Am crezut o perioadă că „suntem ok” pentru că aveam antivirus și parole nu chiar „123456”. Apoi un client a întrebat dacă putem trimite dovada că datele lor sunt în siguranță. Am deschis laptopul, m-am uitat la setări și am realizat că nu știam ce să caut. Nu e o amintire plăcută.
Ce e, pe scurt, un audit de securitate
Cineva competent verifică cum stai: rețea, servere, aplicații, accese, backup-uri, politici.
Nu îți spune doar „ai hackeri”. Îți spune unde e gaura, cât de mare e, ce să repari primul.
E ca o verificare tehnică, dar pentru ușile digitale ale firmei tale. Poți ignora rezultatul. Dar atunci nu te plânge când ceva crapă.
De ce nu e suficient „nepotul care se pricepe la calculatoare”
Îl respect. Poate instala Windows și router.
Dar auditul cere experiență cu atacuri reale, standarde, rapoarte pe care le înțelege un partener sau un auditor GDPR.
Eu am încercat singur cu checklist de pe internet. Am bifat casete. Nu am văzut configurația greșită de pe serverul de test expus public. Aia a văzut-o cineva din afară.
Obiectivitate: nu te poți audita singur fără orbie
Când construiești sistemul, îți pare normal. „Da, portul ăla e deschis din motive.”
Specialistul extern nu are motive emoționale să fie blând. Îți spune ce vede.
Și uneori doare. Mai bine doare în raport decât în ziua în care îți cade site-ul sau îți pleacă baza de date.
Timp și bani — calculul pe care l-am făcut greșit la început
„Externalizăm = scump.”
Da, costă.
Dar cât costă o zi de oprit business-ul? O amendă? Reputația după un email de la tine cu malware către toți clienții?
Am comparat: două zile ale mele pierdute cu Google și stres vs. raport clar de la cineva care face asta zilnic. Pentru firma mea, externalizarea a ieșit mai ieftin. Nu la factură — la total.
Ce verifică de obicei un specialist (fără jargon de 50 de pagini)
- Accese — cine are admin, parole, autentificare în doi pași
- Rețea — ce e expus pe internet, firewall, WiFi de la birou
- Aplicații și site — actualizări, vulnerabilități cunoscute
- Backup — există, merge, s-a testat restaurarea (nu doar „facem backup”)
- Email și phishing — filtre, educație minimă pentru echipă
- Date personale — dacă procesezi date clienților, ești în zona GDPR
Raportul vine cu priorități: critic, important, poate aștepta. Asta e aur. Nu listă de 400 de bullet points fără ordine.
Când are sens să chemi pe cineva din afară
- Pregătești un contract mare și ți se cere conformitate
- Ai magazin online, date de card sau date sensibile
- Ai crescut rapid și „am pus la punct pe fugă”
- Ai avut incident sau tentativă de atac
- Vrei liniște, nu doar speranță
Firme mici nu sunt prea mici. Atacatorii știu că aveți mai puține garduri.
Ce am învățat după primul audit externalizat
Nu trebuie să repari totul într-o săptămână. Trebuie să repari ce e critic.
Nu e rușine să ai găuri. E rușine să știi și să amâni un an.
Echipa trebuie implicată — altfel parola rămâne pe post-it și auditul devine hârtie.
Cum alegem furnizorul
- Referințe reale, nu doar logo-uri pe site
- Raport în română, pe înțelesul managementului
- Confidențialitate semnată (NDA)
- Fără „îți vindem acum 15 tool-uri” dacă nu ai nevoie
- Opțional: retest după remedieri — să vezi că s-a închis gaura
Dacă vrei un punct de start serios, cu focus pe evaluare și recomandări clare, poți apela la un audit de securitate cibernetică făcut de specialiști — nu de mine cu articol deschis în alt tab. Eu am mers pe variantă externă când am avut nevoie de document pentru parteneri. A fost mai puțin dramă, mai mult plan.
Mituri
„Suntem prea mici, nu ne atacă nimeni.” Automatizarea atacurilor nu întreabă câți angajați ai.
„Avem antivirus, gata.” Antivirusul e o sârmă din gard. Nu e tot gardul.
„Auditul ne spionează.” De asta NDA și firmă cu reputație. Nu „verificare” de pe Telegram.
Umor sec, că altfel tremur
Am schimbat parola în „ParolaSigura2026!” și m-am simțit geniu. Auditul a zis: lungime ok, previzibilă, expusă în breach-uri. Morții măi.
De atunci folosesc manager de parole. Și nu mai sunt geniu. Sunt mai plictisitor. Și mai în siguranță.
Ce facem noi după audit
- Plan pe 90 de zile — nu sertar
- Responsabil pe fiecare acțiune — nume, nu „echipa IT”
- Verificare la 6 luni — mini audit sau scan
- Training scurt pentru angajați — click pe linkul dubios
Externalizarea nu te scapă de responsabilitate. Te scapă de iluzia că „ne descurcăm cumva”.
Un specialist vede ce tu nu vezi. Tu repari. Împreună, firma respiră mai liniștit. Și clienții întrebă mai rar „datele mele sunt în siguranță?” — pentru că ai ce să le arăți, nu doar „credem că da”.
