Contextul
Clientul
Operator regional de servicii esențiale, ~300 de angajați, 4 locații, echipă IT de 3 persoane plus un furnizor extern.
Situația la start
Înregistrat la DNSC, câteva politici moștenite „de la ISO”, backup existent dar netestat de peste un an, fără MFA pe sistemele critice.
Misiunea
Audit de conformitate complet pe măsurile Art. 21, cu plan de remediere. Durata: 6 săptămâni, echipă de 2 auditori + 1 pentester.
Ce am găsit
În cifre: 42 de neconformități, dintre care 14 critice, 17 ridicate și 11 medii. Cele mai grave trei:
| Constatare | Severitate | Cerința legală |
|---|---|---|
| MFA absent pe accesul de la distanță și pe conturile de administrare | Critic | Art. 21 — autentificare multifactor |
| Backup existent, dar nerestaurat/netestat de 14 luni; un set de copii, în aceeași locație cu sistemele | Critic | Art. 21 — continuitate & backup |
| Conturi de domeniu active pentru 9 foști angajați; drepturi de administrator local generalizate | Critic | Art. 21 — controlul accesului |
Tipic pentru astfel de misiuni: problemele mari nu sunt exotice. Sunt lucruri de bază, rămase nefăcute pentru că „mereu a fost altceva mai urgent”.
Mostre de livrabile
Așa arată documentele pe care le primești (mostre ilustrative, cu date fictive):
Rezultatul, la 90 de zile
- Toate cele 14 neconformități critice închise și re-verificate: MFA activ, backup testat lunar cu copie separată, conturile orfane eliminate.
- Scorul de conformitate a crescut de la 38% la 74%, cu plan clar pentru restul.
- Dosar de probe organizat, gata de inspecție — și, la fel de important, o echipă internă care știe de ce face fiecare lucru.
Studiu de caz ilustrativ: cifrele și constatările reflectă situații reale întâlnite în misiuni de audit, anonimizate și combinate pentru protejarea confidențialității. Niciun detaliu nu identifică o organizație reală.
Curios cum ar arăta cifrele tale?
Începe cu verificarea gratuită, apoi discutăm despre o evaluare reală.