Varnostno svetovanje je več kot le drugo mnenje
Sodobni informacijski sistemi so tako obsežni in kompleksni, da je skoraj nemogoče slediti vsakodnevnim spremembam, ki bi jih morali upoštevati na ravni opreme in aplikacij. Po drugi strani je vedno več organizacij podvrženih različnim pravnim predpisom in standardom, na podlagi katerih morajo zagotavljati skladnost in ustrezen nivo kibernetske varnosti. Varnostno svetovanje je kompleksna in strateško usmerjena storitev, ki vam pomaga odgovoriti na vsebinska vprašanja pri upravljanju kibernetske varnosti.
Pri spreminjanju in izboljševanju kibernetske varnosti sta dve možni poti:
- investicija v novo oz. dodatno varnostno opremo ali
- optimizacija obstoječe opreme in nastavitev.
Vsaka od teh dveh opcij ima svoje prednosti. Nove varnostne naprave zagotovo bolje prepoznavajo varnostne dogodke na omrežju in se nanje ustrezno odzivajo – ob predpostavki, da so ustrezno konfigurirane glede na celotno arhitekturo IT sistema. Po drugi strani predstavljajo nove investicije velik finančni vložek, ki ga vodje oddelkov za kibernetsko varnost pogosto težko upravičijo.
Z optimizacijo obstoječih naprav lahko pogosto ob minimalnem vložku bistveno izboljšamo zrelostni nivo kibernetske varnosti v omrežju. Zlasti, če v sklop optimizacije vključimo tudi izboljšave na ravni človeškega faktorja – izobraževanje uporabnikov.
Ko se odločate za investicije v varnostne naprave ali optimizacijo obstoječega stanja, se posvetujte s strokovnjakom, ki bo pod drobnogled vzel vaš informacijski sistem in na podlagi pridobljenih informacij osnoval predlog za izboljšave.
Kdaj investicija v varnostne naprave in kdaj optimizacija obstoječih naprav?
Odgovor na to vprašanje dobimo po opravljeni temeljiti analizi IT sistema. Izhodišče za varnostno svetovanje je obstoječe stanje v sistemu. Na podlagi rezultatov analize lahko ocenimo, ali uporabljene varnostne naprave dosegajo svoj namen in je morda treba le posodobiti nastavitve ali je smiselna investicija v novo opremo. Zaključek vedno oblikujemo na podlagi pogovorov z vami, upoštevajoč vaše želje in danosti trenutno vpeljane IT arhitekture.
Kaj pridobite s strokovnimi nasveti?
Kot izkušeni strokovnjaki za informacijsko varnost vam lahko svetujemo na različnih vsebinskih področjih, ki zadevajo upravljanje kibernetske varnosti v poslovnih okoljih.
- Izvedemo analizo obstoječega stanja po vseh kontrolah CIS (Critical Security Controls®), vključno z usmerjenimi delavnicami za zaposleni in intervjuji s ključnimi deležniki. Po izvedeni analizi pridobite podatek o razkoraku med trenutnim in želenim stanjem implementiranih kontrol po CIS.
- Organizacijam, ki že opravljajo vdorna testiranja pri zunanjih izvajalcih, pomagamo razumeti poročila penetracijskih testov. Ta poročila vam lahko tudi pomagajo pri odločanju glede investicij v kibernetsko varnost oz. v optimizacijo obstoječe arhitekture.
- Pregledamo lahko obstoječe politike sistema za upravljanje informacijske varnosti (SUVI, BCP) in vam na podlagi tveganj za vaš IT sistem podamo mnenje, ali so politike ustrezne ali potrebujejo dopolnitev.
- Organizacijam, ki so podvržene različnim predpisom, pomagamo preveriti skladnost z zakonodajo (npr. GDPR, ZInfV, …) in standardi (npr. ISO 27001, ISO 22301, PCI DSS, …) oz. se ob uvedbi nanje pripraviti. Na tem področju se na ravni EU pripravlja nova uredba NIS2, ki s stališča zagotavljanja informacijske varnosti pokriva širši nabor področji kot NIS1. Kontaktirajte nas za podporo pri doseganju skladnosti z novo zakonodajo.
- Svetujemo glede vprašanj in izzivov, ki se vam porajajo v povezavi z upravljanjem kibernetske varnosti. Pri tem se usmerjamo v vaš informacijski sistem, zato je naš odgovor specifičen za vašo situacijo.
- Pomagamo vam pri pripravi strategije upravljanja kibernetske varnosti, pri čemer upoštevamo trende trende na tehnološke področju, specifike vaše panoge, lokalnega okolja in vaše organizacije.