Bezpečnost ICT. Kvalitní ochrana informací a know how. Návrh a realizace optimálních bezpečnostních. Důraz na přidanou hodnotu a poměr

Transkript

1 Bezpečnost ICT Kvalitní ochrana informací a know how Návrh a realizace optimálních bezpečnostních řešení dle potřeb klienta Využití špičkových HW a SW produktů v oblasti bezpečnosti Školení profesionálové nejen v oblasti certifikace ISO Bohaté zkušenosti s implementací bezpečnostních řešení díky množství dodaných informačních systémů Pokrytí oblasti bezpečnosti ICT téměř v celé její šíři od produktů či technologií po služby Důraz na přidanou hodnotu a poměr cena/kvalita při zachování požadované úrovně zabezpečení Hluboká znalost vazby mezi obchodními požadavky, obchodní kontinuitou a technickými možnostmi s ohledem na klíčové informační systémy Špičkové reference zákazníků bez rozlišení velikosti společnosti, dokládající spokojenost našich klientů

2 Dohled Zabezpečení koncových zařízení Penetrační testování Bezpečnost ICT prostředí Bezpečnostní strategie Fyzická bezpečnost Řízení identit požadavků a podmínek konkrétní společnosti definujeme bezpečnostní politiku. Výše zmíněné specifické požadavky jsou: Závazné vnitřní předpisy a normy Požadavky na technická řešení a dostupnost Klasifikace informací Úroveň a rozsah poskytovaných služeb Service Level Agreement (SLA) Obr. 1 Bezpečnost ICT prostředí Bezpečnost infrastruktury Produkty a služby v oblasti bezpečnosti ICT prostředí Společnost Unicorn Systems profesionálně zajišťuje komplexní bezpečnost ICT prostředí podniku. Námi poskytované služby zahrnují provádění auditů, analýz, návrhů řešení a následné realizace napříč celou oblastí ICT. Svá řešení uskutečňujeme v souladu s dohodnutými procesními metodikami a podnikovými předpisy, naše řešení odpovídají platným normám ISO. Pomocí vhodných postupů, procesů a řešení pomáháme zákazníkům, aby přístup k informacím, datům a systémům měly pouze ověřené a oprávněné subjekty (lidé, aplikace, systémy). Při realizaci projektů v oblasti bezpečnosti ICT vždy sledujeme tři základní principy: Důvěrnost Integritu Dostupnost Audit & Compliance Mezi tyto ztráty patří: Přímé finanční ztráty způsobené narušením chodu výroby nebo prodeje produktů či služeb společnosti Ztráta reputace u odběratelů v konkurenčním prostředí trhu Ztráta klíčového know-how Neefektivně vynaložené náklady na řešení incidentů a zabezpečení informací Služby, procesy i realizaci pomáháme metodicky zlepšovat cyklickým opakováním přesně stanovených činností plánování, provádění akce, kontrola a jednání. Bezpečnostní strategie Podílíme se na vytváření nové nebo na revizi stávající bezpečnostní strategie společnosti. Na základě specifických Bezpečnostní strategie významně přispívá k optimalizaci nákladů a jejich efektivnímu čerpání v čase. Nabízíme rovněž konzultace a školení v oblasti bezpečnostních technologií pro IT pracovníky i pro řadové zaměstnance, a to s ohledem na bezpečnostní politiku a potřeby společnosti. Audit & Compliance Provádíme nezávislé bezpečnostní audity stávajících nebo již nasazených řešení. Audit ověří, zda jsou dodržovány interní organizační normy a pravidla a zda je provoz ICT v souladu s platnou legislativou. Identifikace nedostatků a jejich analýza pomáhá definici seznamu rizik, na základě kterých předkládáme doporučení konkrétních nápravných opatření eliminujících nebezpečí případného postihu a sankcí nebo výpadků. Tyto principy aplikujeme v následujících oblastech: Správně řešené zabezpečení ICT prostředí předchází mnoha finančním i nefinančním ztrátám. Bezpečnostní strategie Efektivita v čase Optimalizace nákladů SLA Předpisy a normy Klasifikace aktiv Technické požadavky Obr. 2 Bezpečnostní strategie a její výstupy k optimalizaci nákladů v čase

3 Vstupní informace Definice testů Zmapování prostředí Realizace testování Bezpečnost infrastruktury ICT infrastruktura je klíčovou součástí ICT prostředí, proto věnujeme její aktivní ochraně proti nebezpečným útokům zvýšenou pozornost. Kybernetické útoky mohou běh provozovaných on-line systémů omezit, nebo je dokonce kompletně vyřadit z provozu. Nasazujeme a konfigurujeme vícevrstvé firewally, které účinně detekují Prezentace výstupů Doporučení oprav zranitelností Spolupráce s IT oddělením bezpečnostní software, řádně nastavený firewall a systém pro ochranu dat. Zavádíme centrálně řízená bezpečnostní řešení, ale také lokální antimalwarové systémy, které jsou základem zabezpečení každého koncového zařízení a chrání informační systém před vnikem rizikových prvků (viry, phishing, spyware, rootkity a další). Dle požadavků zákazníka navrhujeme a zavádíme vhodné způsoby šifrování dat pro ochranu souborových systémů, ové komunikace a přenosu citlivých informací. Podporujeme zabezpečení mobilních a chytrých zařízení prostřednictvím MDM řešení (Mobile Device Management). Centrální správa mobilních zařízení, vynucování interních pravidel a řízení bezpečnosti dat přispívá v tomto případě k ochraně firemního prostředí také významně. Obr. 3 Proces realizace penetračních testů Penetrační testování Realizujeme účinná penetrační testování, která prověřují odolnost ICT prostředí proti známým i novým hrozbám. Včasná identifikace zranitelných míst informačních systémů je důležitou složkou celkové bezpečnosti ICT prostředí. K ověření stavu informačního systému v různých fázích životního cyklu využíváme efektivní bezpečnostní testy prováděné vhodnými metodami a profesionálním týmem odborníků. Základní testování zranitelnosti uskutečňujeme pomocí automatických nástrojů, které odhalí obvyklá slabá místa v systému. Kontrolou dokumentace a statickým testováním na úrovni analýzy kódu vyhledáváme nedostatky v rané fázi vývoje. Simulujeme útoky na známé i neznámé systémy, následně se podílíme na odstranění zranitelností navrhujeme doporučení, nebo přímo aplikujeme bezpečnostní opatření ve spolupráci s IT týmem zákazníka. Internímu IT oddělení pomáháme odstranit zjištěné nedostatky. závadnou příchozí a odchozí datovou komunikaci a zamezují jí. Integrujeme do stávajícího prostředí zákazníka zařízení pro detekci (IDS Intrusion Detection System) i prevenci (IPS Intrusion Prevention Systems) útoku. Včasné odhalení DDoS útoku (Distributed Denial-of-Service Attack) umožňuje síť lépe ochránit. Do stávajícího prostředí zákazníka implementujeme účinná řešení pro analýzu elektronické pošty a detekci spamu. Zajišťujeme ochranu serverů pomocí aplikace bezpečnostních politik a nastavení. Navrhujeme a realizujeme výkonnostní a konfigurační testování, které zkontroluje možnosti a stabilitu infrastruktury, provádíme testy zranitelnosti infrastruktury, které prověřují jednotlivá používaná IT řešení. Zabezpečení koncových zařízení Zabezpečujeme nová i stávající koncová zařízení používaná ve firemních provozech. Stále nová zařízení (včetně mobilních a chytrých zařízení) kladou vysoké požadavky na zajištění bezpečnosti. Účinné řešení, které prosazujeme, zahrnuje funkční a aktuální Šifrování Centralizované řízení a správa MDM Bezpečnost mobilní platformy Obr. 4 Bezpečnost mobilní platformy a její základní komponenty Řízení identit Řízení práv a přístupů uživatelů k aplikacím a systémům je důležitým aspektem zabezpečeného ICT prostředí. Systematickou správu přístupů, uživatelských účtů a rolí podporujeme účinným softwarovým řešením, které usnadňuje řízení jejich celého životního cyklu. Nasazujeme a spravujeme nástroje identity managementu, dílčí řešení integrujeme s interními systémy společnosti. Úroveň ochrany zvyšujeme pomocí návrhu a integrace SSO systémů (Single Sign On), které zvyšují efektivitu práce a zpřístupní uživateli pouze jemu určené systémy a aplikace bez nutnosti si pamatovat více přihlašovacích údajů.

4 Včasná identifikace zranitelných míst informačních systémů je důležitou složkou celkové bezpečnosti ICT prostředí Řízení identit Single Sign On Systémy pro autentizace uživatele navrhujeme tak, aby splňovaly podmínky společnosti a zajistily autentizaci nutnou pro určenou klasifikaci aktiva (např. vyžadování dvoufaktorové autentizace pomocí čipových karet či tokenů atd.). Následující autorizace uživatele bezpečně vymezí konkrétní práva a rozsah kompetencí. Dvoufázová autentizace Obr. 5 Komponenty k integraci v oblasti ověření Dohledové systémy Obr. 6 Ochrana citlivých dat Vyhledání slabých míst Predikce výkonu Integrace Fyzická bezpečnost Firemní provozy a prostory společnosti vybavujeme ochrannými prvky, jakými jsou bezpečnostní kamerové systémy, instalujeme ucelené elektronické přístupové a zabezpečovací systémy, alarmy, provádíme montáže v datových centrech a serverovnách. Zabýváme se návrhem a montáží elektronických zabezpečovacích systémů včetně jejich napojení na pult Hlášení průniku Ochrana dat centrální ochrany. Dodáváme a instalujeme elektronické přístupové systémy umožňující regulaci přístupových práv osob a evidenci docházky. Realizujeme návrh a implementaci kamerových systémů, které okamžitě upozorní na neoprávněné vniknutí a pohyb, a provádíme integraci bezpečnostních systémů fyzické bezpečnosti s ostatními ICT systémy zákazníka. Dohled Důležitou součástí bezpečnosti informačních technologií je sledování a vyhodnocování stavů jednotlivých prvků a komponent. Pro tyto účely navrhujeme a zavádíme vhodná monitorovací a sledovací řešení. Díky těmto nástrojům dokážeme pro své zákazníky identifikovat a odhalit bezpečnostní hrozby v jejich zárodku, a tím předcházet kritickým událostem. Navrhujeme a dodáváme vhodné nástroje SIEM (Security Information and Event Management), které sbírají data z různých systémů a zařízení, monitorují procesy a pohyby na síti v reálném čase a nabízí jednotný přehled o stavu bezpečnosti.

5 Implementujeme systémy prevence úniku citlivých dat (Data Loss Prevention). Tyto komplexní platformy umožňují definovat úroveň citlivosti dat a určit, jak mohou uživatelé s různě klasifikovanými daty nakládat. Instalujeme efektivní nástroje Vulnerability Managementu, skenující síť a vyhledávající nová zranitelná místa používaných zařízení a informačních systémů. Zajišťujeme kontrolu, dohled a vynucení dodržování firemních standardů a procesů nad aktivitami uživatelů a aplikací. Proč je nutné věnovat pozornost bezpečnosti ICT prostředí? Absence bezpečnostní strategie, nedostatečně prověřený přístup uživatelů a jejich rizikové chování, zanedbání dohledu nad aktivitami v síti, nekontrolované nakládání s daty a jejich špatná klasifikace, nechráněné systémy a koncová zařízení, chybně nastavené bezpečnostní systémy a prvky představují hrozbu, která může vážně narušit důvěryhodnost i samotný chod celé společnosti. Důsledná analýza aktuálního stavu a následná implementace vhodných softwarových řešení, preventivních opatření a závazných norem významně šetří náklady vynaložené na řešení incidentů. Komplexní bezpečnostní řešení realizované spolehlivým partnerem, který postupuje v souladu s platnými normami ISO a dohodnutými procesními metodikami, zajišťuje bezproblémový chod a další rozvoj ICT infrastruktury. Společnost Unicorn Systems je certifikována podle ISO 9001, ISO 10006, ISO 14001, ISO a ISO pro poskytování služeb souvisejících s dodávkami ICT řešení. Unicorn Information System Unicorn Systems sdílí s klienty informace prostřednictvím Unicorn Information System, který je provozován v internetové službě Plus4U. Unicorn Information System umožňuje přístup 7 24 k informacím o poskytovaném projektu nebo službě. Klient má tak kdykoli a odkudkoli přístup k dokumentaci, informacím o stavu projektu a může komunikovat s projektovým týmem. Přidaná hodnota Známe problematiku bezpečnosti ICT a máme zkušenosti a reference z této oblasti. Disponujeme týmem specialistů s bohatým know-how v oblasti procesů i technologií. Máme znalosti a zkušenosti se změnami business procesů a prostředí. V oblasti bezpečnosti ICT spolupracujeme se silnými technologickými partnery, nabízíme tak různé varianty řešení, ze kterých nezávisle vybereme to s nejvyšší přidanou hodnotou pro klienta. Bezpečnost ICT umíme navrhnout a realizovat jako službu.

6 UNICORN SYSTEMS Reference BritNed Development Ltd. Central Allocation Office GmbH ČEPS a.s. Česká pojišťovna a.s. JOHNSON CONTROLS FABRICS STRAKONICE s.r.o. Komerční banka, a.s. Modrá pyramida stavební spořitelna, a.s. nkt cables s.r.o. ORIFLAME CZECH REPUBLIC spol. s r.o. Raiffeisenbank a.s. O společnosti Unicorn Systems Unicorn Systems je renomovaná evropská společnost poskytující ty největší informační systémy a řešení z oblasti informačních a komunikačních technologií. Dlouhodobě se soustředíme na vysokou přidanou hodnotu a konkurenční výhodu ve prospěch svých zákazníků. Působíme na trhu již od roku 1990 a za tu dobu jsme vytvořili řadu špičkových a rozsáhlých řešení, která jsou rozšířena a užívána Unicorn Systems a.s. info@unicornsystems.eu Unicorn Systems je členem skupiny Unicorn, dynamické společnosti poskytující komplexní služby v oblasti informačních systémů a informačních a komunikačních technologií. Uvedené názvy, firmy, obchodní značky apod. jsou chráněnými značkami nebo registrovanými ochrannými známkami příslušných oprávněných vlastníků. Grafická úprava: VIG Design s.r.o. VGD Foto Jiří Matula. Copyright Unicorn Systems a.s., USY2032CZ01 SG Equipment Finance Czech Republic s.r.o. SOR Libchavy spol. s r.o. Správa úložišť radioaktivních odpadů Státní ústav pro kontrolu léčiv ŠkoFIN s.r.o. TenneT TSO B.V. Vysoká škola chemicko- -technologická v Praze WOOD & Company Financial Services, a.s. mezi těmi nejvýznamnějšími podniky z různých odvětví. Máme ty nejlepší reference z oblasti bankovnictví, pojišťovnictví, energetiky a utilit, komunikace a médií, výroby, obchodu i veřejné správy. Našimi zákazníky jsou přední a největší firmy. Disponujeme detailními znalostmi z celého spektra podnikatelských odvětví. Rozumíme principům jejich fungování, ale i specifickým potřebám svých zákazníků.