Obecnie niemal każdy przedsiębiorca posiada dostęp do Internetu i korzysta z jego zasobów udostępniając w nim swoje portfolio, stronę internetową, eshop, czy też odpowiadając na e-maile

Niestety korzystanie z tych zasobów wiąże się z dużym ryzykiem bezpieczeństwa danych – kradzieży środków coraz częściej dokonuje się nie w sposób fizyczny, ale coraz częściej z użyciem narzędzi informatycznych (wirtualnych)

O jakość i bezpieczeństwo tego obszaru należy więc odpowiednio zadbać (chociażby ze względu na rozporządzenie RODO, gdzie jest to niezbędne jeśli chodzi o zastosowanie odpowiednich zasobów i środków celem ochrony danych osobowych)

Wesprzemy Państwa w zakresie:

• • audyt RODO

• • audyt IT

• • testy bezpieczeństwa systemów i aplikacji

• • wdrożenia systemowe

• • szkolenia pracowników

• • testy socjotechniczne

Do kogo jest skierowana ta oferta?

Do każdej firmy (zarówno małej jak i dużej), a w szczególności:

• • przetwarzającej dane osobowe (rozporządzenie RODO, Ustawa o Ochronie Danych Osobowych)
• • posiadającej pracowników mobilnych (np. przedstawiciele handlowi)
• • udostępniającej swoim pracownikom/współpracownikom systemy do pracy zdalnej (np. poczta elektroniczna, CRM)
• • takiej, która w sieci Internet posiada swoje aplikacje/strony www (w szczególności takie jak eshop, fora dyskusyjne, aplikacje mobilne)

Zespół specjalistów IT

Wszystkie operacje zostaną przeprowadzone przez naszych wykwalifikowanych i doświadczonych specjalistów.

Osoby zaangażowane w Państwa projekty:

• • brały czynny udział przy audytach zgodności z normą ISO 27001 i PCI DSS
• • prowadziły cykliczne szkolenia dla pracowników w dużych firmach
• • opracowywały i wdrażały polityki i procedury związane z bezpieczeństwem systemów IT
• • zarządzały bądź były członkami komórek bezpieczeństwa w dużych korporacjach
• • przeprowadzały cykliczne testy bezpieczeństwa i wdrażały zalecenia post audytowych,teleinformatycznych. współpracowały z innymi podmiotami zajmującymi się bezpieczeństwem systemów

Raporty

Wynikiem naszych prac będą raporty zawierające:

• • rejestr odnalezionych zagrożeń, obszarów wymagających dalszego rozwoju lub poprawy
• • informacje i rekomendacje dotyczące wyżej wymienionych punktów

Wesprzemy Państwa w zakresie wdrożenia zaleceń post audytowych.

W przypadku szkoleń możemy także stworzyć dla Państwa e-platformę pozwalającą na ich przeprowadzanie bez bezpośredniego udziału po naszej stronie na warunkach wspólnie ustalonych pomiędzy naszymi firmami

Wiedza

Zdobyte przez Państwa informacje pozwolą nam na:

• • odpowiednie przygotowanie się do wymogów wynikających z rozporządzania RODO, oraz tych wynikających z codziennych zagrożeń w cyberbezpieczeństwie
• • weryfikację posiadanych zabezpieczeń systemów teleinformatycznych (np. polityk haseł, dostępności usług, formularzy posiadanych do zbierania danych na stronach internetowych)
• • zidentyfikowanie źródeł wycieku danych (możliwe, że podczas przeprowadzanych testów wykryjemy także czy i kiedy miały one miejsce w przeszłości)
• • zapewnienie właściwego poziomu i ciągłości przekazywanej wiedzy dotyczącej korzystania ze źródeł teleinformatycznych Państwa pracowników (w tym również kadry zarządzającej)

Dzięki naszemu wsparciu będziecie Państwo mogli spokojnie skupić się na swojej działalności, bez konieczności zamartwiania się o kwestie związane z bezpieczeństwem IT

Audyt IT

Celem audytu jest weryfikacja zasobów IT oraz organizacyjnych firmy pod kątem zapewnia właściwej ochrony Państwa celów biznesowych oraz integralności i rzetelność przetwarzanych danych.

W tym kroku dokonujemy również oceny efektywności ich wykorzystania i odpowiedniej alokacji

• • analiza infrastruktury IT – kompleksowe określenie stanu fizycznego i konfiguracyjnego infrastruktury IT
  Audytowi podlegają wszystkie obszary środowiska IT: sieci, serwery, stacje robocze, back-up danych, wirtualizacja, disaster recovery, itd.
• • analiza oprogramowania – weryfikacja systemów operacyjnych, oprogramowania i systemów
  informatycznych. Sprawdzane jest zarządzanie użytkownikami i uprawnieniami pod kątem procedur bezpieczeństwa, tworzenia kopii zapasowych oraz zarządzania dostępami
• • analiza procesów IT – analiza i optymalizacja procesów oraz przygotowanie działu IT do wdrożenia
  procedur będących wynikiem audytu
• •  analiza organizacji obszaru IT – celem przeprowadzenia badania jest przypisanie pracowników do odpowiednich ról i zdefiniowanie zakresów ich obowiązków. Koncentrujemy się na doświadczeniu i kompetencjach zespołu IT oraz przyjętym rynkowym best practices

UWAGA – jako dodatkowe uzupełnienie audytu zalecamy wykonanie testów bezpieczeństwa.

Audyt RODO/GDPR oraz Ustawy o Ochronie Danych Osobowych

W dniu 25 maja 2018 r. weszło w życie Rozporządzenie o Ochronie Danych Osobowych. Zmiany będą obejmować zarówno kwestie organizacyjne, proceduralne, prawne jak i techniczne. Niezbędne będzie zaprojektowanie własnego systemu ochrony danych osobowych. W tym celu proponujemy przeprowadzenie prac uwzględniających m.in. audyt analizy ryzyka oraz dostosowania (procesów/zasobów/dokumentacji/technologii,) wdrożenie procesu monitorowania zgodności z RODO

W trakcie audytu uwzględnimy w szczególności:

• • rejestr zbiorów danych osobowych
• • rejestrację/prezentację zgód i odmów na przetwarzanie danych osobowych
• • identyfikację zasobów w których przetwarzane są dane osobowe
• • prawo do bycia zapomnianym – sprawdzimy czy istnieje ryzyko, że dane będą obecne nadal w spółce (np. w poczcie e-mail, dokumentacji papierowej, itd.)
• • ocena skutków – przeprowadzimy weryfikację zabezpieczenia systemów przetwarzających dane osobowe
• • kary Finansowe wynikające z rozporządzenia

Testy bezpieczeństwa

Testy bezpieczeństwa realizowane są z poza sieci firmowej, symulują realne zagrożenia na jakie może być narażony Zamawiający, a ich celem jestem jest:

• • przejęcie przez osobę dokonującą testów systemów dostępnych z Internetu,
• • przeniknięcie do sieci korporacyjnej (sieć LAN),
• • kradzież danych stanowiących własność Zamawiającego

Testy polegają na:

• • wykonaniu rekonesansu na temat Zamawiającego na podstawie publicznych informacji (adresacja IP, OSINT – biały wywiad), oraz podobnego wywiadu wewnątrz Państwa sieci komputerowej
• • skanowaniu podatności w odnalezionych usługach sieciowych celem sprawdzenia bezpieczeństwa usług takich jak: serwery aplikacyjne (pocztowe, dns, serwujące API/XML, itp.), strony Internetowe (strona korporacyjna, intranet, extranet, inne strony służące do komunikacji z partnerami/pracownikami, sklepy internetowe), inne usługi (zdalny dostęp dla pracowników/partnerów zewnętrznych – np. usługi VPN, serwery do wymiany plików, itp)
• • próbie przejęcia kontroli nad odnalezionymi systemami celem eskalacji ataku na pozostałe urządzenia stanowiące własność Zamawiającego
• • próbie ominięcia mechanizmów kontrolnych (np. ekrany logowania)
• • próbie kradzieży/kontrolowanej destrukcji danych należących do Zamawiającego

Wdrożenia systemowe

Efektem końcowym działań (audyt IT, RODO, testy bezpieczeństwa) jest raport podsumowujący z rekomendacjami działań

Obszary w których możemy Państwa wesprzeć:

• • wdrożenie systemów IT – dostosowane do Państwa potrzeb (np. elektroniczny system szkoleń
  pracowników, wraz z ewidencją i egzaminami potwierdzającymi ukończenie poszczególnych kroków)
• • adaptacja/modyfikacja obecnych rozwiązań IT – uwzględniająca zalecenia postaudytowe
• • procedury oraz procesy – tworzenie, zmiana oraz adaptacja do Państwa potrzeb
• • inne nieszablonowe zlecenia związane z systemami IT – Im trudniejsze, tym lepiej, gdyż lubimy wyzwania w których możemy się realizować

Testy socjotechniczne

Oferujemy test bezpieczeństwa polegający na próbie uzyskania w sposób nieautoryzowany dostępu dodanych Państwa firmy poprzez ukierunkowany „atak” na pracowników.

W kontrolowany sposób przeprowadzimy próby „ataku” na Państwa pracowników, takie jakie może przeprowadzić np. nieuczciwa konkurencja, celem zdobycia danych stanowiących tajemnicę służbową, lub też ich dezintegracji/uszkodzenia.

Przykładowy zakres testów:

• • pozyskanie kontaktów do pracowników w publicznych źródłach danych (Internet/social media).
• • wykonanie prób kontaktu (mailowe, telefoniczne) nakłaniających pracowników do zainstalowania złośliwego oprogramowania (np. poprzez udawanie pracowników Sekcji IT).
• • próba fizycznego dostępu do wybranych pomieszczeń Zamawiającego (opcjonalne).
• • próba nakłonienia pracowników do uruchomienia nieautoryzowanego oprogramowania (np. poprzez symulowanie pracownika serwisu komputerowego).
• • próba nakłonienia pracowników do uruchomienia złośliwego oprogramowania z nośników USB (dostarczonych np. jako materiał promocyjny nowego kontrahenta współpracującego z Państwa spółką).

Szkolenia pracowników

Szkolenie jest kierowane dla wszystkich pracowników używających systemów IT, czyli dostępu do komputera/laptopa w codziennej pracy. Dotyczy w szczególności osób zatrudnionych w działach:

• • finansowym
• • księgowości
• • personalnym (HR)
• • marketingu
• • relacji z firmami zewnętrznymi/mediami (PR)
• • sprzedaży
• • administracji
• • informatyki (szczególnie I linia wsparcia użytkowników)

Grupą docelową szkolenia są wszyscy pracownicy, którzy na co dzień używają systemów IT. Skorzystają z nich zarówno szeregowi pracownicy, pierwsza linia wsparcia IT (HelpDesk/ServiceDesk IT), jak również kadra zarządzająca

Zagadnienia problemowe szkolenia:

• • w jaki sposób cyberprzestępcy próbują pozyskać informacje?
• • jak bezpiecznie przechowywać swoje dane?
• • dlaczego złożoność haseł oraz stosowanie różnych haseł do różnych systemów jest tak istotne?
• • jak uchronić się przed atakami socjotechnicznymi oraz innymi atakami APT?
• • jak wykryć próby ataków phishingowych i co należy zrobić po ich wykryciu?

Należy mieć na uwadze, że właściwa edukacja pracowników, będzie odpowiedzią na jedno z wymagań RODO: zapewnieniu adekwatności i kompletności środków technicznych i organizacyjnych stosowanych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych

Jeśli szkolenie odbędzie się po przeprowadzeniu testów socjotechnicznych – ich wyniki możemy dołączyć do punktów ze szkolenia, co wzmocni przekaz o żywe przykłady z życia Państwa spółki

Godnym uwagi jest to, że szkolenie w momencie prowadzenia przez naszego pracownika będzie interaktywne, z możliwością zadawania pytań na które postaramy się znaleźć odpowiedzi

Zadbamy także o to, żeby Państwa pracownicy nie nudzili się w jego trakcie, prezentowane materiały, to nie będą jedynie slajdy z prezentacji, pokażemy także na żywo, w postaci animacji, filmów, prawdziwe przykłady zagrożeń oraz sposób radzenia sobie z nimi

Należy także pamiętać, że szkolenia nie muszą być zawsze przeprowadzane przez naszych pracowników, istnieje także możliwość uruchomienia dla Państwa platformy szkoleniowej, na której Państwa pracownicy przechodziliby podobny proces samodzielnie. Platforma zapewnia rozliczalność szkoleń (widać kto je ukończył a kto nie), istnieje także możliwość przeprowadzenia po szkoleniu testów zaliczeniowych, na podstawie których mogą Państwo decydować,
czy dla danej osoby szkolenia należy powtórzyć

Oprogramowanie może być zarówno hostowane przez nas (na naszym sprzęcie), jak również w Państwa siedzibie, zarówno na fizycznych jak i wirtualnych maszynach – w tej kwestii jesteśmy elastyczni