Ha nem rendelkezel jelenleg ilyen irányelvvel, de fontos neked a céged szolgáltatásainak a biztonsága. Szükséged van segítségre tapasztalt információbiztonsági szakemberekre akik elkészítik szervezeted számára ezt a dokumentumot és ha kell a folyamatot is üzemeltetik a számodra.
EKKOR VÁLASZD
Ha nem rendelkezel jelenleg ilyen irányelvvel, de fontos neked a céged szolgáltatásainak a biztonsága. Szükséged van segítségre tapasztalt információbiztonsági szakemberekre akik elkészítik szervezeted számára ezt a dokumentumot és ha kell a folyamatot is üzemeltetik a számodra.
Az IT biztonság és az aktuális állapot felmérése – még ha nem is kötelezettség a vállalatok számára – rengeteg előnnyel járhat. A nem megfelelés viszont olyan eseményhez vezethet, amely a vállalkozás pénzügyi vagy reputációs stabilitására lehet kihatással.
A megfelelés kialakítására és fenntartására átfogó megoldást kínálunk, amely során a projekt alapú felkészítés első szakaszában felmérjük a jelenlegi állapotot, majd ehhez igazítva előállítjuk a szükséges evidenciákat, tudatosítjuk a munkavállalókat a különböző szinteken, szükség esetén pedig optimalizáljuk a folyamatokat, hogy azok hatékonyan támogassák a Szervezetet.
A szervezet nagysága és tevékenysége alapján szükséges lehet külön szerepkörök megteremtésére, felelősök, vezetők(IBF/CISO/ISO) kijelölésére, akik az információbiztonsággal kapcsolatos tevékenységeket, feladatokat látják el, irányítják. Szolgáltaltatásaink keretében vállaljuk ezen szerepkörök betöltését is.
Egy elkészített dokumentum önmagában nem elegendő a megfeleléshez különösen, ha a szervezetben tevékenykedő kollégák nem ismerik a rájuk vonatkozó szabályokat. A munkavállalók tudatosítása a felkészítési projekt során el kell kezdődjön, hogy a napi rutin tevékenység mellett birtokában legyenek a szükséges információknak.
Oktatási szolgáltatásunk keretében a munkavállalók tudatosítását, képzését olyan eszközökkel és módszerekkel végezzük, amely illeszkedik a szervezet specifikumaihoz és szervezeti struktúrájához. Egy tantermi oktatás bár hasznos, az idő múlásával elhalványulnak az ott megszerzett ismeretek. Ezért a szabályok betartására különböző módszerekkel hívjuk fel a figyelmet, legyen szó kihelyezett plakátokról, játékos feladványokról (gamification), szabadulószobákról vagy online tréningekről.
Ha a cég alkalmazottai jól informáltak, tudatosak a kiberbiztonság területén, az azt jelenti, hogy megértik milyen fenyegetettségek leselkedhetnek rájuk és milyen hatása lehet annak a cég tevékenységeire, folyamataira. Csökkenthetik a kockázatot azáltal, hogy megteszik a szükséges lépéseket a munkaterületükbe beszivárgó kiberbűnözés megelőzése érdekében.
Minden vállalkozás kezel személyes adatokat, legyenek azok az ügyfelek vagy a munkavállalók adatai, mindemellett pedig bizalmas üzleti adatokat, információkat.
Az IT biztonsági audit bevezetése ajánlott minden olyan szervezet számára, amelynek fontos a vevők elégedettsége és bizalma, az adatok sértetlensége, illetve, akinek üzleti folyamataiban kiemelt szerepet tölt be az informatika. Célja a rendszer felépítésének és hatékonyságának értékelése. Egy ilyen audit csökkenti az informatikai rendszerekkel összefüggésben felmerülő kockázatokat, javítja az adatok biztonságát, fejleszti az informatikai irányítást.
Az IT biztonsági audit eredménye egy jelentés, amelyre építhető egy GAP elemzés. Ez vizsgálja a belső szabályozók, külső elvárások és a vállalkozás folyamatainak összességét, rávilágít azokra a kockázatokra, nem-megfelelőségekre, amelyeket a Szervezetnek kezelnie kell, hogy az IT biztonsági megfelelőséget elérje, optimalizálja.
Egy külső fél általi audit alkalmas a vállalkozás időszakos ellenőrzésére, arra, hogy folyamatait fejlessze, azokat a változásokhoz igazítsa. Az audit lehetőséget ad egy feladatlista összeállítására, amivel a megfelelőség eléréséhez szükséges teendők priorizálása és kockázati besorolása valósítható meg.
Az informatikai audit elengedhetetlen azoknak a vállalkozásoknak, akik védeni kívánják informatikai rendszereiket, értékes információkat és adatokat. IT biztonsági audit szolgáltatásunkat így mindazon vállalkozásoknak ajánljuk, akik szeretnék egy külső, független fél által is áttekinteni a már bevezetett kontrollokat vagy a bevezetés előtt álló keretrendszerüket.
A compliance nagyon egyszerűen megközelítve szabályoknak való megfelelőséget jelent. A digitális biztonsági követelmények és gyakorlatok összessége. A megfelelőségi követelmények betartása annak biztosítására szolgál, hogy a vállalat üzleti folyamatai biztonságosak legyenek és, hogy a bizalmas adatokhoz (beleértve az ügyfelek adatait) illetéktelen felek ne férhessenek hozzá.
Egy kiemelt jelentőségű ügyfél megkövetelheti egy cégtől, hogy nagyon szigorú biztonsági ellenőrzéseket hajtson végre. Ez kifejezetten fontos a siker szempontjából, mivel a megfelelés hiánya az ügyfelek bizalmának elvesztését eredményezheti.
A compliance tevékenység tehát egyaránt szolgálja a cég jó hírének védelmét és a szabályok megsértéséből adódó következmények elkerülését. Az IT biztonsági audit során figyelembe vesszük azokat a külső és belső szabályozókat is, amelyek a vállalkozás tevékenységére irányadók, kötelező erejűek, hiszen lehetnek olyan ágazati és szakmaspecifikus szabályok, amelyek külön meghatároznak követelményeket az IT biztonságra (pénzügyi szektor, közművek, kritikus infrastruktúrák).
A BPM (Business Process Management) avagy Üzletifolyamat-kezelés módszer segítségével – építve a Compliance során feltártakra – interjúk készítésével elemezzük a vállalkozás belső IT folyamatait, feltárjuk az egyes folyamatokban található eltéréseket. Az elemzés kiterjed adott manuális vagy automatikus folyamat mintavételes ellenőrzésére is, ahol például egy érintetti kérelem teljesítésére adott válasz időbeli teljesülése is vizsgálható.
Az audit megtervezése során meghatározzuk azokat a területeket, folyamatokat, amelyeket az átvilágítás során vizsgálni fogunk. Bár az IT biztonsági audit során jellemzően a vállalkozás informatikai infrastruktúrájára kiterjedő vizsgálatot folytatunk le, nagyobb szervezeteknél indokolt lehet egy-egy szervezeti egység különálló ellenőrzése is (IT üzemeltetés, Marketing [webshop]). Tervezést követően az alábbi lépéseket és tevékenységeket végezzük el:
Vállalkozás IT biztonságára irányadó jogszabályi háttér elemzése
Rendelkezésre álló dokumentumok vizsgálata
Folyamatok átvilágítása, mintavételes ellenőrzés
Interjúk lefolytatása
A kapott információkat és az elemzés során feltárt eltéréseket egy jelentésben csoportosítjuk, ahol kockázati besorolást végzünk és javaslatot teszünk azok kezelésére.
Vállalkozás IT biztonságára irányadó jogszabályi háttér elemzése
Rendelkezésre álló dokumentumok vizsgálata
Folyamatok átvilágítása, mintavételes ellenőrzés
Interjúk lefolytatása
A kapott információkat és az elemzés során feltárt eltéréseket egy jelentésben csoportosítjuk, ahol kockázati besorolást végzünk és javaslatot teszünk azok kezelésére.