Audyt informatyczny w Twojej firmie

Audyt informatyczny to analiza systemów informatycznych i zabezpieczeń w Twojej firmie. Warto go przeprowadzić zarówno w sytuacji, gdy korzystamy z outsourcingu IT, jak i wtedy, gdy zatrudniamy specjalistów u siebie w firmie.

Oto korzyści płynące z wykonania audytu:

  • Zwiększenie świadomości związanej z posiadanymi systemami informatycznymi oraz ich zabezpieczeniami
  • Wskazanie potencjalnych luk w zabezpieczeniach, krytycznych błędów i wąskich gardeł narażających firmę na straty finansowe i wizerunkowe
  • Niezbędny etap dostosowywania systemów informatycznych firmy do obowiązujących przepisów
  • Zabezpieczenie przed karami administracyjnymi (przede wszystkim Urzędu Ochrony Danych Osobowych) w przypadku wystąpienia incydentu bezpieczeństwa świadczące o dbałości firmy w kwestiach bezpieczeństwa IT
  • Zdiagnozowanie problemów pracowników podczas korzystania z systemów informatycznych

Direct IT ma wieloletnie doświadczenie na rynku informatycznym, zapraszamy do kontaktu. Zamów audyt informatyczny w Twojej firmie!

tel: +48 61 646 08 70
e-mail: [email protected]

Zamów audyt informatyczny w Twojej firmie


Outsourcing IT – zbiór dobrych praktyk współpracy

Outsourcing IT – zbiór dobrych praktyk współpracy

Na podstawie wieloletnich doświadczeń stworzyliśmy zbiór dobrych praktyk skutecznej współpracy biznesu i partnera odpowiedzialnego za usługi i infrastrukturę informatyczną (outsourcing IT).

  1. Wyznaczenie osoby do współpracy z ramienia firmy klienta
    • osoba zorientowana we wszystkich obszarach funkcjonowania firmy oraz posiadająca przełożenie na decyzje zarządu umożliwia skuteczne wdrażanie właściwych rozwiązań. 
  2. Przedstawienie pracownikom zasad współpracy z partnerem IT
    • powinno się poinformować wszyskich pracowników firmy o nawiązaniu współpracy np. wiadomością mailową; określony w niej jest jej zakres, zasady oraz kanały komunikacji.
  3. Udział partnera IT w planowaniu rozwoju firmy
    • rozwój firmy zarówno w zakresie rozwiązań technologicznych, jak i nowych lokalizacji czy remontów istniejących przestrzeni powinien odbywać się w konsultacji z partnerem IT i z uwzględnieniem jego sugestii.
    • zapewni to uwzględnienie wszystkich potrzeb zarówno obecnych, jak i pojawiających się w najbliższej przyszłości. 
    • dodatkowo wykonanie prac instalacyjnych równolegle z budowlanymi pozwoli zoptymalizować koszty i czas realizacji rozwoju infrastruktury IT. 
  4. Otwartość na sugestie partnera 
    • biznes firmy jest zawsze priorytetem, ale warto być otwartym na propozycje i uwagi partnera IT, by zastosować rozwiązanie zapewniające bezpieczeństwo i ciągłość funkcjonowania firmy przy optymalnych kosztach.

Najczęściej występujące błędy:

  1. Brak zrozumienia zasad i zakresu współpracy 
    • pakiet abonamentowy ustalony w umowie określa, które prace są uwzględnione w ryczałcie; za dodatkowe działania firma jest rozliczana odrębnie i otrzyma dodatkową fakturę.
  2. Używanie innych kanałów komunikacji niż ustalone
    • zgłoszenia z pominięciem wskazanych w umowie numerów telefonu bądź maili i próby kontaktu bezpośredniego do konkretnych osób; powoduje to wydłużenie czasu rozwiązania problemu.
  3. Brak aktualnej dokumentacji infrastruktury IT
    • sprawne rozwiązywanie problemów oraz współpraca z firmami trzecimi, oraz dostosowanie rozwiązań IT do wymogów prawnych czy standardów bezpieczeństwa odbywa się w oparciu o aktualną dokumentację; w przypadku jej braku koszt usług wzrasta ze względu na dłuższy czas realizacji każdego zadania.
  4. Brak informacji o zmianach personalnych w firmie
    • zakończenie współpracy z pracownikiem w firmie powinno automatycznie wiązać się z zablokowaniem kont elektronicznych oraz dostępu do infrastruktury IT i danych wrażliwych; zatrudnienie nowej osoby wymaga przygotowania takich dostępów i nadanie uprawnień oraz przeszkolenie pracownika z zasad bezpieczeństwa.
  5. Nieuwzględnienie partnera przy planowaniu rozwoju firmy
    • rozwój firmy bez uwzględnienia obszaru IT powoduje wdrażanie droższych rozwiązań doraźnych; wykonywanie prac instalacyjnych po zakończeniu inwestycji utrudniające bieżące funkcjonowanie i zwiększające koszty prac; powoduje również nieuwzględnienie w nowych rozwiązaniach zaplanowanych na nieodległą przyszłość zmian firmy.
  6. Zakup sprzętu IT bez konsultacji z partnerem
    • samodzielne wybór sprzętu obarczony jest ryzykiem nieodpowiedniego doboru parametrów urządzeń oraz nieuwzględnieniem wszystkich wymogów związanych z licencjami zainstalowanego oprogramowania.
  7. Nieprzekazanie kluczowych informacji podczas nawiązywania współpracy 
    • brak kompleksowej informacji dotyczącej kluczowych obszarów działalności firmy, oraz najważniejszych dokumentów skutkować może paraliżem funkcjonowania lub bezpowrotną utratą danych.

 

Zespół Direct IT

 

Outsourcing IT - zbiór dobrych praktyk współpracy


Direct IT partnerem Malwarebytes

Direct IT partnerem Malwarebytes. Jednym z największych niebezpieczeństw czyhających na użytkowników internetu jest uzyskanie dostępu do komputera czy serwera i zapisanych na nim danych za pośrednictwem złośliwego oprogramowania określanego słowem malware. Najbardziej uciążliwą i groźną wersją takich ataków jest atak ransomware. Oprogramowanie takie blokuje dostęp do systemu lub uniemożliwia odczyt danych w celu wymuszenia okupu.
Chcąc zapewnić bezpieczeństwo naszym klientom wprowadziliśmy do naszej oferty oprogramowanie Malwarebytes. Jest to zaawansowane rozwiązanie zabezpieczające przeznaczone do ochrony zarówno komputerów osobistych jak i serwerów. Działa jak tradycyjny program antywirusowy, ale dodatkowo chroni również przed złośliwym oprogramowaniem, ransomware, złośliwymi stronami internetowymi i innymi zaawansowanymi zagrożeniami.
Komputery Apple z systemem Mac OS były bardziej odporne na tradycyjne wirusy. Jednak w przypadku ataków malware ryzyko jest takie samo, dlatego warto zainstalować ochronę Malwarebytes również na tych urządzeniach.
Direct IT jest partnerem Malwarebytes. Zachęcamy do kontaktu w celu zabezpieczenia komputerów i serwerów w Twojej firmie:
tel: +48 61 646 08 70

UWAGA! Luki w zabezpieczeniu urządzeń Dell

W ostatnim czasie wykryte zostały bardzo poważne luki w zabezpieczeniu laptopów, notebooków i tabletów firmy Dell (lista zagrożonych zagrożonych modeli znajduje się na stronie: www.dell.com/support/kbdoc/pl-pl/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability). Jeśli w Twojej firmie używa się takie urządzenia zdecydowanie rekomendujemy podjęcie działań w celu usunięcia tego problemu. Brak rekacji może skutkować pełnym dostępem do urządzenia i instalacją złośliwego oprogramowania lub wyczyszczenia zawartości dysku. Jeśli potrzebujesz pomocy w zabezpieczeniu Twoich firmowych komputerów, zapraszamy do kontaktu: [email protected] lub https://directit.pl/kontakt. Poniżej szczegóły dotyczące problemu.

Błąd w zabezpieczeniach wykrył zespół SentinelOne i dotyczy sterownika DBUtil. Jest on instalowany i ładowany podczas procesu aktualizacji systemu BIOS na komputerach Dell z systemem Windows. Problem dotyczy setek milionów laptopów, notebooków i tabletów produkowanych przez firmę Dell. Zagraża im zestaw pięciu poważnych podatności, których nie wykryto co najmniej od 2009 r. Luki umożliwiają atakującemu, który uzyskał już wcześniej dostęp do systemu, eskalowanie uprawnień a nawet – w niektórych sytuacjach – na uzyskanie dostępu na poziomie jądra. Przy czym atak może zainicjować czyli zdobyć pierwszy przyczółek w systemie coś tak ‘trywialne’ jak złośliwy załącznik. Cztery z pięciu luk w zabezpieczeniach (zidentyfikowanych jako CVE-2021-21551) dotyczy właśnie kwestii podniesienia uprawnień, a ostatnia skutkuje wystąpieniem denial-of-service.

Dwa z błędów powiązanych z eskalacją uprawnień są wynikiem uszkodzenia pamięci, kolejne dwa to efekt braku walidacji danych wejściowych. Tymczasem błąd typu „odmowa usługi” wynika z problemu z logiką samego kodu.

Błędy dają atakującym sposób na ominięcie produktów zabezpieczających, wyczyszczenie dysku twardego lub zainstalowanie złośliwego sterownika na kontrolerze domeny. Atakującym może więc skutecznie uczynić się więc ‘administratorem’ takiego podatnego systemu. Luki w zabezpieczeniu laptopów notebooków i tabletów firmy Dell warto zatem potraktować jako poważne zagrożenie.


Czy Twoje hasła, które używasz w sieci są wystarczająco silne?

Czy Twoje hasła, które używasz w sieci są wystarczająco silne i zapewniają bezpieczeństwo danych? Zapraszamy do zapoznania się z artykułem na temat zasad używania haseł.

Nieautoryzowany dostęp to potencjalnie poważny problem dla każdego, kto korzysta z komputera, smartfona czy tabletu. Konsekwencje dla ofiar takich włamań mogą obejmować utratę cennych danych, informacji bankowych, pieniędzy czy nawet tożsamości. Tak, tożsamości – dochodziło do sytuacji, w których nieautoryzowani użytkownicy dokonywali przestępstw w imieniu właściciela urządzenia.

Jednym z najczęstszych sposobów włamywania się hakerów do komputerów jest odgadywanie haseł. Proste i powszechnie używane hasła umożliwiają intruzom łatwy dostęp i kontrolę nad urządzeniem komputerowym. Jak to możliwe, że haker jest w stanie odgadnąć czyjeś hasło? Od lat, trzy najczęściej wykorzystywane hasła to 123456, 123456789 i password

Kolejnym sposobem jest łamanie haseł. Jest to proces odzyskiwania haseł z danych, które zostały zapisane lub transmitowane przez system komputerowy w postaci zaszyfrowanej. Zazwyczaj jest to wykonywane poprzez atak siłowy, czyli ciągłe powtarzanie próby odgadnięcia haseł i porównywanie ich z dostępnym hashem kryptograficznym hasła. 

Sprawdź czy Twoje hasła, których używacie w sieci są wystarczająco silne i bezpieczne?

Warto zajrzeć na strony, które pomogą zweryfikować czy aktualne hasła, których używacie w sieci są wystarczająco silne:

https://howsecureismypassword.net/ Jest to strona, na której można sprawdzić, ile rzeczywiście czasu zajęłoby komputerowi złamanie twojego hasła. Idealnie odzwierciedla to, jak bardzo istotne są silne hasła. Dla przykładu złamanie hasła “nowak123” zajęłoby dokładnie 1 minutę 

https://haveibeenpwned.com/Passwords w have i been pwned pozwala nam dowiedzieć się, czy podane przez nas hasło znajduje się na liście skompromitowanych haseł ze znanych wycieków. Jeśli hasło zostało gdzieś zauważone, strona zaświeci nam się na czerwono i otrzymamy informacje w ilu wyciekach hasło znajdowało się na liście.

Jak tworzyć dobre hasła?

Co najmniej 8 znaków, duże i małe litery, cyfry i znaki specjalne (np. *, &, $ itp.). Spełnienie każdej z tych zasad w tworzonym haśle sprawi, że będzie ono bezpieczne.

Czego należy unikać:

  • powtórzenia loginu,
  • słów, które znajdziemy w słowniku, np. football, mojehaslo, bydgoszcz,
  • ciągów znaków występujących obok siebie na klawiaturze, np. 123qwerty, zxcvbnm, [email protected]#123,
  • własnego imienia i nazwiska, imion bliskich osób, dzieci,
  • kombinacji, które można łatwo odgadnąć posiadając podstawową wiedzę o użytkowniku, np. data urodzenia, miejsce zamieszkania, numer telefonu.

Dobrym sposobem jest również tworzenie haseł długich, składających się z niezwiązanych ze sobą słów prostych do zapamiętania

Zróżnicowanie hasłe w różnych serwisach

Jeśli hakerzy uzyskają dostęp do danych logowania do jednej z usług, z których korzystasz, mogą następnie użyć tych informacji, aby uzyskać dostęp do innych Twoich kont online, na których użyłeś tego samego hasła. Używanie unikalnego hasła dla każdego konta zapobiega takiej sytuacji. Nawet w przypadku naruszenia danych w jednej z usług, z których korzystasz, Twoje inne konta nie są zagrożone.

Dwuskładnikowe uwierzytelnianie

Podwójne uwierzytelnianie często wymaga podania dodatkowego, jednorazowego hasła, PINu, tokenu po podaniu loginu i hasła do konta użytkownika na danej stronie WWW. Sprawia to, że sam login i hasło nie wystarczą nieautoryzowanemu użytkownikowi by dostać się do konta

Jak przechowywać hasła

Ze względu na to, że coraz więcej osób pracuje z domu, liczba haseł, których używamy na co dzień znacznie wzrosła. W związku z tym w większości przypadków zapamiętanie takiej ilości haseł jest najzwyczajniej niemożliwe, z pomocą przychodzą Menedżery haseł, które oferują bezpieczne sejfy, które mogą zastąpić naszą często wadliwą i przepracowaną pamięć. Menedżer haseł zapewnia wygodę, pomaga tworzyć lepsze hasła i bezpiecznie je przechowuje dzięki czemu Twoja obecność w Internecie jest mniej podatna na ataki oparte na hasłach.. 

Proponowane rozwiązanie – KeePass 

Jest rozwiązaniem całkowicie darmowym. Potrafi synchronizować dane między urządzeniami. Posługuje się bardzo mocnymi algorytmami szyfrującymi. Jest opensourcem –  co wpływa m.in. na bezpieczeństwo, niezależność i trwałość. Działa na Windowsie, Linuksie, Macu, Androidzie i IOSie 

hasła - proponowane rozwiązanie - KeePass

KeePass nie jest oprogramowaniem najprostszym w użytkowaniu. W porównaniu z innymi darmowymi menedżerami haseł, KeePass jest mniej intuicyjny i wygodny w użytkowaniu. Jednak prawdziwą wartością KeePass’a jest zaskakująca liczba funkcji i siła bezpieczeństwa na najwyższym poziomie. Jeżeli jesteś w stanie poświęcić chwilę na naukę tego rozwiązania – z pewnością spełni ono wszystkie twoje wymagania.

Bezpieczeństwo calej firmy 

Zgodnie z informacjami ze strony Keeper – 81% naruszeń bezpieczeństwa w firmach jest spowodowanych słabymi hasłami.  Przekłada się to na średnio 7 milionów dolarów kosztów przy każdym z naruszeń. Menedżer haseł sprawi że hasła i wszystkie wrażliwe dane twojej firmy będą bezpieczne, jeśli potrzebujesz pomocy w dobraniu, wdrożeniu i skonfigurowaniu managera haseł w twojej firmie zgłoś się do nas

Aleksander Fryszkowski


Metropol Group – zarządzanie galeriami handlowymi

Metropol Group kupiła pięć galerii handlowych i zwróciła się do nas z następującymi zadaniami:
– zarządzanie siecią galerii handlowych z nowo utworzonego biura w Warszawie
– wdrożenie spójnej i bezpiecznej komunikacji
– zapewnienie potrzebnego sprzętu, oprogramowania oraz infrastruktury sieciowej (informatycznej) we wszystkich lokalizacjach

Zadanie zostało zrealizowane poprzez następujące działania:
– współpraca z firmą informatyczną poprzedniego właściciela
– audyt wszystkich lokalizacji
– dostarczenie sprzętu, kontrola i instalacja oprogramowania, rozwiązanie problemów użytkowników
– instalacja sieci w oparciu o routery MikroTik
– migracja przepływu dokumentów do Google Workspace i poczty elektronicznej do Gmail
– przeniesienie działu księgowego na nowe komputery z zachowaniem szczególnych warunków bezpieczeństwa i uwzględniając wszystkie potrzeby

Po wdrożeniu nowych rozwiązań Direct IT opiekuje się siecią galerii w następującym zakresie:
– monitoring działania sieci
– serwisowanie i dostarczanie sprzętu informatycznego
– dostarczanie materiałów eksploatacyjnych

case study - Metropol Group


Napisz do nas