Oblasť informačnej bezpečnosti

Dôvernosť, dostupnosť a integrita

 

Cieľom informačnej bezpečnosti je naplnenie triády základných cieľov – dôvernosti, dostupnosti a integrity. Zachovanie dostupnosti zabezpečuje, že informácie, ku ktorým majú prístup autorizované osoby budú prístupné vtedy, keď ich potrebujú. Zachovanie dôvernosti zabezpečuje, že dáta budú sprístupnené len osobám, ktoré sú k tomu autorizované. Zachovanie integrity znamená, že informácie budú dostupné kompletné a úplné.

Audit informačnej bezpečnosti

Cieľom auditu je posúdenie riadenia a procesov informačnej bezpečnosti a jeho výsledkom je vyslovenie kvalifikovaného názoru na stav riadenia, ako aj návrh konkrétnych odporúčaní pre zlepšenie, prípadne pre prípravu na certifikáciu. Audit vykonávame u našich klientov v súlade s metodikou ISACA a naši pracovníci sú držiteľmi CISA certifikátu.


Riadenie informačnej bezpečnosti

Naším klientom poskytujeme podporu manažérskeho riadenia informačnej bezpečnosti. Jedná sa najmä o návrh stratégií, definovanie bezpečnostných požiadaviek, spoluprácu pri komunikácií s IT dodávateľmi (interne aj externe) či pri komunikácií s regulátorom a pri napĺňaní jeho požiadaviek. Navyše pomocou analýzy nákladov a prínosov (CBA) posúdime ekonomickú primeranosť implementovaných, alebo navrhovaných opatrení.


Školenia v oblasti informačnej bezpečnosti

V prípade potreby zvýšenia úrovne povedomia o informačnej bezpečnosti a o hrozbách a rizikách vplývajúcich na prostredie klienta vieme na mieru pripraviť školenie či už koncových používateľov, alebo manažérov, či IT špecialistov. Obsahom školení nie sú len požiadavky interných predpisov klienta, medzinárodných štandardov či regulácie, ale aj príklady z praxe a charakteristické metódy sociálneho inžinierstva. Školenia dokážeme upraviť podľa konkrétnych potrieb klienta.


Analýza rizík

V prostredí klienta vieme efektívne realizovať analýzu hrozieb a zraniteľnosti a určiť inherentné riziká či už kvantitatívnou, alebo kvalitatívnou metódou. Pre identifikované riziká dokážeme navrhnúť a optimalizovať opatrenia pre riadenie rizík napríklad v oblasti riadenia prístupov, zálohovania, logovania, riadenia incidentov a problémov a pod.


Klasifikácia informácií

Klasifikáciu a s ňou spojené opatrenia pre ochranu informácií prispôsobujeme na mieru skutočným potrebám klienta ako aj odvetviu a okolnostiam jeho podnikania. Dokážeme účinne implementovať metodiku pre inventarizáciu a klasifikáciu informácií.

Berúc ohľad na prostredie klienta vieme pripraviť efektívny návrh bezpečnostných požiadaviek pre jednotlivé klasifikačné triedy informácií, implementovať proces inventarizácie a klasifikácie, vytvoriť inventár informácií, určiť ich vlastníctvo, ale aj identifikovať požiadavky legislatívy a regulátorov. Rovnako vieme klientovi pomôcť pri implementácií opatrení pre ochranu informácií či už ide o interné predpisy, proces sanitizácie dát, alebo podporu pri návrhu a obstaraní technického riešenia.


Kontinuita činností

Zabezpečenie dostupnosti kritických biznis procesov a zdrojov dokážeme zrealizovať presne na mieru. Vieme efektívne a najmä v primeranej miere implementovať metodiku pre realizáciu analýzy negatívnych dopadov na kontinuitu činností a pre tvorbu jednotlivých plánov kontinuity.

Primerane potrebám našich klientov realizujeme analýzu dopadov (možných negatívnych scenárov) vyplývajúcich z nedostupnosti alebo porušenia dôvernosti a integrity z pohľadu biznisu, rozdelenie procesov a zdrojov do klasifikačných tried a vytvorenie stratégie pre riadenie kontinuity činností pre životne dôležité aktíva. Nezávisle od analýzy dopadov takisto pripravujeme a testujeme plány kontinuity činností a obnovy zdrojov po neočakávanej udalosti.


Dohľad nad informačnou bezpečnosťou a ochranou dát

Vieme zabezpečiť externú službu dohľadu a monitoringu nad procesmi informačnej bezpečnosti a úlohu Zodpovednej osoby v zmysle ustanoví zákona o ochrane osobných údajov č. 18/2018 Z. z.


Súlad s legislatívou

Otázka bezpečnosti akýchkoľvek údajov sa stáva čoraz viac citlivou témou. Legislatívne požiadavky narastajú, no regulátori často neposkytujú dostatočné metodické usmernenie a stále viac regulácie prichádza priamo z úrovne EÚ.

V takýchto prípadoch vieme v oblasti ochrany osobných údajov pomôcť klientom primerane vymedziť účel spracovania osobných údajov a dokážeme pripraviť štandardný bezpečnostný projekt vrátane ostatných náležitostí (bezpečnostný zámer, analýza bezpečnosti, návrh opatrení, evidenčné listy, pomoc pri registrácii a komunikácii s úradom). Skúsenosti však máme aj s neštandardnými situáciami, ako napríklad konflikt požiadaviek legislatívy a regulátora rôznych krajín, prenos údajov do krajín nezaručujúcich primeranú ochranu, či komparácia požiadaviek národnej a európskej legislatívy.