CISO kā pakalpojums | Uzņēmuma informācijas drošības līmeņa novērtēšana un uzlabošana
Primend galvenokārt koncentrējas uz IT infrastruktūras un mākoņpakalpojumu ieviešanu un pārvaldību. Papildus tam, klienti izmanto arī dažādas citas specializētas lietotnes, mājas lapas, e-komercijas platformas, sistēmu integrācijas, SaaS pakalpojumus, hibrīda mākoņrisinājumus un citus trešo pušu pakalpojumus. Uzņēmuma vispārējo IT drošību un ar to saistītos procesus parasti pārrauga galvenais informācijas drošības speciālists (CISO).
Maziem, vidējiem un pat dažiem lielajiem uzņēmumiem bieži vien šāds pilnas slodzes speciālists nav nepieciešams, jo:
- Ikdienas darba apjoms nav tik liels.
- Šāda eksperta nodarbināšana uz pilnu slodzi nav rentabla.
Tomēr nepieciešamība pēc ekspertu padoma informācijas drošības jautājumos nekur nepazūd. Uzņēmējdarbības ikdienas procesā ir aktuālas tādas tēmas kā:
- Nozīmīgāko risku identificēšana.
- Atbilstības nodrošināšana attiecīgajiem standartiem un likumiem.
- Uzņēmumam nepieciešamo informācijas drošības dokumentu izveides pārraudzība.
- Sadarbības partneru drošības stāvokļa novērtēšana.
- Stratēģiju ieviešana, lai aizsargātu uzņēmumu no dažādiem kiberdraudiem.
- Zināšanas, kā reaģēt drošības incidenta gadījumā.
Šeit talkā nāk Primend galvenais informācijas drošības speciālists (CISO-as-a-Service), lai palīdzētu uzņēmumam spert vajadzīgos soļus informācijas aizsardzības nodrošināšanā.
Primend informācijas drošības speciālists vai nu pilda šī amata lomu uzņēmumā kā ārējs eksperts vai arī konsultē par informācijas drošību atbildīgo uzņēmuma štata darbinieku, sniedzot nepieciešamās zināšanas un pieredzi.
Pirmais uzdevums ir pārbaudīt, cik attīstīta ir esošā uzņēmuma informācijas drošība. Papildus Primend pakalpojumiem klienti izmanto arī dažādas trešo pušu sistēmas un lietotnes. Tādēļ, lai pilnvērtīgi parūpētos par informācijas drošību, ir ļoti būtiski iegūt visaptverošu izpratni par dažādām informācijas sistēmām un lietojumprogrammām, kā arī nozīmīgajām lomām, procesiem un citām izmantotajām tehnoloģijām, balstoties uz uzņēmuma biznesa stratēģiju no informācijas drošības viedokļa.
Drošības attīstības līmeņa novērtējums nav tiešs audits, bet gan drīzāk informācijas apkopošana, lai saprastu nākamos veicamos soļus un prioritātes, ar mērķi nodrošināt uzņēmumam maksimālus ieguvumus.
Daži no šajā posmā iekļautajiem uzdevumiem:
- Sarunas ar uzņēmuma vadību un procesā iesaistītajiem darbiniekiem.
- Sarunas ar nozīmīgiem partneriem, IT arhitektūras analīze un integrācija.
- Datortīklu topoloģijas analīze – novērtējot, vai tīkli ir atbilstoši aizsargāti, segmentēti utt.
- IT infrastruktūras vispārīga analīze.
- Datu atjaunošanas plānu un satura dublēšanas politikas analīze, kā arī biznesa risku novērtēšana, balstoties uz RPO (cik daudz datu uzņēmums ir gatavs zaudēt, pirms datu atjaunošanas sistēmas iedarbināšanas) un RTO (cik steidzami pēc problēmsituācijas nepieciešams atgriezties ierastā ikdienas darbībā).
- Lietojumprogrammu analīze (iekšējās izstrādes, mājas lapas, e-komercijas platformas, SaaS pakalpojumi).
- Kopsavilkuma ziņojuma sastādīšana un attīstības priekšlikumu izstrāde.
Laiks, kas nepieciešams, lai novērtētu uzņēmuma drošības attīstības pakāpi, parasti ilgst 1 līdz 3 mēnešus. Tas atkarīgs no uzņēmuma lieluma un sarežģītības. Procesu lielā mērā ietekmē uzņēmuma un drošības ekspertu sadarbības kvalitāte. Ir svarīgi atvēlēt nepieciešamo laiku un resursus sarunām un vajadzīgās dokumentācijas nodrošināšanai, kā arī būt atvērtiem komunikācijā par esošās situācijas stiprajām pusēm un aspektiem, kuros nepieciešami uzlabojumi.
Kad uzņēmuma informācijas drošības līmeņa novērtējums ir veikts un noprezentēts uzņēmuma vadības komandai, nākamais solis ir kopīgiem spēkiem noteikt steidzamās prioritātes un nākotnē veicamos uzdevumus.
Potenciālie nākamie veicamie soļi:
- Informācijas drošības stratēģiju, mērķu un metrikas noteikšana, pamatojoties uz uzņēmuma biznesa stratēģiju.
- Informācijas drošības risku analīzes veikšana.
- Nepieciešamo informācijas drošības risinājumu plānošana, ieviešana un pārvaldība.
- Informācijas drošības politiku, noteikumu un vadlīniju izstrāde un uzturēšana.
- Nepārtrauktas informācijas drošības uzlabošanas plāna izstrāde un īstenošana.
- Uzņēmuma darbinieku izpratnes veidošana par informācijas drošību, kā arī apmācību nodrošināšana.
Fināla versija veicamo uzdevumu sarakstam vienmēr ir atkarīga no specifiskajām uzņēmuma vēlmēm un vajadzībām, un vienošanās par to notiek pakalpojuma pasūtīšanas procesā. Galvenā informācijas drošības speciālista pakalpojumus var iegādāties gan uz konkrēta projekta termiņu, gan kā ikmēneša pakalpojumu.