FORTIX Consulting Kft.

Minden vállalat kulcsfontosságú adatok, információk birtokosa, melyek lehetnek az ügyfelek, partnerek bizalmas adatai, a termékekkel, szolgáltatásokkal, megrendelésekkel, belső folyamatokkal kapcsolatos információk. A cégek, vállalatok fennmaradása, megélhetése múlhat ezen adatok megfelelő kezelése, tárolása, ellenőrzése hiányában.

A cégek üzleti szempontból kritikus információi, informatikai rendszerei, valamint folyamatai biztonságának elősegítésére szolgál a nemzetközi ISO 27001:2013 szabvány szerinti információbiztonsági irányítási rendszer tervezésére, kiépítésére és működtetésére adunk megoldást.

A SZERVEZET HASZONSZEMPONTJAI

• Csökkennek az információbiztonsági kockázatok, nő a szolgáltatások biztonsága.
• A szabályozott információbiztonsági folyamatok révén javul a szervezettség, hatékonyság.
• Áttekinthető, világos felelősségek és hatáskörök, nagyobb döntési sebesség.
• A munkavállalók információbiztonsági tudatossága nő, a tevékenységek beépülnek a mindennapi „rutinokba”.
• Javul a szervezet megítélése az ügyfeleinél, nő a vevők bizalma és nőhet a cégérték.
• Hatékonyabb felkészülés az ISO/IEC 27001:2013 nemzetközi tanúsíttatásra.

AZ ÁLTALUNK MEGVALÓSÍTANDÓ FELADAT CÉLJAI

• Váljon tudatosabbá a szervezetben az információ-biztonsággal összefüggő tevékenység.
• Az információs vagyon minden elemének figyelembe vétele a felmerülő kockázatokkal kapcsolatban.
• A kockázatok kezelése az információbiztonság szabályozottságának felülvizsgálata és az infrastruktúrát érintő fejlesztések programjának végrehajtása által.
• Növekedjen a szervezet által kezelt információk kezelésének biztonsága.
• A dolgozók információbiztonsági tudatosságának növelése.
• A követelmények és az információbiztonság terén elért eredmények megjelenése a belső kommunikációban.
• Megfelelés az információbiztonsági követelményeknek a belső auditon.

A phishing vagy más néven adathalászat olyan támadási módszerek halmaza, amelyek során a támadó megpróbálja rávenni az áldozatát bizalmas adatok megadására (pl. személyazonosításra alkalmas adatok, banki és hitelkártyaadatok, valamint jelszavak).  Felhasználói tudatosságtól függően az emberek képesek lehetnek észlelni, cselekedni, jelenteni és megállítani ezeket a támadásokat. Azonban ehhez a megfelelő ismeretekre és tudatosságra van szükség. 

Segítünk ellenőrzött körülmények között végzett adathalász szimuláció lefolytatásával, anélkül, hogy a szervezetet valós anyagi kár érné. A szolgáltatás eredményeként az ügyfeleink pontos képet kapnak arról, hogy mi történne egy hasonló rosszindulatú támadás során, még a támadás valódi bekövetkezése előtt. Az általunk használt phishing tanácsadás segítségével nyomon követhetőek a felhasználói tevékenységek, valamint jelentések, diagramok állíthatók össze a teszt eredményeiről. Ezek alapján személyre szabott oktatási programokat is kidolgozunk, amelyek növelik a munkavállalók tudatosságát és védelmet nyújtanak az adathalász támadások ellen. 

Az informatikai biztonsági felelős a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért felelős, valamint elvégzi vagy irányítja a tevékenységek tervezését, szervezését, koordinálását valamint ellenőrzését.

Kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal.
Az informatikai biztonsági felelős teljes embert és megfelelő fellépést, gyakorlatot kíván.

A FORTIX szakemberei sokéves tapasztalattal, magas szintű szakmai ismeretekkel áll partnerei rendelkezésére.

A SZERVEZET HASZONSZEMPONTJAI

• Tanácsadó szakértőink folyamatos szakmai képzéseken és projekteken vesznek részt, ezért maradéktalanul megfelelnek az információbiztonságról szóló 2013. évi L. törvény szerinti elvárásoknak.
• A FORTIX több éves, banki és nagyvállalati környezetben szerzett tapasztalattal rendelkezik kiszervezett szakmai feladatok ellátásában, ami hosszútávú garanciát jelent az elvárások magas színvonalú teljesítésére.
• Biztosítjuk az Ibtv-ben meghatározott követelmények teljesülését a szervezet rendszeréhez kapcsolódó elektronikus információs rendszerének a tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatértékelésében, karbantartásában vagy javításában közreműködők biztonsággal összefüggő tevékenysége esetén.

AZ ÁLTALUNK MEGVALÓSÍTANDÓ FELADATOK

• Gondoskodni a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről, és fenntartásáról.
• Irányítani a fentiek szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését.
• Előkészíteni a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot.
• Előkészíteni a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását.
• Véleményezni az elektronikus információs rendszerek biztonsági szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit.
• Kapcsolatot tartani a hatósággal és a kormányzati eseménykezelő központtal.

Tekintse meg, vagy töltse le ismertetőnket!

A felhőalapú rendszerekbe vetett bizalom megerősítése és a velük járó előnyök kihasználása csak a bennük reljő kockázatok felismerésével és kezelésével lehetséges!

A felhőszolgáltatások új, vagy megnövekedett kockázatokat hordoznak, függetlenül attól, hogy publikus, hibrid szolgáltatásról, illetve SaaS, PaaS vagy IaaS szolgáltatásról van szó…

• a közvetlen irányítás elvesztése
• biztonsági folyamatok és konfiguráció sebezhetőségei, a platform nem kellő szintű ismerete
• a megosztott felelősségi modell nem megfelelő alkalmazása
• adatvédelmi kockázatok
• a jogszabályi, szabványi és szabályzati megfelelés hiánya
• a harmadik felek esetén fennálló általános kockázatok itt is relevánsak
• szállítótól való függés kialakulása
• nem megfelelő platformszintű izoláció

…e kockázatok azonban elfogadható mértékűre csökkenthetőek, így a felhőszolgáltatások előnyei előtérbe kerülnek és kihasználhatóak! Ennek érdekében a FORTIX az alábbi szolgáltatásokat nyújtja.

1. Cloud transzformáció, felhő-stratégia kialakításának átfogó támogatása szakértői és projektmenedzsment oldalon: (üzleti/IT felmérés, kockázatelemzés, szervezeti és informatikai felkészítés, szabályozás, platform kiválasztás, migráció, tesztelés, élesítés, folyamatos kontroll kialakítása)
2. „Felhő-készültség” felmérése szervezeti, folyamat és informatikai oldalon, átfogóan, vagy adott folyamatokra/rendszerekre (organizational cloud readiness assessment); Cloud-osítható rendszerek azonosítása és felmérése, alapvető cloud adoptálási irány meghatározása
3. „Felhő-felkészítés” (cloud preparation); Üzleti célok és korlátok azonosítása, folyamatok és IT rendszerek elemzése, adatvagyon leltár, adatklasszifikáció, adatvédelmi elemzés, shared responsibility model értelmezése (IaaS, PaaS, SaaS) a konkrét szolgáltatásokra, azok kiválasztásának során, Szervezeti és folyamatbeli változások értelmezése és végigvitele a szolgáltatásban
4. A felhőszolgáltató információbiztonsági / adatvédelmi auditja, screening-je, a kockázatok kezelése; a szolgáltató kiválasztásával együtt, vagy azután, biztosítjuk, hogy a szolgáltatás önmagában és az ön rendszereibe és folyamataiba illesztve is, megfeleljen az üzleti, jogszabályi, biztonsági és adatvédelmi elvárásoknak!
5. Belső cloud security szabályozások, szerződéses keretek kialakítása; A megosztott felelősségi modell megfelelő értelmezésével és alkalmazásával a felhőszolgáltatás egy on-premise rendszernél biztonságosabb is lehet!

Legális hackelés

Sérülékenység vizsgálat, biztonsági vizsgálat (penteszt)

Az anyagi haszonszerzés, az információgyűjtés, vagy egyszerűen csak a károkozás érdekében végrehajtott és sokszor rendkívül precízen kidolgozott és összehangolt támadások ellen ma már csak a rendszeres vagy folyamatos vizsgálatok és ellenőrzések nyújthatnak védelmet.

A hálózati vizsgálatok azonosító nélkül elvégezhető vizsgálatokat jelentenek, amelyek során felderítésre kerülnek a nyitott portok, a futó alkalmazások és szolgáltatások, valamint meghatározásra kerülnek a sérülékeny szolgáltatások és a hibás konfigurációk. A vizsgálatok eredményeit jelentésünkben összegezzük és meghatározzuk a feltárt kritikus biztonsági hiányosságok típusait és azok meglétének okait. Az egyes biztonsági hibákról a részletes leírást, kritikusság szerinti besorolást és a hibák javításához tett megoldási javaslatokat mellékletben csatoljuk.

A biztonsági vizsgálatot a hálózati struktúra elemzésével kezdjük, ezt követően meghatározzuk a célpont operációs rendszerén futó szolgáltatásokat és gyengeségeiket kihasználva igyekszünk illetéktelenül átjutni a védelmi mechanizmusokon. A cél az, hogy belső rendszereken minél magasabb (domain admin, root) jogosultságot szerezzünk. Ez lehetőséget biztosít bizalmas üzleti és személyes adatok megszerzésére (pl.: fájlszerverek, email fiókok, stb).

A sérülékenység vizsgálat/elemzés feladata az ismert operációs rendszerek, adatbázisok és alkalmazások ismert sérülékenységeinek felderítése (lásd: NIST NVD (National Vulnerability Database)). A sérülékenység vizsgálat objektív, általános érvényű, egy adott sérülékenység súlyossága meghatározott (lásd: CVSS) – természetesen a kapcsolódó kockázat már egyedi.

A vizsgálatokat szigorú formális procedúra szerint, pontosan egyeztetett időpontokban, az OSSTMM ajánlást figyelembe véve végezzük el, amely széles körben bizonyított, hatékony módszertan. Eszközeink között megtalálható az Ethical Hacking szakma összes ismert Open Source Tool-ja (Nmap, Wireshark, sqlmap, metasploit, stb.) alapként a Kali Linux disztribúciót használjuk. Munkánk során felhasználunk még a helyzettől függően saját fejlesztésű toolokat, scripteket.

Amennyiben a vizsgálat folyamán azonnal javítandó, kritikus és súlyos kockázati besorolású sérülékenységek kerülnek feltárásra, azok kijavítására konkrét javaslatokat teszünk az vizsgálati jelentésben, ami hatékony segítséget nyújt a hiba javításánál.

Tekintse meg, vagy töltse le ismertetőnket!

A COVID-19 által kialakult pandémiás helyzetben a távoli munkavégzést érintő biztonsági kihívásokra adunk választ olyan speciális audittal és tanácsadással, amely nem csak felméri a távoli munkavégzésben rejlő informatikai és információbiztonsági kockázatokat, legyen az informatikai háttér saját üzemeltetésű, vagy felhőalapú — hanem azokra megoldási javaslatot is ad és támogatja a bevezetést is.

A FORTIX ezt a speciális audit- és akciótervet az ISO 27001, a NIST 800-53 ajánlásait, valamint saját módszertanát hozzáadva állította össze, amely a következő elemeket tartalmazza.

Kiemelt szolgáltatások

• Távmunkához kapcsolódó üzleti folyamatok felmérése, azaz az egyes munkafolyamatok hogyan kapcsolódnak, kapcsolódhatnak egy olyan online workflow megoldáshoz úgy, hogy az adott munkafolyamat teljessége ne csorbuljon
• Távmunkához kapcsolódó informatikai és biztonsági szabályozások felülvizsgálata, amely a teljes szabályzatportfólió áttekintését jelenti, azon belül is a speciális, informatikai kérdéseket érintő részszabályokra koncentrálva
• Távmunkához kapcsolódó informatikai háttér felmérése, azok biztonsági aspektusainak szem előtt tartásával, különös tekintettel a cloud és távoli elérésű megoldásokra, valamint a szervezet által kiépített infrastruktúra és architektúra azon elemeire, amelyek támogatják a távoli munkavégzést
• Gap elemzés, megfelelőség ellenőrzés
• Javaslatok kidolgozása a távmunkához kapcsolódó üzleti folyamatok, szabályozás és informatikai háttér figyelembevételével
• A felmérést követően korrekciós javaslatok mind a folyamatok, mind az informatikai háttér esetében, e kettőt összhangban vizsgálva a megfelelőségek, valamint a belső, elvárt működést figyelembe véve
• A korrekciós javaslatok a szervezet belső szabályozásaiba építése
• Nagyobb mértékű korrekció esetén oktatási anyag kidolgozása és oktatás a kollégák számára

További szolgáltatások

• Intézkedési terv összeállítása, amely a távmunkához kapcsolódó folyamatok információbiztonsági kérdéseinek figyelemmel kísérésében nyújt segítséget
• Projektmenedzsment az intézkedési terv megvalósítási lépéseinek teljes körűségéért
• Rész- vagy kiemelt folyamat megfelelőség ellenőrzése
• Kiegészítő szolgálttásként HR tanácsadás keretén belül az összes támunkát érintő humán erőforrás kérdésben teljeskörű szolgáltatás nyújtása a megfelelőségvizsgálattól kezdve a HR menedzsment kérdésekig

Az információbiztonsági rendszerünk képzeletbeli ajtajának az egyik kulcsa a szervezetünket működtető kollégák kezében van, hiszen ők használják nap mint nap az IT eszközöket, az IT rendszereket, ők találkoznak elsőként az ügyféllel, egy idegen címről érkezett e-maillel, egy új megrendeléssel. Ezért kiemelkedően fontos a kollégák tájékozottsága és biztonságtudatossága az információ védelmének érdekében.

A legtöbb ember azt gondolja, hogy kellően óvatos és tudatos, csakhogy éppen ez okozza a rést a pajzson, a túl nagy magabiztosság!

Jelszavaink biztonságosságát mindenki másképpen értelmezi, az e-mail használat már annyira rutinszerű, hogy könnyen belefuthatunk egy adathalász levélbe, mobil eszközeinkre folyamatosan töltögetjük le az applikációkat, az otthoni munkavégzés nagyobb teret biztosít a felhasználóknak a rendszertelen és figyelmetlen böngészéshez.

A belső képzések és oktatások nem csupán a szervezet információbiztonságát erősítik, a legtöbb ember szeret fejlődni és a tudásbázisuk fejlődése növeli az elkötelezettséget és a motívációt.

Szolgáltatásaink

1. Tudatosság felmérése
   Online kérdőív segítségével, social engineering tesztekkel vagy adathalász-szimuláció keretén belül, ahol jelentést készítünk arról, hogy milyen mértékben óvatosak a felhasználók.
2. Tudatosság megerősítése
   Olyan oktató anyagok elkészítése, mely felhívja a felhasználók figyelmét a lehetséges veszélyekre és nem utolsó sorban a megelőzésre!
3. Tudatosság fenntartása
   Tudatosító plakátok, awareness témákat tartalmazó, rendszeresen frissülő sharepoint oldalak, interaktív anyagok készítése, melyek figyelemfelkeltő grafikával és tartalommal rendelkeznek.

Szolgáltatások

Az információbiztonság legalapvetőbb formája a fizikai közeg védelmének kialakítása, megszervezése. Ebben széleskörű támogatást nyújtunk.

Kiemelt szolgáltatások

• Környezeti védelemmel kapcsolatos biztonsági intézkedések meghozatala, szabályozók létrehozása
• Berendezésekkel kapcsolatos biztonság, ezen belül az elhelyezéssel, védelemmel, karbantartással kapcsolatos szabályrendszer kialakítása, telephelyen kívüli védelem szavatolásához kapcsolódó megoldások megtervezése
• Közműszolgáltatások biztonsága, amely magába foglalja a szolgáltatások kimaradása okozta károkozás elkerülését és a kábelek biztonságos kialakításának folyamatát
• Tiszta asztal politika, belső humánoldali szabályozó intézkedések meghozatala, megalkotása

Kulcsfontosságú részterületek

• Élőerős védelem
• Őrzési zónák kijelölésének kialakításának tervezése
• Biztonsági szolgálat tervezése, szervezése
• Védelmi szolgálat ellátásához nélkülözhetetlen szabályozó dokumentumok megalkotása
• Incidenskezelési folyamatok meghatározása
• Mechanikai biztonsági megoldások
• Külső védelmi réteg biztonságának felépítése
• Belépési pontokhoz tartozó személyi és gépjármű oldali mechanikai eszközrendszer kialakítása
• Nyílászárók, zárrendszerek, rácsrendszerek tervezése
• Biztonsági tároló eszközökkel kapcsolatos tanácsadás
• Elektronikus védelmi környezet
• Beléptetőrendszerek kiválasztása, kialakítása, strukturális felépítése, üzemelésükhöz kapcsolódó szabályok kialakítása
• Kamerarendszer kiépítése, komponensek kiválasztása
• Riasztórendszer megtervezése, betörésjelzés kialakításának támogatása
• Áruvédelmi rendszerek, megoldások kialakítása
• Távfelügyeleti rendszer felépítésének megtervezése

Az üzletmenet-folytonosság egy olyan tevékenység, mely a szervezet egészét fogja össze. Célja, hogy egy esetlegesen bekövetkező nem várt eseményt a vállalat fel tudja ismerni, hatását fel tudja mérni, a fenyegetések eredményes kezelésére válaszlépéseket tudjon kidolgozni. Mindezt annak érdekében, hogy a szervezet folyamatai a lehető legkisebb mértékben sérüljenek, az anyagi és reputációs veszteség minimális legyen.

Az üzletmenet-folytonossági irányítási rendszer egy olyan átfogó módszertan, melynek alkalmazásával a vállalat a kritikusnak ítélt folyamatait, szolgáltatásait, termékeit legalább az elfogadható szolgáltatási szinten képes nyújtani, még akkor is, ha egy nem várt esemény hatására azok erőforrásai kiesnek vagy meghibásodnak.

A szervezet haszonszempontjai

• A CÉG felső vezetésének kialakul a rálátása a szervezet kritikus üzleti folyamataira, erőforrásaira és függőségeire úgy, ahogy korábban nem volt képes ezeket a tényezőket azonosítani.
• Kialakul a váratlan helyzetekre való rutinszerű reagálás szervezeti képessége.
• A BCMS proaktív és nem reaktív tevékenység, azaz a megelőzés sokkal olcsóbb, mint a bekövetkezett katasztrófából történő helyreállítás.
• Csökken, illetőleg egy előre elhatározott határértéken belül tartható a váratlan üzleti kiesésből (disruptiv incidents) eredő üzleti hatások (elsősorban károk) mértéke.
• Áttekinthető, világos felelősségek és hatáskörök, a váratlan kritikus helyzetekben nagyobb döntési sebesség.
• Katasztrófa esetén a CÉG kritikus folyamatait az előre egyeztetett és elfogadott szinten folyamatosan képes szolgáltatni.
• A munkavállalók üzletmenet-folytonossági tudatossága nő, a tevékenységek beépülnek a mindennapi „rutinokba”.

Az általunk megvalósítandó feladat céljai

• Növekedjen a szolgáltatásnyújtás folyamatosságának biztonsága.
• Váljon tudatosabbá a kijelölt szervezetben az üzletmenet-folytonossággal összefüggő tevékenység.
• Működjenek az ISO 22301:2019 nemzetközi szabvány szerinti üzleti hatáselemzés, kockázatértékelés és üzletmenet-folytonossági tervek.
• A szervezetben álljon rendelkezésre belső audit ellenőrzési lista mérföldkövenként az elvégzett tevékenységek ISO 22301:2019 nemzetközi szabványnak való megfelelés ellenőrzésére.
• Növekedjen az üzletmenet-folytonosság tudatossága.

Tekintse meg, vagy töltse le az ismertetőt!

Az üzletmenet-folytonossági felelős a szervezetnél előforduló valamennyi üzletmenet-folytonossághoz kapcsolódó feladat ellátásáért felelős, valamint elvégzi vagy irányítja a tevékenységek tervezését, szervezését, koordinálását valamint ellenőrzését.

Az üzletmenet-folytonossági felelős teljes embert és megfelelő fellépést, gyakorlatot kíván.

A FORTIX szakemberei sokéves tapasztalattal, magas szintű szakmai ismeretekkel áll partnerei rendelkezésére.

A SZERVEZET HASZONSZEMPONTJAI

• Tanácsadó szakértőink folyamatos szakmai képzéseken és projekteken vesznek részt, ezért maradéktalanul eleget tesznek az ISO 22301:2019 Üzletmenet-folytonossági irányítási rendszer szabvány követelményeinek.
• A FORTIX több éves, banki és nagyvállalati környezetben szerzett tapasztalattal rendelkezik kiszervezett szakmai feladatok ellátásában, ami hosszútávú garanciát jelent az elvárások magas színvonalú teljesítésére.
• Biztosítjuk az ISO 22301:2019 szabványban, illetve a 8/2020. MNB ajánlásban meghatározott követelmények teljesülését a szervezethez kapcsolódó üzletmenet-folytonossági irányítási rendszer tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatértékelésében, karbantartásában vagy javításában közreműködők üzletmenet-folytonossággal összefüggő tevékenysége esetén.

AZ ÁLTALUNK MEGVALÓSÍTANDÓ FELADATOK

• Gondoskodni a szervezet üzletmenet-folytonossággal összefüggő tevékenységeinek jogszabályokkal való összhangjának megteremtéséről, és fenntartásáról.
• Irányítani a fentiek szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését.
• Előkészíteni a szervezet kritikus folyamataira, elektronikus információs rendszereire vonatkozó üzletmenet-folytonossági szabályzatot.
• Előkészíteni a szervezet kritikus folyamataira, veszélyt jelentő scenario-kra, kritikus elektronikai rendszereire vonatkozó üzletmenet-folytonossági terveket.
• Véleményezni a szervezet e tárgykört érintő szabályzatait és szerződéseit.