Vsebina košarice

Vaša košarica je prazna.

Sistemski varnostni pregledi

S sistemskim varnostnim pregledom IT-in OT-okolja odkrijemo ranljive točke vašega podjetja.

Oddaj povpraševanje
Cybersecurity

Sistemski varnostni pregledi so najučinkovitejši način preverjanja stopnje varnosti informacijskega sistema, saj se pri tem uporabljajo enake metode, tehnike in orodja, kot jih uporabljajo napadalci oz. hekerji.

Primarni cilj varnostnih pregledov je identificiranje področij, ki jih je v okviru varnosti informacijskih sistemov treba izboljšati, sekundarni pa seznanjanje skrbnikov in uporabnikov sistemov z odkrito ranljivostjo in metodami za njeno zmanjšanje.

Namen sistemskih varnostnih pregledov je zagotavljanje varnega delovanja ključnih poslovnih procesov, zaščita intelektualne lastnine in preprečevanje odtekanja podatkov.

Pregledi in IT- in OT-okolja

Varnostni penetracijski testi

Temeljna varnostna storitev, pri kateri s pomočjo hekerskih orodij in tehnik poiščemo varnostne luknje v informacijski infrastrukturi.

Sistemski varnostni pregledi

Preventivna varnostna storitev prepoznavanja ranljivosti v informacijski infrastrukturi.

OT-pregledi

Varnostni pregledi v OT-okolju so ključni za zagotavljanje varnosti kritičnih infrastruktur in industrijskih okolij, zato je pomembno, da se izvajajo redno in sistematično.

Tečaj kibernetske varnosti v okoljih OT

Program 5-dnevnega tečaja je zasnovan na podlagi praktičnega in teoretičnega znanja predavateljev s priznanimi certifikati s področja ICS .

Pregledi IT-okolja

Pen Testi Lezeca

Varnostni penetracijski testi

Vsak IKT-sistem je varnostno ranljiv in ima vrzeli, ki jih lahko napadalec izkoristi, da pridobi dostop do sistema in prične izvajati škodljive aktivnosti. S penetracijskim testom simuliramo napad, poiščemo šibke točke in svetujemo, kako jih odstraniti.

Gre za eno naših temeljnih varnostnih storitev, pri kateri s pomočjo hekerskih orodij in tehnik poiščemo varnostne luknje v informacijski infrastrukturi. Vsi etični hekerji, ki izvajajo testiranja, so certificirani in imajo dokazljive izkušnje. V Telekomu Slovenije izpolnjujemo vse formalne zahteve, ki jih uporabniki pogosto zahtevajo v povezavi z izvedbo penetracijskega testa. Vsa varnostna poročila pišejo izključno naši svetovalci, in ne avtomatski varnostni skenerji.

Penetracijsko testiranje omrežne infrastrukture (LAN, WAN, WLAN) izvajamo v skladu z mednarodno priznanimi standardi izvedbe preizkušanja penetracije. Testi se lahko izvajajo z zunanjih (internet, WiFi itd.) in notranjih (LAN, VPN) omrežij.

Penetracijsko testiranje spletnih aplikacij izvajamo v skladu s splošno sprejeto metodologijo OWASP, vključno z OWASP Top 10 in OWASP ASVS (Application Security Verification Standard), to pa nato dopolnimo še z našimi izkušnjami. Ne omejujemo se samo na ranljive točke, ki so na seznamu OWASP, pač pa si prizadevamo najti tudi ranljive točke, ki so za podjetja specifične in ki lahko predstavljajo resnično grožnjo za poslovanje in jih avtomatizirani bralniki ranljivosti pogosto spregledajo.

Penetracijsko testiranje mobilnih aplikacij izvajamo za platformi iOS in Android. Naša metodologija je osnovana na OWASP Mobile, vključno z OWASP Mobile Top 10, in podprta z našimi izkušnjami pri prepoznavanju ranljivih točk v mobilnih aplikacijah.

Rezultate varnostnega testiranja strnemo v poročilu, ki vsebuje podrobnosti vseh izvedenih testov, definirane varnostne grožnje in priporočila.

Poročilo je sestavljeno iz dveh delov:

  1. vodstvenega povzetka (Executive Summary), ki podaja povzetek stanja varnosti informacijskega sistema in priporočila za izboljšanje stanja;
  2. podrobnega tehničnega poročila za tehnično osebje, ki vsebuje vse ugotovitve revizije, metode in opise testiranj, identificirane varnostne grožnje in priporočila z navodili za odpravo oz. zmanjšanje groženj.
Sistemski Varnostni Pregled Lezeca

Sistemski varnostni pregled informacijske infrastrukture

Varnostni pregled je postopek prepoznavanja ranljivosti v informacijski infrastrukturi in spada v kategorijo preventivnih varnostnih storitev, ki so namenjene varnemu delovanju ključnih poslovnih procesov, zaščiti intelektualne lastnine in preprečevanju odtekanja podatkov.

Z izvedbo predlaganih protiukrepov se varnostno tveganje bistveno zmanjša. Stranka ima tudi finančne koristi, saj se izogne:

  • izgubi zaradi nedelovanja storitve,
  • stroškom odprave škode,
  • izgubi ali kraji podatkov,
  • kršitvi zakonodaje,
  • izgubi ugleda pri strankah.

Zunanji varnostni pregled IT-infrastrukture:

Namen zunanjega pregleda je ugotoviti varnost infrastrukturnega dela informacijskega sistema, ki se povezuje v internetno omrežje, vključno z vpeljanimi varnostnimi mehanizmi.

Notranji varnostni pregled IT-infrastrukture:

Namen notranjega pregleda je ugotoviti varnost internega dela informacijskega sistema, vključno z vpeljanimi varnostnimi mehanizmi. Kot interni del se razume tudi omrežja na oddaljenih lokacijah.

Rezultate varnostnega pregleda strnemo v poročilu, ki vsebuje podrobnosti vseh izvedenih testov, odkrite varnostne grožnje in priporočila.

Sistemski Varnostni Pregledi
OT Security

Varnostni pregledi OT-okolja

Varnostni pregledi omrežja in naprav v okolju operativne tehnologije (OT) so ključni za zagotavljanje varnosti kritičnih infrastruktur, kot so proizvodne linije, transportni sistemi, energetska infrastruktura in druge pomembne industrijske naprave.

Varnostni pregled vključuje:

  • identifikacijo vseh naprav, ki so povezane v omrežje;

  • ocenjevanje varnostnih mehanizmov in sistemov (požarni zidovi, antivirusni programi, sistemi za oddaljen dostop itd.);

  • ocenjevanje povezljivosti in komunikacije med napravami in sistemom;

  • identifikacijo in ocenjevanje morebitnih varnostnih tveganj;

  • ocenjevanje procesov, ki se izvajajo v okviru OT-sistema, in identifikacijo kritičnih točk;

  • preverjanje, ali je omrežje pravilno konfigurirano in ustrezno zavarovano in ali je vzpostavljeno v skladu z referenčnimi modeli.

Varnostni pregledi potekajo, ko je proizvodnja zaustavljena, saj bi lahko motili procese in povzročili prekinitve. Obstajajo pa primeri, ko proizvodnih procesov ni mogoče ustaviti. V takšnem primeru izvedemo varnostni pregled s pomočjo analize OT-okolja.

Analiza OT-okolja

Analiza OT-okolja, ki jo v Telekomu Slovenije izvajamo v okviru varnostnih pregledov, je postopek, s katerim na neinvaziven način preverimo stanje naprav, ki so del procesnega okolja (RTU, PLC, HMI, SCADA ...). Pogosto se izvaja v okoljih industrijskih kontrolnih sistemov, kjer procesov ni mogoče zaustaviti, pa tudi v okoljih informacijske tehnologije.

Analiza OT-okolja običajno vključuje naslednje korake:

  • identifikacijo operativnih sistemov in sredstev,

  • identifikacijo ogroženih okolij,

  • identifikacijo tveganj,

  • oceno ranljivosti,

  • ocenjevanje posledic,

  • razvoj ukrepov za obvladovanje tveganj.

Analiza OT-okolja je specifična za vsako organizacijo, saj se razlikuje glede na industrijo, vrsto operativnih sistemov in druge dejavnike.

 

Sistem upravljanja varovanja informacij

Zaradi odvisnosti od informacijske tehnologije so družbe vse bolj občutljive na varnostne grožnjeInformacije, ki predstavljajo eno izmed najpomembnejših poslovnih sredstev, je zato treba ustrezno zaščititi. Upravljanje varovanja informacij je kontinuiran proces, ki ga je treba nenehno nadgrajevati in posodabljati ter pri tem izbirati primerne kontrole za upravljanje s tveganji in na ta način poskrbeti za ohranitev zaupnosti, celovitosti in razpoložljivosti informacij.

Pri sistemu upravljanja varovanja informacij so se uveljavili standardi družine ISO/IEC 27000, ki definirajo norme, katerih namen je zaščita družb pred krajo, zlorabo ali izgubo informacij.

V Telekomu Slovenije vam zato nudimo pomoč pri:

  • pregledu obstoječega sistema upravljanja varovanja informacij,
  • pregledu obstoječe informacijske podpore poslovnih procesov,
  • pregledu obstoječih kontrol zagotavljanja zaupnosti, celovitosti in razpoložljivosti informacij pri obdelavi v informacijsko-komunikacijskih sistemih,
  • analizi sistema varovanja informacij,
  • analizi tveganj (identifikacija, klasifikacija in ocena tveganj s področja informacijske varnosti),
  • pomoči pri določanju ukrepov glede na oceno tveganj,
  • izdelavi, prenovi, dopolnitvi ali racionalizaciji varnostnih politik, pravilnikov in navodil,
  • izobraževanju in ozaveščanju zaposlenih,
  • izdelavi načrta neprekinjenega poslovanja,
  • zagotavljanju in preverjanju skladnosti s standardi.

Storitve izvajajo naši certificirani presojevalci in menedžerji sistema upravljanja informacijske varnosti po standardu ISO/IEC 27001:2013.