Audyt bezpieczeństwa IT warto zacząć od podstaw: kont użytkowników, poczty, MFA, kopii zapasowych, urządzeń, sieci i dokumentacji. To one pokazują, czy firma naprawdę panuje nad własnym środowiskiem.
W praktyce właśnie te obszary często decydują o tym, czy incydent kończy się szybkim porządkiem, czy kilkudniowym przestojem, utratą danych i nerwowym odtwarzaniem dostępu.
Taki przegląd ma sens nawet wtedy, gdy firma nie planuje wdrożenia nowych narzędzi, certyfikacji ani dużego audytu. Jego celem jest znalezienie miejsc, w których dostępy, dane i odpowiedzialność przestały nadążać za codziennym działaniem firmy.
Co powinien sprawdzić audyt bezpieczeństwa IT?
Audyt bezpieczeństwa IT w firmie powinien objąć przede wszystkim konta użytkowników, dostępy byłych pracowników, firmową pocztę e-mail, MFA, kopie zapasowe, aktualizacje komputerów, sieć Wi-Fi, Microsoft 365 lub inną platformę jak np. Google Workspace, urządzenia sieciowe i dokumentację. W wielu firmach największym ryzykiem nie jest brak drogich narzędzi, tylko brak regularnego przeglądu podstawowych zabezpieczeń.
Dlaczego bezpieczeństwo IT schodzi na dalszy plan?
Bo przez długi czas nic nie wygląda na problem. Pracownicy logują się do poczty, faktury wychodzą, pliki są dostępne, internet działa. Skoro środowisko działa operacyjnie, nikt nie pyta, czy jest dobrze zabezpieczone.
Problemy ujawniają się dopiero wtedy, gdy ktoś zadaje konkretne pytania: kto ma dostęp do poszczególnych systemów, gdzie jest kopia zapasowa, kto odpowiada za wyłączenie konta pracownika po odejściu i kiedy ostatnio sprawdzano odtworzenie danych.
Dochodzi do tego poczucie, że bezpieczeństwo IT to domena dużych korporacji. Tymczasem wiele problemów w firmowym IT nie wynika z zaawansowanych ataków – wynika z niepilnowania prostych rzeczy: aktywnych kont po byłych pracownikach, zwykłych haseł bez MFA, niejasnych uprawnień i braku osoby odpowiedzialnej za bieżącą kontrolę środowiska.
W firmach bez własnego działu IT część tej odpowiedzialności może przejąć dostawca zewnętrzny oferujący outsourcing IT – pod warunkiem, że obejmuje nie tylko reakcję na awarie, ale też regularne przeglądy, dokumentację i pilnowanie dostępów.
Przegląd IT nie musi obejmować wszystkiego od razu. Zaczyna się od zadania kilku pytań i sprawdzenia, gdzie są luki.
Konta użytkowników i dostęp byłych pracowników
Najgroźniejsze konto w firmie to często nie konto hakera, tylko konto byłego pracownika, o którym nikt nie pamięta.
Rotacja pracowników to jedno z najczęstszych źródeł niekontrolowanych dostępów. Gdy ktoś odchodzi, jego konto w Microsoft 365 czasem żyje jeszcze miesiącami – bo odejście pracownika nie uruchomiło zgłoszenia do IT, odebrania dostępów i potwierdzenia, że konta zostały zamknięte we wszystkich systemach. Podobnie konta do CRM, systemu fakturowania, VPN, skrzynki mailowej czy usług chmurowych.
Podczas audytu bezpieczeństwa IT warto sprawdzić:
- czy istnieje lista aktywnych kont użytkowników z podziałem na aplikacje i uprawnienia,
- czy konta byłych pracowników zostały wyłączone lub usunięte we wszystkich systemach,
- czy ktoś posiada uprawnienia administratora, których aktualnie nie potrzebuje,
- czy są konta współdzielone przez kilka osób – i czy to jest uzasadnione,
- czy dostęp do krytycznych zasobów (serwery, poczta, systemy finansowe) jest przypisany do konkretnych osób.
Brak procedury offboardingu to jeden z najczęstszych problemów widocznych przy pierwszym przeglądzie firmowego IT. Konta się nie dezaktywują same.
Poczta firmowa, MFA i ochrona przed phishingiem
Poczta firmowa jest jednym z najważniejszych systemów w firmie, bo przez nią da się resetować hasła do wielu innych usług. Kto przejmie skrzynkę mailową, może uzyskać „klucze” do większej części infrastruktury.
Phishing pozostaje jednym z najczęściej spotykanych sposobów ataku na firmy, bo nadal działa. Fałszywe faktury, e-maile podszywające się pod bank albo Microsoft i linki do stron wyłudzających dane logowania wystarczą, żeby przejąć konto nieuważnego użytkownika.
Pracownik nie musi być ekspertem od cyberbezpieczeństwa, żeby firma była lepiej chroniona. Kluczowe jest to, żeby kliknięcie złego linka nie wystarczyło atakującemu do przejęcia konta.
Podczas przeglądu poczty i MFA warto sprawdzić:
- czy MFA jest włączone dla wszystkich użytkowników, nie tylko dla administratorów,
- czy konta administracyjne Microsoft 365 mają dedykowane loginy oddzielone od codziennej pracy,
- czy w skrzynkach pocztowych nie ma podejrzanych reguł przekierowań ustawionych przez osoby trzecie,
- czy firma ma ustawione rekordy SPF, DKIM i DMARC – podstawową ochronę przed podszywaniem się pod domenę firmową,
- czy pracownicy wiedzą, jak rozpoznać phishing i do kogo zgłaszają podejrzane wiadomości.
MFA da się zwykle wdrożyć etapami: najpierw na kontach administracyjnych i poczcie, później na pozostałych usługach. Odkładanie tego zwiększa ryzyko przejęcia konta po wycieku hasła.
Kopie zapasowe – czy naprawdę da się je odtworzyć?
Backup, którego nikt nigdy nie odtworzył, jest bardziej założeniem niż zabezpieczeniem.
Wielu właścicieli firm odpowiada twierdząco na pytanie „czy macie backup?”, ale już mniej pewnie na „kiedy ostatnio sprawdzaliście, czy da się go przywrócić?”. Backup, który działa technicznie – czyli uruchamia się i nie zwraca błędów – to za mało. Backup jest zabezpieczeniem dopiero wtedy, gdy faktycznie można z niego odtworzyć dane w rozsądnym czasie.
Podczas audytu kopii zapasowych warto sprawdzić:
- czy kopia zapasowa obejmuje wszystkie kluczowe zasoby: pliki, bazy danych, systemy, skrzynki pocztowe,
- czy kopia zapasowa jest odseparowana od środowiska produkcyjnego – kopia przechowywana w tym samym miejscu co dane może zostać zaszyfrowana razem z nimi albo usunięta podczas incydentu,
- czy jest zdefiniowana retencja: ile wersji i za jaki okres jest przechowywana kopia,
- czy kopia zapasowa była testowo odtwarzana – i kiedy ostatnio,
- czy wiadomo, jak długo trwa przywrócenie danych i kto to robi,
- czy dane z Microsoft 365 są objęte osobną kopią zapasową – retencja, kosz usuniętych elementów i historia wersji nie zawsze wystarczą przy dłuższym czasie wykrycia problemu.
Kopia plików to nie to samo co plan odtworzenia pracy firmy. To ważna różnica, szczególnie przy większych awariach.
Komputery pracowników i aktualizacje systemów
Komputer z nieaktualnym systemem operacyjnym to jeden z najprostszych punktów wejścia dla złośliwego oprogramowania. Znane podatności są szybko opisywane, katalogowane i wykorzystywane w gotowych narzędziach, dlatego odkładanie aktualizacji realnie zwiększa ryzyko infekcji.
W wielu firmach brakuje centralnego zarządzania aktualizacjami. Każdy użytkownik sam decyduje, kiedy zainstaluje aktualizację, a zazwyczaj po prostu odkłada ją na „później”.
Podczas przeglądu komputerów warto sprawdzić:
- czy systemy operacyjne są aktualne i objęte wsparciem producenta – systemy bez aktualnego wsparcia producenta to realny problem do zaadresowania,
- czy użytkownicy mają lokalne uprawnienia administratora na swoich komputerach – to znacząco zwiększa ryzyko,
- czy na komputerach działa aktualne oprogramowanie antywirusowe lub EDR,
- czy dyski są zaszyfrowane, szczególnie na laptopach – zagubiony lub skradziony laptop bez szyfrowania to wyciek danych,
- czy prywatne komputery pracowników mają dostęp do firmowych zasobów i jak jest to kontrolowane.
Brak centralnego nadzoru nie musi oznaczać chaosu, ale wymaga jasnych zasad i regularnej weryfikacji.
Router, Wi-Fi i sieć firmowa
Sieć to obszar, który w wielu firmach wygląda tak samo od kilku lat. Router skonfigurowany przez dostawcę internetu przy instalacji, jedno hasło Wi-Fi znane wszystkim (łącznie z pracownikami, którzy już odeszli) i jedna wspólna sieć dla pracowników, gości i urządzeń.
Podczas przeglądu sieci warto sprawdzić:
- czy router ma aktualne oprogramowanie i czy ktoś w ogóle to monitoruje,
- czy hasło do Wi-Fi było zmieniane – i kiedy ostatnio,
- czy istnieje osobna sieć dla gości, oddzielona od firmowej sieci produkcyjnej,
- czy urządzenia IoT (drukarki, kamery, systemy alarmowe) są w oddzielnym segmencie sieci,
- czy VPN do zasobów firmowych wymaga MFA,
- czy istnieje aktualna dokumentacja adresacji, urządzeń sieciowych i konfiguracji.
Jedna sieć dla wszystkiego – pracowników, gości, drukarek i kamer – to konfiguracja, która w przypadku incydentu utrudnia izolację i zwiększa zasięg szkód.
Microsoft 365 i uprawnienia w chmurze
Microsoft 365 to środowisko, które w wielu firmach rozrosło się organicznie: dodawano nowych użytkowników, nadawano uprawnienia ad hoc, nikt nie robił porządków. Po kilku latach trudno powiedzieć, kto ma dostęp do czego.
Podczas przeglądu Microsoft 365 warto sprawdzić:
- czy MFA jest włączone dla wszystkich użytkowników,
- ile jest kont z uprawnieniami Global Administrator, czy ich liczba jest ograniczona do realnie potrzebnych osób i czy te konta służą wyłącznie do zadań administracyjnych,
- czy skrzynki byłych pracowników zostały zarchiwizowane lub usunięte,
- czy udostępnienia plików w SharePoint/Teams są kontrolowane – czy dane firmowe nie są przypadkowo publiczne albo dostępne dla osób spoza firmy,
- czy urządzenia mobilne z dostępem do firmowej poczty są objęte zasadami logowania, blokady ekranu i zdalnego wymazania danych,
- czy istnieje zewnętrzna kopia zapasowa Microsoft 365 – retencja, kosz i historia wersji pomagają w części sytuacji, ale nie zastępują pełnej kopii zapasowej danych firmowych.
Microsoft 365 daje dużo możliwości i dużo miejsc, gdzie uprawnienia mogą wymknąć się spod kontroli.
Dokumentacja IT – co firma powinna mieć spisane?
Brak dokumentacji nie boli na co dzień. Boli dopiero wtedy, gdy trzeba szybko odtworzyć dostęp, wymienić dostawcę albo zareagować na awarię.
W momencie incydentu brakuje czasu na szukanie odpowiedzi na pytania: gdzie jest backup, kto ma dostęp do routera, jak się logować do panelu hostingu, który technik obsługiwał serwer trzy lata temu.
Minimalna dokumentacja IT w firmie powinna obejmować:
- spis urządzeń z podstawowymi danymi: model, numer seryjny, data zakupu, lokalizacja,
- listę usług i dostawców zewnętrznych z danymi kontaktowymi i informacją o tym, kto zarządza umową,
- listę kont administracyjnych i osób z rozszerzonymi uprawnieniami,
- opis konfiguracji sieci i topologii,
- informacje o kopiach zapasowych: co jest kopiowane, jak często, gdzie jest przechowywane, jak się odtwarza,
- procedurę offboardingu pracownika,
- procedurę awaryjną: kto jest pierwszym kontaktem przy awarii krytycznej.
Dokumentacja nie musi być perfekcyjna. Musi być wystarczająco dobra, żeby ktoś nowy mógł się w środowisku odnaleźć.
„Dokumentacja IT rzadko pokazuje swoją wartość w dniu, w którym powstaje. Jej znaczenie widać dopiero wtedy, gdy ktoś o 23:00 musi odtworzyć serwer, a inżynier, który go wdrażał, już nie pracuje w firmie. Godziny poświęcone na spisanie haseł, schematów i procedur potrafią zwrócić się w jeden wieczór” – mówi Damian Cikowski, ekspert ds. bezpieczeństwa infrastruktury IT, współzałożyciel Helpwise IT, marki należącej do grupy ITENERUM, oraz członek zarządu MURENETI.
Dokumentacja przydaje się wtedy, gdy trzeba szybko przejąć obsługę po poprzednim dostawcy, odtworzyć dane, wyłączyć dostęp byłego pracownika albo sprawdzić, kto ma uprawnienia administratora. Bez dokumentacji każda taka sytuacja zaczyna się od zgadywania.
Kiedy prosty przegląd IT przestaje wystarczać?
Jednorazowy audyt IT odpowiada na pytanie: jak jest teraz? Nie daje ciągłości.
Jeżeli firma nie ma osoby odpowiedzialnej za konta, aktualizacje, kopie zapasowe, dokumentację i reakcję na zgłoszenia, pojedynczy przegląd szybko przestaje wystarczać. Środowisko zmienia się: pojawiają się nowi pracownicy, nowe usługi, nowe urządzenia. Lista zaniedbań rośnie znowu.
Wtedy potrzebna jest stała odpowiedzialność za środowisko – wewnętrzna albo zewnętrzna. Firmy, które szukają takiego modelu lokalnie, często wpisują w wyszukiwarkę frazy typu „obsługa IT Warszawa” albo „stała obsługa informatyczna firmy”. Pod tym pojęciem powinno kryć się nie tylko reagowanie na zgłoszenia, ale też administracja, kopie zapasowe, bezpieczeństwo i dokumentacja.
Jak często robić audyt bezpieczeństwa IT?
Przegląd bezpieczeństwa IT nie musi być jednym dużym, corocznym projektem. Część obszarów warto sprawdzać co kilka miesięcy, a inne przy konkretnych zmianach w firmie: odejściu pracownika, wdrożeniu nowego systemu albo zmianie dostawcy.
Warto też zainwestować w system monitorowania, który nie czeka na ręczną kontrolę, tylko sam zgłasza problemy: nieudany backup, brak miejsca na dysku, wyłączoną usługę, niedostępny serwer albo urządzenie, które przestało odpowiadać. Dzięki temu część ryzyk widać od razu, a nie dopiero przy kolejnym przeglądzie.
Regularnie, co kilka miesięcy: aktywne konta użytkowników, uprawnienia w Microsoft 365, stan kopii zapasowych i wyniki testów odtworzenia, aktualizacje systemów i oprogramowania.
Co roku lub przy ważnych zmianach: pełniejszy przegląd sieci, konfiguracji routera i Wi-Fi, dokumentacji IT, procedur offboardingu, dostępów administracyjnych.
Przy każdym odejściu pracownika: wyłączenie kont, odebranie dostępów, archiwizacja skrzynki.
Przy wdrożeniu nowych systemów lub dostawców: weryfikacja, czy dostępy są poprawnie skonfigurowane i udokumentowane.
Firmy, które dopiero zaczynają porządkować IT, często odkrywają, że pierwsze przejście przez każdy obszar zajmuje kilka dni. Kolejne są szybsze, bo wiadomo, na co patrzeć.
Checklista: 12 rzeczy do sprawdzenia w firmowym IT
- Czy wszystkie konta byłych pracowników są wyłączone?
- Czy MFA działa na poczcie i kontach administracyjnych?
- Czy wiadomo, kto ma uprawnienia administratora?
- Czy kopie zapasowe były testowo odtwarzane?
- Czy kopia zapasowa obejmuje najważniejsze dane, systemy i Microsoft 365?
- Czy komputery mają aktualne systemy i zabezpieczenia?
- Czy użytkownicy mają lokalne uprawnienia administratora?
- Czy firmowe Wi-Fi jest oddzielone od sieci gościnnej?
- Czy VPN wymaga MFA?
- Czy Microsoft 365 ma uporządkowane role i udostępnienia?
- Czy istnieje aktualna dokumentacja IT?
- Czy wiadomo, kto odpowiada za reakcję w razie awarii?
Podsumowanie
Audyt bezpieczeństwa IT w firmie to przede wszystkim sprawdzenie, czy podstawowe elementy środowiska są pod kontrolą. Konta, poczta, kopie zapasowe, aktualizacje, sieć, Microsoft 365, dokumentacja – każdy z tych obszarów ma swoje zagrożenia i każdy można sprawdzić bez dużego projektu.
Największe ryzyka w firmowym IT rzadko biorą się z braku zaawansowanych narzędzi. Częściej wynikają z zaniedbanych podstaw: niezamkniętych kont, nieprzetestowanych kopii zapasowych, nieaktualnych systemów, niejasnych uprawnień i braku osoby, która regularnie sprawdza, czy środowisko działa bezpiecznie.
FAQ
Co to jest audyt bezpieczeństwa IT?
Audyt bezpieczeństwa IT to przegląd środowiska informatycznego firmy pod kątem luk i zaniedbań. Nie zawsze musi być formalnym projektem – może zaczynać się od sprawdzenia kilku kluczowych obszarów: kont użytkowników, kopii zapasowych, MFA, aktualizacji systemów, uprawnień w Microsoft 365, konfiguracji sieci i dokumentacji.
Czy firma potrzebuje audytu IT?
Tak, jeśli jej codzienna praca zależy od poczty e-mail, komputerów, systemu księgowego, Microsoft 365, VPN albo wspólnych zasobów. Audyt nie musi oznaczać dużego projektu. Powinien jednak regularnie sprawdzać podstawowe obszary: konta, kopie zapasowe, aktualizacje, MFA, urządzenia i dokumentację.
Jak często robić audyt bezpieczeństwa IT?
Podstawowe rzeczy – konta, uprawnienia, stan kopii zapasowych, aktualizacje – warto sprawdzać co kilka miesięcy. Pełniejszy przegląd sieci, dokumentacji i procedur raz w roku lub przy ważnych zmianach w firmie. Każde odejście pracownika powinno automatycznie uruchamiać procedurę przeglądu dostępów.
Co sprawdzić w pierwszej kolejności?
Konta byłych pracowników i MFA. To dwa obszary, które w wielu firmach mają luki i które można sprawdzić szybko. Aktywne konto byłego pracownika bez MFA to poważne ryzyko, które można wyeliminować bez dużych nakładów.
Czy backup wystarczy do zabezpieczenia firmy?
Kopia zapasowa to jeden element układanki, nie całe zabezpieczenie. Sama kopia nie chroni przed phishingiem, przed nieautoryzowanym dostępem ani przed incydentami, które nie dotyczą utraty danych. Nawet jako zabezpieczenie danych działa tylko wtedy, gdy jest testowo odtwarzana i odseparowana od środowiska produkcyjnego.
Dlaczego konta byłych pracowników są ryzykiem?
Były pracownik z aktywnym kontem ma dostęp do firmowej poczty, systemów i danych – niezależnie od tego, w jakich okolicznościach odszedł. Nawet jeśli nie ma złych intencji, konto bez nadzoru jest potencjalnym punktem wejścia dla osób trzecich. Brak procedury wyłączania kont przy offboardingu to jeden z najczęstszych problemów w firmach bez stałej opieki IT.
Czy MFA jest potrzebne w firmie?
Tak, szczególnie dla kont z dostępem do poczty firmowej, Microsoft 365 i systemów administracyjnych. MFA znacząco ogranicza skuteczność phishingu i ataków na hasła – nawet jeśli hasło wycieknie, bez drugiego składnika atakujący nie zaloguje się do systemu. Podstawowe MFA w Microsoft 365 często da się uruchomić szybko, ale warto wcześniej przygotować użytkowników i sprawdzić, czy nie ma starszych aplikacji korzystających ze starych metod logowania.
Czy audyt IT musi być drogi?
Podstawowy przegląd można przeprowadzić wewnętrznie, używając wbudowanych narzędzi Microsoft 365, przeglądu aktywnych kont i rozmowy z osobą odpowiedzialną za IT. Koszt rośnie przy głębszej analizie logów, testach penetracyjnych albo gdy środowisko wymaga porządkowania. W wielu firmach pierwsza wartość pochodzi już z samego zadania pytań i zapisania tego, co z tych pytań wynika.
Obowiązek Informacyjny RODO
Polityka Prywatności
Jak wyłączyć cookies
Cyberbezpieczeństwo