Teljes körű vállalati keretrendszer

Kockázatmenedzsment

Józan ésszel is könnyen belátható, hogy a vállalkozásoknak célszerű felmérniük üzleti kockázataikat, de a szabványok (pl. ISO 27000) és a 'legjobb-gyakorlatok' (pl. COBIT) is hangsúlyosan foglalkoznak a kérdéssel. Számos iparágban törvényi előírás a kockázatok tervszerű és rendszeres felmérése; a keletkezett dokumentum fontos része az üzleti hatáselemzési tanulmányoknak.

A Security.hu tizenöt éve finomítja saját fejlesztésű kvantitatív IT kockázatértékelési módszertanát, amely elsősorban interjú alapú, de szükség esetén audit elemeket is tartalmaz. Keretrendszerünket jelenleg az ELTE-n és az Óbudai Egyetemen oktatják. Tanácsadó munkatársaink az ehhez szükséges minősítésekkel (CRISC, CISA, CISSP) rendelkeznek.

Szabályzókörnyezet és megfelelőség

A szabályzatok célja a vállalati folyamatokat ideális 'jó gyakorlatokhoz' és törvényi előírásokhoz illeszteni. Az illesztés természetesen figyelembe veszi az adott szervezet sajátosságait, például technológiáját, szervezeti felépítését, kockázatait és üzleti céljait. Ennek megfelelően a szabályzással kapcsolatos szolgáltatásunk szükségszerűen egyedi, gyakorlatközpontú és interjúalapú tanácsadás. Az általunk készített szabályzatok mindig létező és üzemeltethető folyamatokat írnak le, biztosítva azok betarthatóságát.

BCP (business continuity plan) és DRP (disaster recovery plan)

A BCP és a DRP tulajdonképp a szervezetet érő, a normál üzleti folyamatokba nem illeszthető hirtelen sokkok kezeléséhez nyújtanak segítséget. A szolgáltatás keretében elkészítjük és teszteljük az üzletfolytonossági és az adat- és szolgáltatásvisszaállítási terveket. A BCP tesztelése általában elképzelt szimuláción keresztül, míg a DRP tesztelése technikai teszten keresztül történik. Minden teszt, még a sikeresek is, alkalmat adnak a tervek finomítására. A BCP és a DRP élő dokumentumok, melyek az évek során a tanulási görbe mentén tökéletesednek.

BIZTONSÁGI tesztEK

A sokféle biztonsági tesztben közös, hogy ezek az auditokkal szemben nem reguláció- hanem gyakorlatközpontúak.

A biztonsági tesztek minden esetben rendszerekben történő valódi technikai kísérleteket jelentenek. A tesztek közötti különbséget az adja, hogy az adott teszt a rendszer mekkora részét érinti, milyen mélységgel történik, és a tesztelő milyen előzetes ismeretek birtokában végzi a munkáját. A rengeteg változó miatt problémás megfelelően elnevezni a biztonsági teszteket, hiszen végül minden teszt egyedi lesz, amelyet egy sokoldalas szigorú szerződés tud csak megfelelően leírni.

Mindezek ellenére vannak alapvető teszt típusok, amely tartalmáról többé-kevésbé konszenzus alakult ki:

Sérülékenységi vizsgálat: többnyire a rendszer architektúrális ismeretében történő teljes körű scannelés kihasználható hibák találása érdekében. A feltárt hibák nem kerülnek kihasználásra.

A behatolási teszt (betörési teszt, penetrációs teszt) szimulál leginkább egy elképzelt támadót, akinek a célja bejutni egy érzékeny rendszerbe, de nem célja valamennyi sérülékenység feltárása.

Az etikus hacking egy igen elterjedt fogalom, de sajnos sokan sok mindent értenek alatta. A legnagyobb baj vele az, hogy a két szóból egyiknek sincs sok értelme. Az etikusnak azért nincs, mert a szolgáltatás határait szerződés szabályozza, nem pedig valamiféle íratlan etika. A hackelés pedig egy tipikus kiirthatatlan médiabaklövés, hiszen a hacker sosem jelentett rosszat, a sajtó anno összekeverte a crackerrel, és végül a szakma feladta a küzdelmet. A legtöbb szolgáltató, köztük mi is, a sérülékenységi vizsgálatok és betörési tesztek egy kombinációját nevezik etikus hackelésnek.

A tájékozatlanabb ügyfelek általában egy rosszindulatú támadó szimulálását (penetrációs tesztet) várják ettől a tevékenységtől. Az ilyen tesztek azonban nem adnak teljes képet, így a valódi üzleti igények feltérképezését követően végül a szerződésbe sérülékenységvizsgálat és white box betöréstesztek is kerülnek.

A lényeg, amit érdemes megjegyezni, hogy a Security.hu ott volt, amikor ez a szakma megszületett Magyarországon, és azóta is a legjobbak között tartanak minket számon.

Audit

Az auditok olyan felülvizsgálatok, melynek során a szervezet működését törvényi előíráshoz, szabványhoz, saját szabályzathoz vagy iparági jó gyakorlathoz viszonyítjuk. A szolgáltatás keretében minősített tanácsadóink belső auditot, auditra való felkészítést és külső audit közbeni támogatást egyaránt végeznek.

GDPR, PCI-DSS, ISO 27000

Gap analízis

Az auditok által feltárt eltérések (finding-ok) elemzésének célja a kockázatok részletes feltérképezése, az okok megértése, és intézkedési terv készítése. A gap analízis eredménye nagyon jó agendát (feladatlistát) ad az IT biztonsági és IT üzemeltetési osztályok számára.

Védelmi megoldások

Preventív információbiztonsági eszközpark termékfüggetlen tervezése, kiválasztása, telepítése és folyamatos támogatása vizsgázott mérnökök segítségével.

IDS, IPS, DLP, tűzfal

Elastic

Az Elastic a világ egyik legfejlettebb, nyíltforráskódú, általános célú adatelemző platformja, amely szinte bármilyen dokumentumban és adathalmazban képes nagyon jó teljesítménnyel keresni és elemezni. Kiválóan alkalmas központi monitorozó és forensics rendszerek építésére, de akár gépi tanulással támogatott anomália detektálásra is használható.

Csapatunkban nem pusztán Elastic szakértők, de valódi Elastic rajongók dolgoznak, akik hivatásuknak tekintik, hogy minél többet hozzanak ki a platformból.

Rendszertervezés, testre szabás, plugin fejlesztés, üzemeltetés

Egyedi megoldások

Adott egy tapasztalt mérnökökből, tanácsadókból és szoftverfejlesztőkből álló összeszokott csapat, amely éhes a technológiai kihívásokra, a különleges feladatokra. Amennyiben van egy nagyszerű álma, amelyben egzotikus eszközök és egyedi kódsorok sosem látott  kombinációja teszik jobbá a világot, de még senkinek nem mert mesélni róla, nálunk megértő és lelkes fülekre talál.

Python, Java, .NET, PHP, adatbázisprogramozás és MINDEN más.

Biztonságszemléletű RENDszertervezés és üzemeltetés

Ahogy a minőséget nem lehet utólag beletenni egy termékbe, úgy a biztonságot sem célszerű utólag hozzáadni a rendszerekhez. Legyen az akár egy kisebb alkalmazás vagy akár egy teljes vállalati architektúra, valódi biztonságot és ésszerű költségeket kizárólag akkor érhetünk el, ha már a tervezés során figyelembe vesszük a biztonsági szempontokat. A biztonságnak át kell itatni a rendszereket, nem elég a határpontokra vagy az interfacekere összpontosítani.

Architektúra tervezés, patch management, L1 szintű incidens kezelés, kihelyezett biztonsági mérnök.

oktatás

Ismerje meg a biztonságtudatossági képzések új generációját, amelynek a célja valódi eredmények elérése a HR osztályokkal szoros együttműködésben. A moduláris képzési rendszer egyedi fejlődési utat vázol fel minden alkalmazott, sőt akár alvállalkozók számára is. Külön kurzus az új belépőknek, majd munkakörtől és felelőségi szinttől függően további modulok a back office, az ügyfélkapcsolati, a rendszerüzemeltető és a fejlesztő kollégák, valamint a management tagok számára.

Kihelyezett IT biztonsági felelős, tanácsadó,  Mérnök

Helyszíni szakértelem és tudásmegosztás egy tapasztalt információbiztonsági szakértőtől. Technológiai alapú szakértelem ötvözve a folyamat- és szabályzat alapú jártassággal. Az informatika mellérendelt kontrollja. Biztonsági szemléletű részvétel IT projektekben, belső vizsgálatok, jogszabályban előírt feladatok és határidők betartása, kontrollok kialakítása és ellenőrzése, jelentéskészítés a menedzsment számára.