Informatikai audit típusú szolgáltatásaink segítségével átfogó képet kaphat arról, hogy a vizsgálat tárgyát képező társaság informatikai rendszerei mennyire biztonságosak és megbízhatóak, továbbá megbizonyosodhat róla, hogy a társaság a különböző jogszabályokban és nemzetközi szabványokban lefektetett követelményeknek megfelelően működik-e.

Szakértőink az alábbi szolgáltatásokkal állnak az Ön rendelkezésére:

Egy általános vagy fókuszált IT-audit sztenderd eljárások, irányelvek és metodológiák (COBIT, ISO 27001) alapján végzett vizsgálat, amely magában foglalja az informatikai biztonság menedzselésének, szabályozásának és az informatikai környezet általános kontrolljainak vizsgálatát. Segítünk ügyfeleinknek azonosítani és értékelni az információbiztonsági kockázatokat, és kialakítani egy, a hazai jogszabályoknak és a nemzetközi szabványoknak egyaránt megfelelő kontrollkörnyezetet.

Napjainkban alapvető működési modell, hogy a támogató üzleti, rendszerüzemeltetési és adatfeldolgozási folyamatokat a társaságok kiszervezik. Az ISAE 3402 és az SSAE 16 olyan auditálási szabványok, amelyek formális jelentésben értékelik a szolgáltató (kiszervezett tevékenységet végző) szervezeteknél kialakított és bevezetett IT-kontrollokat, valamint ezek működési hatékonyságát. Az SSAE 16 az Amerikai Egyesült Államokban, míg az ISAE 3402 az egyéb országokban lépett a korábbi SAS 70 szabvány helyébe.

A biztonsági audit keretében áttekintjük az üzleti rendszerek biztonsági beállításait, feltárjuk az azokban lévő adatok biztonságát veszélyeztető kockázatokat és kontrollhiányosságokat, és szükség esetén javaslatot teszünk a megfelelő védelmi intézkedésekre. A funkcionális audit során megvizsgáljuk, hogy az informatikai rendszerek az előírt üzleti logika szerint működnek-e, és azonosítjuk azokat a területeket, amelyek nem felelnek meg a hatékonysági, valamint az üzleti követelményeknek.

Feltárjuk az üzleti rendszerekben lévő bonyolult jogosultsági struktúrákból és beállításokból fakadó problémákat, különösen a visszaélésekre lehetőséget adó szerepkör-összeférhetetlenségeket, amelyek komoly anyagi veszteséget is okozhatnak. A mai ERP-rendszerek komplex jogosultsági struktúrája már egyszerű módszerekkel nem elemezhető, ezért különböző elemző szoftvereket alkalmazunk vizsgálatunk során. Különösen kiemelkedő szakértelemmel és eszköztárral rendelkezünk SAP-jogosultságok elemzése terén.

A rendszerek közötti interfészek számos kockázatot hordoznak magukban. Az adatok elveszhetnek, módosulhatnak, vagy éppen duplikálódhatnak a rendszerek között, így jelentősen befolyásolhatják más rendszerek működéseit, akár a társaság főkönyvi eredményeit is. Vizsgálataink segítségével feltárjuk az interfészek esetleges hibás működését és biztonsági hiányosságait, majd javaslatot teszünk az elvégzendő javításokra.

A rendszerbevezetést megelőzően nyújtott szolgáltatásunk segíti a bevezetéssel kapcsolatos részfeladatok megtervezését és elvégzését, például a társaság igényeinek legmegfelelőbb rendszer és szállító kiválasztását. Biztosítjuk, hogy a társaság minden szükséges kontrollt megfelelően alakítson ki, és hatásosan működtessen. A rendszerbevezetést követő vizsgálatunk során ellenőrizzük az adatmigráció megfelelőségét, és biztosítjuk, hogy a már élesbe állított rendszer a megfogalmazott funkcionalitásnak megfelelően működjön, vagyis lefedje a specifikációt és a valós üzleti igényeket.

Tudta, hogy egy kiberbűnözők által végrehajtott informatikai támadás kezelése, az adatok helyreállítása akár több száz millió forint költséggel járhat? A nemrég elfogadott európai adatvédelmi rendelet miatt ráadásul az adatvédelmi bírságok ugrásszerű emelkedése is várható. Vállalatuk megfelelően felkészült a kiberbiztonsági kockázatok kezelésére?

Szolgáltatásunk keretében megvizsgáljuk, hogy társaságuk teljesíti-e a különböző nemzetközi szabványokban (pl.: ISO 27001, ISO 20000, ISO 22301, ISAE 3402, PCI DSS) lefektetett követelményeket. Vizsgálatunk eredményei alapján vállaljuk a felkészítést a tanúsító vagy megújító auditokra is, amelyek révén társasága növelheti az érdekelt felek bizalmát, valamint üzleti előnyre tehet szert a versenytársakkal szemben.

Az alkalmazottak félrevezethetősége az egyik legsúlyosabb nem technikai jellegű információbiztonsági kockázat a szervezetek életében. Előre egyeztetett módszertanra és szabályokra támaszkodva valós social engineering típusú támadásokat szimulálunk, és azok eredményei alapján akciótervet dolgozunk ki a hasonló esetek elkerülése érdekében. Vizsgálatunkhoz oktatás is kapcsolódhat, melynek eredményeként a munkatársak tisztább képet kapnak az őket fenyegető lehetséges támadási technikákról és a betartandó biztonsági előírásokról.

Kapcsolódó szolgáltatások

Miben tudjuk segíteni Önt?

Kapcsolat