Riadenie informačných rizík

Riadenie informačných rizík

Analýza rizík slúži na posúdenie aktuálneho stavu bezpečnosti a identifikáciu rizík, ktorým je Váš systém vystavený. Tvorí dôležitý informačný zdroj pre rozhodovanie o investíciách do bezpečnosti.

 

Náš príbeh
Dokážeme nielen rýchlo uhasiť požiar, ale tiež mu účinne predchádzať

Jeden z veľkých českých e-shopov dostal niekoľko zásadných výčitiek od Úradu pre ochranu osobných údajov v súvislosti so zabezpečením dát. Došlo ku krádeži a zneužití e-mailov zákazníkov na zasielanie spamu. Firma preto oslovila AEC, aby sme jej pomohli s vyriešením tohto problému.

Už predbežná technická analýza objavila rad nepríjemných zistení. Po dohode so zákazníkom sme nasadili do siete monitorovaciu sondu, ktorá behom 2 dní odhalila kompromitovaný server ovládaný útočníkmi z Východnej Ázie. V AEC sme okamžite reagovali na zistenú situáciu a zamedzili ďalšiemu zneužívaniu infraštruktúry klienta.

Situácia ukázala, že zákazník nie je pripravený účinne riešiť tieto riziká. Preto sme spracovali komplexnú analýzu rizík a na jej základe navrhli konkrétne bezpečnostné opatrenia a procesy, ktoré do budúcnosti zabránia opakovaniu podobnej situácie. Spracovali sme bezpečnostný projekt a pomohli sme s jeho zavedením do praxe. E-shop nielenže prešiel bez problémov následnou kontrolou ÚOOÚ, ale tiež významne zlepšil celkovú úroveň svojho zabezpečenia.

Popis riešenia

Služby v oblasti riadení informačných rizík slúžia na posúdenie aktuálneho stavu bezpečnosti IS, tvoria dôležitý informačný zdroj na zaistenie bezpečnosti systémov a slúžia ako podklady pre rozhodovanie o investíciách do bezpečnosti.

 

 

V tejto oblasti Vám môžeme ponúknuť

Analýzu súčasného stavu – rýchla identifikácia slabých miest a nedostatkov v zabezpečení, návrh odporúčaní na ich odstránenie.
Vytvorenie modelu hrozieb IS/aplikácie – identifikácia možných ohrození systému či aplikácie.
Analýzu rizík IS – komplexnú identifikáciu aktív, hrozieb a slabých miest, kvantifikáciu rizík, ktorým je systém vystavený, návrh odporúčania formou plánu bezpečnosti ICT.
Špecializované audity/analýzy zamerané na určitú oblasť..

 

Medzi hlavné prínosy realizácie služieb z oblasti riadenia informačných rizík patrí:

  • Určenie priorít pre ďalšie investície a projekty v oblasti bezpečnosti.
  • Stanovenie optimálneho pomeru medzi investíciami a dosiahnutou úrovňou zabezpečenia.
  • Získanie informácií o dosiahnutej úrovni bezpečnosti IS nezávislou stranou.
  • Identifikácia rizík a slabých miest, ktoré bezprostredne ohrozujú kľúčové funkcie a aktíva organizácie.
  • Vytvorenie podkladov pre tvorbu bezpečnostnej dokumentácie ICT v organizácii.
  • Identifikácia hrozieb typu úniku dát, zneužitia privilégií, ľudskej chyby atď. vrátane možných scenárov zneužitia.
  • Významné zvýšenie bezpečnosti IS implementáciou navrhnutých opatrení.
  • Získanie argumentov pre rozhodnutie managementu o pridelenie investícií do bezpečnosti IS

Referencie

V tejto oblasti máme mnohoročné skúsenosti z implementácie radu projektov pre významné organizácie vo svojom obore, ako je napr.:
  • Česká pošta, s.p.
  • KBC Group NV Czech Branch
  • OTE, a.s.
  • ZUNO Bank AG
  • ING Management Services s.r.o.
  • GMC Software Technology
  • Ministerstvo průmyslu a obchodu
  • Úřad pro ochranu osobních údajů