Governance, Risk & Compliance

Governance, Risk & Compliance

GRC jsou systémy, které pomáhají organizacím zefektivnit veškeré činnosti spojené s řízením informační bezpečnosti, což se pozitivně promítá do schopnosti pohotově reagovat na stávající i nová rizika. Tým našich specialistů je skrze pomocí GRC připraven posunout řízení informační bezpečnosti ve vaší organizaci na vyšší úroveň.

 

Náš příběh
Jak stará jsou vaše rizika?

Pamatujete si ještě, když se objevila zranitelnost Heartbleed a ohrozila vaši organizaci? Nyní mohou mít za následek podobné ohrožení technologie od společností Huawei a ZTE. V obou případech se jednalo o rizika, a proto je nasnadě otázka, jak se s nimi vypořádává vaše analýza rizik. Dokáže nově identifikovanou hrozbu reflektovat a v zítřejším reportu uvidíte o kolik rizikovější je nedostupnost nebo odposlech vámi spravované infrastruktury? Nikoliv? Pak vaše analýza rizik rozhodně není dostatečně flexibilní.

V souvislosti s kampaní ohrožených technologií Huawei se na nás obrátil jeden z našich dlouholetých zákazníků. Během krátké doby měl zohlednit tuto hrozbu v jím prováděné analýze rizik. Požadavkem zákazníka bylo vyhovět úřadu a zároveň zjistit, zda tuto hrozbu musí ve srovnání s ostatními hrozbami řešit prioritně či nikoliv. Naši konzultanti nejprve analyzovali stávající způsob řízení informačních rizik a hrozbu v něm zohlednili. Také se však zaměřili na slabá místa celého procesu, jako např. pravidelné aktualizace seznamů aktiv, chybějící vazby mezi jednotlivými aktivy, a definice odpovědností jednotlivých uživatelů v rámci procesu řízení rizik. Prvním klíčovým poznatkem pro zákazníka byl výstup z analýzy rizik, ze kterého usoudil, že aktuální hrozba v celém kontextu organizace nepatří k nejzávažnějším a může být vyřešena s časovým odstupem. Druhým důležitým poznatkem pak bylo naše doporučení pro zavedení integrovaného systému pro řízení GRC (tzv. Governance, Risk, Compliance), který by odstranil slabá místa v procesu řízení rizik a umožnil flexibilně reagovat na nově vzniklá rizika. V průběhu půl roku jsme u zákazníka tuto novou technologii zavedli a celý proces řízení rizik do něj integrovali. U zákazníka se nový přístup k řízení rizik natolik zalíbil, že se rozhodl GRC nástroj rozšířit i pro oblast auditu a souladu s GDPR.

GRC se ukázal jako vhodný nástroj nejen pro pokrytí procesů řízení informačních aktiv a rizik, nýbrž i dalších činností spojených s řízením organizace. Společnost díky jeho používání sdílí a využívá v něm uložené informace napříč odděleními. Informace jsou pravidelně aktualizovány, což vede k zefektivnění všech činností ve společnosti a, ve svém důsledku, šetří náklady.

Popis řešení

GRC nástroje zastřešují podporu řízení organizace, rizik a souladu a představují komplexní řešení poskytující každé organizaci podporu pro zlepšení úrovně bezpečnosti. Jádrem tohoto nástroje je databáze informačních aktiv a propracovaný proces řízení informačních rizik, nad kterými jsou vystaveny další agendy jako řízení souladu, řízení dodavatelských vztahů, řízení incidentů a zranitelností aj.

 

GRC nástroje navíc disponují širokou škálou integračních a automatizačních možností, čímž udržují data aktuální a úplná.

V rámci naší dodávky však nikdy necílíme pouze na implementaci GRC nástroje. V prvé řadě se zaměřujeme na revizi a zkvalitnění procesů. Uvědomujeme si, že kvalitní proces je základem transformace dat na hodnotné výstupy.

Přínosy našeho řešení

Naše řešení má smysl, protože:

  • Aktuální a provázaná data spolu s automatizovanými procesy umožňují včasnou reakci.
  • Revidujeme a optimalizujeme procesy řízení informační bezpečnosti.
  • Zavedení systému napomáhá k zvýšení kvality zpracovávaných dat.
  • Díky němu optimalizujeme náklady na řízení informační bezpečnosti.
  • Vytvoříme centralizované místo pro uchovávání a sdílení informací ve společnosti.
  • Naše řešení je flexibilní, umožňuje širokou paletu využití a podporuje spolupráci jednotlivých oddělení.

Reference

Mezi naše klienty, kteří mají GRC nástroj již zaveden, patří např.:
  • T-Mobile Czech Republic,
  • Komerční banka.