Audit poskytuje riadiacim pracovníkom spoločnosti komplexný prehľad o informačnej bezpečnosti v organizácii a o súlade s legislatívou, medzinárodnými štandardami a internými predpismi.

Keďže prevádzka a obchodné aktivity takmer každej spoločnosti sú dnes vo veľkej miere závislé od informačných systémov a ich bezproblémového fungovania, zabezpečenie týchto systémov, ako aj súvisiacich procesov, je nevyhnutnou súčasťou ich používania.

Audit vám poskytne nezávislý pohľad na informačnú bezpečnosť vo vašej spoločnosti. Audit je zameraný nie len na zlepšenie informačnej bezpečnosti samotnej, ale hlavne na to, aby informačné technológie a ich zabezpečenie boli v súlade s obchodnou stratégiou vašej spoločnosti a pomáhali dosahovať jej obchodné ciele.

DITASEC s.r.o. má skúsenosti s výkonom komplexných auditov informačných systémov, hĺbkových auditov pre vybrané oblasti informačnej bezpečnosti ako aj so špeciálnymi technologickými auditmi.

DITASEC s.r.o. vykonáva audity informačných systémov skúsenými a CISA (Certified Information Systems Auditor) certifikovanými audítormi. Auditori sú tiež členmi ISACA (Information Systems Audit and Control Association).

Audítori spoločnosti DITASEC s.r.o. majú skúsenosti ako interní aj ako externí audítori, prevažne z finančného sektora a verejnej správy.

Auditom vyhodnocujeme informačnú bezpečnosť systémov a súvisiacich procesov, pričom prihliadame na medzinárodné štandardy ako sú COBIT a ISO 27000, vnútorné nariadenia a predpisy vašej spoločnosti, platnú legislatívu a prípadne aj na požiadavky regulátora pre váš trhový segment.

Audit informačných systémov je najlepším východiskom pre následné efektívne a účinné použitie zdrojov v oblasti informačnej bezpečnosti.

Výkon auditu

Auditom informačných systémov preverujeme:

• vnútorné predpisy vašej spoločnosti týkajúce sa informačných systémov, ich aktuálnosť, dostatočnosť, vhodnosť a primeranosť,
• reálne vykonávané postupy pri výkone činností a ich súlad s internými predpismi, alebo ich vhodnosť, ak sú vnútorné predpisy nedostatočné.

Počas preverovania týchto postupov audit overuje procesy a procedúry vykonávané zamestnancami ako aj technologické zariadenia, ich nastavenia a konfigurácie.

Audit je vedený formou preverovania dokumentácie, konfiguračných súborov a nastavení systémov, rozhovormi so zodpovednými pracovníkmi a preverovaním postupov a procesov v spoločnosti.

Rozsah auditu informačných systémov je variabilný, čo sa týka hĺbky preverovania aj šírky záberu a vieme ho plne prispôsobiť požiadavkám zákazníka a jeho očakávaniam.

Výsledky auditu

Výsledkom auditu informačných systémov je podrobná správa opisujúca aktuálny stav bezpečnosti, nedostatky zistené audítormi a tiež aj navrhované zlepšenia.
Správa tiež obsahuje sumár pre manažment, aby manažmentu poskytla stručný prehľad a vypichla najpodstatnejšie závery z auditu.

Identity management

Aby ste mali prehľad o prístupoch každého používateľa systémov.

Správa identít je v poslednom období celosvetovo v popredí záujmu väčšiny stredných a veľkých spoločnosti.

Identity management (IdM) je považovaný za jednu z oblastí, kde je možné dosiahnuť významné úspory nákladov, výrazne zvýšiť bezpečnosť a zlepšiť kvalitu služieb pri spravovaní existujúcich a pri zavádzaní nových aplikácií.

Pri implementácii využívame produkty Identity Manager od spoločností SUN Microsystems (Oracle) a Novell. Naše skúsenosti s ich implementáciou vo finančnom i verejnom sektore vieme zúročiť pri prispôsobovaní riešenia pre veľké ako aj pre stredne veľké organizácie.

Čo vám poskytne?

• Spoľahlivosť a bezpečnosť – základným cieľom je istota, že používatelia majú v danom čase prístup iba k tým informačným systémom a aplikáciám, ku ktorým ho majú mať. Autentifikácia používateľov a efektívna aktivácia a deaktivácia oprávnení (provisioning/deprovisioning) zabezpečujú spoľahlivú a bezpečnú správu účtov každého používateľa v reálnom čase.
• Efektívnosť a flexibilita – nástroje IdM umožňujú rýchlo vytvoriť prístup novému, alebo zablokovať prístup starému používateľovi, zákazníkovi alebo partnerovi, pričom dokážu plne automatizovať workflow.
• Súlad s legislatívou a nariadeniami – s narastaním počtu možných prístupov do systémov spoločností a s kladením stále väčšieho dôrazu na bezpečnosť, je nevyhnutné mať možnosť presne sledovať a reportovať, kto a kedy mal prístup do ktorého systému. Systémy IdM toto umožňujú svojimi auditnými nástrojmi zjednodušiť tieto operácie na pár kliknutí myšou.
• Znižovanie nákladov – jedno z najčastejšie vyžadovaných kritérií pri aplikácii väčšiny systémov. Práve IdM znižuje administratívu a vyťaženosť pracovníkov, čím sa môžu efektívnejšie venovať svojim ďalším pracovným povinnostiam.

Nestačí len mať, treba aj efektívne využívať.

Jednou zo silných stránok našej spoločnosti je efektívna a účinná implementácia IdM systému do každodenného života organizácie. Na základe dlhoročných skúseností členov nášho tímu preto projekty IdM riadime s cieľom, aby sa jednotlivé časti nasadzovali a systémy pripájali postupne. Po implementácií každej časti naši konzultanti zaškolia zodpovedných pracovníkov tak, aby dokonale zvládali prácu so systémom a v plnej miere využívali jeho funkcionalitu.

Implementácia

Napriek tomu, že projekty IdM sú vo svojej podstate podobné, vždy je pre úspešnú implementáciu dôležité dokonale poznať prostredie, do ktorého sa má IdM implementovať.

Spoločnosť DITASEC s.r.o. implementuje IdM v princípe nasledovnými krokmi:

• Definovanie požiadaviek a analýza dizajnu – úvodná fáza projektu IdM. Počas nej získavame potrebné podklady z prostredia organizácie – používané technológie, existujúce procesy riadenia prístupov. Informácie sú získavané spravidla rozhovormi s jednotlivými zodpovednými pracovníkmi.
• Koncept riešenia – na základe získaných informácií vytvoríme v tejto fáze technologický návrh riešenia. Pokiaľ je to technicky možné, snažíme sa vybudovať prototyp riešenia na ktorom je možné jasne prezentovať technické detaily ako aj návrhy činností.
• Príprava dát – pre zabezpečenie správnosti činnosti a výstupov z IdM je potrebné mať konzistentné dáta vo všetkých systémoch. V tejto fáze overujeme správnosť účtov v jednotlivých novo-spravovaných systémoch.
• Produkčný pilot – realizuje sa pred nasadením každej časti systému tak, aby po spustení do rutinnej prevádzky bol systém odladený, plne funkčný a všetci zodpovední pracovníci plne zaškolení.
• Nasadenie do prevádzky – spúšťa systém IdM v „živom“ prostredí organizácie. V tejto fáze sú nasa
• Údržba systému – po ukončení implementácie je realizovaná na základe zmluvných podmienok tak, aby zabezpečovala bezproblémovú prevádzku systému ako celku a to počas celej prevádzky.

Ditasec s.r.o. zaisťuje pre svojich klientov kompletnú správu informačnej bezpečnosti. Školenými odborníkmi s dlhoročnou praxou v oblasti bezpečnosti IT poskytujeme spoločnostiam kompletnú starostlivosť o riadenie bezpečnosti IT, ktorá môže zahŕňať:

• Riadenie rizík informačnej bezpečnosti, ktoré zahŕňa identifikovanie, definovanie a implementovanie:
  • procesov, pravidiel a politík,
  • softvérových a hardvérových nástrojov,

  ktoré znižujú riziká informačnej bezpečnosti, a to v súlade s medzinárodnými štandardami ako sú napr. ISO 27000, či COBIT

• Riešenie incidentov informačnej bezpečnosti
• Zaistenie súladu organizácie s legislatívnymi požiadavkami a požiadavkami regulátorov trhu
• Riešenie havarijných plánov a kontinuity biznis procesov spoločnosti
• Vzdelávanie užívateľov v oblasti informačnej bezpečnosti
• Konzultácie v oblasti informačnej bezpečnosti pre vedenie spoločnosti, obchodné aj podporné organizačné jednotky až po bežných užívateľov
• Vyhodnocovanie aktuálneho stavu bezpečnosti a navrhovanie úprav, riešení a odporúčaní ako reakciu na aktuálny stav, nové hrozby, či riešenia.

Certifikovanými špecialistami pokrývame celú oblasť bezpečnosti IT.

Penetračné testy slúžia k odhaleniu zraniteľností IT systémov. Výstupom penetračného testovania je správa poskytujúca kompletný a detailný prehľad všetkých zistených zraniteľností, ohodnotenie ich závažnosti a tiež návrhy opatrení na ich odstránenie.

Testovanie pozostáva z niekoľkých modulov, pričom ich výber a kombinácia sa prispôsobujú potrebám zákazníka.

Testovanie vonkajšieho perimetra, pri ktorom sa IT systémy testujú z prostredia verejného Internetu môže zahŕňať:

• testovanie Internetovej domény a doménových záznamov,
• kontrolu verejných blacklistov,
• testovanie webaplikácie/webstránok
• testovanie mailexchangera na rozosielanie nevyžiadanej pošty,
• testovanie všetkých ostatných systémov dostupných z Internetu –  profilovanie systému a otvorené porty

Testovanie IT systémov z interného prostredia, tzn. zvnútra spoločnosti, pričom súčasťou môžu byť nasledovné kroky:

• testovanie vnútorného prostredia (network survey):
  • vykonanie analytických krokov na zistenie štruktúry sieťovej infraštruktúry a identifikáciu kľúčových prvkov (serverov, sieťových prvkov),
  • preverenie logickej štruktúry a usporiadania siete,
  • testovanie dostupnosti bezdrôtových sietí pripojených k natívnej infraštruktúre ako aj klientských staníc, ktoré majú zapnuté bezdrôtové adaptéry
• odhaľovanie zraniteľností systémov:
  • odhalenie a preverenie všetkých bežiacich služieb,
  • profilovanie systémov (účel použitia),
  • možné zneužitie služieb (exploitovanie) – len v prípade súhlasu zákazníka
• testovanie sieťových prvkov a komunikačných riešení (napr. VoIP)
• testovanie klientskej pracovnej stanice:
  • fyzická bezpečnosť zariadení,
  • kontrola konfigurácie,
  • kontrola aktuálnosti verzií nainštalovaného softvéru,
  • kontrola security best practice na základe CIS benchmark.
• kontrola security best practice – táto prebieha v spolupráci s administrátormi systémov, keďže je potrebné prihlásiť sa na konzoly systémov:
  • analýza doménových politík na radiči,
  • kontrola konfigurácie,
  • kontrola aktuálnosti verzií nainštalovaného softvéru,
  • kontrola security best practice na základe CIS benchmark.

Penetračné testy môžu byť vykonané ako blackbox testy, kedy tester musí získať všetky informácie prostredníctvom forenzných a dataminingových techník, alebo ako whitebox testy, kedy tester dostane od zákazníka všetky potrebné informácie o topológii počítačovej siete a systémoch v nej.

Kombináciou sú greybox testy, kedy je rozsah dohodnutých sprístupnených informácii obmedzený.

Výhodou whitebox testov je dôkladnejšie otestovanie, naopak výhodou blackbox testov je, že vernejšie simulujú reálne podmienky prípadného útočníka.

Pri testovaní webaplikácií sa riadime metodikou OWASP Testing guide v3. Testovanie ostatných systémov vykonávame v súlade s Open Source Security Testing Methodology Manual.

Aby sa zákazník mohol venovať svojej oblasti. Kedykoľvek.

Našim klientom poskytujeme poradenstvo pri budovaní, prevádzke, renovácií informačných technológií.

Využívame dlhoročné skúsenosti našich špecialistov z oblasti HW, SW, komunikácií s aktuálnym prehľadom technológií a trendov, tak, aby sa zákazník vedel správne rozhodnúť v pravý čas na zmenu. Zákazník získava informácie, ktoré boli využívané a overené u zákazníkov z rôznych odvetví ako na Slovensku tak aj v zahraničí. Odborníci – konzultanti realizovali projekty pre veľké nadnárodné spoločnosti, ale aj lokálne malé a stredné firmy.

Metodika

Spoločnosti, ktorá uvažuje o zmene v oblasti IT najskôr poskytneme tím špecialistov, ktorí sú vybraní podľa oblasti v ktorej zákazník chce realizovať zmeny.

Vytvoria sa pracovné skupiny, z ktorých je vždy určený zodpovedný pracovník zákazníka a našej spoločnosti, ktorí zabezpečujú všetky požadovane toky, úlohy a zmeny v spoločnosti.

Jednotlivé skupiny analyzujú požiadavky zákazníka, na základe ktorých konzultanti vypracujú návrh riešenia a predkladajú ho na dielčie schvaľovanie, tak, aby maximálne pokrývalo zadanie zákazníka. Koordináciu skupín realizuje projektový manažér, ktorý zároveň sleduje jednotlivé časti projektu a zabezpečuje súlad jednotlivých časti so zadaním a zohľadňovanie návrhu riešení vzhľadom na vnútorné prostredie zákazníka a jeho vonkajšie vplyvy na okolie.

Výstup z jednotlivých časti je konsolidovaný do koncového materiálu (záverečná správa), ktorá je po schválení zákazníkom doručená v požadovanej forme.

V prípade požiadavky zákazníka konzultanti spolu s obchodným oddelením našej spoločnosti zabezpečia súčinnosť pri organizovaní výberového konania na jednotlivé časti schváleného riešenia.

Nestačí len vedieť čo, treba aj vedieť ako.

S využitím skúseností s projektmi podobného charakteru v oblasti IT na základe požiadavky zákazníka zabezpečujeme aj konzultácie v oblasti financovania projektov aj s možnosťou využitia Eurofondov.

Ponúkané konzultačné služby

Napriek tomu, že naše služby sú pre každú spoločnosť individuálne, dajú sa zhrnúť v nasledujúcich bodoch.

Spoločnosť DITASEC, s.r.o. ponúka konzultácie v oblasti:

• Budovanie, prevádzka a renovácia infraštruktúry – Návrh výberu technológie značky HW, SW podľa technických, či technologických požiadaviek zákazníka. Návrh zohľadňuje nielen prevádzkové požiadavky, ale aj všetky súvisiace činnosti pri samotnej prevádzke IT. Budovanie, prevádzka, prípadne outsourcing záložného strediska. Okrem technických, výkonnostných a ekonomických parametrov zohľadňujú naše návrhy veľmi dôležité bezpečnostné kritéria (DRP, BCM)
• Elektronickej komunikácie v rámci ale aj mimo spoločnosti (intranet, internet, hlas a dáta, šifrovanie). DITASEC kladie dôraz hlavne na efektivnu a bezpečnú komunikáciu.
• Bezpečnosť informačných systémov – Pomáhame zákazníkom poradenstvom v oblasti (bezpečnostný monitoring, riadenie prístupov, audity a penetračné testovanie, IAM).

Aby sa zákazník na Vás mohol spoľahnúť. Kedykoľvek.

Našim klientom poskytujeme inovatívne poradenstvo pri zabezpečení kontinuity činností organizácie – Business Continuity Management, ako aj pri plánovaní obnovy informačných systémov po havárii – Disaster Recovery Planning.

Rámec pre metodiku poskytuje medzinárodný štandard BS25999, ktorého aplikáciu sme prispôsobili lokálnym podmienkam tak, aby sme zákazníkove zdroje využili čo najefektívnejšie. Naša metodika zohľadňuje viacročné skúsenosti pri plánovaní obnovy informačných systémov v spoločnostiach bankového sektora.

Metodika

Takmer žiadna spoločnosť nebuduje problematiku plánovania obnovy po havárii (DRP) úplne od nuly. Aj keď táto problematika nie je v spoločnosti vyriešená komplexne, vždy existujú aspoň čiastkové plány pre obnovu. Preto najskôr každého zákazníka pozorne počúvame a riešenie následne upravujeme a navrhujeme podľa jeho potrieb.

Náš prístup umožňuje s primeraným úsilím znižovať riziká súvisiace s nedostupnosťou IT služieb, pričom hlavnými charakteristikami nášho prístupu sú:

• interná koordinácia DR procesov. Externý dodávateľ je podpora.
• zameranie sa na získanie podstatných informácii pri tvorbe úvodnej analýzy dopadu a analýzy rizík,
• tvorba plánov obnovy podľa aktuálneho stavu IT prostredia,
• dôraz na procesné riešenie problematiky DRP

Náš prístup dáva najväčší dôraz na samotný proces tvorby plánov a odovzdanie znalostí pracovníkom odberateľa, čím umožňuje vybudovanie funkčného prostredia pre riadenie obnovy činností rýchlejšie a lacnejšie.

Nestačí len mať, treba aj vedieť.

Vieme, že iba mať vypracované plány obnovy nie je dostatočné. Podstatná je znalosť ich obsahu. Preto sa sústreďujeme na odovzdanie know-how interným zamestnancom tak, aby mohli riešiť problematiku efektívne.

Ponúkané služby

Aj keď sú naše služby sú pre každú spoločnosť individuálne, dajú sa zhrnúť v nasledujúcich odsekoch.

Spoločnosť DITASEC s.r.o. ponúka podporu pri:

Mapovaní IT služieb a systémov – Z existujúcich dokumentácií alebo priamo z IT prostredia pomáhame organizácii identifikovať jednotlivé informačné systémy, IT služby alebo komponenty a ich vlastníkov alebo správcov.

Pomáhame identifikovať kritické komponenty informačných systémov (Single Point of Failure) ktorých výpadok by mohol spôsobiť prerušenie dodávky služieb alebo prevádzky systému ako celku.

Tvorbe analýzy dopadov a analýzy rizík – Pomáhame zákazníkom identifikovať kritické informačné systémy a služby od ktorých závisia kritické obchodné procesy v ich organizáciách. Spolu s vlastníkmi systémov a používateľmi hľadáme rozumné požiadavky na ich obnovu a prevádzku po havárii.

Definovaní metodiky a stratégií obnovy – Pomáhame definovať zodpovednosti v organizácii, formu a rozsah plánov, testov a potrebnej dokumentácie a formulovať stratégie obnovy. Partnerom v organizácii zákazníka je najmä pracovník zodpovedný za riadenie plánovania obnovy –DRP koordinátor.

Tvorbe plánov obnovy – Podporujeme správcov jednotlivých informačných systémov pri tvorbe plánov obnovy tak, aby boli dostatočné, vykonateľné a konzistentné s celým DRP rámcom.

Našou snahou je zapojiť do tvorby plánov obnovy priamo pracovníkov, ktorí budú obnovu aj vykonávať tak, aby plány poznali a dokázali ich pri reálnej situácii použiť bez zbytočných prekvapení typu „čo tam kto zase napísal“.

Testovaní plánov obnovy – podporujeme DRP koordinátorov pri organizácii a vedení testov a ich dokumentácii. Poskytujeme cenné rady z vlastných aj cudzích skúseností, ktoré pomáhajú vyvarovať sa zbytočným rizikám súvisiacim s testami.

Naša úloha však týmto nekončí, pre zákazníkov ponúkame aj návrh a vývoj systémov pre správu a uchovávanie plánov obnovy priamo vytvorených pre ich potreby. Tieto systémy navrhujeme tak, aby boli bezpečné, jednoduché, technologicky konzistentné s prostredím organizácie a nevyžadovali ďalšie veľké znalosti pre ich prevádzku.

Spôsob riešenia

Problematika riešenia DRP je u každého zákazníka jedinečná. Z ponúkaných služieb je možné vybrať časť alebo všetky a tie upraviť a doplniť presne podľa požiadaviek.

Sieťová infraštruktúra predstavuje základnú vrstvu podporujúcu všetky informačné systémy.

Jej bezpečnosť je dôležitá pre bezpečnosť každého informačného systému pripojeného do počítačovej siete a informačné systémy sú zasa dôležité pre každodenné činnosti vykonávané vašou spoločnosťou.

Čo vám poskytne?

Bezpečnostné technológie, ktorých implementáciu do sieťovej infraštruktúry vám DITASEC s.r.o. v rámci svojich služieb ponúka, vám umožňujú účinne:

• uplatňovať bezpečnostnú politiku v praxi,
• efektívne riadiť komunikáciu a obsah dátových tokov,
• vykonávať monitoring
• kontrolovať súlad s legislatívou, medzinárodnými štandardami a internými predpismi.

Sieťovými bezpečnostnými technológiami vám DITASEC pomôže účinne riadiť a monitorovať informačnú bezpečnosť vo vašej spoločnosti.

Ponúkané technológie a zariadenia sú zamerané na niekoľko oblastí informačnej bezpečnosti ako:

• riadenie prístupov (firewall),
• detekcia a ochrana pred prienikmi (IDS, IPS),
• bezpečný prístup a šifrovanie spojenia (SSL VPN, IPsec),
• kontrola obsahu (Antivirus, Antispam, URL filtering),
• kontrola použitia aplikácií…

Tieto funkcie môžu byť implementované samostatne alebo v kombinácii v jednom tzv. UTM zariadení (Unified Threat Management).

DITASEC s.r.o. má skúsenosti s implementáciou bezpečnostných technológií a disponuje certifikovanými inžiniermi renomovaných výrobcov (Fortinet, Check Point…) týchto zariadení.

Konzultanti a systémoví inžinieri spoločnosti DITASEC s.r.o. vykonávajú implementácie bezpečnostných technológií ako aj ich správu a taktiež monitoring bezpečnostných udalostí.

Implementácia bezpečnostnej technológie

Proces implementácie bezpečnostných technológií môže zahŕňať všetky alebo len vybrané z nasledovných bodov a to podľa potrieb a očakávaní zákazníka:

• Analýza existujúceho stavu
• Návrh riešenia s odporúčaným nasadením technológií
• Poradenstvo pri výbere platformy
• Testovaciu prevádzku navrhovaného riešenia
• Dizajn
• Implementácia
• Zaškolenie obsluhy
• Poimplementačná podpora zahŕňajúca SLA
• Monitoring a správa bezpečnostných incidentov