Služby poradenství k bezpečnosti ICT

Informační a komunikační technologie v organizaci musí být efektivním prostředkem, nikoliv překážkou při práci. Proto je důležité stanovit přijatelné zásady jejich správného a bezpečného používání a najít rovnováhu mezi kvantitou implementovaných bezpečnostních prvků a použitelností takto zabezpečeného systému. Je cílem bezpečnostní strategie a řízení bezpečnosti informací založené na výsledcích analýz rizik a dopadů.

Naše bezpečnostní projekty se nejčastěji zaměřují na různé typy auditů a posouzení shody, ochranu osobních informací, strategií a plánů k zajištění kontinuity a různých typů testování bezpečnosti.

Strategie bezpečnosti ICT

Správně zvolená strategie bezpečnosti přináší pro organizaci možnost účinně investovat peníze do informačního systému a současně investice ochránit. Zabezpečuje data a firemní tajemství před zneužitím. Buduje dobré jméno organizace a posiluje důvěryhodnost. Umožňuje splnit legislativní požadavky související s ochranou. Pomáhá implementovat technologie, které poskytnou konkurenční výhodu neboť akcelerují obchod, dodávky, komunikaci.

Strategie bezpečnosti ICT je dokument, který vychází z auditu bezpečnosti IS organizace a analýzy rizik. Ty nám popisují stávající stav – pokud jej chceme zlepšit, je nutné zvážit čeho chceme dosáhnout (definovat cíle). Cílem je určení hrozeb, které chceme eliminovat, protože představují vážné ohrožení. Pro správné určení cíle zpracováváme strategii bezpečnosti, která se promítá do bezpečnostních politik, metrik i plánů (a to i investičních a implementačních plánů a jejich priorit). Detaily najdete v popisu řešení Strategie bezpečnosti IS.

Řízení informační bezpečnosti (ISMS)

Úspěšně řízení bezpečnosti interních informací ovlivňuje klíčovým způsobem podnikání organizace (informace o zákaznicích, projektech, rozvojových strategiích apod.). Proto je zavedení ISMS důležité pro všechny státní, veřejné i soukromé organizace, usilující o účinný, jednotný a systematický přístup k ochraně dat a ICT prostředků a také zákazníkům, kteří chtějí získat certifikaci systému řízení bezpečnosti v souladu s normou ISO 27001.

Přínosné je především zavedení vysokého bezpečnostního povědomí uživatelů, efektivně vynakládané prostředky na bezpečnost ICT a eliminace rizik a výskytu incidentů s negativním dopadem na bezpečnost klíčových informaci.

Více informací v produktovém listu Zavedení systému řízení bezpečnosti informací

Analýza rizik a dopadů

Výsledkem analýzy rizik informační soustavy je zpráva shrnující jednotlivá aktiva společnosti, které chceme chránit. Zabývá se hledáním zranitelných míst ohrožujících jednotlivá aktiva.

Cílem analýzy rizik je navrhnout účinná a efektivní opatření k minimalizaci potenciálních škod. Tedy taková opatření, která zohledňují hodnotu daného aktiva, pravděpodobnost realizace hrozby, dopad realizace hrozby na kontinuitu činnosti organizace a hodnotu uskutečnění protiopatření. To umožní přistupovat k řešení bezpečnosti diferencovaně podle důležitosti a požadavků na zabezpečení a dostupnost dat a zabránit neefektivní paušální aplikaci nákladných bezpečnostních technologií na celý systém.

Mezi přínosy analýzy patří možnost správně a účinně investovat do IS, ochránit data a firemní tajemství před zneužitím, implementovat technologie, které poskytnou konkurenční výhodu, ucházet se o zakázky podmíněné ochranou informací, získat certifikaci o kompatibilitě s normou či standardem.

Audity bezpečnosti

Bezpečnostní audit posuzuje kompatibilitu bezpečnostního systému s implementovanou bezpečnostní politikou nebo zvolenou normou či standardem. Sleduje se dodržování požadavků norem řady ISO (např. ISO 27001), ČSN (např. ČSN TR 13335) apod.

Bezpečnostní audit informačního systému umožňuje správně a účinně investovat peníze do informačního systému, ochránit data a firemní tajemství před zneužitím, ochránit dobré jméno organizace, splnit některé legislativní požadavky související s ochranou dat údajů, implementovat technologie, které poskytnou konkurenční výhodu, neboť akcelerují obchod, dodávky, komunikaci. Audit je cestou, jak se ucházet o zakázky podmíněné ochranou informací či získat certifikaci o kompatibilitě s normou či standardem, který může být vyžadován ve veřejných zakázkách.

Více informací v produktovém listu Audit bezpečnosti.

Bezpečnostní dokumentace

Bezpečnostní dokumentace je soubor zásad a pravidel určujících základní aspekty bezpečnosti. Při zavádění bezpečnosti ve společnosti by mělo být postupováno „shora dolů“ – organizace by měla nejprve přijmout svoji bezpečnostní politiku jako zastřešující dokument a následně pak vytvářet další jí podřízené dokumenty, jako jsou Bezpečnostní směrnice, Postupy a návody, Havarijní plány a další.

Dokumentace klíčových bezpečnostních procesů a opatření je jedním z důležitých prvků řízení informační bezpečnosti organizace.

Příprava na shody a certifikace

Naše služby v kontextu ochrany osobních údajů, jsou zaměřeny na posouzení souladu s nařízením EU (GDPR). Jedná se o specifický audit, kde ověřujeme, zda a jakým způsobem jsou plněny požadavky tohoto nařízení a kde je nutné investovat do opatření či implementace technologií tak, aby se zajistilo plnění nařízení GDPR, ale i dalších zákonných předpisů souvisejících s ochranou osobních údajů. Nabízíme i analýzu rizik osobních údajů, která zajištuje identifikaci toho, jakým hrozbám tyto údaje v organizaci čelí, jak jsou vůči nim odolné a zda případně jak vysoké riziko, ta, která hrozba představuje.

Nařízení EU (GDPR), přináší i významnou povinnost pro mnohé organizace, roli pověřence pro ochranu osobních údajů. Činnosti této role se navíc v mnohém potkávají s činnostmi manažera kybernetické bezpečnosti. Obsadit tyto specifické role personálně, nebývá jednoduché, a tak se jejich outsourcing stává přirozeným východiskem. Více informací v produktovém listu Outsourcing rolí.

Služby k zajištění kontinuity podnikání

Cílem řízení kontinuity je především bránit přerušení činností organizace a chránit její kritické procesy a aktiva před následky závažných chyb a katastrof. Proces řízení kontinuity zajišťuje, aby výpadky způsobené pohromami a selháním bezpečnosti (např. přírodní pohromy, nehody, chyby zařízení, úmyslné poškození) byly eliminovány na přijatelnou úroveň. A protože k cíli vede většinou více cest, je potřebné si stanovit, jakou cestou a kdy budeme postupovat, hovoříme o strategii.

Aby byla zajištěna kontinuita kritických činností organizace, je třeba zaměřit pozornost na zajištění funkčnosti klíčových systémů, na kterých je výkon těchto činností „životně“ závislý. S tím souvisí potřeba přijmout strategická rozhodnutí, týkající se celého programu řízení kontinuity ICT, tj. určení strategie pro stanovení požadavků na kontinuitu, určení způsobů detekce, reakce a řešení havarijních situací a mimořádných událostí a následně navrácení provozu do stavu před havárií.

Aktualizace, Patch management

Zranitelnosti představují významný problém z pohledu bezpečnosti. Jedná se v podstatě o všechny chyby v aplikacích použitelné k útoku, které nenašel a neodstranil výrobce. Z pohledu zabezpečení firemního prostředí je klíčové, co nejvíce zkrátit interval mezi vydáním opravných signatur a jejich nasazením.

Patchování má probíhat automaticky na všech systémech i momentálně vypnutých, jen tak lze zajistit dostatečnou úroveň bezpečnosti. Dalším otázkou je, jak následně kontrolovat, že instalace proběhla korektně. Statistiky z MS WSUS představují dobré vodítko, ale doporučený postup je využít VMS (Vulnerability Management System) pro vyhledání zranitelností, testování systémů a následné nasazení oprav.

Důležité je, si uvědomit, že riziko není nulové, dokud existuje v organizaci, byť jen jediný systém s touto slabinou. Často se jedná například o snapshot virtuálního systému, který po spuštění není chráněn. Stejná situace nastává i u dlouhodobě vypnutého uživatelského počítače.

Testy zranitelnosti a penetrační testy

Penetrační testování bezpečnosti IS je jednou z částí komplexního procesu řízení informační bezpečnosti, který má podobu Demingova procesního cyklu PDCA (kontinuální vylepšování). Penetrační testování tedy primárně zkoumá stávající stav zabezpečení informačního systému a jeho výstupy jsou podkladem pro analýzu rizik.

Jedním ze základních přínosů této služby je zjištění, jakou míru proniknutelnosti mají aktuálně přijatá opatření ochraňující klíčová aktiva společnosti. Penetrační testy následně umožní správně a účinně investovat do nedostatečných opatření, neplýtvat prostředky, ochránit bezpečnostní investice, cíleně plánovat zvýšení úrovně zabezpečení a implementovat technologie, které poskytnou konkurenční výhodu.

Bezpečnostní vzdělávání uživatelů

Budování bezpečnostního povědomí je nekončící proces, který musí reagovat na měnící se prostředí vlastní organizace, tak i na měnící se bezpečnostní podmínky obecně. Vybudování bezpečnostního povědomí snižuje rizika spojená s lidskou chybou, s chybou uživatele. Uživatelé by měli rámcově vědět, jaké operace, s jakými daty jsou přípustné podle aktuálně platných zákonů. Jaké interní procesy, požadavky těchto zákonů aplikují, jak postupovat v situacích, kdy může dojít k narušení bezpečnosti, jaké operace a chování jsou nebezpečné a zvyšují riziko porušení bezpečnosti.