Ügyfelünk egy másik cégnél lévő projektünk alapján keresett meg minket információbiztonsági kockázatmenedzsment szolgáltatásunkkal kapcsolatban. A fő szempont az volt, hogy a szervezet számára biztosítsák a jogszabályi megfelelést, amit a törvény előírt – egy „szükséges rossz” -nak tartották, hogy ezzel foglalkozni kell.
Mi pedig úgy gondoljuk, hogy minden szervezet életében jelen vannak kockázatok, melyeket, ha megfelelően kezelünk – elvégezzük a kockázatcsökkentő intézkedéseket, felülvizsgáljuk legalább évente – akkor egy stabilan működő, folyamatosan fejlődő céget kaphatunk.
Ügyfelünkkel folyamatosan egyeztetve készítettünk egy üzleti hatáselemzést, ahol meghatároztuk a szervezetük prioritásait: milyen üzletmenetre kiható kritikus folyamatok vannak; adatvagyon felmérést végeztünk, valamint az azonosított adatkörök bizalmassági és sértetlenségi hatásait is megvizsgáltuk. Mi nem Excelben vezetgetjük ezeket, hiszen az nem erre lett kitalálva, hanem saját fejlesztésű SeCube szoftverünkben, de erről kicsit később…!
Lépésről lépésre…Az első elemzés után kialakítottuk a szervezet igényeire szabott kockázatelemzési módszertant. Minden szervezetnek van egy szaknyelven „kockázati étvágya”, ez a kockázatok azon összege, amit a szervezetnek a fejlődés érdekében el kell fogadnia. Szerencsére korábbi projektjeink során már volt tapasztalatunk, így ügyfelünkkel közösen meg tudtuk határozni a használni kívánt módszertant.
Szükséges volt elkérnünk a munkánkhoz az összes szabályzatot, felügyeleti dokumentumokat, korábbi kockázatelemzéseket, egyéb releváns dokumentumokat, majd ezután elkezdtük kockázatfelmérési interjúinkat a fontosabb IT vonatkozású témakörökben, mint pl.: üzemeltetés, fejlesztés, biztonság, HR. Az informatikai rendszerekre vonatkozó adatbekérő táblázatunkat ekkorra már visszaküldte az ügyfelünk, amelyben részletezve megkaptuk például, hogy milyen gyakran vannak mentéseik, hogyan naplózzák a rendszerek működését, és a rendszerek jogosultságkezelésével kapcsolatos információkat is megkaptuk.
Miután minden a rendelkezésünkre állt, már készen álltunk, hogy elvégezzük a részletes kockázatelemzést. Megvizsgáltuk a releváns fenyegetéseket az alkalmazott védelmi intézkedések és azonosított sérülékenységi okok figyelembevételével, bekövetkezési valószínűségüket, ezek mellé pedig hatásokat rendeltünk az üzleti hatáselemzésben kapott információkat felhasználva. A kockázati szintekhez kapcsoltuk a fenyegetéseket, meghatároztuk ügyfelünk számára, hogy mik azok a kockázatok, melyek kezelése azonnal szükséges és mik azok, amik „ráérnek”.
Minden esetben teljes jelentést készítünk, amely tartalmazza a kockázatkezelési intézkedési tervet megvalósítási javaslatokkal, intézkedési prioritásokat, javasolt határidőkkel – ez ügyfelünk esetében sem volt másképp. A jelentésünkben továbbá vizualizáltan mutatjuk be a kockázati szintek eloszlását; fenyegetésenként, belépő erőforrásonként, illetve sérülékenységi okok szerinti eloszlását.
Ügyfelünk a projekt végére egyszerre örült és egyszerre volt meglepődött: elemzésünk által sikerült rámutatni olyan kockázatokra, amelyek egyáltalán nem voltak ismertek a vezetőség számára, ebben voltak konkrét rendszerekre vonatkozó hiányosságok és a szervezet egész működésére vonatkozó „átfogóbb kezelést igénylő” kockázatok is. Szerencsére így a kritikus kockázatok kezelését azonnal meg tudták kezdeni, és a jogszabályi megfelelőséget is mihamarabb megoldani.
Ahogy ügyfelünknek is, minden szervezetnek ajánljuk, hogy rendszeresen vizsgálja felül kockázatait és kockázatelemzéseit, hiszen környezetünk és fenyegetettségünk folyamatosan változik. A folyamatos felülvizsgálat pedig időt és költséget takarít meg bármely szervezetnek.
Saját fejlesztésű SeCube szoftverünk képes a teljes vállalati nyilvántartásban az adatvagyont, folyamatokat, informatikai rendszereket – összes függőségeikkel együtt – kezelni. A fenyegetéseket, azok valószínűségét, hatásait szintén modellezni tudjuk, így egyszerűen és átláthatóan tudjuk kezelni a kockázatokat. A szoftveren belül lehetőség van feljegyezni kockázatkezelési intézkedéseinket, valamint a teljes kockázatelemzési és kezelési információkat tárolja szoftverünk, így a teljes folyamat nyomonkövetése könnyen megtehető a szoftver segítségével. A teljes vállalati kockázatmenedzsment tevékenységeken felül compliance, audit, üzletmenetfolytonosság és helyreállítás tervezési tevékenységek támogatása is integrált részét képezi a GRC megoldásunknak.
#Audit
