Analýza rizik

Slouží k nalezení a identifikaci bezpečnostních rizik a představuje scénáře škod, k nimž by případné zneužití chyb mohlo vést. Odhalená rizika jsou odstupňována dle závažnosti a umožní managementu efektivně určit priority v procesu odstranění chyb.

Popis služby

  • Provedeme bezpečnostní analýzu vaší stávající nebo nově vznikající IT architektury a aplikací dle ISO/IEC 27001.
  • Odhalíme slabiny vašich systémů, ohodnotíme jejich závažnost.
  • Stanovíme rizika a poradíme vám, jak se s nimi co nejlépe vypořádat.
  • Analýza rizik vám pomůže být v souladu s nařízením GDPR (General Data Protection Regulation), které platí jednotně v celé EU od 25. května 2018.

 

Nejčastější identifikované problémy:

  • chybná nastavení plynoucí ze standardní konfigurace
  • zejména u interních systémů absence patchů (1 rok i více)
  • „pochybné“ požadavky některých SW na široká oprávnění
  • neodborné zásahy administrátora nebo třetí strany (dodavatelé apod.)

Jak to probíhá?

Audit je prováděn fyzicky přímo na zkoumaném zařízení (např. serveru), nebo na základě dotazníků a osobních konzultací

Audit vyžaduje plný přístup ke zkoumaným zařízením, je prováděn za asistence administrátora

Audit je neinvazivní, časově relativně nenáročné šetření

Je vyžadován přístup pod privilegovaným uživatelem:

  • 1. krok – automatizovaný sběr informací SW nástrojem (konfiguraci OS, serveru, pošt. serveru, DB, …)
  • 2. krok – doplňkový manuální sběr informací – sběr informací je „pasivní“ – nedochází k modifikaci systému, není zkoumán obsah dat

Výsledkem bezpečnostního auditu je detailní zhodnocení konfigurace posuzovaného zařízení (server, firewall aj.).

  • výstupem je nejen nález, ale i doporučení (naše zkušenosti, doporučení od výrobců nebo nezávislých organizací jako je NSA, CERT)
  • audit poskytuje vysokou míru detailu – obvykle nejsou podrobně zkoumána kompletně všechna zařízení

Kontaktujte nás

David Pícha

Business Development Manager

security@integra.cz