Czy przy świadczeniu usług z zakresu bezpieczeństwa IT bezpieczne jest mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności?

PYTANIE SZCZEGÓŁOWE 

Czy przy świadczeniu usług z zakresu bezpieczeństwa IT bezpieczne jest mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności?

ODPOWIEDŹ

Samo mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności nie jest
problemem samym w sobie, a wręcz stanowi niezbędny etap prawidłowo przeprowadzonej analizy
ryzyka. Zgodnie z wytycznymi UODO, identyfikacja i inwentaryzacja aktywów, w tym wykaz
systemów IT, infrastruktury oraz różnego rodzaju aplikacji biznesowych, to podstawowy krok
pozwalający na określenie stanu faktycznego i ocenę bezpieczeństwa.

Prawdziwym wyzwaniem dla bezpieczeństwa IT nie jest więc proces mapowania, ale dalsza
dystrybucja powstałego dokumentu (z rygorystycznym zachowaniem zasady wiedzy koniecznej)
oraz jego bezpieczne przechowywanie. Stworzona mapa procesów i obsługujących je zasobów
(w tym sprzętu, oprogramowania czy powiązań sieciowych) staje się nowym, niezwykle cennym
aktywem dla administratora. Tego typu dokumentacja musi podlegać najwyższej ochronie,
ponieważ zawiera szczegółowe informacje o architekturze, które w niepowołanych rękach
ułatwiłyby zidentyfikowanie podatności (słabości i luk) całej infrastruktury.

W związku z tym kluczowe jest wdrożenie odpowiednich środków organizacyjnych
i technicznych, które zabezpieczą samą mapę systemów przed swobodnym dostępem
i zagwarantują jej poufność.