Információbiztonsági tanácsadás

Írjon nekünk

AUDIT/KOCKÁZATELEMZÉS

A megfelelőség (compliance) megteremtése és fenntartása terén fontos szerep jut a rendszeres audit vizsgálatoknak, mivel azok révén értékelhető ki, hogy a cégek IT működése mennyire felel meg a vonatkozó biztonsági követelményeknek.
Ilyen kiértékelést végezhet a cég saját maga belső auditok keretében, vagy külső audit vizsgálat során felügyeleti szerv, hatóság, üzleti partner.

Szolgáltatás tartalma:

  • rendszereit, folyamatait, szervezetét vizsgáljuk, hogy információbiztonsági szempontból megfelelnek-e a vonatkozó külső és belső előírásoknak (jogszabályoknak, szabványoknak, ajánlásoknak, belső szabályozásnak stb.),
  • a vizsgálatokat nemzetközi audit módszertanokat követve hajtjuk végre,
  • rendszeres ellenőrzésekhez audit munkatervet alakítunk ki,
  • az audit során észlelt hiányosságok kezelésére javaslatokat fogalmazunk meg,
  • külső auditokra készítjük fel cégét,
  • auditok végrehajtása során képviseljük, támogatjuk cégét (egypontos kapcsolattartás az auditorral, segítségnyújtás ügyféloldali válaszok megfogalmazásában, kapott határozatok értelmezésében stb.).

MEGFELELŐSÉG (COMPLIANCE)

Egy adott szektorra, számos piaci és nem piaci szereplő határoz meg információbiztonsági előírásokat, amelyeknek való megfelelést folyamatosan szükséges biztosítani. Követelményeket fogalmazhatnak meg jogszabályok, felügyeleti szervek, anyavállalatok, hatóságok, szerződéses partnerek. A megfelelés igen összetetté válhat olyan esetekben, amikor egy szervezetnek egyidejűleg több (adott esetben egymástól eltérő) követelményrendszert is ki kell elégítenie.
Ilyen esetekben hasznos segítség egy tapasztalt szakértő igénybevétele.

Szolgáltatás tartalma:

  • felkészítjük cégét ezen külső előírásoknak való megfelelésre, auditokra,
  • megvizsgáljuk, hogy cége milyen mértékben felel meg a vonatkozó követelményrendszernek és a hiányosságok kezelésére akciótervet dolgozunk ki,
  • támogatjuk cégét a felkészülés során,
  • támogatást nyújtunk cége számára a megfelelési auditok során.

ÜZLETMENET-FOLYTONOSSÁG TERVEZÉS (BCM/BCP/DRP)

Az üzleti tevékenység zavartalan működtetése több erőforrás egyidejű elérhetőségén alapul. Nem az a kérdés, hogy kiesnek-e ezek az erőforrások, hanem hogy ez mikor történik meg. Ilyen események bekövetkezése gondos tervezéssel csökkenthető, de nem zárható ki teljesen, ezért az üzleti károk minimalizálása érdekében egyetlen lehetőség marad:
felkészülni az üzletmenet folytonosságának biztosítására.

BCM:

  • működés folytonosság menedzsmentet (BCM) alakítunk ki, vagy működő BCM rendszert optimalizálunk,
  • üzleti hatáselemzést (BIA) hajtunk végre az informatikai rendszerek tolerált kiesési idejének és adatvesztésének meghatározása céljából az üzleti folyamatok és azok informatikai függésének elemzésén keresztül,
  • üzletmenet-folytonossági tervet (BCP) dolgozunk ki / aktualizálunk cége kritikus üzleti folyamatainak elérhetőségének biztosítására katasztrófa helyzet esetén,
  • kialakítjuk/aktualizáljuk a krízismenedzsment folyamatát,
  • tervet (DRP) dolgozunk ki (vagy aktualizálunk) az informatikát ért katasztrófa elhárítására, illetve az informatikai működés visszaállítására,
  • Informatikai DR stratégiákat dolgozunk ki, alternatívákat elemzünk,
  • A BCP és DRP terveket oktatjuk, a tervek tesztelésében támogatást nyújtunk.

ISO 27001 ISMS/IBIR

Egyre több cég ismeri fel azt az üzleti előnyt, amelyet egy átfogó adatbiztonság kialakítása és működtetése jelent számukra. A nemzetközi szabványokon alapuló ISO 27001 információbiztonsági irányítási rendszer (IBIR/ISMS) ezt nyújtja Önnek. A biztonság területeinek egységes irányítása, a lehetséges kockázatok ismerete és tudatos kezelése révén hatékonyan tud védekezni az üzletmenetét veszélyeztető támadások, események ellen.

Szolgáltatás tartalma:

  • információbiztonsági irányítási rendszert alakítunk ki vagy vizsgálunk felül az ISO 27001 nemzetközi és magyar szabvány előírásait követve, ezen belül kialakítjuk
    – az IBIR/ISMS keretét a PDCA modell alapján,
    – a kockázatmenedzselési/elemzési keretrendszert,
    – az átfogó szabályozási környezetet,
    – a belső audit eljárásrendet,
    – az IBIR/ISMS folyamatok hatékonyságmérési módszertanát,
    – az IT biztonsági szervezetet, meghatározzuk a biztonsági vonatkozású szerepeket, felelősségi köröket,
  • tanúsító és megújító auditra felkészítés keretében megvizsgáljuk és szakvéleményt adunk arra vonatkozóan, hogy a cége milyen mértékben felel meg az ISO 27001 szabvány követelményeinek. A hiányosságok kezelésére akciótervet dolgozunk ki,
  • támogatjuk cégét a felkészülés során,
  • tanúsító vagy megújító auditok végrehajtása során képviseljük, támogatjuk cégét (egypontos kapcsolattartás az auditorral, segítségnyújtás ügyféloldali válaszok megfogalmazásában, kapott határozatok értelmezésében stb.),
  • oktatjuk a kialakított IBIR/ISMS-t az érintettek számára.

CISO SZEREPKÖR KISZERVEZÉSE

Tapasztalt biztonsági szakember alkalmazása súlyos költségeket jelent a szervezeteknek, és sok esetben a feladatok mennyisége és jellege nem indokolja teljes munkaidős kolléga alkalmazását.
Ilyen esetekben racionális üzleti döntés külső IT biztonsági tanácsadó eseti vagy folyamatos részmunkaidős bevonása a CISO feladatok ellátására.

Szolgáltatás tartalma:

  • szakmailag támogatjuk cégét rész- vagy teljes munkaidőben információbiztonsági feladatok végrehajtásában,
  • rendszeres vagy eseti jelleggel szakértői tanácsadást, támogatást nyújtunk cége számára bármilyen felmerülő információbiztonságot érintő témában pl. projektekben biztonsági szempontok érvényesítése, biztonsági minőségbiztosítás, döntéselőkészítő szakmai anyagok kidolgozása.

KÉPZÉSEK

Kimutatható, hogy kifinomult biztonsági megoldások alkalmazása mellett is az ember marad a leggyengébb láncszem az adatok védelmének kialakításában. Akaratlanul elkövetett munkatársi hibákra vezethető vissza számos súlyos biztonsági incidens.

Oktatás az egyik „quick-win” a biztonság kialakítása során, biztonság tudatossági képzések révén gyors, szemmellátható eredményt tud felmutatni egy szervezet.

Szolgáltatás tartalma:

  • felmérjük az alkalmazottak információbiztonsági ismereteit,
  • információbiztonságot fokozó átfogó programot dolgozzunk ki, amelynek célja a biztonságtudatosság folyamatos növelése,
  • oktatási tematikát készítünk, és azt bemutatjuk a célközönségek számára,
  • e-learning oktatási anyagot készítünk

TANÁCSADÁS

Tapasztalt biztonsági szakember alkalmazása súlyos költségeket jelent a szervezeteknek, a feladatok mennyisége és jellege sokszor nem indokolja teljes munkaidős kolléga alkalmazását. Ilyen esetekben racionális üzleti döntés külső szakértő tanácsadó eseti vagy folyamatos részmunkaidős bevonása.

Szolgáltatás tartalma:

  • szakmailag támogatjuk cégét rész- vagy teljes munkaidőben információbiztonsági feladatok végrehajtásában,
  • rendszeres vagy eseti jelleggel szakértői tanácsadást, támogatást nyújtunk cége számára bármilyen felmerülő információbiztonságot érintő témában,
  • lehetséges feladatok:
    – projektekben biztonsági szempontok érvényesítése,
    – biztonsági minőségbiztosítás,
    – döntéselőkészítő szakmai anyagok kidolgozása,
    – biztonsági feladatok végrehajtása felmerülő igények alapján.

ADATVÉDELEM (GDPR)

Amennyiben cége személyes adatokat kezel, akkor jelenleg meg kell felelnie a hatályos magyar adatvédelmi törvény rendelkezéseinek, 2018 tavaszától pedig az Európai Adatvédelmi Rendeletnek (GDPR) is. A szolgáltatás önnek szól, ha személyes adatokat kezel, és szeretne megfelelni a magyar jogszabályoknak és az Európai Adatvédelmi Rendelet (GDPR) információbiztonsági követelményeinek.

Szolgáltatás tartalma:

  • megvizsgáljuk, hogy IT rendszereiben tárolt, továbbított és azokban feldolgozott személyes adatok kezelése megfelel-e a vonatkozó törvény előírásainak, EU-s irányelveknek,
  • javaslatokat fogalmazunk meg az észlelt hiányosságok megszüntetésére,
  • felkészítjük cégét, hogy az megfeleljen a 2018 tavaszától betartandó Európai Adatvédelmi Rendelet (GDPR) információbiztonsági követelményeinek.

INFORMÁCIÓBIZTONSÁGI SZABÁLYOZÁSI RENDSZER

Ahhoz, hogy üzleti titkaink és szervezetünk működése információbiztonsági szempontból  biztonságban legyen, egy komplex, többszintű szabályozási rendszer kialakítása szükséges. Mindemellett ezen előírásokat jogszabályok, hatóságok és számos szabvány követeli meg a szervezetektől. Egy szabályozói rendszer kialakítása mellett egyaránt fontos a naprakészen tartásuk, valamint a munkavállalók felé történő oktatása, melyet szintén jogszabályok írnak elő.

Szolgáltatás tartalma:

  • A többszintű és komplex szabályzói rendszer kialakítása, a felsőbb szintektől (politika, szabályzatok) egészen az alsóbb szintekig (eljárásrendek). Illetve a már meglévő dokumentumok felülvizsgálata.
  • Támogatást nyújtunk a szabályzatok bevezetésében, megvalósításában, valamint igény esetén segítünk az oktatásában.

MINŐSÉGBIZTOSÍTÁS

A megfelelő információbiztonság kialakításához és fenntartásához elengedhetetlen, hogy a szervezet már az infrastruktúra, alkalmazások, illetve folyamatok tervezésénél nagy hangsúlyt fektessenek a biztonságra. A rendszerek és az alkalmazások kialakításánál fontos a „Security by Design” alapelv érvényesülése. Ennek mentén  biztosított a joggyakorlatok, stratégiák és szabványok használatával a szükséges hitelesítési, engedélyezési, titkosítási, adatintegritási, adatvédelmi, elszámoltathatósági, rendelkezésre állási, visszautasítási/megtagadási és egyéb biztonsági követelmények hatékony érvényesítése míg folyamat szinten fontos a szerepek, felelősségek és folyamatkontrollok megfelelő definiálása.

Szolgáltatás tartalma:

  • Az infrastruktúra/alkalmazás kialakítása során felülvizsgáljuk a megvalósítandó elképzelés biztonsági aspektusait, és segítjük a “Security By Design” alapelv érvényesülését.
  • A kialakítandó folyamatok/szervezeti megoldások felülvizsgálatával, és annak szükség szerinti módosításával felhívjuk a figyelmet az esetleges folyamatkontrollbeli, illetve személyi felelősségi anomáliákra, javaslatot teszünk a hatékonyabb és biztonságosabb megoldás kialakítására.

STRATÉGIA

Egy vállalat számára fontos egy pontos képet kapnia arról, hogy milyen érettségi szinten helyezkedik el információbiztonsági szempontból, egyaránt meg kell bizonyosodnia az erősségekről és az estleges gyengeségekről is. Ennek tudatában kialakításra kerülnek azon közép-, és hosszútávú stratégiai célok, amelyeket a szervezet el szeretne érni. Fontos, hogy a stratégiai dokumentumot folyamatosan után kell követni és ha szükséges frissíteni kell.

Szolgáltatás tartalma:

  • Segítünk a célok meghatározásához szükséges jelenlegi információbiztonsági érettségi szint meghatározásában.
  • Segítünk azon célok meghatározásában, amelyekben megfelelő arányban jelennek meg az üzleti, technikai és biztonsági elvárások is.

FELHŐBIZTONSÁG

Egyre több vállalat választja a felhőalapú működést, hiszen nem csak mobilissá, produktívabbá és hatékonyabbá teszi őket, hanem jelentős mértékben csökkenti költségeiket. A fizikailag nagyobb távolságban lévő munkavállalókat a vállalatok a felhőre támaszkodva úgy kötik össze, hogy az adatokat és szolgáltatásokat bármikor és – a megfelelő feltételekkel együtt – bárhonnan el tudják érni. Azonban attól, hogy a felhőtechnológia hatékony, még nem teljesen kockázatmentes. A felhőbiztonság ezáltal kulcsfontosságú szerepet tölt be egy felhőtechnológiát használó vállalat működésében. A felhőbiztonság házirendekből, kontrollokból, eljárásokból és technológiai megoldásokból áll, amelyek együttesen védik a felhőalapú rendszereket, adatokat és az infrastruktúrát. Ezek a biztonsági intézkedések úgy kerülnek kialakításra, hogy többek között megvédjék a felhőalapú rendszereket/adatokat, támogassák a jogszabályoknak való megfelelést és védjék az ügyfelek személyes adatait, valamint hitelesítési szabályokat állítsanak be az egyes felhasználók és eszközök számára.

Szolgáltatás tartalma:

  • Kiértékeljük, hogy az adott felhő szolgáltatás, vagy szolgáltató igénybevétele mekkora biztonsági kockázatot jelent a cége működésére.
  • Megvizsgáljuk, hogy a felhőszolgáltatás használata esetén a cég megfelel-e a jogszabályi követelményeknek.
  • Már bevezetett felhőszolgáltatás esetén elemezzük a biztonsági beállításokat és javaslatot teszünk a megfelelő, kockázattal arányos biztonság eléréséhez szükséges módosításokra.
  • Áttekintjük a cég adatkezelési szabályzatát és meghatározzuk az adatok felhőbe kerülésének szabályait.

ÁTFOGÓ ADATVÉDELEM KIALAKÍTÁSA

Az átfogó adatvédelem olyan eszközök, folyamatok és szabályozások összessége, amelyek biztosítják, hogy a bizalmas adatokat ne lehessen elveszteni, ne éljenek vele vissza, illetőleg jogosulatlan felhasználók ne férhessenek hozzá. Ezen adatvédelmen belül osztályozásra kerülnek többek között bizalmas és üzleti szempontból kritikus adatok. Az átfogó adatvédelem keretében szükséges azonosítani az előre definiált szabályok megsértését is. Ezen szabályok egy részének meglétét általában valamely jogszabályi megfelelés vezérel, például HIPAA, PCI-DSS vagy GDPR. Végül az átfogó adatvédelmen belül biztosítani kell a hatékony ellenintézkedéseket az esetleges szabálysértésésekkel kapcsolatban.

Szolgáltatás tartalma:

  • Áttekintjük a szervezet által kezelt adatokat, illetve az alkalmazott adatosztályozást.
  • Feltérképezzük a szervezetnél megjelenő jelenlegi adatutakat.
  • Megvizsgáljuk a szervezet által használt jelenlegi védelmi intézkedéseket.
  • Szivárgási csatornákat azonosítunk.
  • Javaslatokat fogalmazunk meg az adatszivárgási problémák kezelésére.

Írjon nekünk!