Řízení informačních rizik

Řízení informačních rizik

Analýza rizik slouží k posouzení aktuálního stavu bezpečnosti a identifikaci rizik, kterým je Váš systém vystaven. Tvoří důležitý informační zdroj pro rozhodování o investicích do bezpečnosti.

 

Náš příběh
Dokážeme nejen rychle uhasit požár, ale také mu účinně předcházet

Jeden z velkých českých e-shopů dostal několik zásadních výtek od Úřadu pro ochranu osobních údajů v souvislosti se zabezpečením dat. Došlo ke krádeži a zneužití e-mailů zákazníků pro zasílání spamu. Firma tedy oslovila AEC, abychom jí pomohli s vyřešením tohoto problému.

Již předběžná technická analýza objevila řadu nepříjemných zjištění. Po dohodě se zákazníkem jsme nasadili do sítě monitorovací sondu, která během 2 dnů odhalila kompromitovaný server ovládaný útočníky z Východní Asie. V AEC jsme okamžitě reagovali na zjištěnou situaci a zamezili dalšímu zneužívání infrastruktury klienta.

Situace ukázala, že zákazník není připravený účinně řešit tato rizika. Proto jsme zpracovali komplexní analýzu rizik a na jejím základě navrhli konkrétní bezpečnostní opatření a procesy, které do budoucna zabrání opakování podobné situace. Zpracovali jsme bezpečnostní projekt a pomohli jsme s jeho zavedením do praxe. E-shop nejen, že prošel bez problémů následnou kontrolou ÚOOÚ, ale také významně zlepšil celkovou úroveň svého zabezpečení.

Popis řešení

Služby v oblasti řízení informačních rizik slouží k posouzení aktuálního stavu bezpečnosti IS, tvoří důležitý informační zdroj pro zajištění bezpečnosti systémů a slouží jako podklady pro rozhodování o investicích do bezpečnosti.

 

 

V této oblasti Vám můžeme nabídnout

Analýzu současného stavu – rychlá identifikace slabých míst a nedostatků v zabezpečení, návrh doporučení pro jejich odstranění.
Vytvoření modelu hrozeb IS/aplikace – identifikace možných ohrožení systému či aplikace.
Analýzu rizik IS – komplexní identifikace aktiv, hrozeb a slabých míst, kvantifikace rizik, kterým je systém vystaven, návrh doporučení formou plánu bezpečnosti ICT.
Specializované audity/analýzy zaměřené na určitou oblast.

 

Mezi hlavní přínosy realizace služeb z oblasti řízení informačních rizik patří:

  • Určení priorit pro další investice a projekty v oblasti bezpečnosti.
  • Stanovení optimálního poměru mezi investicemi a dosaženou úrovní zabezpečení.
  • Získání informací o dosažené úrovni bezpečnosti IS nezávislou stranou.
  • Identifikace rizik a slabých míst, které bezprostředně ohrožují klíčové funkce a aktiva organizace.
  • Vytvoření podkladů pro tvorbu bezpečnostní dokumentace ICT v organizaci.
  • Identifikace hrozeb typu úniku dat, zneužití privilegií, lidské chyby atd. včetně možných scénářů zneužití.
  • Významné zvýšení bezpečnosti IS implementací navržených opatření.
  • Získání argumentů pro rozhodnutí managementu o přidělení investic do bezpečnosti IS.

Reference

V této oblasti máme mnohaleté zkušenosti z implementací řady projektů pro významné organizace ve svém oboru, jako jsou:
  • Česká pošta, s.p.
  • KBC Group NV Czech Branch
  • OTE, a.s.
  • ZUNO Bank AG
  • ING Management Services s.r.o.
  • GMC Software Technology
  • Ministerstvo průmyslu a obchodu
  • Úřad pro ochranu osobních údajů