Backup to nie ochrona danych.
Ochrona danych nie jest o tym czy masz kopie bezpieczeństwa tej czy innej aplikacji, antywirusa lub firewall.
Ochrona danych jest o tym jak szybko Twoja firma będzie mogła odzyskać dane, działać i zarabiać pieniądze po nieprzewidzianych katastrofach. - Brak kompetencji w zakresie IT
Przedsiębiorca przez brak kompetencji w zakresie IT nie jest w stanie dobrze zdefiniować swoich potrzeb dla skutecznej ochrony danych. Przez to często przedsiębiorca płaci za jakieś usługi IT a jest przekonany, że płaci skuteczną ochronę danych.
Niestety te problemy są powszechne wśród przedsiębiorców i dają nieuzasadnione poczucie bezpieczeństwa. Co jeszcze gorsze również firmy IT czasem nie rozumieją różnicy między tworzeniem kopii bezpieczeństwa a strategią ochrony danych.
Na szczęście coraz częściej obserwujemy podejście, które można opisać jako „ufaj, ale kontroluj”. Przedsiębiorcy mówią, że w zasadzie to są zadowoleni ze swoich firm IT ale warto by było, żeby to sprawdził ktoś z zewnątrz.
Dla kogo jest audyt?
- firmy mające dane krytyczne dla działania biznesu,
- firmy posiadające zewnętrzną obsługę IT,
- firmy, które chcą zweryfikować backupy i procedury odzyskiwania,
- firmy po szybkim wzroście, zmianie systemów, wdrożeniu nowych aplikacji,
- firmy przygotowujące się do uporządkowania ochrony danych.
Jak przebiega audyt?
- Analiza istniejących dokumentów procedur bezpieczeństwa,
- spotkanie organizacyjne i wywiad,
- wizja lokalna w miejscu przechowywania danych,
- wstępna analiza i dodatkowe pytania,
- spotkanie podsumowujące + raport końcowy.
Kogo potrzebujemy po stronie klienta?
Żeby audyt miał realną wartość, potrzebujemy krótkiego zaangażowania osób, które znają firmę od strony biznesowej i technicznej.
- Sponsor audytu
właściciel, członek zarządu lub osoba znająca kluczowe procesy biznesowe, - osoba odpowiedzialna za IT
pracownik, administrator albo przedstawiciel firmy obsługującej IT, - wybrane osoby z działów
w zależności od wielkości firmy i potrzeb.
Na ogół, w zależności od wielkości firmy, zaangażowanie poszczególnych osób ogranicza się od kilku do kilkunastu godzin.
Czas trwania audytu skutecznej ochrony danych jest zależny od wielkości firmy. Przy optymalnym zaangażowaniu, przygotowanie, konsultacje, analiza i przygotowanie raportu zajmuje od tygodnia, dla najmniejszych mikro firm do kilku miesięcy dla średnich firm.
Ile kosztuje audyt?
Koszt audytu zależy od wielkości firmy, liczby systemów i zakresu analizy. W praktyce jest zwykle porównywalny z kilkumiesięcznym kosztem standardowej obsługi IT. Dokładny zakres i koszt ustalamy po krótkiej rozmowie wstępnej.
Co zawiera raport po audycie?
Podczas spotkania podsumowującego omawiamy raport końcowy, który zwykle zawiera:
- mapę kluczowych danych, systemów i miejsc ich przechowywania,
- listę zidentyfikowanych ryzyk,
- priorytety ryzyk,
- wskazanie, co jest krytyczne, a co można zaplanować później,
- ocenę istniejących kopii bezpieczeństwa i procedur odzyskiwania,
- ocenę scenariuszy awaryjnych,
- wskazanie obszarów bez jasnej odpowiedzialności,
- listę rekomendowanych działań.
Ewentualne wdrożenie rekomendacji lub koordynacja zmian mogą być osobnym etapem współpracy.
Czym audyt nie jest
Proponowany audyt nie jest audytem RODO czy też audytem zgodnym z dyrektywą NIS2 wymaganym przez ustawę o Krajowym Systemie Cyberbezpieczeństwa (uKSC), choć może się stać ich ważną częścią. Audyt skupia się wyłącznie na technicznej i funkcjonalnej części ochrony danych. Raport nie jest szczegółowym projektem technicznym wdrożenia rekomendowanych rozwiązań.
Czy audyt ma sens w Twojej firmie?
Jesteśmy fanami open source i nie lubimy niepotrzebnie wydawać pieniędzy naszych a zwłaszcza naszych Klientów co sprawia, że jeśli szukamy dla klienta rozwiązań to skupiamy się na sprawdzonych ale pierwszej kolejności optymalnych kosztowo rozwiązań. Skupiamy się na usługach a nie handlu urządzeniami. Dbamy o to żeby urządzenia spełniały potrzeby Klienta ale niekoniecznie windując dla niego koszty.
Większość naszych Klientów to małe kilku i kilkunastoosobowe firmy, dla których ich dane i dostęp do nich jest sprawą krytyczną, jak np.: księgowi, firmy transportowe czy placówki medyczne. Działamy głównie w północnej części Wielkopolski, choć w zdecydowanej większości wypadków nie ma to znaczenia, ponieważ problemy rozwiązujemy głównie zdalnie i w praktyce wizyta u klienta jest rzadkością.
Czy taka ochrona danych ma sens w Twojej firmie?
Umów krótką rozmowę. Nie musisz znać się na serwerach, backupach ani sieciach. Wystarczy, że wiesz, które dane i programy są krytyczne dla działania Twojej firmy.
Po krótkiej rozmowie powiemy, czy taki audyt ma sens w Twojej firmie, jaki powinien mieć zakres i od czego warto zacząć.