Naše služby
- CISO ako služba
- Implementácia procesov riadenia informačnej bezpečnosti
- Audit informačnej bezpečnosti
- Zvyšovanie bezpečnostného povedomia
- Pripravenosť na riešenie bezpečnostných incidentov
CISO ako služba
V prípade, ak Vaša organizácia nemá dedikovanú rolu, ktorá má na starosti celkové riadenie informačnej bezpečnosti ako napr. bezpečnostného manažéra, alebo CISO (Chief Information Security Officer), býva zodpovednosť za informačnú bezpečnosť delegovaná na inú rolu. Častokrát je touto rolou riaditeľ IT, ktorého hlavnou zodpovednosťou je zaistiť plynulú prevádzku. Na bezpečnosť však častokrát nemá vyhradeného dostatok času a zdrojov, pričom v istých prípadoch môže existovať konflikt záujmov medzi rolou riadenia prevádzky a riadenia bezpečnosti.
Prečo si objednať CISO ako službu?
- Nedostatok zdrojov na zamestnávanie CISO na plný úväzok
- Preklenutie obdobia do zamestnania nového CISO
- Vedenie menej skúseného existujúceho CISO a jeho školenie
- Splnenie regulačných požiadaviek a požiadaviek štandardov
CISO ako službu je možné prispôsobiť potrebám Vašej organizácia tak, aby ste z nej vyťažili maximum. CISO zo spoločnosti IstroSec vie pokryť napríklad tieto činnosti:
- Celkové strategické vedenie a smerovanie programu informačnej bezpečnosti
- Zaistenie súladu s bezpečnostnými požiadavkami
- Tvorba a zavádzanie bezpečnostných procesov, politík, smerníc a postupov
- Plánovanie a vykonávanie vzdelávania a zvyšovanie povedomia
- Bezpečnostné cvičenia
- Riadenie informačných aktív
- Fyzická bezpečnosť
- Riadenie rizík informačnej bezpečnosti a rizík tretích strán
- Riadenie prístupu
- Bezpečnosť prevádzky
- Riadenie incidentov informačnej bezpečnosti
- Biznis kontinuita a obnova
- Bezpečnostné testovanie
- Príprava na audit
- Bezpečnosť pri vývoji softvéru
Prečo si objednať CISO ako službu od spoločnosti IstroSec?
- Kombinované skúsenosti expertov IstroSec viac ako 70 rokov
- Prístup k odborníkom na všetky oblasti informačnej bezpečnosti, vrátane penetračných testerov, forenzných analytikov, analytikov malvéru, školiteľov a ďalších
- Systematické zlepšenie informačnej bezpečnosti v zmysle štandardov a na základe skúseností expertov z IstroSec s riešením pokročilých bezpečnostných incidentov
- Zaistenie súladu s bezpečnostnými štandardmi a legislatívou – experti z IstroSec majú skúsenosti z verejnej správy (zákon o kybernetickej bezpečnosti, zákon o ITVS a iné) ako aj zo súkromného sektora (ISO 27001, NIST, HIPAA a iné)
Skúsenosti a znalosti
Špecialisti IstroSec majú skúsenosti s implementáciou a riadením informačnej bezpečnosti podľa väčšiny bezpečnostných frameworkov, poznajú taktiky, techniky a postupy útočníkov a majú znalosti potrebné na efektívnu a plynulú implementáciu procesov informačnej bezpečnosti do vašich biznis procesov.
Expertíza v manažmente informačnej bezpečnosti
Špecialisti IstroSec majú expertízu v oblasti riadenia informačnej bezpečnosti a mnohých ďalších oblastiach, ako napr. reakcia na incidenty, forenzná analýza a analýza malvéru na svetovej úrovni, ktorú viackrát preukázali pri riešení štátmi sponzorovaných kybernetických útokov, útokov vedených voči organizáciám FORTUNE 500 ako aj účasťou 3 expertov spoločnosti IstroSec vo víťaznom tíme cvičenia LockedShields 2016.
Experti IstroSec sú súčasne držiteľmi medzinárodne uznávaných certifikátov v týchto oblastiach. Držíme certifikáty, ako napríklad Certified Information Systems Security Professional (CISSP), Certified Information system Auditor (CISA), GIAC Certified Forensic Analyst (GCFA), GIAC Certified Forensic Examiner (GCFE) a ďalšie.
Implementácia procesov riadenia informačnej bezpečnosti
Špecialisti zo spoločnosti IstroSec majú dlhoročné skúsenosti v oblasti riadenia informačnej bezpečnosti vo verejnej správe i v súkromnom sektore. Z našich skúseností preto vieme, že požiadavky na informačnú bezpečnosť sa v organizáciách rôznych typov a zamerania rôznia a neexistuje univerzálne riešenie, ktoré by umožnilo adekvátne tieto požiadavky plniť za primeranú cenu vzhľadom na hodnotu aktív.
Náš prístup k zavádzaniu informačnej bezpečnosti do organizácií preto charakterizujú tieto atribúty:
- Individuálny prístup
- Súlad cieľov informačnej bezpečnosti s obchodnými cieľmi a ich podpora
- Implementácia opatrení na základe analýzy rizík
- Implementácia efektívnych opatrení na základe skúseností s mnohými pokročilými bezpečnostnými incidentmi
Sme pripravení zaviesť procesy riadenia informačnej bezpečnosti v súlade s regulačnými a normatívnymi požiadavkami, vrátane:
- ISO/IEC 27001 a ISO/IEC 27002
- NIST Cybersecurity Framework
- IASME
- 69/2018 Z.z. - Zákon o kybernetickej bezpečnosti
- Zákon o informačných technológiách vo verejnej správe
- GDPR
- HIPAA
- FISMA
Postup implementácie:
- Identifikácia všetkých bezpečnostných požiadaviek
- Určenie rozsahu implementácie
- Posúdenie existujúcich bezpečnostných opatrení
- Posúdenie rizík
- Vytvorenie implementačného plánu
- Implementácia bezpečnostných opatrení a procesov
- Meranie, monitorovanie, preskúmavanie a neustále zlepšovanie
- Príprava na certifikáciu
Prečo IstroSec?
Skúsenosti a znalosti
Špecialisti IstroSec majú skúsenosti s implementáciou a riadením informačnej bezpečnosti podľa väčšiny bezpečnostných frameworkov, poznajú taktiky, techniky a postupy útočníkov a majú znalosti potrebné na efektívnu a plynulú implementáciu procesov informačnej bezpečnosti do vašich biznis procesov.
Expertíza v manažmente informačnej bezpečnosti
Špecialisti IstroSec majú expertízu v oblasti riadenia informačnej bezpečnosti a mnohých ďalších oblastiach, ako napr. reakcia na incidenty, forenzná analýza a analýza malvéru na svetovej úrovni, ktorú viackrát preukázali pri riešení štátmi sponzorovaných kybernetických útokov, útokov vedených voči organizáciám FORTUNE 500 ako aj účasťou 3 expertov spoločnosti IstroSec vo víťaznom tíme cvičenia LockedShields 2016.
Experti IstroSec sú súčasne držiteľmi medzinárodne uznávaných certifikátov v týchto oblastiach. Držíme certifikáty, ako napríklad Certified Information Systems Security Professional (CISSP), Certified Information system Auditor (CISA), GIAC Certified Forensic Analyst (GCFA), GIAC Certified Forensic Examiner (GCFE) a ďalšie.
Audit informačnej bezpečnosti
Audit bezpečnosti informačných systémov je kľúčovým prvkom v procese zaisťovania a overovania súladu s bezpečnostnými požiadavkami. Je to nástroj na overenie toho, že bezpečnostné opatrenia sú adekvátne, efektívne a fungujú tak, ako sa od nich očakáva. Je to tak isto spôsob, ako zaistiť neustále zlepšovanie, resp. adaptáciu opatrení na dynamicky meniace sa prostredie a bezpečnostné hrozby.
Experti zo spoločnosti IstroSec majú dlhoročné skúsenosti s vykonávaní bezpečnostných auditov vo verejnej správe ako aj v súkromnom sektore. Vykonávame externé audity podľa Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a interné audity bezpečnosti podľa nasledovných legislatívnych a normatívnych požiadaviek:
- ISO/IEC 27001 a ISO/IEC 27002
- NIST Cybersecurity Framework
- IASME
- 69/2018 Z.z. - Zákon o kybernetickej bezpečnosti
- Zákon o informačných technológiách vo verejnej správe
- GDPR
- HIPAA
- FISMA
Audit kybernetickej bezpečnosti
Spoločnosť IstroSec vykonáva externé audity podľa Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Naši certifikovaní audítori spĺňajú kvalifikačné požiadavky dané vyhláškou NBÚ č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora.
Poskytovatelia zakladnej služby majú povinnosť vykonať takýto audit minimálne každé dva roky a po každej zmene, ktorá má významný vplyv na bezpečnostné opatrenia.
Certifikovaní audítori kybernetickej bezpečnosti vykonajú overenie plnenia povinností podľa Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a vykonajú posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa tohto zákona.
Cieľom auditu kybernetickej bezpečnosti je:
- zabezpečiť požadovanú úroveň kybernetickej bezpečnosti,
- predchádzať kybernetickým bezpečnostným incidentom,
- identifikovať nedostatky pri zabezpečovaní kybernetickej bezpečnosti,
- navrhnutie a prijatie opatrení na ich odstránenie, nápravu existujúceho stavu a na predchádzanie kybernetickým bezpečnostným incidentom.
Postup pre vykonanie auditu kybernetickej bezpečnosti certifikovaným audítorom zo spoločnosti IstroSec:
- Zaslanie žiadosti o vykonanie auditu kybernetickej bezpečnosti prostredníctvom online formulára alebo zaslaním vyplneného elektronického formulára (.docx) šífrovaným emailom na [email protected]. Verejný kľúč (.asc) pre zašifrovanie emailu.
- Príprava plánu auditu a určenie rozsahu a zdrojov auditu
- Stanovenie vykonateľnosti auditu a vystavenie poverenia na výkon auditu
- Výkon auditu
- Vypracovanie správy auditu kybernetickej bezpečnosti a ukončenie auditu
Interný audit
Interný audit od spoločnosti IstroSec Vám umožní:
- Pripraviť sa na externý alebo certifikačný audit
- Splnenie legislatívnych povinností a požiadaviek štandardov na výkon interného auditu
- Identifikovať nezhody aktuálneho stavu s bezpečnostnými požiadavkami
- Identifikovať príležitosti na zlepšenie opatrení
- Stanoviť priority v investíciách do bezpečnosti
Audítori zo spoločnosti IstroSec pri výkone auditu dodržiavajú nasledovné princípy:
- Nestrannosť, nezávislosť a objektivita
- Due dilligence a odborná starostlivosť
- Dôvernosť a mlčanlivosť
- Prístup na základe analýzy rizík
- Profesionálna etika
- Kompetencia a profesionálny rozvoj
Pri výkone auditov postupujeme v týchto krokoch:
Plánovanie
- Stanovenie predmetu auditu
- Identifikácia cieľov auditu
- Určenie rozsahu auditu
- Pre-audit
- Identifikácia zdrojov informácií
Výkon auditu
- Preskúmanie dokumentácie
- Riadené rozhovory
- Zber a vyhodnocovanie dôkazov
Reportovanie
- Vyhodnotenie auditu
- Tvorba záverečnej správy
- Prezentácia výsledkov
- Následné činnosti a vyhodnotenie implementácie opatrení
Zvyšovanie bezpečnostného povedomia
Kľúčovým prvkom v rámci budovania odolnosti voči kybernetickým bezpečnostným incidentom je aj bezpečnosť ľudských zdrojov. Zvyšovanie bezpečnostného povedomia u Vašich zamestnancov významne zmenšuje útočný povrch a znižuje úspešnosť zneužitia ľudského faktoru ako prvotného vektoru útoku.
Bezpečnosť ľudských zdrojov je potrebné vnímať ako investíciu a zasluhuje si rovnakú pozornosť ako iné bezpečnostné opatrenia.
Experti zo spoločnosti IstroSec majú dlhoročné skúsenosti so školením zamestnancov vo verejnej správe ako aj zo spoločností z rebríčku Fortune 500. Sme pripravení zvýšiť vyspelosť Vášho programu na zvyšovanie bezpečnostného povedomia aplikáciou poznatkov z riešenia množstva pokročilých útokov a periodicky zvyšovať účinnosť tohto programu na základe merania a testovania.
Vieme, že bežné bezpečnostné školenia vedené jeden krát za rok už dnes nepostačujú na odolávanie štandardným kybernetickým hrozbám. Indikátorom toho, že Váš program vzdelávania nie je adekvátny Vašim potrebám je napríklad to, že:
- Zamestnanci nehlásia podozrenia na bezpečnostné incidenty
- Bezpečnosť je téma o ktorú sa zaujíma iba IT oddelenie
- Zodpovednosť za program vzdelávania je sekundárna alebo terciárna priorita jediného zamestnanca
- Zamestnanci majú pocit, že zaistiť bezpečnosť nie je ich rolou
- Bezpečnosť nie je pravidelnou témou v rámci internej komunikácie
- Nie sú stanovené ciele a metriky na vyhodnocovanie efektivity vzdelávania
- Vzdelávanie je vedené výhradne formou prezenčných školení
- Obsah vzdelávania je viac statický ako dynamický a nereaguje pružne na aktuálne trendy v taktikách, technikách a postupoch útočníkov.
Mnohé organizácie žiaľ zatiaľ nenašli optimálne nastavenie svojho programu na vzdelávanie. V spoločnosti IstroSec sme si týchto nedostatkov vedomí, pravidelne sa totiž objavujú v našich zisteniach z bezpečnostných auditov a dokazujú to 100% úspešné simulácie phishingových útokov, ktoré sme vykonali. Systematické zvyšovanie úrovne povedomia o kybernetickej bezpečnosti od spoločnosti IstroSec má preto za cieľ stav, v ktorom:
- Zamestnanci vedia, že sú cieľom útokov
- Všetci vedia čo robiť v prípade podozrenia na incident
- Zamestnanci sa zaujímajú o bezpečnosť, navrhujú zlepšenia
- Zamestnanci aplikujú dobré bezpečnostné praktiky aj doma
- Vedúci zamestnanci sa aktívne podieľajú na zlepšovaní úrovne bezpečnosti
- Jednotlivé organizačné útvary sa snažia navzájom porovnávať a byť lepší
Rozsah programu na zvyšovanie povedomia je pripravený na mieru potrebám Vašej organizácie a dynamicky reaguje na aktuálne taktiky, techniky a postupy útočníkov. Štandardne pokrývame nasledovné oblasti:
- Rola zamestnanca v systéme bezpečnosti
- Autentifikácia a bezpečnosť hesiel
- Reakcia na bezpečnostný incident
- Phishing a sociálne inžinierstvo
- Škodlivý softvér
- Prehliadanie webu
- Mobilné zariadenia
- Bezpečnosť cloudu
- Šifrovanie
- Bezpečnostné politiky a smernice
Forma vzdelávania je tiež významným faktorom úspechu pri zvyšovaní povedomia. Nudná prezentácia, chlebíčky a sledovanie mobilu pod lavicou nepredstavujú ideálne KPI. Program vzdelávania od spoločnosti IstroSec obsahuje:
- Praktické ukážky útokov
- Workshopy na odhaľovanie phishingu
- Bezpečnostný tip týždňa formou emailu
- Gamifikácia, rebríčky a výhry
- Phishingové simulácie
- Testy sociálnym inžinierstvom
- Mesačný bezpečnostný brífing
- Skúsených lektorov a etických hackerov
- Meranie účinnosti a reporting