Acest ghid îți arată cum să evaluezi intern starea securității IT în 7 arii critice, ce să cauți specific și când merită să investești într-un audit profesional complet.
Table of Contents
Ce înseamnă audit de securitate pentru un IMM
Un audit de securitate pentru companii 50-200 angajați se concentrează pe fundamentele solide, nu pe certificări enterprise complexe sau tool-uri scumpe care nu se justifică la acest volum. Obiectivul e să identifici gap-urile critice în 7 arii unde apar 90% din vulnerabilități, apoi să prioritizezi bazându-te pe riscul real și resursele disponibile.
Framework-ul se parcurge în 2-3 ore și poate fi realizat complet intern sau cu suport minimal extern. Nu e nevoie de expertiză tehnică avansată – verificările sunt suficient de clare încât pot fi executate de echipa IT existentă cu ghidare minimă.
Framework autoevaluare: 7 arii critice
ARIA 1: Access Management
Prima arie verifică cine are acces la ce în compania ta – și mai important, cine NU ar trebui să mai aibă acces dar încă are. Foștii angajați cu acces la sisteme critice reprezintă unul dintre riscurile cele mai subestimate din IMM-uri, cu un cost mediu al unui incident între 15.000€ – 50.000€.
Ce verifici:
- Lista completă utilizatori activi în sisteme critice (email, drive, ERP, contabilitate, VPN)
- Comparație cu angajații actuali din HR
- Existența și aplicarea procesului de offboarding
- Frecvența review-urilor de access
Verificarea începe cu generarea listei de utilizatori din fiecare sistem și compararea cu lista de angajați actuali. Discrepanțele sunt de obicei vizibile imediat – foști angajați care au plecat acum luni sau ani, utilizatori necunoscuți sau conturi test niciodată dezactivate. Partea esențială e verificarea procesului: există checklist documentat? Cine e responsabil? Când a fost ultimul review complet?
Indicatori de risc:
- Risc înalt = 3+ foști angajați cu acces, niciun proces documentat, ultimul review >6 luni, nicio persoană responsabilă
- Risc mediu = 1-2 foști cu acces, proces există dar aplicat inconsistent, review-uri ocazionale
- Risc scăzut = 0 foști angajați cu acces, proces documentat și aplicat, review trimestrial cu logging
Remedierea poate fi complet internă cu cost zero și 4-6 ore de muncă. Creezi un checklist de offboarding în Excel, dezactivezi imediat accesele găsite, stabilești review trimestrial în calendar și automatizezi unde e posibil. Dacă vrei suport extern pentru proces complet customizat plus training pe automatizare, costul e între 500€-1.500€.
ARIA 2: Backup & Recovery
A doua arie verifică dacă backup-ul tău funcționează cu adevărat când ai nevoie de el, nu doar dacă “e configurat și rulează automat”. Am văzut companii care descoperă după un incident că backup-ul lor “automat” nu salvează nimic de luni sau ani din cauza unei erori de configurare din prima zi.
Test practic backup (45 minute):
Pregătire:
- Sistem test (NU producție)
- 3 fișiere pentru test: Excel financiar, document important, email recent
Execuție:
- Șterge fișierele din sistemul test
- Inițiază recovery din backup
- Cronometrează timpul pentru fiecare
- Verifică integritate: fișierul e identic cu originalul?
Verificare configurație:
- Backupul e pe același server cu datele? (răspunsul trebuie să fie NU)
- Conectat permanent la rețea? (risc ransomware)
- Există alertă dacă backupul eșuează?
- Cine verifică alertele?
Partea critică e că multe companii au backup configurat care rulează zilnic, primesc email că “backup completed successfully” dar emailul confirmă doar că scriptul a rulat, nu că a salvat de fapt ceva. Test-ul live e singura metodă de validare reală.
Indicatori de risc:
- Risc critic = niciun test recovery făcut vreodată, backup pe același server cu datele, recovery durează >4 ore sau eșuează
- Risc mediu = test făcut ocazional (>3 luni), backup parțial izolat, recovery lent (2-4 ore)
- Risc scăzut = test lunar documentat, backup complet izolat, recovery <1 oră, multiple copii (3-2-1 rule)
Remedierea internă costă între 0€ și 3.000€ și ia 1-2 zile. Instituie un test lunar de 30 minute, cu tracking în Excel, izolează backupul prin disconnect manual post-backup și activează alertele existente. Dacă ai nevoie de upgrade la infrastructură, un NAS izolat costă 2.000€-4.000€ one-time sau cloud backup pentru Google Workspace costă 3€-5€ per user pe lună.
ARIA 3: Autentificare Multi-Factor (MFA)
Autentificarea multi-factor e cea mai simplă măsură de securitate cu cel mai mare impact – reduce riscul de compromitere cu 99%. Verificarea durează 15 minute și începe cu un test foarte simplu: încearcă să te loghezi la email fără telefon lângă tine. Dacă poți intra, MFA nu e activat și compania ta e vulnerabilă la 40% din atacurile care încep cu parole compromise.
Verificare completă:
- Test personal login fără telefon (trebuie să eșueze)
- Email corporativ: MFA activat? DA/NU
- Banking online: MFA activat? DA/NU
- Platformă contabilitate: MFA activat? DA/NU
- Acces VPN: MFA activat? DA/NU
- Coverage: câți % angajați au MFA? E obligatoriu sau optional?
Coverage-ul e la fel de important ca activarea în sine. MFA optional pe care angajații îl pot ignora nu ajută cu nimic – trebuie să fie obligatoriu pentru toți, fără excepții. Implementarea treptată funcționează cel mai bine: management în săptămâna 1, manageri în săptămâna 2, toți angajații în săptămâna 3.
Indicatori de risc:
- Risc critic = zero MFA pe orice sistem critic, email fără MFA, MFA optional nu obligatoriu
- Risc mediu = MFA doar pe email dar lipsește pe altele, MFA pentru management nu pentru toți
- Risc scăzut = MFA obligatoriu pe toate sistemele critice, 100% coverage, policy documentată
Remedierea e gratuită și ia o zi pentru Google Workspace sau Microsoft 365 care au MFA built-in. Setup-ul ia 5 minute per utilizator folosind Google Authenticator sau Microsoft Authenticator. ROI-ul e practic infinit – o singură prevenire de breach justifică de sute de ori efortul investit.
ARIA 4: Password Management
Parolele slabe rămân una dintre cele mai comune vulnerabilități din IMM-uri. Dictionary attacks moderne testează automat milioane de combinații în câteva ore, iar parolele slabe cad în câteva minute. Verificarea ia 20 de minute și începe cu un password strength audit folosind tool-uri built-in din Active Directory sau Google Workspace.
Ce verifici:
- Câte % parole sunt slabe (<12 caractere, fără complexitate)
- Există password policy documentată?
- Policy e enforced tehnic sau doar recomandare?
- Folosiți password manager profesional?
- Check “Have I Been Pwned” pentru parole compromise în breaches
Password manager-ul schimbă complet ecuația. În loc să memoreze angajații parole de 12+ caractere cu complexitate maximă, password manager-ul generează automat parole de 20+ caractere complet random și le salvează securizat. Angajatul memorează doar o singură master password pentru access manager.
Indicatori de risc:
- Risc înalt = >20% parole slabe, nicio politică, parole refolosite masiv, zero password manager
- Risc mediu = 10-20% parole slabe, politică există dar nu e enforced, password manager doar pentru unii
- Risc scăzut = <5% parole slabe, politică enforced tehnic, password manager pentru toți, check regular breaches
Remedierea costă între 3.000€ și 6.000€ pe an și ia o săptămână. Password policy cu minim 12 caractere și complexitate se configurează cu enforcement tehnic în Active Directory sau Google Workspace. Password manager profesional precum 1Password Business, Bitwarden Teams sau Keeper costă 3€-5€ per user pe lună, setup-ul ia o zi și training-ul ia 2 ore. ROI-ul e clar când compari cu costul unui breach: 30.000€-100.000€ vs 3.000€ pe an pentru 50 angajați.
ARIA 5: Incident Response
Fără un plan documentat de incident response, compania ta va pierde 12-18 ore în haos total când serverul pică sau apare un incident de securitate. Cu un plan testat, timpul de răspuns scade la 2-4 ore de recovery organizat.
Ce verifici:
- Există document “Incident Response Plan”?
- Când a fost creat/actualizat?
- Conține: contacte (primar + backup), proces pentru scenarii comune, autoritate decizională, protocol comunicare, procedură raportare autorități
- Când a fost testat ultima dată și cum?
- Au fost corectate problemele descoperite în test?
Testarea e la fel de importantă ca existența planului. Un plan netestat niciodată e aproape la fel de rău ca absența unui plan – nu știi dacă contactele sunt corecte, dacă procesul funcționează sub presiune sau dacă echipa înțelege cu adevărat ce să facă. Simularea anuală prin tabletop exercise identifică problemele sau unde se blochează procesul înainte să te lovești de ele în criză reală.
Indicatori de risc:
- Risc înalt = niciun plan documentat, “ne descurcăm cumva”, niciun test făcut vreodată, contacte învechite
- Risc mediu = plan există dar învechit (>1 an), niciodată testat, incomplet cu scenarii lipsă
- Risc scăzut = plan documentat complet (2-5 pagini), testat anual, actualizat după fiecare test, echipa știe unde e
Remedierea internă costă zero și ia 1-2 zile. Template-uri sunt disponibile online și pot fi customizate – 2 pagini sunt suficiente pentru început cu contacte, proces și scenarii comune. Suport extern pentru plan customizat complet, training echipă de 2-3 ore și simulare inițială costă 2.000€-4.000€. Beneficiul e reducerea timpului de răspuns de la 12-18 ore haos la 2-4 ore proces organizat.
ARIA 6: Security Awareness Training
Human error rămâne cauza numărul unu pentru breșe de securitate – peste 90% din toate incidentele. Training anual e complet ineficient pentru că retenția informațiilor scade dramatic după doar 3 luni și angajații revin la comportamente nesigure.
Ce verifici:
- Când a fost ultimul training de securitate?
- Cât de des se face? (anual, trimestrial, niciodată)
- Se fac teste phishing simulate?
- Dacă DA: când a fost ultimul și ce rezultate?
- Există tracking pentru îmbunătățire în timp?
Partea despre testing e critică pentru că e singura metodă de măsurare dacă training-ul funcționează. Poți să ai training anual unde toată lumea semnează că a înțeles, dar dacă 35% dau click pe primul email phishing simulat, training-ul nu a funcționat deloc. Simulările trimestriale cu feedback imediat schimbă complet situația.
Indicatori de risc:
- Risc înalt = zero training ultimii 2+ ani, “au semnat că au înțeles”, niciun test phishing, click rate necunoscut
- Risc mediu = training anual (insuficient), teste ocazionale, click rate >20%, fără tracking
- Risc scăzut = simulări trimestriale, click rate <10% scăzut consistent, tracking și îmbunătățire măsurabilă
Platforme dedicate precum KnowBe4 sau Cofense costă 1.000€-2.000€ pe an și oferă automatizare completă cu reporting avansat. Rezultatele așteptate sunt clare: click rate scade de la 30-40% la 5-10% după 6 luni de simulări constante.
ARIA 7: Shadow IT
Shadow IT înseamnă aplicații SaaS conectate la conturile corporate despre care departamentul IT nu știe nimic. Problema e că IT-ul nu poate securiza ce nu știe că există, iar datele corporate în aplicații externe necontrolate înseamnă risc direct de data leak și pierdere de control.
Cum verifici:
Google Workspace:
- Admin Console → Security → API Controls (vezi toate aplicațiile terțe conectate)
Microsoft 365:
- Azure AD → Enterprise Applications (listă completă aplicații cu access)
Categorii:
- Aplicații autorizate oficial
- Aplicații neautorizate (shadow IT)
- Aplicații necunoscute complet
- Aplicații cu acces high-risk (email, drive)
Audit-ul arată de obicei surprize neplăcute: WeTransfer pentru transferuri fișiere nesecurizate, Dropbox personal unde angajați salvează documente corporate pe contul lor personal, Trello și Notion cu date sensibile plus încă 15+ tool-uri random conectate de angajați care voiau să rezolve rapid o problemă.
Indicatori de risc:
- Risc înalt = >40 aplicații majoritatea necunoscute, WeTransfer/Dropbox personal/tool-uri random, nicio politică
- Risc mediu = 20-40 aplicații, unele neautorizate dar low-risk, politică există dar nu e aplicată
- Risc scăzut = <20 aplicații toate documentate, politică clară aplicată, alternative corporate aprobate, review trimestrial
Review-ul trimestrial identifică rapid problemele. Dezactivezi imediat accesul pentru aplicațiile neautorizate descoperite. Regula devine simplă și clară: orice aplicație nouă necesită aprobare IT înainte de conectare la conturile corporative. Pentru fiecare nevoie comună stabilești alternative aprobate oficial – Google Drive pentru file sharing nu Dropbox personal, Slack pentru comunicare nu WhatsApp Web. Beneficiul e direct: IT poate securiza doar ce știe că există, eliminând complet punctele oarbe din infrastructură.
Interpretare rezultate & scoring
După parcurgerea celor 7 arii, completezi starea fiecărei arii: risc scăzut (verde), risc mediu (galben) sau risc înalt (roșu).
Interpretare generală:
- 0-1 arii roșii = Postură bună cu risc general scăzut. Menține procesele cu review-uri regulate și îmbunătățire incrementală.
- 2-3 arii roșii = Risc moderat care necesită atenție în 30-60 zile. Prioritizează remedierile cu cost zero precum MFA și review access. Implementare internă posibilă cu ghidare minimă.
- 4-5 arii roșii = Risc înalt care necesită acțiune în 30 zile. Consideră audit profesional pentru prioritizare corectă și alocă buget pentru remedieri critice.
- 6-7 arii roșii = Risc critic. Audit profesional URGENT, implementation roadmap cu suport specializat. Probabilitate incident în 12 luni: >60%.
Când merită audit profesional extern
Autoevaluarea internă e suficientă când ai 0-2 arii roșii identificate, echipa IT înțelege ce trebuie remediat, ai timp disponibil pentru implementare în 30-90 zile, bugetul e limitat sub 5.000€ și nu există deadline extern precum audit formal sau cerință de la client. În aceste cazuri folosești acest ghid pentru remediere internă, eventual cu consultanță punctuală pe arii specifice.
Auditul profesional aduce valoare când ai:
- 3+ arii roșii identificate în autoevaluare
- Complexitate crescută și nu e clar cum să prioritizezi
- Deadline extern (audit NIS2/ISO, cerință client mare)
- Echipa IT overwhelmed, fără timp pentru implementare
- Nevoie de dovadă externă pentru board/investitori/clienți
Ce include un audit profesional:
Faza 1: Discovery & Assessment (2-3 zile)
Evaluarea completă include review infrastructură, verificare toate cele 7 arii plus aspecte specifice industriei, interviuri cu management și echipa IT și testing specific unde e necesar pentru validare.
Faza 2: Analysis & Prioritization (1-2 zile)
Identificare gap-uri față de best practices, risk scoring pentru fiecare gap găsit, prioritizare în funcție de impactul real pentru business-ul tău și estimare costuri pentru remediere.
Faza 3: Raportare (1-2 zile)
Executive Summary (2-4 pagini):
- Stare generală securitate (Green/Yellow/Red)
- Top 5 riscuri pentru business
- Buget total estimat pentru remediere
- Timeline recomandat
Technical Report (15-30 pagini):
- Vulnerabilități identificate pentru fiecare arie
- Dovezi (capturi de ecran, jurnale sistem, configurații)
- Recomandări specifice pentru echipa IT
- Ghid de implementare
Roadmap Implementare (30-60-90 zile):
- Ce se remediază când
- Cine răspunde de fiecare task (intern sau extern)
- Ce trebuie făcut înainte de ce altceva
- Puncte de verificare la etape importante
Faza 4: Handover & Support
Sesiune întrebări și răspunsuri cu management de 60-90 minute, prezentare tehnică detaliată cu echipa IT de 90-120 minute, recomandări furnizori și soluții software dacă e necesar și asistență ulterioară pe perioadă limitată.
Investiție: Auditul profesional costă între 3.500€ și 8.500€ pentru companii 50-200 angajați (variază în funcție de dimensiunea infrastructurii și complexitate). Durata e 10-14 zile de la începere la raport final, dar și mai rapid dacă există o urgență. Rentabilitatea investiției e clară: prevenirea unui singur incident economisește 50.000€-200.000€, prioritizarea corectă evită investiții greșite de 20.000€-50.000€ și planificarea optimizată economisește 30-50% din timp comparativ cu încercări și greșeli interne.
Next steps după autoevaluare
Ai identificat 0-2 arii roșii:
Continuă procesele existente cu vigilență, instituie verificare trimestrială folosind acest ghid, documentează tot pentru dovezi de audit. Investiție: 0€ continuu pentru mentenanță. Ești printre primele 20% companii la dimensiunea ta.
Ai identificat 3-4 arii roșii:
Primele 7 zile prioritizează remedieri cu cost 0€ – MFA, verificarea acceselor, testarea backup-ului. Alocă buget pentru remedieri cu costuri precum password manager sau îmbunătățire infrastructură backup. Stabilește termen de 30-60 zile pentru implementare. Investiție: 3.000€-9.000€ pentru remedieri.
Ai identificat 5-7 arii roșii:
Acțiune imediată: audit profesional pentru evaluare completă și prioritizare corectă, plan de implementare cu responsabilități clare, alocare buget pentru remedieri critice. Durată recomandată: 60-90 zile pentru implementare completă. Investiție: 15.000€-30.000€ (audit plus implementare). ROI: prevenirea unui incident de 50.000€-500.000€ justifică investiția.
Concluzie
Autoevaluarea securității IT pentru un IMM nu trebuie să fie complicată sau costisitoare. Acest ghid permite evaluare internă în 2-3 ore pentru identificarea vulnerabilităților critice. Majoritatea companiilor descoperă 2-4 arii care necesită atenție – e normal și rezolvabil în 30-90 zile cu resurse interne plus investiție minimă.
Primul pas e să parcurgi ghidul cu echipa IT săptămâna aceasta. Al doilea pas e să prioritizezi remedierile după impact și cost. Al treilea pas e să implementezi, să documentezi și să repeți trimestrial pentru vigilență continuă.
Ai nevoie de suport?
Consultanță gratuită 60 minute pentru evaluare preliminară:
Dacă după autoevaluare ai identificat 3+ arii roșii și vrei recomandări concrete despre next steps, oferim consultanță inițială gratuită.
REZERVĂ CONSULTANȚĂ GRATUITĂ AICI
Ultima actualizare: Octombrie 2025