S SRC Secure metodologijo do višje ravni varnosti

SRC Secure ponuja pristop za dvig ravni informacijske varnosti na podlagi izkušenj in dobrih praks. Zasnova sledi uveljavljenim standardom in obenem lahko služi kot tehnološka predpriprava za dosego PCI ali ISO 27001 standarda. S sistematičnim pristopom izdelamo načrt, s katerim dosežemo želeno raven varnosti znotraj izbrane organizacije. Načrt vsebuje tako tehnične rešitve, kot opredelitev procesov ter prenos znanja med vpletenimi deležniki. Rezultat je niz projektov, ki naročnika skozi izvedbo pripeljejo do želenega cilja (SRC Secure).
Share on facebook
Share on twitter
Share on linkedin
Share on email
Share on facebook
Share on twitter
Share on linkedin
Share on email

Uroš Justin

svetovalec

Storitev je namenjena organizacijam, ki želijo s sistematičnim pristopom zaobjeti celovito področje informacijske varnosti. Pri tem si ne samo želijo izogniti neusklajenemu reševanju posameznih tveganj, temveč na vseh področjih doseči uravnoteženo varnost. Eden od ciljev je namreč doseganje ravnovesja med stroškovnim delom in želeno varnostno ravnjo.

Jedro storitve sloni na metodologiji, ki jo je razvilo podjetje SRC. Z uporabo več preizkušenih pristopov želimo navzkrižno prestreči potencialne grožnje in na ta način doseči čim boljšo pokritost površine napada. Metodologija se opira na klasifikacijo kibernetskih groženj po oceni Evropske agencije za kibernetsko varnost (ENISA) in sledi PCI standardu oz. metodologiji za ugotavljanje in odpravljanje kibernetskih groženj, s poglavitnim ciljem zaščite vseh ključnih podatkov. Le-te identificiramo in lociramo na začetku projekta.

Nekaj ključnih korakov izvedbe:

  • dogovor o pristojnostih in obvezah med naročnikom in izvajalcem,
  • posnetek in oblikovanje topologije informacijsko-komunikacijskega sistema,
  • opredelitev vloge informacijske varnosti v podjetju,
  • pregled verjetnih kibernetskih groženj in oblikovanje prvih predlogov protiukrepov,
  • priprava odgovorov na SRC Secure zahteve,
  • priprava načrta izvedbe projektov za zagotavljanja SRC Secure.

Do priprave načrta vseskozi pobiramo in generiramo ideje, ki bodo skozi tehtne odločitve ustvarile nabor projektov ter nalog, ki jih potem oblikujemo v načrt za dosego cilja. Zajem idej se izvaja v treh točkah, ki se dopolnjujejo ter zagotavljajo kar najboljši odgovor na trenutne aktualne varnostne grožnje, in sicer:

Posnetek topologije informacijsko komunikacijskega sistema, kjer s kritično oceno podamo smernice za izboljšavo komunikacijskih poti, predlogov segmentacije in porazdelitve vsebinsko aplikativnih področij.

Izbrani odgovori na verjetne kibernetske grožnje ter izpolnjevanje zahtev SRC Secure tvorijo matrično kontrolo (slika 1) za preprečevanje kibernetskih napadov. Prvi, bolj tehnološki pogled se tako dopolnjuje še z organizacijskim ter procesnim vidikom in tako maksimalno pokrije izpostavljeno površino napada na informacijski sistem.

Sama izvedba temelji na predpripravljenih kontrolnih točkah z oceno doseganja zrelosti posameznega področja za zagotavljanje varnosti, in sicer v dveh korakih. V prvem ocenjujemo verjetnost udejanjenja posamezne kibernetske grožnje in trenutno zaščito. Sledi primer izbrane kontrolne točke (slika 2).

V drugem koraku sledi ocena doseganja zahtev SRC Secure s predpripravljenim naborom vsebin, kjer z izbranimi testi ugotavljamo raven izpolnjevanja posamezne zahteve (slika 3). Posamezno preverjanje je lahko precej zahtevno, če se nanaša na ključne dele informacijskega sistema. Rezultati nam povedo, ali zahtevam zadoščamo ali ne (Da/Ne) –  zahtevi lahko zadostimo tudi z manjšimi popravki (Da, s popravki), ali pa področje ni relevantno (NR). Pri tem se ob pomanjkljivemu doseganju posamezne zahteve generirajo predlogi za odpravo pomanjkljivosti, ki gredo v zbirnik idej.

Zbrane ideje se v zadnjem koraku pretvarjajo v projektne naloge, te pa v posamezne bolj ali manj kompleksne projekte, ki jih nato združimo v načrt za dvig ravni varnosti. Celoten proces teče znotraj ekspertne skupine in skrbnikov sistemov s strani naročnika. Delo poteka skozi podrobne analize ali pa delavnice, kadar je to potrebno.

Pred izvedbo projekta pregledamo stanje z ustreznimi orodji za analizo posameznih tehnoloških delov sistema. Pri tem so znotraj SRC Secure uporabljana naslednja orodja za:

  • posnetek topologije omrežja (Network Topology Mapper),
  • iskanje ranljivosti fizičnega in brezžičnega omrežja (WiFi Analyzer),
  • iskanje ranljivosti programske opreme (Vulnerability Scanner).

 Kljub zmožnostim najnaprednejših orodij je projekt priprave načrta relativno zahtevna operacija in je glede na oceno vključena v projekt.

 

Kaj prinaša/težave, ki jih rešuje?

SRC Secure prinaša metodologijo, primerno za vse organizacije, ki so v preteklosti parcialno reševale varnostna vprašanja in imajo izkušnjo (ali občutek), da s težavo kljubujejo spreminjajočim se kibernetskim grožnjam. Z izvedbo projektov, ki so rezultat načrta SRC Secure, lahko ujamemo priključek in osvežimo procese za dvig ravni varnosti tudi v prihodnosti.

In še za konec, ključ uspeha pri zagotavljanju varnosti je v povezanosti vseh bistvenih komponent informacijskega sistema (v tem vrstnem redu); storitev SRC Secure tlakuje prav to pot.

Ljudje

Čas/urnik

Procesi

Tehnologija

Preberi tudi

Poslovanje preko API-jev – od ideje do izvedbe

Podjetja vseh velikosti se bolj in bolj zavedajo, da API-ji postajajo novo področje poslovanja. Če smo pred leti delili kanale predvsem na fizično prodajo (klasično) in digitalno preobrazbo oz. digitalne kanale, ki običajno potekajo preko spletnih ali mobilnih aplikacij, je danes vedno bolj jasno, da se uveljavlja nov kanal – API-ji (aplikacijski programski vmesniki).

Kadrovske storitve lahko najamete in digitalizirate

Kadrovske službe so pogosto še vedno obravnavane kot tisti interni servis podjetja, ki skrbi za razpise prostih delovnih mest, razgovore, pogodbe in anekse. Morda jim včasih zaupamo še izračun plač in jih povprašamo za nasvet v primeru prekinitve delovnega razmerja. A pravkar naštete naloge niso več bistvo kadrovske funkcije podjetja. Za konkurenčnost na trgu je že danes treba kadrovski servis videti kot eno tistih ključnih strateških služb, ki zagotavlja natanko tiste talente, usposabljanja, nagrajevanje in medsebojne odnose, ki omogočajo optimalen doseg podjetja na trgu. Tradicionalne in nekatere strateške funkcije kadrovske službe se pospešeno digitalizirajo.

PSD2 platforma, ki je odprla banke v svet

SRC je skladno z EU regulativo izdelal rešitev SRC PSD2 API Collection, preko katere se lahko TPP-ji povežejo na bančni vmesnik in uporabniku nudijo vse storitve, ki jih PSD2 direktiva predvideva in zahteva od bank.

Prijavi se na SRC novičke

Novice v svetu IT tehnologije

Vaša računalniška oprema in vaše digitalne storitve so vaša poslovna orodja.

SRC sistemske integracije d.o.o.

Tržaška cesta 116
1001 Ljubljana, Slovenija

T: +386 1 600 7000
F: +386 1 423 4173
E: info@src.si

Vaše mnenje nam je izredno pomembno!

Ste bili s storitvami naših sodelavcev zelo zadovoljni? Mislite, da je še prostor za izboljšave?

small_c_popup.png

Vaše mnenje

Ste bili s storitvami naših sodelavcev zelo zadovoljni?
Mislite, da je še prostor za izboljšave?

Spletno mesto uporablja piškotke zaradi boljše uporabniške izkušnje. Z uporabo naše spletne strani potrjujete, da se z njihovo uporabo strinjate.