Nowy adres siedziby spółki: Przemysłowa 30, 00-450 Warszawa

GoNextStage Blog Audyt bezpieczeństwa środowiska teleinformatycznego w branży budowlanej do certyfikacji ISO 27001 – studium przypadku

BLOG

Warto się dzielić wiedzą

WSZYSTKIE WPISY

3 min

Audyt bezpieczeństwa środowiska teleinformatycznego w branży budowlanej do certyfikacji ISO 27001 – studium przypadku

Współczesne budownictwo opiera się na danych. Cyfrowy obieg dokumentacji, modele BIM, systemy ERP stanowią kręgosłup operacyjny każdej budowy. Dla dużego podmiotu z branży budowlanej, przerwa w dostępie do tych zasobów oznacza realne straty finansowe i przestoje na kontraktach. Sprawdź, jak zespół GoNextStage przeprowadził kompleksowy audyt bezpieczeństwa ITktóry zdefiniował krytyczne zagrożenia i stał się fundamentem do uzyskania certyfikacji ISO/IEC 27001.  

Specyfika sektora budowlanego a ryzyko IT

W branży budowlanej ciągłość procesów zależy od stabilności systemów w warunkach wysokiego rozproszenia. Organizacja musi zapewnić płynny i bezpieczny dostęp do danych inżynierom na placach budów (często korzystającym z tymczasowych łączy) oraz zewnętrznym partnerom i biurom projektowym.

Klient, mimo inwestycji w nowoczesne narzędzia, borykał się z brakiem spójnej strategii bezpieczeństwa. Dynamika rozwoju biznesu wyprzedziła ewolucję procedur ochronnych, co doprowadziło do sytuacji, w której kluczowe aktywa firmy były chronione jedynie pozornie.

Czyli infrastruktura posiadała punkty styku bezpośrednio z siecią publiczną, co pozwalało na próby logowania do paneli administracyjnych z dowolnego miejsca na świecie. W połączeniu z brakiem rotacji haseł oraz aktywnymi kontami byłych pracowników, systemy te były bezpośrednio narażone na nieautoryzowane przejęcie.

Cele strategiczne i potrzeba niezależnej oceny

W obliczu planowanego wdrożenia norm ISO, zarząd postawił dwa strategiczne cele:

  • Wzmocnienie odporności operacyjnej: opracowanie i wdrożenie mechanizmów, które zagwarantują ciągłość procesów biznesowych oraz bezpieczeństwo danych niezależnie od incydentów zewnętrznych.
  • Niezależną weryfikację procesów i kompetencji: przeprowadzenie bezstronnej oceny procedur oraz kompetencji zespołu wewnętrznego przez ekspertów zewnętrznych. Działanie to miało na celu uzyskanie obiektywnego obrazu stanu bezpieczeństwa przed przystąpieniem do certyfikacji.

Od strategii do działania

Aby dostarczyć zarządowi obiektywny obraz sytuacji i przygotować firmę do wymogów ISO 27001, GoNextStage podzieliło prace na cztery kluczowe obszary. Takie podejście pozwoliło sprawdzić bezpieczeństwo na każdym poziomie – od dokumentacji, po szczelność konfiguracji technicznych.

4 etapy badania odporności Spółki

W pierwszej kolejności zespół GoNextStage przeprowadził analizę deklaratywną oraz dokumentacyjną. Eksperci zweryfikowali, czy standardy bezpieczeństwa (np. dotyczące haseł czy zgłaszania incydentów) są faktycznie stosowane przez pracowników.

Następnie zespół przeszedł do weryfikacji technicznej, która skonfrontowała dokumenty z rzeczywistymi ustawieniami systemów, sieci oraz środowiska chmurowego. To na tym etapie zidentyfikowano luki stanowiące bezpośrednie zagrożenie dla ciągłości procesów biznesowych. Najważniejsze wykryte nieprawidłowości dotyczyły:

  • Zarządzanie tożsamością (IAM): Audyt wykazał istotne braki w obszarze zarządzania uprawnieniami i tożsamościami. Zidentyfikowano martwe konta użytkowników, których przejęcie mogło prowadzić do eskalacji uprawnień. Funkcjonowały również nieaktualne polityki IAM, które nie miały odzwierciedlenia w rzeczywistych systemach i procesach. Brak było skutecznych mechanizmów kontroli nad nadawaniem i utrzymywaniem uprawnień, a zasoby nie posiadały przypisanych właścicieli odpowiedzialnych za akceptację dostępu. W połączeniu z dużą skalą środowiska i liczbą użytkowników stanowiło to istotne ryzyko dla bezpieczeństwa organizacji.
  • Deficyt ochrony aktywnej (EDR): Blisko połowa stacji roboczych inżynierów oraz serwerów nie posiadała nowoczesnej ochrony klasy enterprise. W przypadku ataku ransomware na laptopa pracującego na budowie, wirus mógłby swobodnie rozprzestrzenić się na resztę firmy, pozostając niewykrytym aż do momentu całkowitego zablokowania danych.
  • Dług technologiczny (EOL): Wykazaliśmy eksploatację systemów operacyjnych (np. Windows Server 2012), dla których producent przestał wydawać poprawki bezpieczeństwa. Takie systemy są podatne na zautomatyzowane ataki, które przejmują nad nimi kontrolę bez konieczności łamania haseł, co bezpośrednio zagrażało stabilności systemów ERP i baz danych.
  • Krytyczne błędy konfiguracji chmury: porty zarządzania (RDP/SSH) w środowisku Microsoft Azure były udostępnione bezpośrednio z publicznych adresów IP. Brak restrykcji na poziomie sieciowym (Network Security Groups) generował krytyczny wektor ataku typu brute-force. Taka konfiguracja umożliwiała zautomatyzowanym narzędziom hakerskim nieustanne próby przełamania zabezpieczeń, co mogło skutkować wyciekiem danych projektowych lub generowaniem nieautoryzowanych kosztów za zasoby chmurowe.

Proces zakończyła diagnoza i raport końcowy. Zespół GoNextStage przekazał kompleksową dokumentację zidentyfikowanych luk wraz z ich hierarchią (od krytycznych po niskie). Do każdego błędu przypisano konsekwencje biznesowe oraz rekomendacje, które stały się mapą drogową do uzyskania certyfikacji ISO.

Od diagnozy do odporności operacyjnej

Identyfikacja ryzyk pozwoliła Spółce przejść z modelu reaktywnego na aktywne zarządzanie bezpieczeństwem. Wykazane przez GoNextStage luki przestały być jedynie teoretycznym zagrożeniem, a stały się podstawą do wdrożenia konkretnych zmian procesowych i technicznych.

Rezultat i korzyści biznesowe

Zrealizowany przez GoNextStage audyt przyniósł Spółce mierzalne efekty:

  • Fundament pod ISO 27001: uzyskano pełną dokumentację stanu zabezpieczeń oraz plan mitygacji luk.
  • Stabilność operacyjna budów: wyeliminowanie punktowych zagrożeń (otwarte porty, brak detekcji) obniżyło ryzyko kosztownych przestojów na kontraktach.
  • Optymalizacja nadzoru IT: zarząd zyskał narzędzia do obiektywnego monitorowania jakości pracy działu IT.

Dzięki wdrożonym rekomendacjom organizacja uzyskała bezstronny obraz stanu faktycznego i pełną gotowość do certyfikacji ISO 27001. Kluczową korzyścią było wyeliminowanie ryzyk technicznych, które bezpośrednio zagrażały płynności operacyjnej Spółki. Współpraca z GoNextStage pozwoliła przekształcić teoretyczne procedury w szczelny system nadzoru, gwarantujący bezpieczeństwo procesów biznesowych.

UMÓW ROZMOWĘ
Autor: Zespół GoNextStage

Jak realizujemy projekty?

ZOBACZ WIĘCEJ

CASE STUDY

Poznaj historie naszych Klientów

VINCI Construction Polska
Canal+

SKONTAKTUJ SIĘ Z NAMI

Przejdź na wyższy poziom biznesu