Poradenství k bezpečnosti a  managementu ICT

Bezpečnostní projekty z naší nabídky se orientují na odhalování nedostatků, hrozeb, zranitelných míst a rizik, ať už ohrožují samotný informační systém, nebo jím zpracovávaná data. Informační a komunikační technologie v organizaci musí být primárně prostředkem, nikoliv překážkou při práci. Proto je důležité stanovit přijatelné zásady jejich správného a bezpečného používání. Najít rovnováhu mezi kvantitou implementovaných bezpečnostních prvků a použitelností takto zabezpečeného systému je cílem bezpečnostní politiky založené na výsledcích analýzy/auditu rizik vašeho systému.

Služby auditu poskytujeme též k oblasti IT managentu, nabízíme i licenční audity. V oblasti řízení IT dle ITIL se zaměřujeme též na poradenské služby a školení.

Strategie bezpečnosti IS

Správně zvolená strategie bezpečnosti přináší pro organizaci možnost účinně investovat peníze do informačního systému a současně investice ochránit. Zabezpečuje data a firemní tajemství před zneužitím. Buduje dobré jméno organizace a posiluje důvěryhodnost. Umožňuje splnit legislativní požadavky související s ochranou. Pomáhá implementovat technologie, které poskytnou konkurenční výhodu, neboť akcelerují obchod, dodávky, komunikaci.

Strategie bezpečnosti IS je dokument, který vychází z auditu bezpečnosti IS organizace a analýzy rizik. Ty nám popisují stávající stav – pokud jej chceme zlepšit je nutné zvážit čeho chceme dosáhnout (definovat cíle). Cílem je určení hrozeb, které chceme eliminovat, protože představují vážné ohrožení. Pro správné určení cíle zpracováváme strategii bezpečnosti, která se promítá do bezpečnostních politik, metrik i plánů (a to i investičních a implementačních plánů a jejich priorit).

Detaily v popisu řešení Strategie bezpečnosti IS.

Řízení bezpečnosti informací (ISMS)

Řešení je určeno společnostem, které chtějí úspěšně řídit bezpečnost interních informací ovlivňujících klíčovým způsobem podnikání organizace (informace o zákaznicích, projektech, rozvojových strategiích apod.). Dále zákazníkům, kteří chtějí získat certifikaci systému řízení bezpečnosti v souladu s normou ISO 27001. Zavedení ISMS je určeno všem státním, veřejným i soukromým organizacím usilujícím o účinný, jednotný a systematický přístup k ochraně dat a ICT prostředků.

Základním cílem řešení je vybudovat a úspěšně certifikovat systém řízení bezpečnosti v souladu s normou ISO 27001. Benefitem našich služeb jsou znalosti a praktické zkušenosti se zaváděním a provozováním systému a s přípravou organizace na úspěšný audit implementace ISMS.

Přínosné je především zavedení vysokého bezpečnostního povědomí uživatelů, efektivně vynakládané prostředky na bezpečnost ICT a eliminace rizik a výskytu incidentů s negativním dopadem na bezpečnost klíčových informaci.

Více informací v produktovém listu Zavedení systému řízení bezpečnosti informací.

Analýza rizik bezpečnosti IS

Výsledkem analýzy rizik informační soustavy je zpráva shrnující jednotlivá aktiva společnosti, které chceme chránit. Zabývá se hledáním zranitelných míst ohrožujících jednotlivá aktiva.

Cílem analýzy rizik je navrhnout účinná a efektivní opatření k minimalizaci potenciálních škod. Tedy taková opatření, která zohledňují hodnotu daného aktiva, pravděpodobnost realizace hrozby, dopad realizace hrozby na kontinuitu činnosti organizace a hodnotu uskutečnění protiopatření. To umožní přistupovat k řešení bezpečnosti diferencovaně podle důležitosti a požadavků na zabezpečení a dostupnost dat a zabránit neefektivní paušální aplikaci nákladných bezpečnostních technologií na celý systém.

Mezi přínosy analýzy patří možnost správně a účinně investovat do IS, ochránit data a firemní tajemství před zneužitím, implementovat technologie, které poskytnou konkurenční výhodu, ucházet se o zakázky podmíněné ochranou informací, získat certifikaci o kompatibilitě s normou či standardem.

Penetrační testy

Penetrační testování bezpečnosti IS je jednou z částí komplexního procesu řízení informační bezpečnosti, který má podobu Demingova procesního cyklu PDCA (kontinuální vylepšování). Penetrační testování tedy primárně zkoumá stávající stav zabezpečení informačního systému a jeho výstupy jsou podkladem pro analýzu rizik.

Jedním ze základních přínosů této služby je zjištění, jakou míru proniknutelnosti mají aktuálně přijatá opatření ochraňující klíčová aktiva společnosti. Penetrační testy následně umožní správně a účinně investovat do nedostatečných opatření, neplýtvat prostředky, ochránit bezpečnostní investice, cíleně plánovat zvýšení úrovně zabezpečení a implementovat technologie, které poskytnou konkurenční výhodu.

Personální audit využívání IS

Úkolem personálního auditu je sledování činností uživatelů na koncových stanicích. Výsledky, které nám sledování poskytne, slouží k optimalizaci vytížení zdrojů organizace. Prostředky vkládané do informačních technologií nejsou zanedbatelné, jejich efektivní využívání je nezbytné.

Pro optimalizaci zdrojů musíme získat přesnou představu o jejich vytížení. S tímto cílem monitorujeme činnosti koncových stanic. Výsledkem je přesný snímek pracovní doby zaměstnance, včetně využití všech prostředků. Sledování činností umožňuje software lokálně instalovaný na sledovaných pracovních stanicích.

Mezi sledované činnosti patří: spuštění pracovní stanice, přihlášení uživatele, uzamčení stanice, odhlášení a vypnutí.

Další sledovanou činností je aktivní práce uživatele s aplikacemi, které jsou na stanici k dispozici. Tyto informace mohou také odhalit software, který uživatel využívá v rozporu s licenční politikou organizace.

Další informace v produktovém listu Audit využívání přístupu k webu.

Audit bezpečnosti IS (ISO 27000)

Bezpečnostní audit posuzuje kompatibilitu bezpečnostního systému s implementovanou bezpečnostní politikou nebo zvolenou normou či standardem. Sleduje se dodržování požadavků norem řady ISO (např. ISO 27001), ČSN (např. ČSN TR 13335) apod.

Bezpečnostní audit informačního systému umožňuje správně a účinně investovat peníze do informačního systému, ochránit data a firemní tajemství před zneužitím, ochránit dobré jméno organizace, splnit některé legislativní požadavky související s ochranou dat údajů, implementovat technologie, které poskytnou konkurenční výhodu, neboť akcelerují obchod, dodávky, komunikaci. Audit je cestou, jak se ucházet o zakázky podmíněné ochranou informací či získat certifikaci o kompatibilitě s normou či standardem, který může být vyžadován ve veřejných zakázkách.

Více informací v produktovém listu Audit bezpečnosti.

Audit IT managementu (ISO 20000)

Cílem „Hodnocení úrovně provozu IT z pohledu požadavků ISO/IEC 20000 a příprava na certifikaci dle této normy" je analýza stávajícího stavu poskytování IT služeb, identifikace případných slabých míst a vypracování návrhů na zlepšení v oblasti procesů i využité technologie. Ve fázi přípravy na certifikaci proběhne definice potřebných procesů a dokumentace včetně pracovních pokynů, vedení projektu implementace těchto procesů včetně implementace tzv. Demingova cyklu (Plan-Do-Check-Act) pro jejich trvalé zlepšování a provedení kontrolního „auditu“ dle požadavků ISO/IEC 20000.

Základním přínosem služby je významné zlepšení IT služeb poskytovaných uživatelům ve velmi krátké době. Mezi další přínosy patří nastavení procesů a případná implementace takových nástrojů, které zajistí transparentnost IT služeb. Úroveň IT služeb bude měřena, můžete ji kontrolovat, snadno ovlivňovat a tím ovlivňovat i náklady na poskytování těchto služeb. Můžete řídit IT podle potřeb podnikání.

Poradenství k poskytování ICT služeb dle ITIL

Cílem "Implementace IT procesů dle ITIL" je vybudování organizace poskytující IT služby, která zajistí transparentnost jednotlivých služeb z hlediska kvalitativních parametrů i nákladů.

Projekt je zahájen analýzou současného stavu IT procesů a jejich vztahu s business procesy. Následně navrhneme podobu cílového stavu včetně postupu k jeho dosažení. Navazuje vlastní implementace procesního rámce ITIL včetně vytvoření dokumentace. Na závěr je proveden interní audit implementovaných procesů, který garantuje kvalitu odvedené práce.

Základním přínosem je zlepšení IT služeb poskytovaných uživatelům. Nastavení procesů zajistí transparentnost. Úroveň IT služeb bude měřena, můžete ji kontrolovat, snadno ovlivňovat a tím ovlivňovat i náklady na poskytování těchto služeb. Můžete řídit IT podle potřeb podnikání.

Více informací v  produktovém listu Konzultace a školení v oblasti procesního řízení.

Ochrana osobních údajů

Naše služby bezpečnostního auditu v kontextu ochrany osobních údajů jsou zaměřeny na posouzení souladu s nařízením EU (GDPR). Jedná se o specifický audit, ve kterém ověřujeme, zda a jakým způsobem jsou plněny požadavky tohoto nařízení a kde je nutné investovat do opatření či implementace technologií tak, aby se zajistilo plnění nařízení GDPR, ale i dalších zákonných předpisů souvisejících s ochranou osobních údajů.

Nabízíme i analýzu rizik osobních údajů, která zajištuje identifikaci toho, jakým hrozbám tyto údaje v organizaci čelí, jak jsou vůči nim odolné a zda, případně jak vysoké, riziko ta která hrozba představuje.

Nařízení EU (GDPR), přináší i významnou povinnost pro mnohé organizace, roli pověřence pro ochranu osobních údajů. Činnosti této role se navíc v mnohém potkávají s činnostmi manažera kybernetické bezpečnosti. Obsadit tyto specifické role personálně, nebývá jednoduché a tak se jejich outsourcing stává přirozeným východiskem.

Více informací v  produktových listech Bezpečnostní audit, Analýza rizik, Outsourcing rolí.