Audyty bezpieczeństwa

2019-06-05

Bezpieczeństwa nie można kupić jako produktu. Utrzymanie bezpieczeństwa systemów IT i OT/SCADA oraz prawidłowego funkcjonowania zabezpieczeń wymaga zaprojektowania i wdrożenia odpowiednich środków ochrony, merytorycznego przygotowania personelu oraz bieżącego i okresowego audytowania stanu bezpieczeństwa. CLICO specjalizuje się w audytach bezpieczeństwa systemów IT oraz systemów sterowania automatyki przemysłowej OT/SCADA. Głównym celem usług audytowych jest dostarczenie rzetelnej oceny szczelności, niezawodności i wydajności systemów bezpieczeństwa oraz zgodności z wymaganiami prawa i regulacji branżowych.

 

20 lat doświadczenia i kompetencje

Pierwszy audyt bezpieczeństwa bankowego systemu IT został przeprowadzony przez CLICO w 1998 roku. Aktualnie usługi audytowe CLICO dostarczane są przez zespół składający się z certyfikowanych analityków bezpieczeństwa, pen-testerów i inżynierów zabezpieczeń z różnych technologii. Zatrudnieni na stałe w CLICO członkowie zespołu audytowego posiadają m.in. następujące certyfikaty: (ISC)2 CISSP & Instructor, EC Council CEH & Instructor i EC Council CCISO & Instructor.

 

Zakres podstawowych usług audytowych:

  1. Zewnętrzne i wewnętrzne testy penetracyjne infrastruktury oraz aplikacji sieciowych.
  2. Zewnętrzne i wewnętrzne testy penetracyjne i analiza bezpieczeństwa interakcyjnych aplikacji Web.
  3. Analiza bezpieczeństwa IT w obszarze utrzymania ciągłości działania ważnych procesów biznesowych organizacji.
  4. Analiza bezpieczeństwa OT/SCADA w obszarze utrzymania ciągłości działania ważnych procesów sieci przemysłowych.
  5. Analiza poprawności projektu i konfiguracji zabezpieczeń sieciowych (firewall, WAF, DLP, itp.) w zakresie zgodności z zasadami projektowania zabezpieczeń, normami bezpieczeństwa oraz dobrymi praktykami.
  6. Analiza konfiguracji wskazanych urządzeń i systemów IT zgodnie z „security checklist” (CIS, NSA, producenci systemów).
  7. Weryfikacja implementacji oraz jakości narzędzi zarządzania bezpieczeństwem systemu teleinformatycznego (SIEM, UEBA, NBA, itp.).
  8. Ocena stanu Security Awareness w organizacji (testy socjotechniczne pracowników, weryfikacja programu, itd.).
  9. Ocena przygotowania technicznych środków bezpieczeństwa organizacji do spełnienia wymagań RODO i ustawy o krajowym systemie cyberbezpieczeństwa.

 

Testy bezpieczeństwa prowadzone są zwykle w formie praktycznej ewaluacji, sprawdzającej czy stosowane zabezpieczenia adekwatnie reagują na ataki oraz czy systemy odporne są na rzeczywiste zagrożenia (np. próby penetracji, nieautoryzowany dostęp oraz włamania, ataki DoS, propagacja złośliwego kodu, nasłuchiwanie sieci, itp.). Aby zapewnić wiarygodność testów, są one przeprowadzane z użyciem rzeczywistych technik stosowanych przez cyberprzestępców. Testy bezpieczeństwa aplikacji Webowych prowadzone są zgodnie z metodami i narzędziami rekomendowanymi przez organizację Open Web Application Security Project (OWASP) oraz z wykorzystaniem metod i narzędzi opracowanych przez zespół CLICO (m.in. autorską metodyką testowania Web Services).

 

W celu uzyskania dalszych informacji na temat audytów bezpieczeństwa CLICO prosimy o kontakt z: audyt@clico.pl