Varnost informacij ni več prosta izbira


Zaradi vedno večje povezanosti informacijskih sistemov ter pretoka podatkov med organizacijami postaja zagotavljanje ustreznega varstva podatkov vedno večji izziv. Z večjo mobilnostjo zaposlenih in razpršenostjo informacij se dostopnost iz »kjer koli in kadar koli« kaj hitro lahko spremeni v »kdor koli in kar koli«.

dr. Andrej Rakar, Vodja informacijske varnosti

Glede na neodvisne raziskave so za več kot 80 % varnostnih incidentov krivi prav zaposleni, ki lahko z malomarnim ravnanjem ali nevednostjo tudi resno ogrozijo varnost informacijskega sistema organizacije. Uporaba mobilnih naprav brez ustrezne zaščite na javnih omrežjih, nepremišljeno objavljanje občutljivih informacij na družbenih omrežjih ter dostopanje do informacijskih sredstev in informacij, do katerih nimajo formalno odobrenega dostopa, je samo nekaj aktivnosti, ki jih redno počne več kot polovica zaposlenih.

Vsaka organizacija, ki se zaveda, da je varnost podatkov ključnega pomena za uspešno poslovanje, ve, da je vzpostavitev ustreznih varnostnih kontrol nuja. Ker je varnostne kontrole potrebno nadzorovati in preverjati, ali je informacijski sistem res ustrezno varovan, je nujno tudi izvajanje varnostnih pregledov oziroma revizij informacijskih sistemov.

Da bi se lahko ustrezno zaščitili, moramo najprej poznati dejansko stanje varnosti informacijskega sistema:
- ali je vzpostavljeni informacijski sistem ranljiv na napade;
- ali zaposleni in pogodbeni sodelavci lahko zaobidejo varnostne politike ter nepooblaščeno dostopajo do podatkov organizacije;
- ali imajo uporabniki poslovnih aplikacij res dostop le do tistih podatkov, ki jih potrebujejo.

Varnostni pregledi so najučinkovitejši način preverjanja dejanskega stanja varnosti, saj se uporablja enake metode, tehnike in orodja, kot jih v praksi uporabljajo hekerji. Le tako lahko dobimo nedvoumen odgovor, ali so varnostne kontrole v informacijskem sistemu ustrezne. To je prav tako pomembno kot redno vzdrževanje protipožarnega sistema ali protivlomne centrale – ščiti namreč poslovanje pred možnimi nesrečami oziroma zlorabami.

Le neodvisen varnostni pregled, ki ga izvedejo za to usposobljeni in certificirani strokovnjaki, ki niso sodelovali pri vzpostavitvi in ne skrbijo za vzdrževanje informacijskega sistema organizacije, lahko podajo oceno dejanskega stanja varnosti IT in oceno učinkovitosti pogodbenih vzdrževalcev.

SIQ Ljubljana z največjo lastno ekipo izkušenih strokovnjakov s področja informacijske varnosti v regiji izvaja celovit nabor varnostnih pregledov. Izvajamo standardne varnostne preglede (avtomatizirani pregled ranljivosti, zunanji in notranji varnostni pregledi) in specializirane preglede glede na potrebe naročnika (skladnost s PCI DSS – ASV in QSA, varnostni pregled aplikacij, pregled mobilnih naprav, pregled igralniških sistemov, pregled izvorne kode, pregled sistemov SCADA, pregled VoIP/IP telefonije, socialni

inženiring, revizijski pregled informacijskega sistema, ISO/IEC 27001, ISO/IEC 20000, ISO 22301) ter povezljivih naprav IoT po standardu ISA/IEC 62443.

Opens window for sending emailDr. Andrej Rakar
INFORMACIJSKE TEHNOLOGIJE