Většina bezpečnostních incidentů vzniká uvnitř sítě. Únik dat může mít
významné finanční i reputační dopady. Zajistíme, že vaše IT infrastruktura bude stabilní,
bezpečná a připravená na budoucí výzvy.
Společnosti, kterým jsme úspěšně pomohli, nejčastěji řešily tyto otázky a výzvy:
Nedostatečná bezpečnostní
opatření / nastavení databází
Nedodržování regulačních požadavků,
resp. nesoulad se standardy
Absence systematického auditování
a analýzy rizik
Optimální nastavení databází,
obnova a zálohování dat
Jak umíme pomoci
Nástroje DiSec a DiMon
Při auditech systémů IT i aplikačních kontrol využíváme analytický nástroj DiSec, jehož výstup slouží
jako podklad jak pro interní audity, tak pro regulatorní kontroly (např. NIS2, GDPR) a pravidelné vyhodnocování bezpečnostní úrovně databází. Výstupy z nástroje mohou být užitečné
i při komunikaci s ČNB a NÚKIB.
Pro kontinuální sledování úrovně tohoto nastavení nasazujeme nástroj DiMon, který pomáhá
s dlouhodobým sledováním výkonu, dostupnosti a provozních parametrů databází.
Pravidelný reporting umožňuje včas odhalit problémy a optimalizovat provoz
Jak pracujeme
Spolupráce probíhá ve čtyřech fázích, které zajišťují efektivní a bezpečné vyhodnocení stavu databázového prostředí. Dle výsledků identifikujeme slabá místa a navrhneme konkrétní kroky ke zlepšení a splnění regulatorních požadavků.
- Fáze A – příprava skriptů pro analýzu nastavení databáze
- Fáze B – spuštění skriptu klientem a získání vstupních dat pro naši analýzu
- Fáze C – analýza výsledků v chráněném prostředí KPMG
- Fáze D – závěrečná zpráva s doporučeními
Na závěrečnou zprávu lze navázat i rozsáhlejším auditem/prověrkou prostředí IT se zaměřením na testování klíčových oblastí IT (přístupová práva, řízení změn, incident management, fyzická i cyber bezpečnost, řízení dat v rámci IT governance aj.).
Pokrýváme následující technologie:
Oracle Database (verze 11g – 19c)
více než 200 bezpečnostních kontrol dle CIS
Linux (Red Hat, Oracle Linux)
připravováno přes 650 kontrol pro verze 7 až 9
Microsoft SQL Server (verze 2008–2022)
téměř 50 kontrol dle CIS
Windows Server
součást CIS benchmarků, pokrytí bezpečnostních nastavení OS
Standardy a metodiky
CIS benchmark
doporučení pro bezpečnostní konfiguraci technologií (OS, databáze, servery)
ISO 27001, COBIT, ITIL
rámce pro řízení informační bezpečnosti
a IT procesů
NIS2, DORA, GDPR
legislativní požadavky v oblasti
kybernetické bezpečnosti a ochrany dat
Reference
Komplexní audit bezpečnostního nastavení dle CIS standardů
Klient si byl vědom rizik spojených s nedostatečným zabezpečením svých Oracle databází a chtěl jejich nastavení porovnat s existujícími benchmarky a standardy. Pomocí analytického nástroje DiSec jsme provedli komplexní audit bezpečnostního nastavení v souladu se standardy CIS. Díky detailní analýze jsme identifikovali největší slabiny a navrhli konkrétní opatření ke zvýšení bezpečnosti. Po implementaci doporučených řešení se klientovi podařilo výrazně zlepšit úroveň ochrany dat a snížit riziko potenciálních útoků.
Bezpečnostní nastavení databází Oracle a MS SQL
Klient chtěl pravidelně vyhodnocovat bezpečnostní úroveň svých databází Oracle i MS SQL pro interní účely i jako podklad pro regulatorní kontroly (např. NIS2 aj.). V reakci na opakující se bezpečnostní incidenty, které ohrožovaly citlivá data, jsme provedli audit procesů IT, nastavili databáze a zavedli účinné mechanismy pro detekci a reakci. Díky nástroji DiSec klient získal pravidelná a včasná upozornění na neobvyklé aktivity a nastavení v Oracle i MS SQL databázích.
Kontakty
