Oferta audytów

Spis audytów:

Formularz kontaktowy 

Wypełnij formularz kontaktowy, a nasz specjalista skontaktuje się z Tobą w przeciągu 3 dni roboczych.

W razie pytań, zapraszam do kontaktu.

Krzysztof Kaczorowski

Audytor

k.kaczorowski@ikaria.pl

42 680 82 10

15 lat doświadczenia w branży IT. Od 8 lat kierownik zespołu audytowego, nadzoruje wykonanie audytów oraz wdrażanie systemów bezpieczeństwa. Zrealizował ponad 400 projektów z bankami, jednostkami administracji publicznej i firmami prywatnymi.
Opis audytów

Audyt bezpieczeństwa 360

!!!BESTSELLER!!! ***FIRMY ***ADMINISTRACJA PUBLICZNA******

Cel: Całościowy audyt bezpieczeństwa informatycznego firmy.

Najpopularniejszy z naszych audytów i najbardziej doceniany przez klientów. Sprawdza bezpieczeństwo: fizyczne, bankowości on-line, sieci Wi-Fi, poczty e-mail, bramki internetowej. Ponadto zawiera testy 3 najważniejszych komputerów w organizacji i jednego serwera. Weryfikuje istnienie i pewność kopii zapasowych, sprawdza istnienie podstawowych procedur bezpieczeństwa. Stworzony dla małych firm, z sukcesem stosowany także przez większe. Zawiera 1 dzień pracy audytora u klienta oraz 1 dzień pracy analityka.

Analiza bezpieczeństwa firmy

***FIRMY ***ADMINISTRACJA PUBLICZNA***

Cel: Całościowy przegląd bezpieczeństwa informatycznego firmy.

Analiza bezpieczeństwa w formie wywiadu z osobą odpowiedzialną (kierownik IT, administrator). Audytor przeprowadza klienta przez wszystkie obszary bezpieczeństwa IT. W przypadku problemów z udzieleniem odpowiedzi wskazuje gdzie można je znaleźć i pomaga je uzyskać. Całościowy przegląd bezpieczeństwa informatycznego firmy. Zwraca uwagę także na potencjalnie, pominięte w zakresie innych audytów obszary. Może być przeprowadzany telefonicznie.

Bezpieczeństwo bramki internetowej

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Wiedza jak chroniona jest sieć przed atakami z Internetu, jakie usługi są otwarte na Internet oraz jaki jest poziom bezpieczeństwa dostępów administracyjnych.

Test penetracyjny wykonany z Internetu. Analizuje infrastrukturę bramki Internet - sieć lokalna i wchodzących w jej skład urządzeń: modemu, routera, firewalla, UTMa, pod kątem obecności znanych podatności i odporności na próby przełamania zabezpieczeń. Sprawdza błędy spowodowane niewłaściwą konfiguracją oraz lukami w oprogramowaniu lub sprzęcie. Zawiera aktywne wykorzystywanie podatności.

Audyt bezpieczeństwo sieci lokalnej

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Wiedza jak podatna na zagrożenia jest nasza sieć lokalna oraz w jaki sposób chroniony jest ruch pomiędzy nią a innymi podsieciami lub Internetem.

Zestaw testów sprawdzających możliwość zakłócenia działania sieci, przejęcia ruchu lub podszycia się pod inne urządzenia w celu uzyskania danych (np. haseł). Sprawdzenie ochrony antywirusowej, kontroli aplikacji, zarządzania pasmem i deszyfrowania ruchu SSL.

Audyt bezpieczeństwa sieci bezprzewodowej Wi-Fi

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Wiedza czy łatwo dołączyć się do sieci bezprzewodowej w sposób nieautoryzowany lub zakłócić jej działanie.

Weryfikacja potencjalnych błędów w konfiguracji punktów dostępowych. Symulacja ataków mających uzyskać dostęp do sieci, przejąć transmisję oraz zakłócić jej działanie. Zawiera aktywne wykorzystanie podatności.

Test penetracyjny serwerów blackbox L5*

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Szczegółowa wiedza o podatnościach serwerów i sposobie ich usunięcia.

Sprawdzenie urządzeń podpiętych do sieci serwerowej. Testy penetracyjne systemów serwerowych z wykorzystaniem wielu narzędzi. Uzyskanie szczegółowych informacji o występujących zagrożeniach, przykłady ich wykorzystania oraz przykłady nieautoryzowanego dostępu do danych. Zawiera aktywne wykorzystanie podatności.

Test penetracyjny serwerów blackbox L10*

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Najpełniejsza i najbardziej szczegółowa wiedza o podatnościach serwerów i sposobie ich usunięcia.

Sprawdzenie urządzeń podpiętych do sieci serwerowej. Testy penetracyjne systemów serwerowych z wykorzystaniem wielu narzędzi, przekazanie wyników do analityka, opracowanie planu przełamania zabezpieczeń. W następnym etapie audytor ręcznie przełamuje istniejące bariery. Test najdokładniej symuluje działanie napastników podczas ataków celowanych. Zawiera aktywne wykorzystanie podatności.

Test serwisu www blackbox

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Sprawdzenie bezpieczeństwa serwera oraz aplikacji WWW.

Detekcja podatności aplikacji na zagrożenia typu: SQL injection, XSS, CSRF. Sprawdzenie bezpieczeństwa autoryzacji użytkowników oraz możliwości wykonania wrogiego kodu, wycieku istotnych danych lub ujawnienia kodu aplikacji. Dodatkowo audyt obejmuje testy oprogramowania serwera www obejmujące m.in.: bezpieczeństwo konfiguracji SSL, konfiguracji komunikatów o błędach, podatności oprogramowania oraz dostępu do nadmiarowych metod HTTP. Zawiera aktywne wykorzystanie podatności.

Test serwisu www whitebox

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Dogłębne sprawdzenie bezpieczeństwa aplikacji WWW.

Analiza kodu źródłowego aplikacji www w szczególności metod autoryzacji, dostępu do bazy danych, logowania oraz obsługi wejścia/wyjścia. Wyszukiwanie backdoorów oraz użycie analizatorów kodu.

Test serwisu www blackbox L2

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Wiedza o podatnościach komputerów i urządzeń, które mogą służyć do nieautoryzowanego dostępu do danych, zakłócania pracy sieci lub pozwalania na dalsze ataki np. na serwery.

Sprawdzenie listy urządzeń podpiętych do sieci. Skan podatności komputerów osobistych, laptopów, switchy, rejestratorów, drukarek, access pointów, urządzeń mobilnych itd. Wskazuje czynności niezbędne do zabezpieczenia poszczególnych hostów. Zawiera aktywne wykorzystanie podatności.

Test serwisu www blackbox L5

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Szczegółowa wiedza o podatnościach komputerów i urządzeń, które mogą służyć do nieautoryzowanego dostępu do danych, zakłócenia pracy sieci lub pozwalania na dalsze ataki np. na serwery.

Sprawdzenie listy urządzeń podpiętych do sieci. Testy penetracyjne komputerów z wykorzystaniem wielu narzędzi. Uzyskanie szczegółowych informacji o występujących zagrożeniach, przykłady ich wykorzystania oraz przykłady nieautoryzowanego dostępu do danych. Zawiera aktywne wykorzystanie podatności.

Bezpieczeństwo fizyczne i środowiskowe

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Ocena poziomu zabezpieczeń fizycznych i środowiskowych.

Analiza zabezpieczeń fizycznych zapewniających nadzór dostępu osób z i spoza organizacji do poszczególnych kluczowych zasobów IT. Analiza rozwiązań gwarantujących ciągłość działania systemów teleinformatycznych, w szczególności systemów zasilania, klimatyzacji, przeciwpożarowych, łącz internetowych, stref dostępu, monitoringu, dzienników wejść/wyjść, wydawania kluczy, przepustek, rejestracji incydentów bezpieczeństwa itp.

Testy socjotechniczne

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Ocena świadomości zagrożeń oraz stosowania się do procedur bezpieczeństwa przez pracowników.

Weryfikacja znajomości procedur i dobrych praktyk w zakresie bezpieczeństwa Informacji. Audytor prowokuje incognito sytuacje zmuszające pracowników klienta do ryzykownego zachowania (np. udzielenia informacji poufnych, podjęcia działań potencjalnie niebezpiecznych, zgłoszenia incydentu bezpieczeństwa itp.). Interakcja odbywa się z użyciem mediów: telefonu, maila lub w interakcji bezpośredniej. W raporcie wskazane są wyniki oraz obszary w których należy wzmocnić działania informacyjne i szkoleniowe.

Audyt dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Weryfikacja aktualności i kompletności dokumentacji: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym.

Analiza kluczowej dla organizacji dokumentacji i procedur opisujących utrzymanie zasobów IT oraz regulujących zapewnienie poszczególnych usług oraz procesów teleinformatycznych i organizacyjnych. Są one niezbędne dla efektywnego prowadzenia i utrzymania ciągłości działania organizacji, zachowania bezpieczeństwa danych i zasobów IT, bezpieczeństwa fizycznego i środowiskowego.

Analiza ryzyka

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Kompleksowa analiza poziomu zagrożeń we wszystkich obszarach bezpieczeństwa teleinformatycznego w organizacji oraz świadome i efektywne zarządzanie poziomem ryzyka.

Procesy i usługi IT realizowane w organizacji charakteryzują się określonym poziomem ryzyk uwarunkowanych stosowanymi technologiami, procedurami i ograniczonością zasobów oddelegowanych do ich zapewnienia. Wynikiem przeprowadzonej przez audytora analizy jest efektywne i łatwe w wykorzystaniu narzędzie, które pozwala na świadome zarządzanie poziomem zagrożeń poprzez planowanie inwestycji w poszczególne zasoby, racjonalne ustalanie priorytetów rozwoju, oraz zapewnienie optymalności relacji ponoszonych nakładów i kosztów do uzyskiwanego i akceptowalnego dla organizacji poziomu bezpieczeństwa.

Audyt systemów backupu i archiwizacji

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Weryfikacja funkcjonowania procedur backupowych w stosunku do przyjętej strategii oraz potrzeb organizacji.

Analiza potrzeb backup organizacji (RPO, RTO) i ustalenie optymalnej strategii backup. Porównanie jej z aktualnymi procedurami. Weryfikacja realizacji procedur backupowych, ich okresowych testów oraz dotrzymania założonych SLA. Audyt zawiera pełne kontrolne odtworzenie kopii zapasowych.

Audyt legalności oprogramowania

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Podniesienie efektywności wykorzystania bezpieczeństwa prawnego i finansowego związanego z użytkowaniem oprogramowania, uporządkowanie procesów i optymalizacja kosztów.

Uporządkowanie zasobów oprogramowania i dokumentacji towarzyszącej, minimalizacja ryzyka sankcji prawnych i finansowych w związku ze zjawiskiem nielegalnego (również nieświadomego) wykorzystywania oprogramowania oraz przeniesienie odpowiedzialności dot. samowolnego kopiowania i instalowania oprogramowania na użytkowników końcowych. Wdrożenie i weryfikacja procedur zarządzania oprogramowaniem w celu usystematyzowania zarzadzania zasobami oprogramowania w organizacji. Wskazanie obszarów pozwalających na optymalizację kosztów.

Audyt zgodności z Rekomendacją D

***BANKI***

Cel: Ocena zgodności z rekomendacją D KNF.

Audyt ocenia zgodność z 22 punktami rekomendacji D KNF w 4 wskazanych obszarach: strategii i organizacji obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, rozwoju środowiska teleinformatycznego, utrzymania i eksploatacji środowiska teleinformatycznego oraz zarządzania bezpieczeństwem środowiska teleinformatycznego. Wyniki mają oceny procentowe zgodności, oraz charakter opisowy - zawierają uzasadnienia ocen i zalecenia naprawcze. Oceny zgodności z poszczególnymi rekomendacjami prezentowane są w kontekście ryzyka utraty ciągłości działania organizacji, integralności lub wycieku danych. Zależnie od potrzeb i sytuacji bank może poszerzyć audyt o testy penetracyjne, socjotechniczne lub audyt oprogramowania.

Audyt zgodności z KRI

***ADMINISTRACJA PUBLICZNA***

Cel: Weryfikacja spełnienia wymagań Krajowych Ram Interoperacyjności.

Audyt skierowany do jednostek administracji publicznej weryfikujący spełnianie minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności obliguje jednostki administracji publicznej do corocznego weryfikowania spełniania minimalnych wymogów opisanych rozporządzeniem dla 14 obszarów wymienionych w paragrafie 20 z ocenami procentowymi zgodności i zaleceniami naprawczymi. Zaleca się poszerzenie jego zakresu o szczegółową ocenę jakościową posiadanych i wykorzystywanych rozwiązań, np. poprzez testy penetracyjne infrastruktury IT, testy inżynierii społecznej dla pracowników, czy szczegółowy audyt oprogramowania. Realizacja audytu pozwala spełniać wymogi ustawowego okresowego audytowania systemu zarzadzania bezpieczeństwa informacji, tym samym pozwala zweryfikować poziom realizacji wymogów minimalnych narzuconych ustawą w obszarze zasobów teleinformatycznych, organizacyjnych i pracowniczych, jak również zarzadzania ryzykiem.

Audyt zgodności z RODO

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Identyfikacja obszarów wymagających korekty i zmian w celu zapewnienia prawidłowego funkcjonowania systemu ochrony danych osobowych zgodnie z RODO.

Audyt ochrony danych osobowych weryfikujący zgodność z Rozporządzeniem o Ochronie Danych Osobowych RODO. Obejmuje zagadnienia prawne, organizacyjne i techniczne, gwarantujące poprawność pozyskiwania, przetwarzania i zabezpieczania danych osobowych w organizacji. W raporcie zawarte są zalecenia dot. usunięcia możliwych nieprawidłowości i optymalizacji wykorzystywanych rozwiązań organizacyjnych i teleinformatycznych w celu spełnienia wymogów rozporządzenia.

Audyt zgodności z deklaracjami stosowania ISO27001   

***FIRMY***ADMINISTRACJA PUBLICZNA***

Cel: Weryfikacja stosowania określonych, wybranych świadomie i wybiórczo tzw. dobrych praktyk w obszarze bezpieczeństwa informacji zawartych w deklaracji stosowania ISO27001.

Analiza deklaracji stosowania, a następnie weryfikacja poziomu zgodności z zawartymi w niej zapisami normy ISO27001. Weryfikacja, wskazywanie uchybień i wydanie zaleceń ich usunięcia. Zaproponowanie dodatkowych obszarów normy, które zaleca się ująć w deklaracji stosowania, wynikających z naturalnego rozwoju organizacji w obszarze bezpieczeństwa IT, wymogów zewnętrznych lub samodzielnych decyzji wewnątrz organizacji. Metoda pozwala podnosić bezpieczeństwo informatyczne na wyższy poziom wraz z każdym cyklem audytowym.