Poradenství a služby k bezpečnosti ICT

Informační a komunikační technologie v organizaci musí být primárně prostředkem, nikoliv překážkou při práci. Proto je důležité stanovit přijatelné zásady jejich správného a bezpečného používání. Najít rovnováhu mezi kvantitou implementovaných bezpečnostních prvků a použitelností takto zabezpečeného systému je cílem bezpečnostní strategie a řízení bezpečnosti informací založené na výsledcích analýz rizik a dopadů.

Naše bezpečnostní projekty se nejčastěji zaměřují na různé typy auditů a posouzení shody, ochranu osobních informací, strategií a plánů k zajištění kontinuity a různých typů testování bezpečnosti.

Strategie bezpečnosti IS

Správně zvolená strategie bezpečnosti přináší pro organizaci možnost účinně investovat peníze do informačního systému a současně investice ochránit. Zabezpečuje data a firemní tajemství před zneužitím. Buduje dobré jméno organizace a posiluje důvěryhodnost. Umožňuje splnit legislativní požadavky související s ochranou. Pomáhá implementovat technologie, které poskytnou konkurenční výhodu, neboť akcelerují obchod, dodávky, komunikaci.

Strategie bezpečnosti IS je dokument, který vychází z auditu bezpečnosti IS organizace a analýzy rizik. Ty nám popisují stávající stav – pokud jej chceme zlepšit je nutné zvážit čeho chceme dosáhnout (definovat cíle). Cílem je určení hrozeb, které chceme eliminovat, protože představují vážné ohrožení. Pro správné určení cíle zpracováváme strategii bezpečnosti, která se promítá do bezpečnostních politik, metrik i plánů (a to i investičních a implementačních plánů a jejich priorit).

Detaily v popisu řešení Strategie bezpečnosti IS.

Řízení bezpečnosti informací (ISMS)

Řešení je určeno společnostem, které chtějí úspěšně řídit bezpečnost interních informací ovlivňujících klíčovým způsobem podnikání organizace (informace o zákaznicích, projektech, rozvojových strategiích apod.). Dále zákazníkům, kteří chtějí získat certifikaci systému řízení bezpečnosti v souladu s normou ISO 27001. Zavedení ISMS je určeno všem státním, veřejným i soukromým organizacím usilujícím o účinný, jednotný a systematický přístup k ochraně dat a ICT prostředků.

Základním cílem řešení je vybudovat a úspěšně certifikovat systém řízení bezpečnosti v souladu s normou ISO 27001. Benefitem našich služeb jsou znalosti a praktické zkušenosti se zaváděním a provozováním systému a s přípravou organizace na úspěšný audit implementace ISMS.

Přínosné je především zavedení vysokého bezpečnostního povědomí uživatelů, efektivně vynakládané prostředky na bezpečnost ICT a eliminace rizik a výskytu incidentů s negativním dopadem na bezpečnost klíčových informaci.

Více informací v produktovém listu Zavedení systému řízení bezpečnosti informací.

Analýza rizik bezpečnosti IS

Výsledkem analýzy rizik informační soustavy je zpráva shrnující jednotlivá aktiva společnosti, které chceme chránit. Zabývá se hledáním zranitelných míst ohrožujících jednotlivá aktiva.

Cílem analýzy rizik je navrhnout účinná a efektivní opatření k minimalizaci potenciálních škod. Tedy taková opatření, která zohledňují hodnotu daného aktiva, pravděpodobnost realizace hrozby, dopad realizace hrozby na kontinuitu činnosti organizace a hodnotu uskutečnění protiopatření. To umožní přistupovat k řešení bezpečnosti diferencovaně podle důležitosti a požadavků na zabezpečení a dostupnost dat a zabránit neefektivní paušální aplikaci nákladných bezpečnostních technologií na celý systém.

Mezi přínosy analýzy patří možnost správně a účinně investovat do IS, ochránit data a firemní tajemství před zneužitím, implementovat technologie, které poskytnou konkurenční výhodu, ucházet se o zakázky podmíněné ochranou informací, získat certifikaci o kompatibilitě s normou či standardem.

Audit bezpečnosti IS (ISO 27000)

Bezpečnostní audit posuzuje kompatibilitu bezpečnostního systému s implementovanou bezpečnostní politikou nebo zvolenou normou či standardem. Sleduje se dodržování požadavků norem řady ISO (např. ISO 27001), ČSN (např. ČSN TR 13335) apod.

Bezpečnostní audit informačního systému umožňuje správně a účinně investovat peníze do informačního systému, ochránit data a firemní tajemství před zneužitím, ochránit dobré jméno organizace, splnit některé legislativní požadavky související s ochranou dat údajů, implementovat technologie, které poskytnou konkurenční výhodu, neboť akcelerují obchod, dodávky, komunikaci. Audit je cestou, jak se ucházet o zakázky podmíněné ochranou informací či získat certifikaci o kompatibilitě s normou či standardem, který může být vyžadován ve veřejných zakázkách.

Více informací v produktovém listu Audit bezpečnosti.

Audit a služby k ochraně osobních údajů

Naše služby bezpečnostního auditu v kontextu ochrany osobních údajů jsou zaměřeny na posouzení souladu s nařízením EU (GDPR). Jedná se o specifický audit, ve kterém ověřujeme, zda a jakým způsobem jsou plněny požadavky tohoto nařízení a kde je nutné investovat do opatření či implementace technologií tak, aby se zajistilo plnění nařízení GDPR, ale i dalších zákonných předpisů souvisejících s ochranou osobních údajů.

Nabízíme i analýzu rizik osobních údajů, která zajištuje identifikaci toho, jakým hrozbám tyto údaje v organizaci čelí, jak jsou vůči nim odolné a zda, případně jak vysoké, riziko ta která hrozba představuje.

Nařízení EU (GDPR), přináší i významnou povinnost pro mnohé organizace, roli pověřence pro ochranu osobních údajů. Činnosti této role se navíc v mnohém potkávají s činnostmi manažera kybernetické bezpečnosti. Obsadit tyto specifické role personálně, nebývá jednoduché a tak se jejich outsourcing stává přirozeným východiskem.

Více informací v  produktových listech Bezpečnostní audit, Analýza rizik, Outsourcing rolí.

Audit personálního využívání IS, další audity

Úkolem personálního auditu je sledování činností uživatelů na koncových stanicích. Výsledky, které nám sledování poskytne, slouží k optimalizaci vytížení zdrojů organizace. Prostředky vkládané do informačních technologií nejsou zanedbatelné, jejich efektivní využívání je nezbytné.

Pro optimalizaci zdrojů musíme získat přesnou představu o jejich vytížení. S tímto cílem monitorujeme činnosti koncových stanic. Výsledkem je přesný snímek pracovní doby zaměstnance, včetně využití všech prostředků. Sledování činností umožňuje software lokálně instalovaný na sledovaných pracovních stanicích.

Mezi sledované činnosti patří: spuštění pracovní stanice, přihlášení uživatele, uzamčení stanice, odhlášení a vypnutí.

Další sledovanou činností je aktivní práce uživatele s aplikacemi, které jsou na stanici k dispozici. Tyto informace mohou také odhalit software, který uživatel využívá v rozporu s licenční politikou organizace.

Další informace v produktovém listu Audit využívání přístupu k webu.

Strategie a plány k zajištění kontinuity

Testy zranitelnosti, penetrační testy

Penetrační testování bezpečnosti IS je jednou z částí komplexního procesu řízení informační bezpečnosti, který má podobu Demingova procesního cyklu PDCA (kontinuální vylepšování). Penetrační testování tedy primárně zkoumá stávající stav zabezpečení informačního systému a jeho výstupy jsou podkladem pro analýzu rizik.

Jedním ze základních přínosů této služby je zjištění, jakou míru proniknutelnosti mají aktuálně přijatá opatření ochraňující klíčová aktiva společnosti. Penetrační testy následně umožní správně a účinně investovat do nedostatečných opatření, neplýtvat prostředky, ochránit bezpečnostní investice, cíleně plánovat zvýšení úrovně zabezpečení a implementovat technologie, které poskytnou konkurenční výhodu.