Jakie usługi cyberbezpieczeństwa oferuje SecurHUB?

SecurHUB oferuje kompleksowe usługi cyberbezpieczeństwa obejmujące: pentesty aplikacji webowych i mobilnych, pentesty sieci i chmury, audyty kodu źródłowego, testy inżynierii społecznej, audyty zgodności (ISO 27001, GDPR, DORA, NIS2), doradztwo prawne oraz usługi Security Operations Center (SOC).

Jaka jest misja i wartości SecurHUB?

Misją SecurHUB jest zapewnienie najwyższego poziomu bezpieczeństwa dla organizacji poprzez dostarczanie kompleksowych, profesjonalnych rozwiązań cyberbezpieczeństwa. Kierujemy się wartościami: profesjonalizm i ekspertyza, poufność i zaufanie, niezależność i obiektywizm, transparentność oraz ciągły rozwój. Każdy projekt realizujemy zgodnie z najwyższymi standardami branżowymi (OWASP, PTES, OSSTMM).

Dla jakich firm są przeznaczone usługi SecurHUB?

Nasze usługi są dedykowane zarówno dla dużych przedsiębiorstw, jak i dla klientów indywidualnych oraz małych i średnich firm. Dla dużych przedsiębiorstw oferujemy zaawansowane rozwiązania cyberbezpieczeństwa oraz audyty. Obsługujemy firmy z różnych branż, które wymagają wysokiego poziomu ochrony danych i zgodności z międzynarodowymi standardami. Dla klientów indywidualnych oferujemy usługi takie jak ochrona VIP, usługi detektywistyczne, wyszukiwanie podsłuchów, oraz wiele innych. Dla małych i średnich firm mamy szereg usług dostosowanych do ich potrzeb.

Jakie certyfikaty posiadają eksperci SecurHUB?

Nasz zespół posiada certyfikaty branżowe w tym: OSEP, AWS Security Specialty, ISO 27001 Lead Auditor, CEH, CEPT, Chainanalysis CRC oraz specjalistyczne certyfikaty w dziedzinie Android Forensics i Active Directory Security.

Jak SecurHUB zapewnia poufność danych klientów?

Poufność to fundament naszej działalności. Każdy członek zespołu podpisuje szczegółowe umowy NDA przed rozpoczęciem projektu. Stosujemy szyfrowanie wszystkich danych klientów (AES-256), dedykowane izolowane środowiska dla każdego projektu, wyłącznie szyfrowane kanały komunikacji (Signal, PGP) oraz szczegółowe logi dostępu. Przestrzegamy polityki zero-knowledge - nigdy nie ujawniamy nazw klientów ani szczegółów projektów bez wyraźnej pisemnej zgody.

Czy SecurHUB zajmuje się też bezpieczeństwem fizycznym i detektywistyką?

Tak, SecurHUB to kompleksowa platforma bezpieczeństwa. Oferujemy specjalistyczne usługi ochrony fizycznej, w tym ochronę osobistą VIP, a także pełen zakres usług detektywistycznych dla biznesu, takich jak wykrywanie podsłuchów i instalacja zaawansowanych systemów monitoringu.

Ile kosztuje test penetracyjny (pentest)?

Koszt testu penetracyjnego zależy od zakresu i złożoności projektu. Pentest aplikacji webowej zaczyna się od 5000 PLN, pentest sieci i infrastruktury chmurowej od 8000 PLN. Każdy projekt wyceniamy indywidualnie po analizie wymagań klienta. Skontaktuj się z nami, aby otrzymać bezpłatną wycenę.

Jak długo trwa przeprowadzenie audytu bezpieczeństwa?

Czas realizacji audytu zależy od jego zakresu. Podstawowy pentest aplikacji webowej trwa 5-10 dni roboczych. Kompleksowy audyt zgodności ISO 27001 lub NIS2 może zająć 2-4 tygodnie. Audyt kodu źródłowego realizujemy w 1-3 tygodnie, w zależności od wielkości projektu.

Czy SecurHUB oferuje wsparcie w certyfikacji ISO 27001, NIS2 i DORA?

Tak, oferujemy kompleksowe wsparcie w certyfikacji ISO 27001, audytach zgodności z NIS2 i DORA. Nasze usługi obejmują: przegląd zgodności z regulacjami, wsparcie w przygotowaniu dokumentacji, przeprowadzenie audytów wewnętrznych, rekomendacje działań naprawczych oraz przygotowanie do audytów zewnętrznych. Wszystkie nasze audyty spełniają wymogi KNF, UODO i innych regulatorów.

Czy SecurHUB oferuje usługi SOC (Security Operations Center)?

Tak, oferujemy usługi SOC 24/7 obejmujące całodobowe monitorowanie infrastruktury IT, wykrywanie i reagowanie na incydenty bezpieczeństwa, analizę logów i alertów oraz raportowanie. Nasz SOC wykorzystuje zaawansowane narzędzia SIEM i XDR do ochrony Twojej organizacji.

Jakie standardy i metodologie stosuje SecurHUB?

W SecurHUB stosujemy najwyższe międzynarodowe standardy: OWASP Top 10 i ASVS dla bezpieczeństwa aplikacji, PTES (Penetration Testing Execution Standard), OSSTMM (Open Source Security Testing Methodology Manual), MITRE ATT&CK dla analizy zagrożeń oraz metodologię DevSecOps. Wszystkie testy są prowadzone zgodnie z prawem i w uzgodnionym zakresie. Każdy raport przechodzi wewnętrzną kontrolę jakości przez senior eksperta.

Czy mogę zlecić tylko jednorazowy test czy muszę podpisać długoterminową umowę?

Oferujemy zarówno jednorazowe usługi (pentesty, audyty), jak i długoterminową współpracę (SOC, stałe monitorowanie). Możesz zamówić pojedynczy test penetracyjny bez zobowiązań. Dla klientów preferujących ciągłą ochronę proponujemy atrakcyjne pakiety abonamentowe.

W jakich językach SecurHUB świadczy usługi?

Świadczymy usługi w języku polskim i angielskim. Raporty z audytów i pentestów możemy przygotować w obu językach. Nasz zespół komunikuje się płynnie po polsku i angielsku, co ułatwia współpracę z międzynarodowymi klientami.

Co wyróżnia SecurHUB na tle konkurencji?

SecurHUB to starannie wyselekcjonowana sieć najlepszych ekspertów bezpieczeństwa - nie jesteśmy masową firmą outsourcingową, ale elitarną platformą łączącą klientów z najlepszymi specjalistami. Oferujemy kompleksowe bezpieczeństwo: od cybersecurity, przez ochronę fizyczną, po usługi detektywistyczne. Jesteśmy niezależni - nie jesteśmy związani z żadnym dostawcą technologii. Zapewniamy pełną transparentność w raportowaniu i gwarancję poufności z wielopoziomowymi umowami NDA.

Jak wygląda proces współpracy z SecurHUB?

Proces współpracy składa się z kilku etapów: 1) Bezpłatna konsultacja i analiza potrzeb, 2) Przygotowanie oferty dostosowanej do wymogów, 3) Podpisanie umowy NDA i umowy o współpracy, 4) Przydzielenie dedykowanego opiekuna projektu, 5) Realizacja usługi zgodnie z uzgodnionym harmonogramem, 6) Dostarczenie szczegółowego raportu z rekomendacjami, 7) Wsparcie techniczne w implementacji zaleceń, 8) Opcjonalne re-testy po wdrożeniu poprawek. Oferujemy elastyczne terminy dostosowane do potrzeb biznesowych klienta.

Przekonaj się sam!

Pozostaw wiadomość, a skontaktuje się z Tobą nasz dedykowany doradca.

Wyślij nam wiadomość

Adres e-mail *

NIP firmy lub nazwa (opcjonalnie)

Telefon kontaktowy (opcjonalnie)

Wielkość firmy (opcjonalnie)

Wiadomość do Opiekuna Klienta *0/10000

ISO 27001: Kompleksowy Przewodnik

Opublikowano: 2025-10-11

Regulacje

Cover image for ISO 27001: Kompleksowy Przewodnik

ISO 27001: Więcej niż Tylko Certyfikat na Ścianie

W dzisiejszym cyfrowym świecie, gdzie dane są nową ropą naftową, a cyberataki stały się chlebem powszednim, pytanie nie brzmi "czy", ale "kiedy" Twoja organizacja stanie się celem. W tym chaosie informacyjnym, ISO/IEC 27001 jawi się jako latarnia morska – międzynarodowy standard, który prowadzi firmy przez wzburzone wody bezpieczeństwa informacji. Ale czym tak naprawdę jest? Czy to tylko kolejny biurokratyczny wymóg i drogi kawałek papieru do powieszenia w recepcji? Absolutnie nie. To filozofia działania, strategiczne ramy i realne narzędzie do budowania cyfrowej odporności.

Pomyśl o ISO 27001 jak o przepisie na solidny, wielowarstwowy tort bezpieczeństwa. Norma nie dyktuje, jakiego smaku ma być biszkopt (jakiego oprogramowania antywirusowego użyć), ale określa, że potrzebujesz solidnych podstaw (polityk), spajającego wszystko kremu (procedur) i twardej polewy (kontroli technicznych), aby całość była spójna i odporna na wstrząsy. Norma ta dostarcza ram dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI/ISMS), który jest niczym innym jak centralnym układem nerwowym całej operacji – systematycznym, opartym na ryzyku podejściem do zarządzania wrażliwymi danymi firmy.

Anatomia ISMS: Jak to Działa w Praktyce?

W skrócie, ISMS to zbiór zasad, procedur, procesów i systemów, które wspólnie zarządzają ryzykiem w obszarze bezpieczeństwa informacji. Celem jest ochrona trzech filarów, znanych w branży jako triada CIA:

Poufność (Confidentiality): Zapewnienie, że informacje są dostępne tylko dla upoważnionych osób. W praktyce to nie tylko hasła. To szyfrowanie dysków, kontrolowanie dostępu do folderów sieciowych, czy polityka czystego biurka, która zapobiega pozostawianiu wrażliwych dokumentów na widoku.
Integralność (Integrity): Ochrona dokładności i kompletności informacji. Chodzi o to, by mieć pewność, że dane nie zostały zmienione w sposób nieautoryzowany. Przykład? Sumy kontrolne (hashe) plików, które pozwalają zweryfikować, czy plik nie został uszkodzony lub zmodyfikowany, czy systemy kontroli wersji w programowaniu.
Dostępność (Availability): Gwarancja, że upoważnieni użytkownicy mają dostęp do informacji i zasobów wtedy, gdy jest to potrzebne. To tutaj w grę wchodzą kopie zapasowe, plany odtwarzania po awarii (Disaster Recovery) i redundancja kluczowych systemów (np. dwa serwery zamiast jednego), aby awaria jednego elementu nie sparaliżowała całej firmy.

Wdrożenie ISMS zgodnie z ISO 27001 nie polega na jednorazowym "załatania" dziur. To ciągły proces, oparty na słynnym cyklu Deminga, czyli Plan-Do-Check-Act (PDCA), który zapewnia ewolucję systemu wraz ze zmieniającymi się zagrożeniami:

Plan (Zaplanuj): To faza strategiczna. Zaczynasz od zrozumienia kontekstu swojej organizacji, identyfikujesz aktywa informacyjne (co jest cenne?), analizujesz ryzyka (co może pójść nie tak?) i tworzysz plan ich traktowania. Tutaj powstają kluczowe polityki i cele bezpieczeństwa.
Do (Wykonaj): Wdróż to, co zaplanowałeś. To etap, w którym teoria zamienia się w praktykę: szkolenia dla pracowników, konfiguracja systemów, wdrożenie procedur zarządzania incydentami.
Check (Sprawdź): Skąd wiesz, że to działa? Musisz mierzyć. Monitorujesz skuteczność zabezpieczeń, przeprowadzasz regularne audyty wewnętrzne i przeglądy zarządzania. To jak wizyta u lekarza – sprawdzasz, czy organizm (firmy) jest zdrowy.
Act (Działaj): Na podstawie wyników z fazy "Sprawdź", wprowadzasz działania korygujące i doskonalące. Znalazłeś lukę w audycie? Napraw ją. Widzisz, że pracownicy notorycznie łamią jakąś zasadę? Zastanów się, czy jest ona praktyczna, czy może szkolenie było niewystarczające. Cykl się zamyka i zaczyna od nowa.

Strategiczna Wartość ISO 27001 – Dlaczego Warto?

Korzyści płynące z wdrożenia i certyfikacji ISO 27001 wykraczają daleko poza samo bezpieczeństwo. To strategiczna decyzja biznesowa.

Budowanie Zaufania: Certyfikat jest uniwersalnym językiem zaufania. Pokazuje klientom, partnerom i regulatorom, że podchodzisz do bezpieczeństwa ich danych w sposób systematyczny i profesjonalny. W wielu przetargach jest to już warunek konieczny, by w ogóle móc złożyć ofertę.
Zgodność z Prawem i Unikanie Kar: W dobie RODO/GDPR i dyrektywy NIS2, naruszenie ochrony danych może kosztować miliony. ISO 27001 nie gwarantuje zgodności z tymi regulacjami, ale dostarcza potężnych ram, które pomagają w jej osiągnięciu i, co kluczowe, w udowodnieniu należytej staranności przed organem nadzorczym.
Optymalizacja Kosztów: Paradoksalnie, inwestycja w bezpieczeństwo obniża koszty. Dobrze wdrożony ISMS minimalizuje prawdopodobieństwo kosztownych incydentów, przestojów w działaniu czy utraty reputacji. To prewencja, która jest zawsze tańsza niż leczenie skutków katastrofy.
Kultura Bezpieczeństwa: Norma wymusza uporządkowanie procesów, jasne zdefiniowanie ról i odpowiedzialności. Bezpieczeństwo przestaje być "problemem IT", a staje się wspólną odpowiedzialnością. Pracownicy, którzy rozumieją "dlaczego" pewne zasady istnieją, stają się pierwszą linią obrony.
Przewaga Konkurencyjna: Na zatłoczonym rynku, certyfikat ISO 27001 może być czynnikiem, który przechyli szalę na Twoją korzyść. To jasny sygnał dla potencjalnych klientów: "Rozumiemy ryzyko. Jesteśmy bezpiecznym portem dla Waszych danych".

Struktura Normy i Tajemniczy Załącznik A

Sercem normy ISO 27001 są klauzule od 4 do 10, które określają wymagania dla ISMS. Jednak elementem, który budzi najwięcej emocji, jest Załącznik A. To katalog 93 zabezpieczeń (kontroli) pogrupowanych w cztery domeny, stanowiący swego rodzaju "menu" dobrych praktyk:

Zabezpieczenia organizacyjne (37 kontroli): Mózg operacji. Dotyczą m.in. polityk, ról i odpowiedzialności, zarządzania aktywami, bezpieczeństwa w chmurze i planowania ciągłości działania.
Zabezpieczenia osobowe (8 kontroli): Koncentrują się na ludziach – najważniejszym i zarazem najsłabszym ogniwie. Obejmują procesy od rekrutacji (sprawdzanie przeszłości), przez szkolenia świadomościowe, aż po procedury odejścia pracownika z firmy.
Zabezpieczenia fizyczne (14 kontroli): Chronią przed "analogowymi" zagrożeniami. To m.in. kontrola dostępu do biur i serwerowni, ochrona sprzętu przed kradzieżą czy zniszczeniem oraz polityka czystego biurka i ekranu.
Zabezpieczenia technologiczne (34 kontrole): Najbardziej "techniczna" część. Znajdziemy tu m.in. zarządzanie dostępem do systemów, kryptografię, bezpieczeństwo sieci, tworzenie kopii zapasowych, monitorowanie logów i bezpieczne tworzenie oprogramowania.

Co kluczowe, norma nie nakazuje wdrożenia wszystkich 93 zabezpieczeń. To nie jest bezmyślna lista do odhaczenia. Organizacja musi przeprowadzić analizę ryzyka i na jej podstawie świadomie wybrać te kontrole, które są adekwatne do jej zagrożeń. Wynik tej analizy dokumentuje się w tzw. Deklaracji Stosowania (Statement of Applicability - SoA), która jest jednym z najważniejszych dokumentów w systemie.

Podróż ku Certyfikacji i Co Dalej?

Proces certyfikacji jest maratonem, a nie sprintem. Zazwyczaj składa się z dwóch etapów audytu zewnętrznego, przeprowadzanego przez akredytowaną jednostkę certyfikującą:

Etap 1 (Audyt wstępny): Audytor sprawdza dokumentację ISMS. To ocena "na papierze" – czy wszystkie wymagane polityki, procedury i zapisy istnieją i są zgodne z duchem normy.
Etap 2 (Audyt certyfikujący): Audytor weryfikuje, czy system faktycznie działa w organizacji. Rozmawia z pracownikami, sprawdza konfiguracje systemów i szuka dowodów na to, że wdrożone zabezpieczenia są skuteczne w praktyce.

Po pomyślnym przejściu audytu, organizacja otrzymuje certyfikat ważny przez trzy lata. To jednak nie koniec. Co roku odbywają się audyty nadzorcze, które sprawdzają, czy system jest utrzymywany i ciągle doskonalony.

ISO 27001 to nie projekt z datą końcową. To zobowiązanie do ciągłego dbania o higienę cyfrową. To inwestycja w stabilność, reputację i przyszłość firmy, która zamiast bać się cyfrowego świata, uczy się w nim bezpiecznie i świadomie funkcjonować.

Udostępnij:

Powiązane artykuły

Regulacje

Co Dyrektywa NIS2 Oznacza dla Firmy?

17 października 2024 minął termin na wdrożenie NIS2. To fundamentalna zmiana, która objęła tysiące firm w UE. Przeczytaj nasz przewodnik, by zrozumieć kluczowe obowiązki, od zarządzania ryzykiem po kary finansowe, i dowiedzieć się, jak przekuć ten obowiązek w strategiczną przewagę.

2025-10-11

18 min

Regulacje

UE Wprowadza Akt w Sprawie Danych. Koniec z "Cyfrowym Więzieniem" Urządzeń IoT

Od 12 września 2025 obowiązują nowe przepisy unijnego Aktu w Sprawie Danych (Data Act). Regulacja ma dać użytkownikom większą kontrolę nad danymi z urządzeń IoT i ułatwić zmianę dostawców chmurowych.

2025-09-15

4 min

Regulacje

TSUE o Pseudonimizacji Danych: Ważny Wyrok w Sprawie RODO

Trybunał Sprawiedliwości UE orzekł, że dane spseudonimizowane wciąż pozostają danymi osobowymi, jeśli istnieje możliwość ich ponownej identyfikacji.

2025-09-14

2 min

Komentarze

Ładowanie komentarzy...

ISO 27001: Kompleksowy Przewodnik

Opublikowano: 2025-10-11

Regulacje

ISO 27001: Więcej niż Tylko Certyfikat na Ścianie

Anatomia ISMS: Jak to Działa w Praktyce?

Poufność (Confidentiality): Zapewnienie, że informacje są dostępne tylko dla upoważnionych osób. W praktyce to nie tylko hasła. To szyfrowanie dysków, kontrolowanie dostępu do folderów sieciowych, czy polityka czystego biurka, która zapobiega pozostawianiu wrażliwych dokumentów na widoku.
Integralność (Integrity): Ochrona dokładności i kompletności informacji. Chodzi o to, by mieć pewność, że dane nie zostały zmienione w sposób nieautoryzowany. Przykład? Sumy kontrolne (hashe) plików, które pozwalają zweryfikować, czy plik nie został uszkodzony lub zmodyfikowany, czy systemy kontroli wersji w programowaniu.
Dostępność (Availability): Gwarancja, że upoważnieni użytkownicy mają dostęp do informacji i zasobów wtedy, gdy jest to potrzebne. To tutaj w grę wchodzą kopie zapasowe, plany odtwarzania po awarii (Disaster Recovery) i redundancja kluczowych systemów (np. dwa serwery zamiast jednego), aby awaria jednego elementu nie sparaliżowała całej firmy.

Plan (Zaplanuj): To faza strategiczna. Zaczynasz od zrozumienia kontekstu swojej organizacji, identyfikujesz aktywa informacyjne (co jest cenne?), analizujesz ryzyka (co może pójść nie tak?) i tworzysz plan ich traktowania. Tutaj powstają kluczowe polityki i cele bezpieczeństwa.
Do (Wykonaj): Wdróż to, co zaplanowałeś. To etap, w którym teoria zamienia się w praktykę: szkolenia dla pracowników, konfiguracja systemów, wdrożenie procedur zarządzania incydentami.
Check (Sprawdź): Skąd wiesz, że to działa? Musisz mierzyć. Monitorujesz skuteczność zabezpieczeń, przeprowadzasz regularne audyty wewnętrzne i przeglądy zarządzania. To jak wizyta u lekarza – sprawdzasz, czy organizm (firmy) jest zdrowy.
Act (Działaj): Na podstawie wyników z fazy "Sprawdź", wprowadzasz działania korygujące i doskonalące. Znalazłeś lukę w audycie? Napraw ją. Widzisz, że pracownicy notorycznie łamią jakąś zasadę? Zastanów się, czy jest ona praktyczna, czy może szkolenie było niewystarczające. Cykl się zamyka i zaczyna od nowa.

Strategiczna Wartość ISO 27001 – Dlaczego Warto?

Korzyści płynące z wdrożenia i certyfikacji ISO 27001 wykraczają daleko poza samo bezpieczeństwo. To strategiczna decyzja biznesowa.

Budowanie Zaufania: Certyfikat jest uniwersalnym językiem zaufania. Pokazuje klientom, partnerom i regulatorom, że podchodzisz do bezpieczeństwa ich danych w sposób systematyczny i profesjonalny. W wielu przetargach jest to już warunek konieczny, by w ogóle móc złożyć ofertę.
Zgodność z Prawem i Unikanie Kar: W dobie RODO/GDPR i dyrektywy NIS2, naruszenie ochrony danych może kosztować miliony. ISO 27001 nie gwarantuje zgodności z tymi regulacjami, ale dostarcza potężnych ram, które pomagają w jej osiągnięciu i, co kluczowe, w udowodnieniu należytej staranności przed organem nadzorczym.
Optymalizacja Kosztów: Paradoksalnie, inwestycja w bezpieczeństwo obniża koszty. Dobrze wdrożony ISMS minimalizuje prawdopodobieństwo kosztownych incydentów, przestojów w działaniu czy utraty reputacji. To prewencja, która jest zawsze tańsza niż leczenie skutków katastrofy.
Kultura Bezpieczeństwa: Norma wymusza uporządkowanie procesów, jasne zdefiniowanie ról i odpowiedzialności. Bezpieczeństwo przestaje być "problemem IT", a staje się wspólną odpowiedzialnością. Pracownicy, którzy rozumieją "dlaczego" pewne zasady istnieją, stają się pierwszą linią obrony.
Przewaga Konkurencyjna: Na zatłoczonym rynku, certyfikat ISO 27001 może być czynnikiem, który przechyli szalę na Twoją korzyść. To jasny sygnał dla potencjalnych klientów: "Rozumiemy ryzyko. Jesteśmy bezpiecznym portem dla Waszych danych".

Struktura Normy i Tajemniczy Załącznik A

Zabezpieczenia organizacyjne (37 kontroli): Mózg operacji. Dotyczą m.in. polityk, ról i odpowiedzialności, zarządzania aktywami, bezpieczeństwa w chmurze i planowania ciągłości działania.
Zabezpieczenia osobowe (8 kontroli): Koncentrują się na ludziach – najważniejszym i zarazem najsłabszym ogniwie. Obejmują procesy od rekrutacji (sprawdzanie przeszłości), przez szkolenia świadomościowe, aż po procedury odejścia pracownika z firmy.
Zabezpieczenia fizyczne (14 kontroli): Chronią przed "analogowymi" zagrożeniami. To m.in. kontrola dostępu do biur i serwerowni, ochrona sprzętu przed kradzieżą czy zniszczeniem oraz polityka czystego biurka i ekranu.
Zabezpieczenia technologiczne (34 kontrole): Najbardziej "techniczna" część. Znajdziemy tu m.in. zarządzanie dostępem do systemów, kryptografię, bezpieczeństwo sieci, tworzenie kopii zapasowych, monitorowanie logów i bezpieczne tworzenie oprogramowania.

Podróż ku Certyfikacji i Co Dalej?

Proces certyfikacji jest maratonem, a nie sprintem. Zazwyczaj składa się z dwóch etapów audytu zewnętrznego, przeprowadzanego przez akredytowaną jednostkę certyfikującą:

Etap 1 (Audyt wstępny): Audytor sprawdza dokumentację ISMS. To ocena "na papierze" – czy wszystkie wymagane polityki, procedury i zapisy istnieją i są zgodne z duchem normy.
Etap 2 (Audyt certyfikujący): Audytor weryfikuje, czy system faktycznie działa w organizacji. Rozmawia z pracownikami, sprawdza konfiguracje systemów i szuka dowodów na to, że wdrożone zabezpieczenia są skuteczne w praktyce.