Bezpečnost ICT Kvalitní ochrana informací a know how
▪ ▪ Návrh a realizace optimálních bezpečnostních řešení dle potřeb klienta
▪ ▪ Využití špičkových HW a SW produktů v oblasti bezpečnosti
▪ ▪ Školení profesionálové nejen v oblasti certifikace ISO 27000
▪ ▪ Bohaté zkušenosti s implementací bezpečnostních řešení díky množství dodaných informačních systémů
▪ ▪ Pokrytí oblasti bezpečnosti ICT téměř v celé její šíři – od produktů či technologií po služby
▪▪ Důraz na přidanou hodnotu a poměr cena/kvalita při zachování požadované úrovně zabezpečení
▪▪ Hluboká znalost vazby mezi obchodními požadavky, obchodní kontinuitou a technickými možnostmi s ohledem na klíčové informační systémy
▪▪ Špičkové reference zákazníků bez rozlišení velikosti společnosti, dokládající spokojenost našich klientů
Penetrační testování
požadavků a podmínek konkrétní společnosti definujeme bezpečnostní politiku. Výše zmíněné specifické požadavky jsou: ▪▪ Závazné vnitřní předpisy a normy ▪▪ Požadavky na technická řešení a dostupnost ▪▪ Klasifikace informací ▪▪ Úroveň a rozsah poskytovaných služeb – Service Level Agreement (SLA)
Bezpečnostní strategie
Fyzická bezpečnost
Dohled Bezpečnost ICT prostředí
Zabezpečení koncových zařízení
Řízení identit
Bezpečnost Audit infrastruktury & Compliance
Bezpečnostní strategie významně přispívá k optimalizaci nákladů a jejich efektivnímu čerpání v čase. Nabízíme rovněž konzultace a školení v oblasti bezpečnostních technologií pro IT pracovníky i pro řadové zaměstnance, a to s ohledem na bezpečnostní politiku a potřeby společnosti.
Obr. 1 – Bezpečnost ICT prostředí
Produkty a služby v oblasti bezpečnosti ICT prostředí Společnost Unicorn Systems profesionálně zajišťuje komplexní bezpečnost ICT prostředí podniku. Námi poskytované služby zahrnují provádění auditů, analýz, návrhů řešení a následné realizace napříč celou oblastí ICT. Svá řešení uskutečňujeme v souladu s dohodnutými procesními metodikami a podnikovými předpisy, naše řešení odpovídají platným normám ISO. Pomocí vhodných postupů, procesů a řešení pomáháme zákazníkům, aby přístup k informacím, datům a systémům měly pouze ověřené a oprávněné subjekty (lidé, aplikace, systémy). Při realizaci projektů v oblasti bezpečnosti ICT vždy sledujeme tři základní principy: ▪▪ Důvěrnost ▪▪ Integritu ▪▪ Dostupnost
Mezi tyto ztráty patří:
▪▪ Přímé finanční ztráty způsobené narušením chodu výroby nebo prodeje produktů či služeb společnosti ▪▪ Ztráta reputace u odběratelů v konkurenčním prostředí trhu ▪▪ Ztráta klíčového know-how ▪▪ Neefektivně vynaložené náklady na řešení incidentů a zabezpečení informací Služby, procesy i realizaci pomáháme metodicky zlepšovat cyklickým opakováním přesně stanovených činností – plánování, provádění akce, kontrola a jednání.
Audit & Compliance Provádíme nezávislé bezpečnostní audity stávajících nebo již nasazených řešení. Audit ověří, zda jsou dodržovány interní organizační normy a pravidla a zda je provoz ICT v souladu s platnou legislativou. Identifikace nedostatků a jejich analýza pomáhá definici seznamu rizik, na základě kterých předkládáme doporučení konkrétních nápravných opatření eliminujících nebezpečí případného postihu a sankcí nebo výpadků.
Bezpečnostní strategie Podílíme se na vytváření nové nebo na revizi stávající bezpečnostní strategie společnosti. Na základě specifických
Tyto principy aplikujeme v následujících oblastech: Správně řešené zabezpečení ICT prostředí předchází mnoha finančním i nefinančním ztrátám.
Bezpečnostní strategie
SLA
Předpisy a normy
Efektivita v čase
Klasifikace aktiv
Optimalizace nákladů
Technické požadavky
Obr. 2 – Bezpečnostní strategie a její výstupy k optimalizaci nákladů v čase
Bezpečnost infrastruktury ICT infrastruktura je klíčovou součástí ICT prostředí, proto věnujeme její aktivní ochraně proti nebezpečným útokům zvýšenou pozornost. Kybernetické útoky mohou běh provozovaných on-line systémů omezit, nebo je dokonce kompletně vyřadit z provozu. Nasazujeme a konfigurujeme vícevrstvé firewally, které účinně detekují
Vstupní informace
Definice testů
Zmapování prostředí
Realizace testování
Prezentace výstupů
Doporučení Spolupráce oprav zranitelností s IT oddělením
bezpečnostní software, řádně nastavený firewall a systém pro ochranu dat. Zavádíme centrálně řízená bezpečnostní řešení, ale také lokální antimalwarové systémy, které jsou základem zabezpečení každého koncového zařízení a chrání informační systém před vnikem rizikových prvků (viry, phishing, spyware, rootkity a další). Dle požadavků zákazníka navrhujeme a zavádíme vhodné způsoby šifrování dat pro ochranu souborových systémů, e-mailové komunikace a přenosu citlivých informací. Podporujeme zabezpečení mobilních a chytrých zařízení prostřednictvím MDM řešení (Mobile Device Management). Centrální správa mobilních zařízení, vynucování interních pravidel a řízení bezpečnosti dat přispívá v tomto případě k ochraně firemního prostředí také významně.
Obr. 3 – Proces realizace penetračních testů
Penetrační testování Realizujeme účinná penetrační testování, která prověřují odolnost ICT prostředí proti známým i novým hrozbám. Včasná identifikace zranitelných míst informačních systémů je důležitou složkou celkové bezpečnosti ICT prostředí. K ověření stavu informačního systému v různých fázích životního cyklu využíváme efektivní bezpečnostní testy prováděné vhodnými metodami a profesionálním týmem odborníků. Základní testování zranitelnosti uskutečňujeme pomocí automatických nástrojů, které odhalí obvyklá slabá místa v systému. Kontrolou dokumentace a statickým testováním na úrovni analýzy kódu vyhledáváme nedostatky v rané fázi vývoje. Simulujeme útoky na známé i neznámé systémy, následně se podílíme na odstranění zranitelností – navrhujeme doporučení, nebo přímo aplikujeme bezpečnostní opatření ve spolupráci s IT týmem zákazníka. Internímu IT oddělení pomáháme odstranit zjištěné nedostatky.
závadnou příchozí a odchozí datovou komunikaci a zamezují jí. Integrujeme do stávajícího prostředí zákazníka zařízení pro detekci (IDS – Intrusion Detection System) i prevenci (IPS – Intrusion Prevention Systems) útoku. Včasné odhalení DDoS útoku (Distributed Denial-of-Service Attack) umožňuje síť lépe ochránit. Do stávajícího prostředí zákazníka implementujeme účinná řešení pro analýzu elektronické pošty a detekci spamu. Zajišťujeme ochranu serverů pomocí aplikace bezpečnostních politik a nastavení. Navrhujeme a realizujeme výkonnostní a konfigurační testování, které zkontroluje možnosti a stabilitu infrastruktury, provádíme testy zranitelnosti infrastruktury, které prověřují jednotlivá používaná IT řešení. Zabezpečení koncových zařízení Zabezpečujeme nová i stávající koncová zařízení používaná ve firemních provozech. Stále nová zařízení (včetně mobilních a „chytrých“ zařízení) kladou vysoké požadavky na zajištění bezpečnosti. Účinné řešení, které prosazujeme, zahrnuje funkční a aktuální
Centralizované řízení a správa
Šifrování
Bezpečnost mobilní platformy
MDM
Obr. 4 – Bezpečnost mobilní platformy a její základní komponenty
Řízení identit Řízení práv a přístupů uživatelů k aplikacím a systémům je důležitým aspektem zabezpečeného ICT prostředí. Systematickou správu přístupů, uživatelských účtů a rolí podporujeme účinným softwarovým řešením, které usnadňuje řízení jejich celého životního cyklu. Nasazujeme a spravujeme nástroje identity managementu, dílčí řešení integrujeme s interními systémy společnosti. Úroveň ochrany zvyšujeme pomocí návrhu a integrace SSO systémů (Single Sign On), které zvyšují efektivitu práce a zpřístupní uživateli pouze jemu určené systémy a aplikace bez nutnosti si pamatovat více přihlašovacích údajů.
Včasná identifikace zranitelných míst informačních systémů je důležitou složkou celkové bezpečnosti ICT prostředí
Integrace Řízení identit
Single Sign On
Dvoufázová autentizace
Obr. 5 – Komponenty k integraci v oblasti ověření
Systémy pro autentizace uživatele navrhujeme tak, aby splňovaly podmínky společnosti a zajistily autentizaci nutnou pro určenou klasifikaci aktiva (např. vyžadování dvoufaktorové autentizace pomocí čipových karet či tokenů atd.). Následující autorizace uživatele bezpečně vymezí konkrétní práva a rozsah kompetencí.
Vyhledání slabých míst Dohledové systémy
Obr. 6 – Ochrana citlivých dat
Fyzická bezpečnost Firemní provozy a prostory společnosti vybavujeme ochrannými prvky, jakými jsou bezpečnostní kamerové systémy, instalujeme ucelené elektronické přístupové a zabezpečovací systémy, alarmy, provádíme montáže v datových centrech a serverovnách. Zabýváme se návrhem a montáží elektronických zabezpečovacích systémů včetně jejich napojení na pult
Predikce výkonu
Hlášení průniku
Ochrana dat
centrální ochrany. Dodáváme a instalujeme elektronické přístupové systémy umožňující regulaci přístupových práv osob a evidenci docházky. Realizujeme návrh a implementaci kamerových systémů, které okamžitě upozorní na neoprávněné vniknutí a pohyb, a provádíme integraci bezpečnostních systémů fyzické bezpečnosti s ostatními ICT systémy zákazníka. Dohled Důležitou součástí bezpečnosti informačních technologií je sledování a vyhodnocování stavů jednotlivých prvků a komponent. Pro tyto účely navrhujeme a zavádíme vhodná monitorovací a sledovací řešení. Díky těmto nástrojům dokážeme pro své zákazníky identifikovat a odhalit bezpečnostní hrozby v jejich zárodku, a tím předcházet kritickým událostem. Navrhujeme a dodáváme vhodné nástroje SIEM (Security Information and Event Management), které sbírají data z různých systémů a zařízení, monitorují procesy a pohyby na síti v reálném čase a nabízí jednotný přehled o stavu bezpečnosti.
Implementujeme systémy prevence úniku citlivých dat (Data Loss Prevention). Tyto komplexní platformy umožňují definovat úroveň citlivosti dat a určit, jak mohou uživatelé s různě klasifikovanými daty nakládat. Instalujeme efektivní nástroje Vulnerability Managementu, skenující síť a vyhledávající nová zranitelná místa používaných zařízení a informačních systémů. Zajišťujeme kontrolu, dohled a vynucení dodržování firemních standardů a procesů nad aktivitami uživatelů a aplikací.
Proč je nutné věnovat pozornost bezpečnosti ICT prostředí? Absence bezpečnostní strategie, nedostatečně prověřený přístup uživatelů a jejich rizikové chování, zanedbání dohledu nad aktivitami v síti, nekontrolované nakládání s daty a jejich špatná klasifikace, nechráněné systémy a koncová zařízení, chybně nastavené bezpečnostní systémy a prvky představují hrozbu,
která může vážně narušit důvěryhodnost i samotný chod celé společnosti. Důsledná analýza aktuálního stavu a následná implementace vhodných softwarových řešení, preventivních opatření a závazných norem významně šetří náklady vynaložené na řešení incidentů. Komplexní bezpečnostní řešení realizované spolehlivým partnerem, který postupuje v souladu s platnými normami ISO a dohodnutými procesními metodikami, zajišťuje bezproblémový chod a další rozvoj ICT infrastruktury. Společnost Unicorn Systems je certifikována podle ISO 9001, ISO 10006, ISO 14001, ISO 20000 a ISO 27001 pro poskytování služeb souvisejících s dodávkami ICT řešení.
Unicorn Information System Unicorn Systems sdílí s klienty informace prostřednictvím Unicorn Information System, který je provozován v internetové službě Plus4U. Unicorn Information System umožňuje přístup 7×24 k informacím o poskytovaném projektu nebo službě. Klient má tak kdykoli a odkudkoli přístup k dokumentaci, informacím o stavu projektu a může komunikovat s projektovým týmem.
Přidaná hodnota
▪▪ Známe problematiku bezpečnosti ICT a máme zkušenosti a reference z této oblasti. ▪▪ Disponujeme týmem specialistů s bohatým know-how v oblasti procesů i technologií. ▪▪ Máme znalosti a zkušenosti se změnami business procesů a prostředí. ▪▪ V oblasti bezpečnosti ICT spolupracujeme se silnými technologickými partnery, nabízíme tak různé varianty řešení, ze kterých nezávisle vybereme to s nejvyšší přidanou hodnotou pro klienta. ▪▪ Bezpečnost ICT umíme navrhnout a realizovat jako službu.
UNICORN SYSTEMS
Reference
▪▪ BritNed Development Ltd. ▪▪ Central Allocation Office GmbH ▪▪ ČEPS a.s. ▪▪ Česká pojišťovna a.s. ▪▪ JOHNSON CONTROLS FABRICS STRAKONICE s.r.o. ▪▪ Komerční banka, a.s. ▪▪ Modrá pyramida stavební spořitelna, a.s. ▪▪ nkt cables s.r.o. ▪▪ ORIFLAME CZECH REPUBLIC spol. s r.o. ▪▪ Raiffeisenbank a.s.
▪▪ SG Equipment Finance Czech Republic s.r.o.
▪▪ SOR Libchavy spol. s r.o. ▪▪ Správa úložišť radioaktivních odpadů
▪▪ Státní ústav pro kontrolu léčiv ▪▪ ŠkoFIN s.r.o. ▪▪ TenneT TSO B.V. ▪▪ Vysoká škola chemicko-technologická v Praze
▪▪ WOOD & Company Financial Services, a.s.
O společnosti Unicorn Systems Unicorn Systems je renomovaná evropská společnost poskytující ty největší informační systémy a řešení z oblasti informačních a komunikačních technologií. Dlouhodobě se soustředíme na vysokou přidanou hodnotu a konkurenční výhodu ve prospěch svých zákazníků. Působíme na trhu již od roku 1990 a za tu dobu jsme vytvořili řadu špičkových a rozsáhlých řešení, která jsou rozšířena a užívána
mezi těmi nejvýznamnějšími podniky z různých odvětví. Máme ty nejlepší reference z oblasti bankovnictví, pojišťovnictví, energetiky a utilit, komunikace a médií, výroby, obchodu i veřejné správy. Našimi zákazníky jsou přední a největší firmy. Disponujeme detailními znalostmi z celého spektra podnikatelských odvětví. Rozumíme principům jejich fungování, ale i specifickým potřebám svých zákazníků.
Unicorn Systems a.s. www.unicornsystems.eu,
[email protected] Unicorn Systems je členem skupiny Unicorn, dynamické společnosti poskytující komplexní služby v oblasti informačních systémů a informačních a komunikačních technologií. Uvedené názvy, firmy, obchodní značky apod. jsou chráněnými značkami nebo registrovanými ochrannými známkami příslušných oprávněných vlastníků. Grafická úprava: VIG Design s.r.o. VGD150365. Foto Jiří Matula. Copyright © Unicorn Systems a.s., 2015.
USY2032CZ01