Ověřit obsah a zabezpečení firemních dat
Nejste si úplně jisti, kde jsou data, na kterých závisí váš byznys? Bojíte se, že přístup k nim má snazší hacker než vy po změně IT pracovníka?
2017
Na první schůzce jsme představili způsob, jakým bychom chtěli doplňovat jednotlivá aktiva. Dle dohody nám klient zaslal seznamy aplikačních aktiv a bezpečnostní politiku včetně příloh, směrnice v rámci IT a základní dokumentaci aplikací. To dalo základ seznamu aktiv. Dále jsme s klientem procházeli další zdroje jako byl helpdesk klienta, dohledový systém, zálohování, virtuální stroje. Infrastrukturální prvky jsme agregovali do stejného typu tak, aby aktiv byl rozumný počet. I tak v této fázi vzniklo skoro 80 aktiv, a to v seznamu nebyly obsaženy datová aktiva.
V další fázi jsme s garanty kategorizovali aktiva a u aplikací jsme identifikovali v nich obsažená data. Po této části jsme měli dohromady více jak 130 aktiv.
Začalo hodnocení aktiv na důvěrnost, dostupnost a integritu. Škála pro hodnocení byla použita se 4 hodnotami (nízká, střední, vysoká, kritická).
V rámci rizikové analýzy jsme připravili seznam rizik. Následně jsme hodnotili na workshopu zranitelnosti jednotlivých aktiv vůči dané hrozbě. Samozřejmě jsme pro toto hodnocení potřebovali znát řadu aspektů z hlediska bezpečnosti, jako jsou např. kde je systém provozován, architektura systému, komunikační protokoly, fyzické zabezpečení, antivirová kontrola a další. Hodnocení probíhalo společně na workshopu s klientem.
Realizace celé akce probíhala asi 3 měsíce a z toho více jak polovinu zabrala identifikace aktiv.
„Velmi mě potěšil přístup konzultantů z Blue Partners, kteří jasně načrtli průběh celé akce. Hodnocení rizik jsme prováděli nejdříve odděleně abychom se neovlivňovali. Následně jsme hodnotili nahlas a pokud jsme se rozcházeli, diskutovali jsme o důvodech. Bylo zajímavé, jak se na některé věci dá nahlížet. Všechny účastníky hodnotícího workshopu to obohatilo o jiné úhly pohledu na věc. To považuji za nejvíce přínosné.“
Ing. Martin Voříšek, MBA, vedoucí IT ve Fakultní nemocnici v Motole
Nejste si úplně jisti, kde jsou data, na kterých závisí váš byznys? Bojíte se, že přístup k nim má snazší hacker než vy po změně IT pracovníka?
Vytvořili jsme aplikaci pro správu lůžkových kapacit. Podívejte se, jak akce probíhala ve FN Motol.
Připravili jsme směrnice pro uživatele, garanty aplikací a pro IT jako základní pilíř definování zodpovědností v rámci Městského úřadu Prahy 4.
Vytvořili jsme aplikaci v rámci sčítání lidu, domů a bytů 2021. Podívejte se, jak akce probíhala.
Provedli jsme audit IT řízení na největší soukromé škole v ČR. Proč je vhodné si udělat základní nezávislý audit IT řízení?