Czy przy świadczeniu usług z zakresu bezpieczeństwa IT bezpieczne jest mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności?

PYTANIE SZCZEGÓŁOWE 

Czy przy świadczeniu usług z zakresu bezpieczeństwa IT bezpieczne jest mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności?

ODPOWIEDŹ

Samo mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności nie jest problemem samym w sobie, a wręcz stanowi niezbędny etap prawidłowo przeprowadzonej analizy ryzyka. Zgodnie z wytycznymi UODO, identyfikacja i inwentaryzacja aktywów, w tym wykaz systemów IT, infrastruktury oraz różnego rodzaju aplikacji biznesowych, to podstawowy krok pozwalający na określenie stanu faktycznego i ocenę bezpieczeństwa.

Prawdziwym wyzwaniem dla bezpieczeństwa IT nie jest więc proces mapowania, ale dalsza dystrybucja powstałego dokumentu (z rygorystycznym zachowaniem zasady wiedzy koniecznej) oraz jego bezpieczne przechowywanie. Stworzona mapa procesów i obsługujących je zasobów (w tym sprzętu, oprogramowania czy powiązań sieciowych) staje się nowym, niezwykle cennym aktywem dla administratora. Tego typu dokumentacja musi podlegać najwyższej ochronie, ponieważ zawiera szczegółowe informacje o architekturze, które w niepowołanych rękach ułatwiłyby zidentyfikowanie podatności (słabości i luk) całej infrastruktury.

W związku z tym kluczowe jest wdrożenie odpowiednich środków organizacyjnych i technicznych, które zabezpieczą samą mapę systemów przed swobodnym dostępem i zagwarantują jej poufność.