Kockázatelemzés
A legjobb védekezés a megelőzés.
Ismeri a szervezetére leselkedő veszélyeket?
Azt üzenem a cégeknek, akik azt gondolják, őket még sosem támadták meg, hogy valójában csak nem néztek utána elég alaposan.
– James Snook, a brit Kiberbiztonsági Hivatal igazgatóhelyettese –
Olykor érdemes kockázatot vállalni – de nem az informatikai biztonság területén
A világ legismertebb üzletemberei gyakran hangoztatják, hogy azért értek fel a csúcsra, mert annak idején mertek kockázatot vállalni. Arról viszont már kevesebb szó esik, napjainkban mekkora erőfeszítéseket tesznek azért, hogy a bizonytalansági tényezők számát a minimálisra csökkentsék – az informatikai biztonság területén is.
Manapság egy szervezet megfelelő működéséhez elengedhetetlen az adatok és az informatikai eszközpark magas szintű védelme. A veszélyforrások száma ugyanis a technikai fejlődéssel egyre csak szaporodik, ez pedig azt jelenti, hogy napról napra nő a kiberbiztonsági incidensek rizikója.
Kockázatelemzés szolgáltatásunk viszont segít felmérni a cégére leselkedő veszélyeket, szakértőink pedig javaslatot tesznek ezek kezelésére és elhárítására.
Fontos önnek az informatikai biztonság? Igényelje még ma kockázatelemzés szolgáltatásunkat!
A kockázatelemzés megvalósításának lépései
Kockázatelemzés szolgáltatásunk keretében szakértőink felmérik a cége infrastruktúrájára és üzletmenetére leselkedő fenyegetettségeket, ezen fenyegetettségek becsült hatásait, illetve azok bekövetkezésének valószínűségét. Ez azonban csak egy része az ITSecure által kínált komplex szolgáltatáscsomagnak. Ismerje meg a folyamatot lépésről lépésre:
Információgyűjtés
Üzleti folyamatokra bontva átnézzük a szervezet működését azért, hogy feltárjuk a sebezhető területeket és az informatikai biztonság gyenge pontjait, majd ezekhez védelmi szinteket rendelhessünk.
Értékelés, kockázatok feltárása
Az információgyűjtést követi az informatikai kockázatelemzés, a hiányosságok és az informatikai biztonság területét érintő problémák feltárása, valamint a kockázatok értékelése.
Kockázatkezelési terv
Kockázatelemzés szolgáltatásunk része az úgynevezett intézkedési terv, amelyben prioritás szerint feltüntetjük az informatikai biztonság megteremtéséhez szükséges védelmi intézkedéseket és a szükséges erőforrásokat.
Kockázatelemzési jelentés
Jelentést készítünk a vezetőség számára, amelyben összefoglaljuk a 2. lépésben leírt kockázatokat, gyenge pontokat és hiányosságokat, majd javaslatot teszünk a szükséges védelmi intézkedések bevezetésére.
Rendszeres felülvizsgálat
A jogszabályban előírtaknak megfelelően legalább kétévente (tanúsított információvédelmi irányítási rendszerrel rendelkezők esetében pedig évente) felülvizsgáljuk a vállalat informatikai kockázatelemzését.
Kockázatelemzési jelentés
Jelentést készítünk a vezetőség számára, amelyben összefoglaljuk a 2. lépésben leírt kockázatokat, gyenge pontokat és hiányosságokat, majd javaslatot teszünk a szükséges védelmi intézkedések bevezetésére.
Rendszeres felülvizsgálat
A jogszabályban előírtaknak megfelelően legalább kétévente (tanúsított információvédelmi irányítási rendszerrel rendelkezők esetében pedig évente) felülvizsgáljuk a vállalat informatikai kockázatelemzését.
A kockázatelemzés főbb fókuszai
Szakértőink az informatikai biztonság feltérképezése során alábbi területekre helyeznek kiemelt hangsúlyt:
Általános IT működésre, szervezetre vonatkozó elvárások, szabályzások ellenőrzése
- IT stratégia
- SzMSz
- rendszerbesorolások
- hozzáférési rend megfelelőség
- informatikai rendszer funkcionális alkalmassága
A Nemzeti Kibervédelmi Intézet számára a következő dokumentációkat kell elkészíteni és beküldeni:
- beszerzés
- fejlesztés
- tesztelés
- változáskezelés
- kockázatkezelés
- IT oktatás
IT folyamatok auditja
- beszerzés
- fejlesztés
- tesztelés
- változáskezelés
- kockázatkezelés
- IT oktatás
- jogosultságkezelés
- adatokhoz való hozzáférés
Operatív IT működés és üzemeltetés ellenőrzése (üzemeltetési leírások, jogtiszta szoftver használat, hálózati topológia és adatkapcsolatok biztonsága, adatátadások, határvédelem, levelezés védelme, mentés és archiválás, monitoring)
Kiszervezés, tevékenységek kihelyezése (szerződések, nyilvántartási rend) és a kiszervezések ellenőrzésének minősítése
Munkaszerződés és munkaköri leírások, illetve azok informatikai biztonsági besorolásának ellenőrzése
Az ellenőrzésre vonatkozó szabályzatok és az informatikai biztonsági rendszer ellenőrzése, különös tekintettel a csalások felderítésre és megelőzésre
Az ellenőrzésre vonatkozó szabályzatok és az informatikai biztonsági rendszer ellenőrzése, különös tekintettel a csalások felderítésre és megelőzésre
150+