IT biztonsági tanácsadás

Lock-iconAz informatikai biztonság egyfajta mérleg: egyik oldalon a törvényi és üzleti elvárások, az adatvagyon értéke illetve a jó hírnév áll, míg a másikban a szabályzatok betartatása és a biztonsági rendszerek költsége. Az informatikai védelmi intézkedések költségének mindig arányban kell állni a védendő információ értékével. Ezért szükséges a megfelelő védelmi infrastruktúra kialakítása, működtetése és ellenőrzése.

Cégünk a biztonsági audit tevékenységünk módszertanát hazai és nemzetközi ajánlásokat felhasználva állította össze (COBIT 4.1, ITIL, PSZÁF 10/2001, 1/2007, ISO 27001, ISO 15408 – Common criteria, ISO27034).

IT biztonsági tanácsadás területén helyi képviselete vagyunk a Comsec Global izraeli székhelyű globális IT biztonsági cégnek. A Comsec Global 1987-ben alakult és a világ számos országában nyújt kiemelkedő szinten IT biztonsági tanácsadást. A Comsec-en kívül  főbb stratégiai partnereink az ITBC Kft., Ukatemi Technologies, Whiteshield Kft., Cleardot Kft.

IT biztonsági szolgáltatásaink az alábbi fő elemekből állnak, amelyet ügyfelünk igényei alapján testre szabottan végzünk.

rulesMegvizsgáljuk, hogy a cég működése mennyire felel meg a nemzetközi szabványoknak / ajánlásoknak, törvényi előírásoknak illetve a vállalaton belüli szabályo­zásoknak.

Ezen kívül vizsgáljuk a szabályzatok gyakorlati megvalósulását különös tekintettel a biztonságra (adatvédelem, jogosultság) és a rendkívüli helyzetekre nézve.

Minden vállalkozás elemi érdeke, hogy gondoskodjon az adatok biztonságáról, informatikai rendszerei működésének folytonosságáról, illetve az informatikai katasztrófa elhárításról. Az üzletfolytonossági terv célja, hogy a cégek a szoros versenyhelyzet és törvényi megfelelőség miatt minimálisra redukálják a működési kockázatokat illetve csökkentsék az előre nem látható események során fellépő károkat.

24hours_available-512Ennek során megvizsgáljuk az SLA szerződésben foglaltakat, felmérjük az informatikai szolgáltatások minőségét (mentés, archiválás, teljesítmény, rendelkezésre állás), különös tekintettel a külső partnerekkel, beszállítókkal kötött szerző­désekre.

warning-icon-hiAz informatikai kockázatelemzés majd kockázatkezelés során arra törekszünk, hogy felmérjük és csökkentsük a vállalat működési kockázatait.  A meglévő védelmi intézkedések figyelembe vételével határozzuk meg, hogy mennyire sérülékenyek a rendszerek a különböző típusú fenyegetésekkel szemben.

A biztonsági audit során vizsgáljuk a biztonságra vonatkozó szabályzatokat, azok betartását és kontrollját (SZMSZ, IBP, IBSZ, adatvédelmi, vírusvédelmi szabályzat stb.).

Továbbá vizsgáljuk az információ és adatvédelmet, fizikai, logikai és környezeti biztonságot, kommunikáció és üzemeletetés biztonságot, jogosultság és jelszókezelést, illetve az információ biztonsági oktatás megvalósulását. Amennyiben nem létezik az adott vállalatnál IT biztonsági szabályzat kialakítjuk azt.

Az audit során leltározásra kerülnek a szervezetben létező szoftverek. Ezek után kilistázzuk a könyvelésben megtalálható számlákat és licenceket. Az audit végeredménye megmutatja, hogy a szervezetben futó szoftverek legálisak-e. Olyan eset is előfordulhat, hogy több licence van a szervezetnek, mint amire szüksége van, ilyenkor javasoljuk a használt licencek eladását.

cheprograming5A sérülékenység vizsgálat (Etikus Hack) egy vállalat informatikai rendszerén végzett biztonsági tesztelési folyamat, amely a kritikus biztonsági rések feltárása irányul, ezáltal csökkentve a rosszindulatú támadások sikerességét. A sérülékenység vizsgálat során képet kapunk az adott rendszer aktuális állapotáról. Végzünk Black Boksz, White Boksz, Great Boksz illetve social engineering vizsgálatokat.

byodEz a terület kifejezetten fontos IT biztonság szempontból a Bring Your Own Device (BYoD) koncepció megjelenését követően, amikor is a szervezet hálózatában céges és magán mobil eszközök egyaránt megtalálhatóak. Vizsgáljuk, hogy milyen biztonsági folyamatok vannak érvényben annak érdekében, hogy a mobil eszközök által behozott IT biztonsági kockázatot kezeljék. Feltérképezzük az esetleges biztonsági réseket és javaslatot teszünk ezek kezelésére. Ügyfeleink igénye alapján kidolgozzuk a cég mobil biztonsági szabályzatát.

Pénzügyi szervezetek számára kötelező a biztonsági tudatosság oktatása a felhasználók részére (jelszavak kezelése, adathalászat megakadályozása, telekommunikációs eszközök használata, stb.) és az oktatás után annak dokumentálása, munkavállalói részről ennek elfogadása. Cégünk oktatói segítenek megszerezni az adott munkakörnek megfelelő tudást.

A Comsec Global jelentős referenciával rendelkezik az IT biztonsági tanácsadás területén, többek között távközlési, pénzügyi, gyógyszeripari, közlekedési és állami szektorokban.

Ügyfelünk igénye alapján bármelyik,  az előző fejezetben felsorolt IT biztonsági tanácsadást tudjuk a Comsec-el közösen is végezni. Alább bemutatunk azokat a szolgáltatásokat, amelyekhez legtöbbször bevonjuk a Comsec Global-t.

Comsec Group

DDoS (Distributed Denial of Service) készenlét

A DDoS támadások világszerte egyre fokozottabban jelentkeznek és lebénítják egy-egy szervezet működését, így jelentős veszteségeket okoznak.

Megoldásunk a szervezet gyenge pontjainak feltérképezéséből, támadási metódusok megtervezéséből és hivatalosan birtokolt IP címekről (botnet) indított célzott és kontrollált támadások elvégzéséből áll. Ezzel a módszerrel fel tudjuk készíteni ügyfelünk szervezetét a DDoS támadásokra és védelmet tudunk biztosítani számára.

.

PCI DSS szolgáltatás

 

A Payment Card Industry ( PCI ) fejlesztette ki a PCI Data Security Standard-ot (DSS) annak érdekében, hogy létrehozzon  egy egységes technikai biztonsági szabványt a főbb hitelkártya rendszereknek. A PCI DSS biztosítását teljes körűen vállaljuk beleértve a célmeghatározást, jelentés készítését, javítást, biztonsági tesztelést és minősítés kiadását. Mivel a Comsec Global minősített biztonsági tanúsítást is tud kiadni (Qualified Security Assesor, QSA) pozitív értelemben különbözünk a legtöbb hasonló szolgáltatást nyújtó cégtől.

 

Applikáció biztonság

Felmérjük egy adott vállalat üzleti alkalmazásainak biztonsági helyzetét és módosítási javaslatokat dolgozunk ki.  Az automatikus és manuális elemzésből álló CodeDefend® megoldásunkkal átnézzük a forráskódot és feltérképezzük ennek gyengeségeit.  Megoldásunk támogatja a biztonságos kódfejlesztést (SDLC, Software Development Life Cycle).

 

 

Biztonsági tudatosítás

Bármilyen biztonsági megoldást alkalmazunk, ezek csak részben tudnak védelmet nyújtani a biztonsági kockázatok tekintetében. A Comsec-el közösen tesztre szabott megoldást alkalmazunk a dolgozók és beszállítók biztonsági tudatosságának növelése érdekében. A tréningek, biztonsági incidensek és trendek ismertetése mellett kiemeljük biztonsági tudatosság platformunkat (B-Aware®), amellyel célzottan tudunk biztonsági incidens helyzeteket generálni, ezen keresztül fejleszteni az alkalmazottakat.

 

A fent felsorolt néhány szolgáltatáson kívül portfóliónk tartalmaz egyéb szolgáltatásokat, mint például Cyber Intelligence Hub (CIH), Incidens szimuláció (Comsimulator), ERP biztonság megoldások, ezeknek részleteit ügyfelünk kérésére részletesebben kifejtjük.