Informatyka i Telekomunikacja

Doradztwo logistyczne

Zarządzanie Energią

Ochrona danych osobowych

Cyberbezpieczeństwo doradztwo

Opis usługi:

Analiza ryzyka i zarządzanie ryzykiem

Zarządzanie ryzykiem jest nieodłącznym elementem systemu zarządzania bezpieczeństwem informacji. Ze względu na liczne regulacje i wymagania rynkowe wiąże się ze sporym wyzwaniem zarówno w sferze technicznej, jak i organizacyjnej. W ramach usługi oferujemy pełne wsparcie we właściwym zdefiniowaniu procesu oraz wyborze odpowiedniej metodyki analizy ryzyka. Następnie wspieramy organizacje we wdrożeniu tego procesu m.in. poprzez przeprowadzenie serii warsztatów z zespołem klienta, w celu sprawnego przekazania wiedzy i adopcji procesu wśród pracowników organizacji.

Zakres wsparcia obejmuje:

  • Opracowanie procesu zarządzania ryzykiem, w tym zdefiniowanie odpowiednich ról i zakresu odpowiedzialności
  • Dobór właściwej metody analizy ryzyka, ew. opracowanie metody autorskiej
  • Integracja procesu z innymi systemami (np. w zakresie ochrony danych osobowych)
  • Przeprowadzenie serii warsztatów z poszczególnymi osobami uwzględnionymi w ramach procesu
  • Nadzór nad wynikami realizacji procesu w kolejnych latach, w tym proponowanie działań korygujących

Audyt bezpieczeństwa

Współcześnie niemal każda firma, nawet jednoosobowa, wykorzystują w swojej działalności technologie informacyjne. Stąd też tak ważne jest cyberbezpieczeństwo. Ochrona danych przedsiębiorstwa, jak i jego klientów, jest o tyle konieczna, że wszelkie wycieki mogą oznaczać ogromne straty finansowe czy wizerunkowe, nie mówiąc o konsekwencjach prawnych.

W celu kontroli bezpieczeństwa danych na firmowym sprzęcie warto wykonać profesjonalny audyt IT. Tego typu kontrola pozwoli sprawdzić siłę zabezpieczeń systemów informatycznych przedsiębiorstwa, a także określić zachowania pracowników w obliczu potencjalnych zagrożeń. Jest to szczególnie istotne w kontekście obowiązujących wymagań prawnych, związanych m.in. z ochroną danych osobowych.

Wiedza jest potężnym narzędziem, szczególnie jeśli na rynku jest twarda konkurencja. Dzięki zdobyciu najrzetelniejszych informacji dotyczących nowoczesnych rozwiązań technicznych i organizacyjnych przedsiębiorcy mają możliwość wprowadzenia optymalnym kosztem zabezpieczeń w swoich systemach teleinformatycznych.

 

System Zarządzania Bezpieczeństwem Informacji

Zarządzanie technologią informacyjną i bezpieczeństwem informacji nie może być rozumiane jako działanie jednorazowe, ale jako proces zmierzający do ciągłego doskonalenia.
Kluczowe jest zaprojektowanie systemu w taki sposób, aby do doskonalenia dochodziło w sposób możliwie niewymuszony – tylko wtedy będzie skuteczny. W obszarze bezpieczeństwa wspieramy klientów w opracowywaniu i wdrażaniu procesowego podejścia, którego celem jest zapewnienie bezpieczeństwa informacji, a w szczególności cyberbezpieczeństwa niezależnie od zmieniającego się otoczenia technicznego, biznesowego i regulacyjnego.

Oferujemy usługę wsparcia we wdrożeniu wymagań systemu zarządzania bezpieczeństwem informacji, zgodnego w wymaganiami normy ISO/ IEC 27001. Jest to jeden z najbardziej znanych i rozpowszechnionych na rynku zintegrowanych systemów zarządzania bezpieczeństwem, który jest uniwersalny, niezależny od branży jak i wielkości firmy. ISO 27001 może zostać wdrożone zarówno przez małą firmę produkcyjną, jak również międzynarodową korporację.

Celem naszej usługi jest kompleksowe przeprowadzenie klienta przez proces wdrożenia wymagań normy, poczynając od ustalenia kontekstu organizacji i zakresu działania, po przygotowanie niezbędnych i wymaganych normą dokumentów a następnie ich wdrożenie. Zapewniamy również asystę techniczną w procesie certyfikacji systemu.

Realizowane przez nas usługi obejmują także analizę systemów IT służących do przetwarzania danych osobowych w celu oceny stopienia spełnienia przez systemy informatyczne wymagań RODO.

Testy penetracyjne

Celem usługi jest weryfikacja czy infrastruktura informatyczna oraz posiadane przez firmę systemy IT są bezpieczne, w szczególności odporne na włamania i inne działania hackerskie.

Badanie wykonywane jest poprzez symulację działań wykonywanych przez hackerów w celu uzyskania nieautoryzowanego dostępu do wrażliwych dla organizacji zasobów informacyjnych, np. systemów czy sieci.

Testy mogą być realizowane w jednym z kilku wariantów:

  • Blackbox – gdzie atakujący nie ma żadnej wiedzy na temat badanych komponentów (symuluje typowy atak z sieci internet),
  • Greybox – gdzie atakujący ma dostęp do konfiguracji oraz wiedzę nt. architektury rozwiązania,
  • Whitebox – gdzie atakujący ma pełen dostęp do wiedzy nt. komponentu, obejmujący również kody źródłowe danego rozwiązania.

W zależności od potrzeby organizacji testy penetracyjne mogą dotyczyć różnych komponentów, np.:

  • Infrastruktury techniczno-systemowej (serwery, macierze, itp.)
  • Sieć wewnętrzna LAN
  • Styk z siecią Internet
  • Sieć WiFi
  • Strony WWW
  • Systemy IT

W wyniku realizacji usługi powstaje raport opisujący wykryte luki bezpieczeństwa, prawdopodobne scenariusze wykorzystania tych luk (tzw. wektory ataku) wraz z analizą wrażliwości oraz rekomendowane sposoby ich usunięcia.

Audyt KSC

Cyberbezpieczeństwo stało się w obecnym czasie wyzwaniem dla wielu organizacji. Wiąże się to nie tylko ze znalezieniem odpowiednich rozwiązań technicznych, które uchronią organizację przed cyberzagrożeniami, ale to także duże wyzwanie kadrowe i kompetencyjne. Wyzwanie, które wymusza na firmach zupełnie nowe podejście do doskonalenia umiejętności pracowników, tak aby potrafili skutecznie zadbać o cyberbezpieczeństwo.
W dzisiejszych czasach każda organizacja wykorzystuje narzędzia elektroniczne do komunikacji z klientami i kontrahentami czy pomiędzy pracownikami, a większości przypadków dostępność tych narzędzi jest kluczowa z punktu widzenia możliwości prowadzenia działalności, świadczenia usług czy produkcji.

W tym celu przed kilkoma laty w Unii Europejskiej przyjęto dyrektywę Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (w skrócie: dyrektywa NIS), która narzuca na operatorów usług kluczowych (czyli m.in. z sektora bankowego, energetycznego czy logistycznego), a także dostawców usług cyfrowych (m.in. platformy e-commerce czy wyszukiwarki) wprowadzenie określonych norm bezpieczeństwa, które mają zapewnić wysoki poziom cyberbezpieczeństwa państw członkowskich UE. W Polsce dyrektywa NIS została włączona do porządku prawnego pod postacią Ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

Dla kogo przeznaczony jest audyt wg ustawy o krajowym systemie cyberbezpieczeństwa?

  • Operatorów usług kluczowych
  • Dostawców usług cyfrowych
  • Dostawców zaangażowanych w świadczenie usługi kluczowej

W terminie roku od daty wyznaczenia a następnie co dwa lata Operatorzy Usług Kluczowych mają obowiązek przeprowadzić audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Nasz zespół specjalistów posiada pełne kompetencje do wykonania takiego audytu.

 

Co zyskujesz?

Cyberbezpieczeństwo z Audytel

Proponujemy szybkie i efektywne wdrożenie wymagań ustawy KSC dla danego podmiotu. Oferujemy implementację systemu zarządzania bezpieczeństwem informacji, opartego na normie ISO 27001 oraz systemu zarządzania ciągłością działania na bazie ISO 22301.
Pomagamy również stworzyć właściwe struktury organizacyjne, których celem jest zadbanie o odpowiednie bezpieczeństwo informatyczne, w tym odpowiedzialne za obsługę incydentów.
Wykonując ocenę bezpieczeństwa łatwo zidentyfikujemy i dokonamy analizy potencjalnych źródeł zagrożenia oraz pomożemy je wyeliminować.

Przykładowe realizacje:

Case study – Audyt bezpieczeństwa kluczowego systemu obiegu informacji finansowych

W ramach audytu bezpieczeństwa systemu obiegu informacji finansowych, wykonywanego na rzecz naszego Klienta, pod uwagę wzięliśmy konfigurację oraz stosowane zabezpieczenia wszystkich komponentów tego systemu. Zakres przeprowadzanych prac obejmował wykonanie testów penetracyjnych serwerów – komponentów systemu automatyzacji obiegu informacji finansowej oraz podsłuchanie i analizę ruchu sieciowego pomiędzy tymi komponentami.

Przeprowadzone przez nas testy ujawniły pewnego rodzaju niedociągnięcia, które mimo tego, że nie stanowiły krytycznego zagrożenia dla bezpieczeństwa, to mogły zostać łatwo wyeliminowane (poprzez wgranie odpowiednich poprawek, czy zmianę konfiguracji usług i zabezpieczeń).

 

Case study – Audyt KSC

Kilka spółek firmy z branży energetycznej, pokrywającej obszarowo znaczną część Polski, otrzymało decyzje Ministra Energetyki o uznaniu ich za operatorów usług kluczowych. Firma ta zwróciła się do nas o pomoc w spełnieniu ustawowych wymagań dotyczących zgodności z KSC. W pierwszym kroku Audytel we współpracy z blisko współpracującą kancelarią prawną dokonała analizy otrzymanych decyzji pod kątem prawidłowości ustalenia stanu faktycznego przy wydawaniu decyzji. Ze względu na to, że treść nie budziła zastrzeżeń przystąpiono wspólnie z klientem do prac wdrożeniowych. Projekt składał się z kilku etapów:

  1. Audyt zerowy, w celu ustalenia luki względem wymogów KSC
  2. Opracowanie niezbędnych procesów, w tym obsługi incydentów, wykrywania i analizy podatności dla kluczowych systemów informatycznych
  3. Wykonanie analizy ryzyka wraz z opracowaniem planu postępowania w formie mapy drogowej
  4. Powołanie struktur organizacyjnych zgodnie z wymaganiami rozporządzenia wykonawczego
  5. Opracowanie i wdrożenie brakującej dokumentacji cyberbezpieczeństwa.

Po przeprowadzeniu ww. kroków w organizacji znacząco podniósł się poziom świadomości nt. ryzyk związanych z cyberzagrożeniami a wdrożone procesy i nowe zabezpieczenia wpłynęły na zwiększenie odporności przed nowymi zagrożeniami.

Zapytaj o ofertę:

Grzegorz Bernatek

22 537 50 57



Wyrażam zgodę na otrzymywanie drogą elektroniczną informacji handlowych dotyczących Audytel S.A.

Administratorem danych osobowych jest Audytel S.A., ul. ks. I. Skorupki 5, 00-546 Warszawa, tel. +48 22 5375050, e-mail info@audytel.pl. Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się pod adresem iod@audytel.pl.
Dane będą przetwarzane w celach udzielenia odpowiedzi na zapytanie (podstawa prawna: prawnie uzasadniony interes administratora) oraz marketingu produktów własnych (podstawa prawna: prawnie uzasadniony interes administratora). Podanie danych jest warunkiem udzielenia odpowiedzi, a ich niepodanie uniemożliwi udzielenie odpowiedzi na pytanie. Dane będą przechowywane do czasu udzielenia odpowiedzi na przesłane zapytanie.
Każdej osobie przysługuje prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz ich przenoszenia. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do organu nadzorczego oraz cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych na podstawie prawnie uzasadnionego interesu administratora, a także sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu.

linkedin

Google +

icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.


linkedin

Linkedin