Одит на вашата киберсигурност

Открийте уязвимостите във вашата ИТ инфраструктура само за 10 дни

Извършената проверка ще е спрямо NIST 800-53 v5, Secure Software Development и DevSecOps практики

Одитът на киберсигурността ще Ви помогне да видите това, което ИТ отделите пропускат поради своята претовареност – реалната картина за това доколко е защитена ИТ инфраструктурата на компанията. Можете ли да предотвратите щетите от действията на недоволен служител? Може ли вашата компания да оцелее в условията на хакерска атака? 

Нашият одит проверява 965 елемента, присъстващи в американския стандарт NIST 800-53 и сравнява най-добрите практики с това, което присъства при вас, давайки препоръки кои от тях са спешни за имплементация спрямо рисковете за вашия бизнес. 

Одитът, който извършваме е много повече от проверка с чеклист. Детайлно ще обсъдим всеки въпрос с ИТ отдела, което превръща одита в консултация и обучение по въпроси, които те просто не са имали време да проучат или разберат от гледна точка на хакерите, които биха атакували вашата компания.

Нашата мисия: Да ви осигурим ясна видимост до колко и къде сте уязвими за кибер атаки

Одитът на киберсигурността във вашата компания показва колко устойчиви са вашите системи за информационни технологии спрямо атака или човешка грешка. Обхватът му зависи от размера на компанията и нейните цели. Одит на информационната сигурност може да означава бърза оценка на няколко системи или изчерпателен преглед на вашата локална и облачна инфраструктура.

Ще проверим системните настройки за сигурност (или тяхното отсъствие). Тези настройки могат да бъдат административни, технически, процедурни или дори физически.

Контролът на физическата сигурност не е задължително свързан с предотвратяване на кражба от външна страна. Правилното охлаждане на сървърната стая за предотвратяване на прегряване и критични повреди също е физически контрол за сигурност. Забраната за включване на различни неизвестни устройства в сървъри и компютри може да се разглежда и като физически контрол на сигурността.

Одиторите, които ще работят с вас, са провели множество одити в банки и големи предприятия по цял свят: в САЩ, ОАЕ, Тайланд, Турция, Германия, Испания, Австралия и България.

Проверяваме всички области от NIST 800-53 и създаваме
Ефективен план за Действие

💡 Резултатът е много повече от един отчет. Предоставяме ви детайлен план с приоритети за това какво, кога и как да подобрите в своите защити. 

💡 След което можете да покажете своето ново ниво на защита на текущи и потенциални клиенти и да печелите нови сделки, доказвайки колко добре пазите техните данни!

Одитът на вашата ИТ сигурност включва:

Одит на управлението на достъпа и паролите

Проверяваме как се използват пароли и наличния контрол на достъпа. Използват ли се едни и същи пароли на различни места? Знаете ли кой до какво и защо има достъп по всяко време? Могат ли хакерите лесно да откраднат вашите пароли?

Одит на устойчивостта към атаки

Проверяваме за наличието на мерки за противодействие срещу 17 вида кибер атаки: компрометиране на акаунти, неоторизиран достъп, рансъмуер, мрежови атаки, злонамерени програми, саботаж, нарушения на политиката за сигурност и т.н.

Одит на осведомеността на служителите

Всички в организацията преминали ли са съответното обучение за повишаване на осведомеността относно сигурността? Ако да, помнят ли изобщо нещо от обучението? Изпробвана ли е ефективността му?

Одит на защитеността на облачните ви услуги

Microsoft 365 има 280+ настройки за защита. Amazon Web Services и Azure също имат стотици опции за конфигуриране на сигурността - ние ще проверим дали те са оставени в състоянието си по подразбиране и дали са били включени настройките за сигурност.

Одит на защитеността на ИТ инфраструктурата

Ние ще ви помогнем да трансформирате сигурността на своята ИТ инфраструктура, чрез внедряване на сигурни конфигурации на сървъри и мрежови устройства, сигурна конфигурация на работни станции, защита на уеб услуги, сигурност на данните, архивиране и др.

Управление на уязвимости

Колко уязвими машини / приложения може да има една компания в своята мрежа? Ще ви помогнем да създадете и управлявате програма за управление на уязвимости, която постепенно ще намали уязвимостите във вашата мрежа.

Защита на комуникациите - имейл, чат, обмяна на данни

Получаването на достъп до корпоративен акаунт може да предостави на хакерите достъп и до всички вътрешни системи. Ще приложим защитено удостоверяване, като гарантираме целостта и поверителността на вашите комуникации.

Пентестинг

Симулацията на пробив е неразделна част от всяка програма за информационна сигурност. Нашите клиенти могат да разчитат на нас да ги подкрепим при започване, изпълнение и приключване на тест за пробив (пенетрейшън тест).

Създаване на сигурни софтуерни разработки

Разработката на софтуер трябва да бъде бърз, ефективен и сигурен процес. Ние помагаме на нашите клиенти да интегрират сигурността в проектирането, разработването, тестването, интегрирането и внедряването на техния код. U

Одит на политиките и процедурите

Политиките и процедурите са приложимите закони дори в бизнеса на малка компания. Тези, които създаваме, са живи и дишащи документи, които внасят ред и структура в практиките за сигурност на нашите клиенти.

Сигурна работа от къщи

Сигурната работа от дома е един аспект на отдалечения достъп, но ние се грижим и за партньори от трети страни и възложени на външни служители, доставчици и гости. Отдалеченият достъп до данни не се ограничава до VPN.

Изграждане на мрежи с нулево доверие

Точно затова разширяваме защитата ви извън VPN и добавяме Zero-Trust като основния ви принцип на защита. Любопитни ли сте как мрежата Zero Trust може да бъде приложена във вашия малък бизнес?

Разширен одит за сигурност на крайни устройства

Антивирусът е само един от 12-те контроли, които прилагаме в малкия бизнес за защита на крайни точки от напреднали хакерски атаки. Тези контроли за сигурност предотвратяват експлоатацията чрез злонамерени документи, скриптове, 0-дневни уязвимости и други.

Мониторинг на сигурността

Ще ви помогнем да трансформирате сигурността на вашата ИТ инфраструктура, като внедрите втвърдяване на сървъри и мрежови устройства, втвърдяване на работния плот, мрежови и уеб услуги, сигурност на данните, архивиране и др.

И още много!

Всяка програма за информационна сигурност, която изграждаме и изпълняваме за нашите клиенти, е различна. Техните екипи, инфраструктура, използвани приложения и бизнес цели се различават и ние често разширяваме услугите си, за да им служим по-добре.

подготовка за одит ит сигурност

Процесът, който следваме за одит на информационната Ви сигурност

Планиране на изпълнението на одита

Преди да извършим одит на Вашата ИТ сигурност, винаги провеждаме поредица от подготвителни срещи с ръководството на компанията и с административния персонал от ИТ отдела Ви.

Тези срещи помагат да се установят причините, поради които Ви е необходим одита и неговите стратегически цели за вашата сигурност. Нуждата от съответствие с държавни изисквания ли движи желанието ви за одит на вашата ИТ инфраструктура? Били ли сте жертва на инцидент със сигурността? Или искате да имате пълна видимост колко сте подготвени за хакерска атака?

Ето нашия процес на подготовка за одит на на вашата информационна сигурност:

  • Стратегическа среща с ръководството
  • Среща с ИТ отдела
  • Преглед на бизнеса Ви – отдели, мениджърски екип, критично важни производствени мощности, ИТ инфраструктура.
  • Преглед на политики и процедури.
  • Преглед на документация.
  • Планиране на срещи с всички служители, участващи в одита на ИТ сигурността.
  • Споразумение за окончателен обхват на одита.

Подготовка за одит на вашата информационна сигурност

Дайте ми шест часа да отсека дърво и ще прекарам първите четири, заточвайки брадвата си.
― Ейбрахам Линкълн

Освен задължителните предварителни срещи с ръководството, клиентът обикновено трябва да извърши вътрешна подготовка за одита на информационната сигурност.

От ваша страна е добре да се погрижите за следните елементи:

  • специална стая за срещи или виртуална среда
  • защитена интернет връзка, която е изключена от основната корпоративна мрежа
  • планиране на всяка среща между одитора и съответните служители от всеки отдел, релевантен за дискусиите по време на одита спрямо NIST 800-53.

Възможно е да има технически подробности, като например до какво може да има достъп одитора и каква информация може да поиска като доказателства, както и как ще осигурим безопасното съхранение и анализ на тази информация.

подготовка за одит на ит сигурността
комуникация по време на одит на ит сигурност

Комуникация по време на одита на информационната сигурност

Комуникацията е ключова във всеки бизнес процес.

Одитите на ИТ сигурност които ние провеждаме не са изключение и трябва да добавим няколко допълнителни изисквания и зависимости.

Подозирате ли, че може да е възникнал инцидент преди започване на одита? В такъв случай могат ли хакерите да подслушват вътрешните комуникации по имейл? В този случай повечето свързани с одита комуникации трябва да се случват извън този канал за комуникация. С други думи, те трябва да се случват по телефона или чрез защитени чат съобщения, като се избягва вашата корпоративна услуга за електронна поща.

Има няколко ключови етапа, през които комуникацията е ключова:

  • преди да започне одита се изясняват всички очаквания от двете страни;
  • по време на оценката на вашата информационна сигурност, за да се гарантира, че всички зададени въпроси са разбрани и всички предоставени доказателства са ясни и не са изфабрикувани или модифицирани по никакъв начин;
  • след одита, когато докладът е получен и обсъден.

Възможно е докладът, който ще получите, да създаде политически дискусии и да започне процес на взаимно обвинение за откритите грешки между различни отдели – това не е продуктивно.

Това, което Ви насърчаваме да направите, е да гледате на нашия доклад като на отлична възможност да подобрите всичко, което правите, и да станете по-добри от конкуренцията. Бъдете сигурни, че Вашите конкуренти най-вероятно биха имали подобни или дори по-лоши констатации. Можете да сте щастливи, че първи сте открили грешките си и да бъдете първите, които ще ги поправят!

Как се работи с получения доклад и с Плана за подобрение на Вашата информационна сигурност

Вашият одитен доклад ще съдържа раздел за висшето ръководство на компанията и технически раздел за ИТ и персонала по сигурността в два отделни документа.

Секцията на доклада за изпълнителни директори обикновено се фокусира върху бизнес рисковете на откритите проблеми и върху съветите за приоритизиране на тяхното оправяне. По този начин ръководството може да поиска да се ускорят конкретни действия и ще знае за собствената си отговорност да финансира тези усилия. Понякога това означава и наемане на допълнителен персонал.

Техническият раздел на доклада ще бъде разделен по открити уязвимости с висока критичност, средна критичност и ниска критичност и ще съдържа технически инструкции за тяхното поправяне.

Всяка констатация ще бъде съчетана със съответните съвети за оправяне на намерената уязвимост – съсредоточете се върху решението, а не върху това кой да бъде виновен за уязвимостта.

разбиране на отчета от одита на ит сигурността

Запишете се за виртуална среща

Опитайте какво е да живеете без стрес от потенциален пробив

Позволете ни да се погрижим за вашата сигурност!