Informacijske tehnologije

Penetracijski testi in varnostni pregledi za zagotavljanje varnosti vašega podjetja

Ali je vaše digitalno okolje ranljivo za kibernetski napad?

Ker se okolje kibernetske varnosti neprestano razvija in napadalci ne počivajo, so v današnjem svetu elektronskega poslovanja primeri kršitev osebnih podatkov, kraje intelektualne lastnine, napadi ransomware vse pogostejši. Varnost podatkov je tako ključnega pomena za dolgoročni uspeh organizacije.

Odgovorne organizacije vlagajo v zaščito svojih digitalnih sredstev, vendar prepogosto jemljejo informacijsko varnost kot nekaj samoumevnega in ne izvajajo ukrepov za preizkušanje svoje zaščite, da bi zagotovile, ali so še vedno močne in ustrezno posodobljene.

S penetracijskimi testiranjem vam lahko pomagamo zagotoviti ustrezen nivo varnosti vaših podatkov.

Pristop penetracijskega testiranja

Varnostno preverjanje je namenjeno odkrivanju potencialnih groženj in s tem povezanih tveganj za informacijsko varnost. Uporabljamo znanja naprednih groženj (angl. advanced persistent threat), orodja, taktike in postopke, ki bi jih uporabili resnični zlonamerni napadalci in s tem temeljito testiramo informacijsko varnost vaše organizacije. Poglobljen varnostni pregled ali penetracijski test vam lahko pomaga:

zajeti vse vidike kibernetske varnosti,
določiti raven kibernetske varnosti in izpostavljenih kritičnih sredstev in
vzpostaviti pripravljenost na odkrivanje in zmanjševanje posledic kibernetskega napada.

Kaj pridobite s penetracijskim testom

Poročilo vodstvenega povzetka
Analiza tveganj
Tehnična dokumentacija za poustvarjanje ugotovitev
Taktična priporočila
Strateška priporočila

Pregled storitev penetracijskega testiranja

Za zagotavljanje stroškovno učinkovitih rešitev so naši penetracijski testi prilagojeni glede na vaše poslovne ali organizacijske potrebe. Metodološki pristop izključuje možnost lažnega občutka varnosti in zagotavlja doslednost rezultatov.
Predlagana organizacijska struktura, projektni pristop in izbrana metodologija zagotavljajo, da se vsi postopki in rezultati izvajajo in obdelujejo v skladu s priznanimi standardi ter jih je mogoče analizirati in pregledati.

Varnostni pregled	Cilj	Prednost
Red teaming / Simulacija napada	S simulacijo kibernetskega napada demonstrirajte, kako lahko resnični napadalec doseže svoj cilj.	Preizkusite pripravljenost za odkrivanje, odzivanje in preprečevanje kibernetskih napadov.
Zunanji penetracijski test	Poskusite zlorabiti ranljivosti na zunanji infrastrukturi (strežniki, aplikacije, zaposleni).	Pridobite podatke, katera sredstva lahko ogrozi napadalec.
Notranji penetracijski test	Preverite učinkovitost notranjih vrnostnih kontrol proti napadalcu ali nezadovoljnemu zaposlenemu z dostopom do virov notranjega omrežja.	Okrepite vašo notranjo infrastrukturo omrežja in dosežite skladnost z dobrimi praksami panoge.
Penetracijski test spletne aplikacije	V spletni aplikaciji odkrijte ranljivosti, ki omogočajo nepooblaščen dostop in spreminjanje podatkov.	Pridobite podatke o ranljivosti aplikacije, za katere niste vedeli, da obstajajo.
Penetracijski test mobilne aplikacije	Odkrijte ranljivost mobilne aplikacije, ki omogoča nepooblaščen dostop in spreminjanje podatkov.	Odkrijte ranljivosti aplikacije in določite varnostne kontrole, ki jih je potrebno vzpostaviti.

Pregled PSD2	Ocenite vaš sistem in se prepričajte, da dosegate ustrezne tehnične kontrole PSD2 (SCA dinamično povezovanje).	Poskrbite, da vaše podjetje upošteva tehnične standarde PSD2.
Socialni inženiring	Preizkusite dovzetnost zaposlenih za socialni inženiring, ugotovite pomanjkljivosti v procesih, postopkih in tehnologiji z jasno strategijo za okrevanje.	Določite učinkovitost politik informacijske varnosti, merite in izboljšajte nivo informacijske ozaveščenosti.
Preverjanje brezžičnega omrežja	Ugotovite, ali lahko napadalec pridobi nepooblaščen dostop do vašega brezžičnega omrežja.	Pridobite razumevanje izpostavljenosti vašega brezžičnega omrežja in varnostnih kontrol.
Stresni testi (DDoS)	Testirajte sisteme in infrastrukturo, ki so povezani z internetom, proti DoS in drugimi kibernetskimi napadom.	Ocenite odpornost sistemov povezani z internetom in učinkovitost rešitev za odkrivanje in ublažitev.

Blockchain	Določite stopnjo varnosti za vse vidike blockchain rešitve, ki jo uporabljate.	Zagotovite, da so podatki in sredstva vaših strank varni.
Pregled programske opreme / funkcionalno testiranje	Preverite, ali programska oprema izvaja samo dokumentirane funkcionalnosti.	Zagotovite, da so izpolnjene posebne zahteve ali cilji programske opreme.
Analiza zlonamerne programske opreme	Zaznajte vrsto zlonamerne programske opreme.	Razumevanje obsega incidenta in širitve na preostale sisteme.
IoT in povezljive naprave	Določite varnost IoT naprave in z njo povezanih storitev.	Razumevanje groženj, ki jih povezljive naprave lahko predstavljajo za uporabnike.
Varnostni pregled SWIFT okolja	Ocenite svoje sisteme in se prepričajte, da so vzpostavljene ustrezne SWIFT kontrole.	Zagotovite, da vaše podjetje upošteva SWIFT zahteve.

Storitev revizijskih pregledov informacijskega sistema

Informacijski sistemi so neločljivo vpeti v poslovanje vseh vrst organizacij. Brez zanesljivega, dobro upravljanega in varnega informacijskega sistema si vsakodnevnega poslovanja ne moremo več predstavljati. Redni revizijski pregledi informacijskega sistema organizaciji pripomorejo, da se z izvajanjem predpisanih priporočil zmanjša možnost incidentov, ki bi lahko vplivali na zaupnost, razpoložljivost ali celovitost podatkov ter organizaciji povzročili poslovno škodo. Revizijski pregled informacijskega sistema predstavlja sistematično in strokovno presojo tehničnih in organizacijskih kontrol v informacijskem sistemu, katerega namen je preveriti skladnost s predpisi, standardi in dobrimi praksami na področju informatike.

Varnostni pregled	Cilj	Prednost
Revizijski pregled informacijske infrastrukture	Določite kontrole, ki zmanjšajo tveganje in povečajo učinkovitost vašega IT-ja.	Razvijte, implementirajte, spremljajte in izboljšajte upravljanje z informacijami.
Revizijski pregled informacijske varnosti (ISO/IEC 27001)	Ugotovite, katere so prednosti in slabosti vaše organizacije na podlagi standarda ISO/IEC 27001.	Pridobite podrobne opise ugotovitev in priporočil za izboljšanje informacijske infrastrukture in procesov organizacije.
Revizijski pregled upravljanja IT storitev (ISO/IEC 20000-1)	Ugotovite, katere so prednosti in slabosti vaše organizacije na podlagi standarda ISO/IEC 20000-1.	Pridobite podrobne opise ugotovitev in priporočil za izboljšanje informacijske infrastrukture in procesov organizacije.
Revizijski pregled neprekinjenega poslovanja (ISO 22301)	Ugotovite, katere so prednosti in slabosti vaše organizacije na podlagi standarda ISO 22301.	Pridobite podrobne opise ugotovitev in priporočil za izboljšanje informacijske infrastrukture in procesov organizacij.
Revizijski pregled projektnega vodenja v informatiki	Ugotovite, ali je okvir projektnega vodenja v IT ustrezno vzpostavljen in deluje učinkovito.	Preverite skladnost s pravili, standardi in dobrimi praksami na področju projektnega vodenja v informatiki.
Pregledi programske opreme (funkcionalnost, varnost)	Ugotovite, kakšno je funkcionalnostno in varnostno stanje vaše programske opreme.	Pridobite neodvisno oceno skladnosti programske opreme in procesov z veljavnimi predpisi, standardi, smernicami, načrti in postopki.
Certifikacija po Uredbi eIDAS	Implementirajte zakonodajne določbe Uredba o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu.	Zagotovite kvalificirane storitve, ki so skladne z zahtevami Uredbe.
Revizijski pregledi upoštevanja zakonodajnih določil s področja varovanja podatkov (ZVOP, ZTP, ZVDAGA, ZEKOM)	Določite kontrole, ki se nanašajo na zakonodajna določila in pridobite neodvisno oceno skladnosti.	Pridobite revizijsko poročilo s podrobnim opisom vseh ugotovitev ter predlogom izboljšav.

Proaktivna obramba za vašo organizacijo

Naša ekipa je vedno na tekočem z najnovejšimi taktikami, tehnikami in postopki.

Imamo znanja o splošnih grožnjah ter specifikah različnih industrij, zato lahko zagotovimo takojšnje popravke in dolgoročne rešitve dobrih praks za ohranjanje varnosti informacijskih sistemov.

Ekipo sestavljajo strokovnjaki z mednarodno priznanimi certifikati in dolgoletnimi izkušnjami na tem področju.