0

VARNOSTNI PREGLEDI

Varnostni pregledi so najučinkovitejši način preverjanja stopnje varnosti informacijskega sistema, saj se pri tem uporabljajo enake metode, tehnike in orodja, kot jih uporabljajo napadalci oz. hekerji.


Primarni cilj varnostnih pregledov je identificiranje področij, ki jih je v okviru varnosti informacijskih sistemov treba izboljšati, sekundarni pa seznanjanje skrbnikov in uporabnikov sistemov z odkrito ranljivostjo in metodami za njeno zmanjšanje.

Namen varnostnih pregledov je zagotavljanje varnega delovanja ključnih poslovnih procesov, zaščita intelektualne lastnine in preprečevanje odtekanja podatkov.

  • VARNOSTNI PENETRACIJSKI TESTI
  • SISTEMSKI VARNOSTNI PREGLED INFORMACIJSKE INFRASTRUKTURE
  • SISTEM UPRAVLJANJA VAROVANJA INFORMACIJ
VARNOSTNI-PENETRACIJSKI-TESTI

Varnostni penetracijski testi

Vsak IKT-sistem je varnostno ranljiv in ima vrzeli, ki jih lahko napadalec izkoristi, da pridobi dostop do sistema in prične izvajati škodljive aktivnosti. S penetracijskim testom simuliramo napad, poiščemo šibke točke in svetujemo, kako jih odstraniti.

Gre za eno naših temeljnih varnostnih storitev, pri kateri s pomočjo hekerskih orodij in tehnik poiščemo varnostne luknje v informacijski infrastrukturi. Vsi etični hekerji, ki izvajajo testiranja, so certificirani in imajo dokazljive izkušnje. V Telekomu Slovenije izpolnjujemo vse formalne zahteve, ki jih uporabniki pogosto zahtevajo v povezavi z izvedbo penetracijskega testa. Vsa varnostna poročila pišejo izključno naši svetovalci, in ne avtomatski varnostni skenerji.

Penetracijsko testiranje infrastrukture
Izvajamo testiranje omrežne infrastrukture (LAN, WAN, WLAN) v skladu z mednarodno priznanimi standardi izvedbe preizkušanja penetracije. Testi se lahko izvajajo z zunanjih (internet, WiFi itd.) in notranjih (LAN, VPN) omrežij.

Penetracijsko testiranje spletnih aplikacij
Penetracijsko testiranje spletnih aplikacij izvajamo v skladu s splošno sprejeto metodologijo OWASP, vključno z OWASP Top 10 in OWASP ASVS (Application Security Verification Standard), to pa nato dopolnimo še z našimi izkušnjami. Ne omejujemo se samo na ranljive točke, ki so na seznamu OWASP, pač pa si prizadevamo najti tudi ranljive točke, ki so za podjetja specifične in ki lahko predstavljajo resnično grožnjo za poslovanje in jih avtomatizirani bralniki ranljivosti pogosto spregledajo.

Penetracijsko testiranje mobilnih aplikacij
Izvajamo penetracijsko testiranje mobilnih aplikacij za platformi iOS in Android. Naša metodologija je osnovana na OWASP Mobile, vključno z OWASP Mobile Top 10, in podprta z našimi izkušnjami pri prepoznavanju ranljivih točk v mobilnih aplikacijah.

Rezultate varnostnega testiranja strnemo v poročilu, ki vsebuje podrobnosti vseh izvedenih testov, definirane varnostne grožnje in priporočila.
Poročilo je sestavljeno iz dveh delov:

  1. vodstvenega povzetka (Executive Summary), ki podaja povzetek stanja varnosti informacijskega sistema in priporočila za izboljšanje stanja;
  2. podrobnega tehničnega poročila za tehnično osebje, ki vsebuje vse ugotovitve revizije, metode in opise testiranj, identificirane varnostne grožnje in priporočila z navodili za odpravo oz. zmanjšanje groženj.
Certifikat CEH Certifikat GSEC Certifikat MCSE Certifikat CISA
SISTEMSKI VARNOSTNI PREGLED INFORMACIJSKE INFRASTRUKTURE

Sistemski varnostni pregled informacijske infrastrukture

Varnostni pregled je postopek prepoznavanja ranljivosti v informacijski infrastrukturi in spada v kategorijo preventivnih varnostnih storitev, ki so namenjene varnemu delovanju ključnih poslovnih procesov, zaščiti intelektualne lastnine in preprečevanju odtekanja podatkov.

Z izvedbo predlaganih protiukrepov se varnostno tveganje bistveno zmanjša. Stranka ima tudi finančne koristi, saj se izogne:

  • izgubi zaradi nedelovanja storitve,
  • stroškom odprave škode,
  • izgubi ali kraji podatkov,
  • kršitvi zakonodaje,
  • izgubi ugleda pri strankah.

Zunanji varnostni pregled IT-infrastrukture:
Namen zunanjega pregleda je ugotoviti varnost infrastrukturnega dela informacijskega sistema, ki se povezuje v internetno omrežje, vključno z vpeljanimi varnostnimi mehanizmi.

Notranji varnostni pregled IT-infrastrukture:
Namen notranjega pregleda je ugotoviti varnost internega dela informacijskega sistema, vključno z vpeljanimi varnostnimi mehanizmi. Kot interni del se razume tudi omrežja na oddaljenih lokacijah.

Rezultate varnostnega pregleda strnemo v poročilu, ki vsebuje podrobnosti vseh izvedenih testov, odkrite varnostne grožnje in priporočila.

Certifikat CEH Certifikat GSEC Certifikat MCSE Certifikat CISA
SISTEM UPRAVLJANJA VAROVANJA INFORMACIJ

Sistem upravljanja varovanja informacij

Zaradi odvisnosti od informacijske tehnologije so družbe vse bolj občutljive na varnostne grožnje. Informacije, ki predstavljajo eno izmed najpomembnejših poslovnih sredstev, je zato treba ustrezno zaščititi. Upravljanje varovanja informacij je kontinuiran proces, ki ga je treba nenehno nadgrajevati in posodabljati ter pri tem izbirati primerne kontrole za upravljanje s tveganji in na ta način poskrbeti za ohranitev zaupnosti, celovitosti in razpoložljivosti informacij.

Pri sistemu upravljanja varovanja informacij so se uveljavili standardi družine ISO/IEC 27000, ki definirajo norme, katerih namen je zaščita družb pred krajo, zlorabo ali izgubo informacij.

V Telekomu Slovenije vam zato nudimo pomoč pri:

  • pregledu obstoječega sistema upravljanja varovanja informacij,
  • pregledu obstoječe informacijske podpore poslovnih procesov,
  • pregledu obstoječih kontrol zagotavljanja zaupnosti, celovitosti in razpoložljivosti informacij pri obdelavi v informacijsko-komunikacijskih sistemih,
  • analizi sistema varovanja informacij,
  • analizi tveganj (identifikacija, klasifikacija in ocena tveganj s področja informacijske varnosti),
  • pomoči pri določanju ukrepov glede na oceno tveganj,
  • izdelavi, prenovi, dopolnitvi ali racionalizaciji varnostnih politik, pravilnikov in navodil,
  • izobraževanju in ozaveščanju zaposlenih,
  • izdelavi načrta neprekinjenega poslovanja,
  • zagotavljanju in preverjanju skladnosti s standardi.

Storitve izvajajo naši certificirani presojevalci in menedžerji sistema upravljanja informacijske varnosti po standardu ISO/IEC 27001:2013.

Certifikat CISA Certifikat CIS
​​​





Sledite nam na družbenih omrežjih

Ne zamudite novih ponudb in akcij prvega slovenskega operaterja.

Pišite nam

Prosimo, izberite vrsto sporočila: