Storitev je namenjena organizacijam, ki želijo s sistematičnim pristopom zaobjeti celovito področje informacijske varnosti. Pri tem si ne samo želijo izogniti neusklajenemu reševanju posameznih tveganj, temveč na vseh področjih doseči uravnoteženo varnost. Eden od ciljev je namreč doseganje ravnovesja med stroškovnim delom in želeno varnostno ravnjo.
Jedro storitve sloni na metodologiji, ki jo je razvilo podjetje SRC. Z uporabo več preizkušenih pristopov želimo navzkrižno prestreči potencialne grožnje in na ta način doseči čim boljšo pokritost površine napada. Metodologija se opira na klasifikacijo kibernetskih groženj po oceni Evropske agencije za kibernetsko varnost (ENISA) in sledi PCI standardu oz. metodologiji za ugotavljanje in odpravljanje kibernetskih groženj, s poglavitnim ciljem zaščite vseh ključnih podatkov. Le-te identificiramo in lociramo na začetku projekta.
Nekaj ključnih korakov izvedbe:
- dogovor o pristojnostih in obvezah med naročnikom in izvajalcem,
- posnetek in oblikovanje topologije informacijsko-komunikacijskega sistema,
- opredelitev vloge informacijske varnosti v podjetju,
- pregled verjetnih kibernetskih groženj in oblikovanje prvih predlogov protiukrepov,
- priprava odgovorov na SRC Secure zahteve,
- priprava načrta izvedbe projektov za zagotavljanja SRC Secure.
Do priprave načrta vseskozi pobiramo in generiramo ideje, ki bodo skozi tehtne odločitve ustvarile nabor projektov ter nalog, ki jih potem oblikujemo v načrt za dosego cilja. Zajem idej se izvaja v treh točkah, ki se dopolnjujejo ter zagotavljajo kar najboljši odgovor na trenutne aktualne varnostne grožnje, in sicer:
Posnetek topologije informacijsko komunikacijskega sistema, kjer s kritično oceno podamo smernice za izboljšavo komunikacijskih poti, predlogov segmentacije in porazdelitve vsebinsko aplikativnih področij.
Izbrani odgovori na verjetne kibernetske grožnje ter izpolnjevanje zahtev SRC Secure tvorijo matrično kontrolo (slika 1) za preprečevanje kibernetskih napadov. Prvi, bolj tehnološki pogled se tako dopolnjuje še z organizacijskim ter procesnim vidikom in tako maksimalno pokrije izpostavljeno površino napada na informacijski sistem.
Sama izvedba temelji na predpripravljenih kontrolnih točkah z oceno doseganja zrelosti posameznega področja za zagotavljanje varnosti, in sicer v dveh korakih. V prvem ocenjujemo verjetnost udejanjenja posamezne kibernetske grožnje in trenutno zaščito. Sledi primer izbrane kontrolne točke (slika 2).
V drugem koraku sledi ocena doseganja zahtev SRC Secure s predpripravljenim naborom vsebin, kjer z izbranimi testi ugotavljamo raven izpolnjevanja posamezne zahteve (slika 3). Posamezno preverjanje je lahko precej zahtevno, če se nanaša na ključne dele informacijskega sistema. Rezultati nam povedo, ali zahtevam zadoščamo ali ne (Da/Ne) – zahtevi lahko zadostimo tudi z manjšimi popravki (Da, s popravki), ali pa področje ni relevantno (NR). Pri tem se ob pomanjkljivemu doseganju posamezne zahteve generirajo predlogi za odpravo pomanjkljivosti, ki gredo v zbirnik idej.
Zbrane ideje se v zadnjem koraku pretvarjajo v projektne naloge, te pa v posamezne bolj ali manj kompleksne projekte, ki jih nato združimo v načrt za dvig ravni varnosti. Celoten proces teče znotraj ekspertne skupine in skrbnikov sistemov s strani naročnika. Delo poteka skozi podrobne analize ali pa delavnice, kadar je to potrebno.
Pred izvedbo projekta pregledamo stanje z ustreznimi orodji za analizo posameznih tehnoloških delov sistema. Pri tem so znotraj SRC Secure uporabljana naslednja orodja za:
- posnetek topologije omrežja (Network Topology Mapper),
- iskanje ranljivosti fizičnega in brezžičnega omrežja (WiFi Analyzer),
- iskanje ranljivosti programske opreme (Vulnerability Scanner).
Kljub zmožnostim najnaprednejših orodij je projekt priprave načrta relativno zahtevna operacija in je glede na oceno vključena v projekt.
Kaj prinaša/težave, ki jih rešuje?
SRC Secure prinaša metodologijo, primerno za vse organizacije, ki so v preteklosti parcialno reševale varnostna vprašanja in imajo izkušnjo (ali občutek), da s težavo kljubujejo spreminjajočim se kibernetskim grožnjam. Z izvedbo projektov, ki so rezultat načrta SRC Secure, lahko ujamemo priključek in osvežimo procese za dvig ravni varnosti tudi v prihodnosti.
In še za konec, ključ uspeha pri zagotavljanju varnosti je v povezanosti vseh bistvenih komponent informacijskega sistema (v tem vrstnem redu); storitev SRC Secure tlakuje prav to pot.