Information Security

Είναι το NIS2 κάτι περισσότερο από μια λέξη-κλειδί; Το εργαστήριό μας για το NIS2 είναι το κλειδί για την ενίσχυση της ασφάλειας της πληροφορικής σας. Στο διαδραστικό εργαστήριό μας, όχι μόνο ρίχνουμε φως στις τελευταίες απειλές στον ψηφιακό κόσμο, αλλά και σας παρουσιάζουμε όλες τις απαιτήσεις και τις προϋποθέσεις που σχετίζονται με το NIS2, καθώς και αποδεδειγμένες στρατηγικές για ένα ασφαλές δίκτυο ασφαλείας. Μαζί με τους ειδικούς μας, δεν θα αποκτήσετε μόνο θεωρητικές γνώσεις, αλλά και θα διευκρινίσετε όλες τις ερωτήσεις σε μια προσωπική και ατομική ανταλλαγή απόψεων. Η ασφάλεια της πληροφορικής ξεκινά από εδώ - γίνετε μέρος της!

Στόχοι:

1. Αύξηση της κατανόησης της NIS2 και των σημερινών απειλών για την ασφάλεια των συστημάτων πληροφοριών
2. Κοινοποίηση βέλτιστων πρακτικών για τον εντοπισμό, την πρόληψη και την αντιμετώπιση παραβιάσεων ασφαλείας
3. Κοινή ανάπτυξη μιας ολιστικής στρατηγικής ασφάλειας

Σε έναν εντατικό προσωπικό διάλογο, εξετάζονται όλες οι απαιτήσεις και τα προαπαιτούμενα και αυξάνεται η ευαισθητοποίησή σας σχετικά με τις απειλές στον ψηφιακό κόσμο.

Μια σημαντική απαίτηση της NIS2 είναι η νομική και κανονιστική εισαγωγή της διαχείρισης κινδύνων. Μαζί σας, αναλύουμε ποια μέτρα διαχείρισης κινδύνου εφαρμόζονται ήδη και πώς αυτά μπορούν να χρησιμοποιηθούν για να συνδυαστεί η διαχείριση κινδύνου με την ασφάλεια πληροφοριών. Εάν δεν έχουν ακόμη εφαρμοστεί τέτοια μέτρα, συνεργαζόμαστε μαζί σας για να αξιολογήσουμε τις επιλογές και να σας υποστηρίξουμε στην εφαρμογή των απαιτήσεων της NIS2. Η διαχείριση κινδύνων είναι ένα σημαντικό βασικό στοιχείο μιας στρατηγικής με προσανατολισμό προς το μέλλον.

Στόχοι:

1. Παροχή ορθής κατανόησης της διαχείρισης κινδύνων σε σχέση με τη NIS2
2. Εντοπισμός, αξιολόγηση και έλεγχος των υφιστάμενων μέτρων διαχείρισης κινδύνων
3. Προληπτική αποφυγή και διαχείριση κινδύνων ή εφαρμογή συστήματος διαχείρισης κινδύνων

Σε έναν ολοένα και περισσότερο συνδεδεμένο και ψηφιοποιημένο κόσμο, η ασφάλεια των ευαίσθητων δεδομένων είναι υψίστης σημασίας. Το εργαστήριό μας προσφέρει μια εις βάθος διερεύνηση της σημασίας του ISMS και του κρίσιμου ρόλου του στο σημερινό επιχειρηματικό τοπίο.

Στο εργαστήριο, θα αναδείξουμε όχι μόνο τα βασικά στοιχεία του ISMS, αλλά και τις πολλές πτυχές που το καθιστούν απαραίτητο στοιχείο για την επιτυχία και την ακεραιότητα των οργανισμών. Από την προστασία από απειλές στον κυβερνοχώρο έως την προώθηση της καινοτομίας, θα καλύψουμε το εύρος του τι συνεπάγεται ένα αποτελεσματικό ISMS. Αυτό το εργαστήριο δεν είναι μόνο μια ευκαιρία να κατανοήσετε τη σημασία του ISMS, αλλά και μια πλατφόρμα για να αναπτύξετε συγκεκριμένες στρατηγικές για την εφαρμογή και τη βελτιστοποίηση στον οργανισμό σας. Δεν θα εξετάσουμε μόνο τις τρέχουσες απειλές, αλλά θα δούμε και το μέλλον, ώστε να διασφαλίσουμε ότι ο οργανισμός σας είναι έτοιμος για τους διαρκώς μεταβαλλόμενους κινδύνους.

Όσον αφορά την τεχνολογία, η NIS2 επικεντρώνεται στην ανάπτυξη ενιαίων προτύπων ασφαλείας και πιστοποιήσεων. Όσον αφορά την οργάνωση, η NIS2 βασίζεται στη διαχείριση κινδύνων και στα σχέδια έκτακτης ανάγκης, ώστε να είναι σε θέση να αντιδράσει γρήγορα και αποτελεσματικά σε περιστατικά ασφαλείας.

Στο εργαστήριό μας, συζητάμε και καθορίζουμε τα απαραίτητα τεχνικά και οργανωτικά μέτρα για όλες τις διαδικασίες και δομές για την ικανοποίηση των απαιτήσεων (σύμφωνα με τις προηγούμενες δημοσιεύσεις για τη NIS2). Αναλύουμε τα διαβαθμισμένα δεδομένα και πληροφορίες και αντλούμε από αυτά τα κατάλληλα μέτρα. Είμαστε στην ευχάριστη θέση να σας υποστηρίξουμε στην εφαρμογή!

Στόχοι:

1. Συζήτηση για τη συνέργεια μεταξύ τεχνολογίας και οργάνωσης
2. Προσδιορισµός των κατάλληλων µέτρων

Ακόμα και πριν την ψηφιοποίηση, οι πληροφορίες ήταν και συνεχίζουν να είναι ένα από τα πιο πολύτιμα περιουσιακά στοιχεία μιας εταιρείας και ως τέτοιο απαιτούν εκτεταμένη προστασία. Εμπορικά μυστικά, διαδικασίες παραγωγής, στοιχεία πελατών - η προστασία αυτών των δεδομένων από κακή χρήση, απώλεια ή υποκλοπή είναι απολύτως απαραίτητη. Η ασφάλεια πληροφοριών περιλαμβάνει τόσο ψηφιακά όσο και αναλογικά δεδομένα. Μια βιώσιμη στρατηγική διασφαλίζει ότι επιτυγχάνονται ή διατηρούνται οι στόχοι προστασίας της ασφάλειας των πληροφοριών.

• Ακεραιότητα συστημάτων, δεδομένων και απαραίτητων αλλαγών
• Απόρρητο δεδομένων
• Διαθεσιμότητα συστημάτων και δεδομένων 
• Αυθεντικότητα πληροφοριών και πηγών
• Δεσμευτική εφαρμογή διαδικασιών, ενεργειών, στοιχείων συστήματος
• Ανθεκτικότητα των συστημάτων πληροφορικής

Η υπηρεσία
Για να επιτευχθεί ένα επίπεδο ασφάλειας που να καλύπτει τις ανάγκες όλων των επιχειρηματικών διαδικασιών, πληροφοριών και συστημάτων πληροφορικής ενός οργανισμού, απαιτούνται περισσότερα από την απλή αγορά προϊόντων προστασίας από ιούς, τειχών προστασίας ή δημιουργίας αντιγράφων ασφαλείας δεδομένων. Σημασία έχει μια ολιστική προσέγγιση. Πάνω απ' όλα, αυτή περιλαμβάνει ένα λειτουργικό σύστημα διαχείρισης ασφάλειας ενταγμένο στις δομές του οργανισμού. Η διαχείριση της ασφάλειας πληροφοριών είναι εκείνο το μέρος της γενικής διαχείρισης κινδύνου που στοχεύει στη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας πληροφοριών, επιχειρηματικών διεργασιών, εφαρμογών και πληροφορικών συστημάτων. Πρόκειται για μια συνεχή διαδικασία, οι στρατηγικές και οι έννοιες της οποίας ελέγχονται διαρκώς ως προς την απόδοση και την αποτελεσματικότητά τους και αναθεωρούνται εφόσον χρειάζεται. Η ασφάλεια των πληροφοριών δεν είναι μόνο ζήτημα τεχνολογίας, αλλά εξαρτάται επίσης σε μεγάλο βαθμό από το οργανωτικό και προσωπικό πλαίσιο.

Όλο και περισσότερες επιχειρηματικές διεργασίες συνδέονται μέσω της τεχνολογίας πληροφοριών και επικοινωνιών. Αυτό συμβαδίζει με την αυξανόμενη πολυπλοκότητα των τεχνικών συστημάτων και τον υψηλό βαθμό εξάρτησης από τη σωστή λειτουργία της τεχνολογίας. Ως εκ τούτου, είναι απαραίτητη μια προγραμματισμένη και οργανωμένη προσέγγιση από όλα τα εμπλεκόμενα μέρη για την επιβολή και τη διατήρηση κατάλληλου και επαρκούς επιπέδου ασφάλειας. Η εδραίωση αυτής της διαδικασίας σε όλους τους τομείς μιας επιχείρησης μπορεί να διασφαλιστεί μόνο εφόσον υποστηριχτεί με συνέπεια από την ανώτατη διοίκηση. Η τελευταία ευθύνεται για τη στοχευμένη και εύρυθμη λειτουργία ενός οργανισμού, συνεπώς και για τη διασφάλιση της ασφάλειας των πληροφοριών εσωτερικά και εξωτερικά. Οφείλει επομένως να δρομολογήσει, να ελέγχει και να παρακολουθεί τη διαδικασία υλοποίησης ενός συστήματος ασφάλειας. Αυτό περιλαμβάνει στρατηγικές βασικές κατευθύνσεις για την ασφάλεια των πληροφοριών, εννοιολογικές προδιαγραφές και συνθήκες οργανωτικού πλαισίου, καθώς και επαρκείς πόρους για την επίτευξη της ασφάλειας πληροφοριών σε όλες τις επιχειρηματικές διεργασίες.
(Πηγή: BSI Bund 200-2 Grundschutz Standard)

Τι κάνει η DTS
Προκειμένου οι πιο σημαντικές επιχειρηματικές διεργασίες μιας εταιρείας να λειτουργούν απρόσκοπτα μακροπρόθεσμα, απαιτείται μια στρατηγική ασφάλειας η οποία να υλοποιείται συνειδητά καλύπτοντας όλους τους τομείς μιας εταιρείας ή μιας δημόσιας υπηρεσίας. Η ενσωμάτωση ενός ISMS μπορεί να αποδειχθεί αρκετά περίπλοκη στην πράξη. Είναι σημαντικό το κόνσεπτ της ασφάλειας να ενσωματωθεί στις υπάρχουσες οργανωτικές δομές και λειτουργικές διαδικασίες και να μην υπάρξει ριζική αλλαγή των επιχειρηματικών διαδικασιών ενός οργανισμού. Αυτό εγείρει τις ακόλουθες προκλήσεις που πρέπει να ληφθούν υπόψη:

• Δομή και ορισμός των περιοχών ευθύνης ενός ISMS
• Καθορισμός του πεδίου εφαρμογής
• Καθιέρωση της απαραίτητης οργάνωσης και διαδικασίας ασφάλειας
• Χάραξη κατάλληλης στρατηγικής ασφάλειας και θέσπιση στόχων ασφάλειας
• Ένταξη της στρατηγικής ασφάλειας πληροφοριών στην υπάρχουσα εταιρική στρατηγική
• Επιλογή κατάλληλων μέτρων ασφαλείας
• Διατήρηση και συνεχής βελτίωση του επιπέδου ασφάλειας μόλις επιτευχθεί
• Σαφής οριοθέτηση από την προστασία δεδομένων και την ασφάλεια πληροφορικής
• Δημιουργία κατάλληλου οργανισμού ασφαλείας

Σας υποστηρίζουμε σε όλη τη διαδικασίας κατάρτισης του κόνσεπτ και υλοποίησης ενός ISMS κατά το πρότυπο ISO 27001 ή παρόμοια πρότυπα. Ο κύκλος PDCA χρησιμοποιείται ως βάση για την εφαρμογή ενός ISMS. Η εισαγωγή ενός ISMS χωρίζεται στη φάση σχεδιασμού, τη φάση υλοποίησης, τη φάση ελέγχου και αναθεώρησης και στη φάση βελτίωσης με αντίστοιχο επανασχεδιασμό. Σε όλο το έργο τη διαχείριση του έργου έχει ο κ. Sven Meier, εκπαιδευμένος και πιστοποιημένος υπεύθυνος ασφαλείας πληροφορικής από το 2012 (ISO, BSI basic προστασία, TISAX κ.λπ.). Είναι υπεύθυνος για το έργο και τους χρησιμοποιούμενους πόρους. Κατά τη φάση του έργου, ορίζονται αντίστοιχα βασικά στοιχεία που μπορούν να μετρήσουν και να αξιολογήσουν την αποτελεσματικότητα ενός ISMS.

Σας προετοιμάζουμε για όλες τις σημαντικές πιστοποιήσεις ασφάλειας πληροφοριών, σας συμβουλεύουμε για όλες τις απαραίτητες πτυχές και αναπτύσσουμε κόνσεπτ και στρατηγικές από κοινού.

• ISO 27001 & 27002 Consulting
• ISO 27019 & IT SiKat Consulting
• TISAX® Consulting
• BSI Grundschutz
• KRITIS Consulting
• EU GDPR Consulting / ISO 27018

Η υπηρεσία

ISO 27001 & 27002 Consulting
Διάφοροι νόμοι καθιστούν υποχρεωτική μία θεώρηση της τεχνολογίας των πληροφοριών κατά τρόπο καταλογιζόμενο και ολιστικό και προβλέπουν την νομικά δεσμευτική τεκμηρίωση για τη λήψη προστατευτικών μέτρων. Επιπλέον, η ασφάλεια των πληροφοριών είναι ένας διαρκώς αυξανόμενος παράγοντας που συμβάλει στην επιτυχία επιχειρήσεων και θεσμών και στη διασφάλιση της εμπιστοσύνης. Το διεθνές πρότυπο ISO/IEC 27001 συνιστά ένα από τα πιο γνωστά και πιο αναγνωρισμένα πλαίσια στο διεθνές περιβάλλον όσον αφορά την αποτύπωση ενός αξιόπιστου συστήματος διαχείρισης ασφάλειας πληροφοριών.

Κάθε υλοποίηση του προτύπου ISO/IEC 27001 βασίζεται στην ανάλυση του εύρους εφαρμογής (Scoping) που είναι προσανατολισμένη προς την επιχειρηματική στρατηγική ενός οργανισμού. Το μυστικό της επιτυχίας είναι να συνδυάζονται με ιδανικό τρόπο τόσο οι οικονομικές όσο και οι λειτουργικές πτυχές του εγχειρήματος. Στο πλαίσιο μιας ανάλυσης GAP, ορίζουμε τα απαραίτητα μέτρα για την ικανοποίηση των απαιτήσεων.

Στο έργο προσδιορίζουμε σε πρώιμο στάδιο ποια μέτρα πρέπει να εφαρμοστούν άμεσα και πού αρκεί μια μεταγενέστερη εφαρμογή. Τα αποτελέσματά μας σας υποδεικνύουν συγκεκριμένες δυνατότητες βελτίωσης. Στη βάση μιας αξιόπιστης μελέτης έργου, στην οποία αποτυπώνονται όλες οι δαπάνες και οι χρονικές απαιτήσεις, μπορείτε να αποφασίσετε μόνοι σας για τα σημεία στα οποία θα χρειαστείτε την υποστήριξή μας.

(Πηγή: www.hisolutions.com/security-consulting/informationssicherheit/iso-27001)

• Διεθνώς διαπιστευμένη απόδειξη της αποτελεσματικότητας του συστήματος ασφάλειας
• Μεγαλύτερη νομική ασφάλεια σε κρίσιμα για την ασφάλεια θέματα
• Συστηματική υλοποίηση των στόχων προστασίας της ασφάλειας πληροφοριών
• Διατήρηση και συνεχής αύξηση του επιπέδου ασφάλειας
• Ενοποίηση κατάλληλων μέτρων άμυνας έναντι κάθε είδους απειλών
• Ενίσχυση της ευαισθητοποίησης των εργαζομένων για θέματα ασφάλειας
• Οικοδόμηση εμπιστοσύνης σχετικά με τη συνεργασία με εξωτερικούς οργανισμούς

TISAX® Consulting
Διαδικασία πιστοποίησης TISAX:

• Ορισμός πεδίου εφαρμογής και επιπέδου αξιολόγησης
• Έναρξη, έλεγχος εγγράφων και αυτοαξιολόγηση
• Επιτόπια αξιολόγηση ή απομακρυσμένη αξιολόγηση με ενδιάμεση έκθεση
• Σχεδιασμός, έγκριση, εφαρμογή και μετέπειτα αξιολόγηση διορθωτικών μέτρων
• Επιθεώρηση για έλεγχο αποτελεσματικότητας
• Ανάρτηση της τελικής έκθεσης στην ηλεκτρονική πλατφόρμα TISAX® και έκδοση των ετικετών δοκιμής

Οφέλη για μια εταιρεία:

• Εξασφάλιση εμπιστοσύνης όλων των ενδιαφερομένων
• Ικανοποίηση αναγκών και απαιτήσεων προμηθευτών και πελατών
• Εκπλήρωση των υψηλών απαιτήσεων ασφάλειας στην αυτοκινητοβιομηχανία
• Διεθνής αναγνώριση του επιπέδου ασφάλειας από την αυτοκινητοβιομηχανία
• Αποφυγή πολλαπλών πιστοποιήσεων και αξιολογήσεων
• Εξοικονόμηση χρόνου και κόστους χάρη στην υψηλότερη απόδοση
• Αυξημένη διαφάνεια σε ολόκληρη την αλυσίδα εφοδιασμού
• Έδραση της ασφάλειας πληροφοριών στην επιχείρηση
• Συνεχής διατήρηση του επιπέδου ασφάλειας των πληροφοριών μόλις επιτευχθεί
• Ανταγωνιστικό πλεονέκτημα μέσω της διαφοροποίησης από τους ανταγωνιστές της αγοράς

Βασική προστασία BSI κατά το πρότυπο ISO27001 Consulting
Η μεθοδολογία της επιτομής IT-Grundschutz ορίζεται στο Πρότυπο BSI 200-2 και περιλαμβάνει μια πρακτική περιγραφή της δομής και της λειτουργίας ενός ISMS. Τα πιο σημαντικά θέματα στο πλαίσιο αυτό είναι:

• Καθήκοντα του ISMS
• Ανάπτυξη οργανωτικής δομής για IS
• Επιλογή των απαιτήσεων ασφαλείας & υλοποίηση κόνσεπτ ασφάλειας
• Συνεχής βελτίωση και συντήρηση του IS
• Επιλογή της διαδικασίας ή του επιπέδου προστασίας με βάση την αρχική καταγραφή, έτσι ώστε η βασική ασφάλεια IT να μπορεί να προσαρμοστεί στις απαιτήσεις οργανισμών διαφορετικών μεγεθών, βιομηχανιών και λειτουργιών ανάλογα με τις ανάγκες προστασίας.
• Στόχος: Οικονομικά αποδοτικό και στοχευμένο ISMS, μείωση φόρτου 
  • Basic
    • Έναρξη της διαδικασίας ασφαλείας
    • Έναρξη ενός ISMS
    • Η ταχύτερη δυνατή μείωση των κινδύνων
    • Επακόλουθη λεπτομερής ανάλυση των πραγματικών απαιτήσεων ασφαλείας
  • Standard
    • Ολοκληρωμένη και σε βάθος μεθοδολογία
    • Προτιμώμενη από το BSI διαδικασία
    • Συμβατό με το ISO 27001
  • Core
    • Προστασία σε βάθος ιδιαίτερα σημαντικών επιχειρηματικών διαδικασιών και στοιχείων
    • Δυνατότητα επίσης ως εισαγωγή στη διαδικασία ασφάλειας για την ασφάλεια ιδιαίτερα απειλούμενων επιχειρηματικών τομέων

KRITIS Consulting
Ο νόμος για την ασφάλεια πληροφορικής που ψηφίστηκε το 2021 ενισχύει πρωτίστως τον ρόλο του BSI ως κεντρικής αρχής για την ασφάλεια των πληροφοριών και την ψηφιοποίηση. Ως αρχή αρμόδια για την ασφάλεια στον κυβερνοχώρο στη Γερμανία, διαθέτει, μεταξύ άλλων, διευρυμένες εξουσίες και αρμοδιότητες για τον εντοπισμό κενών ασφαλείας ή την απαγόρευση της χρήσης κρίσιμων στοιχείων σε κρίσιμους για την ασφάλεια τομείς. Κεντρικό στοιχείο του αναθεωρημένου νόμου είναι η αλλαγή σχετικά με την ασφάλεια των υπεύθυνων εκμετάλλευσης υποδομών ζωτικής σημασίας και των συστημάτων τους. Ο κανονισμός KRITIS διευρύνθηκε σημαντικά με τον νόμο IT-Sicherheitsgesetz 2.0. Στο νέο πλαίσιο, έχουν τεθεί σε ισχύ οι ακόλουθες αλλαγές:

• Η ανίχνευση επιθέσεων είναι υποχρεωτική για τους υπεύθυνους εκμετάλλευσης υποδομών ζωτικής σημασίας. Στην πράξη, μπορεί κανείς να ανταποκριθεί σε αυτή η απαίτηση μέσω ενός SIEM και ενός SOC.
• Σε περίπτωση διακοπής, οι υπεύθυνοι εκμετάλλευσης συστημάτων που υπάγονται στα πλαίσια KRITIS και η UNBÖFI υποχρεούνται να παρέχουν στο BSI όλα τα απαραίτητα δεδομένα για την αντιμετώπιση της διακοπής, κατόπιν σχετικού αιτήματος.
• Το Υπουργείο Εσωτερικών πρέπει να ενημερωθεί για τη χρήση κρίσιμων στοιχείων από τους υπαγόμενους στο πλαίσιο KRITIS υπεύθυνους εκμετάλλευσης σε ορισμένους τομείς. Κρίσιμα στοιχεία είναι προϊόντα πληροφορικής στα συστήματα KRITIS, από τη λειτουργικότητα των οποίων εξαρτάται σε μεγάλο βαθμό η λειτουργία του συστήματος και η αστοχία ενός τέτοιου στοιχείου θα είχε σημαντικό αντίκτυπο στη λειτουργία του συστήματος.
• Αμέσως μετά την ταυτοποίηση τους ως υπεύθυνοι εκμετάλλευσης συστημάτων KRITIS, πρέπει να εγγραφούν στο BSI και να ορίσουν έναν υπεύθυνο επικοινωνίας.
• Η διεύρυνση του πεδίου εφαρμογής των τομέων KRITIS έχει συμπεριλάβει τον τομέα των διαχείρισης αστικών απορριμμάτων και τα όρια ένταξης στους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας έχουν μειωθεί σημαντικά ενώ έχουν προστεθεί νέες εγκαταστάσεις που υπάγονται στο πλαίσιο KRITIS.

Η υψηλής ακρίβειας προσαρμογή της εφαρμογής ISMS KRITIS πραγματοποιείται μαζί με εσάς ή για εσάς μέσα από τα ακόλουθα στάδια:

• Στάδιο 1: Workshop/coaching για τον καθορισμό των βασικών δομών
• Στάδιο 2: Ανάπτυξη και ενοποίηση συστήματος διαχείρισης ασφάλειας πληροφοριών
• Στάδιο 3: Υλοποίηση των καθορισμένων μέτρων ασφάλειας πληροφοριών στις τοποθεσίες
• Στάδιο 4: Υποστήριξη της επιθεώρησης προς εξακρίβωση σύμφωνα με το §8α του κανονισμού KRITIS

EU-GDPR Consulting / ISO 27018 ως διεθνώς πιστοποιημένο πρότυπο cloud
Το πρότυπο ορίζει τις απαιτήσεις προστασίας δεδομένων για παρόχους υπηρεσιών υπολογιστικού νέφους (cloud), οι οποίες άπτονται της επεξεργασίας προσωπικών δεδομένων. Η πιστοποίηση ISO 27018 είναι ένα αποφασιστικό κριτήριο για πολλούς όταν επιλέγουν έναν πάροχο υπηρεσιών cloud. Τα πλεονεκτήματα αυτής της πιστοποίησης είναι επομένως:

• Ανταγωνιστικό πλεονέκτημα μέσω της διαφοροποίησης από τους ανταγωνιστές της αγοράς
• Ενίσχυση της εμπιστοσύνης των πιθανών πελατών στην εταιρεία σας
• Υψηλό επίπεδο συμμόρφωσης με τον ΓΚΠΔ και την Οδηγία της ΕΕ για την προστασία δεδομένων

Πόσο δρόμο έχει διανύσει η εταιρεία σας στη διαδικασία πιστοποίησης ασφάλειας πληροφοριών; Ανεξάρτητα από το εάν πρόκειται για κάποιο από τα πρότυπα ISO 27001, βασική προστασία BSI, TISAX® ή άλλες προδιαγραφές για την ασφάλεια πληροφοριών - προκειμένου να ελέγξουμε τη συμμόρφωση του συστήματος διαχείρισης ασφάλειας πληροφοριών ή τμημάτων του με τις απαιτήσεις του προτύπου, διενεργούμε ελέγχους συστήματος με βάση τις καθορισμένες από εσάς απαιτήσεις. Για τον σκοπό αυτό, εξετάζουμε και αξιολογούμε την τεκμηρίωση, αλλά πραγματοποιούμε επίσης κατάλληλες επιτόπιες αξιολογήσεις των χώρων.

• Systemaudits
• First Audits
• Internal Audits
• ISO 27001, βασική προστασία BSI, TISAX® κ.λπ.

Η υπηρεσία

Το μοντέλο διαδικασίας αποτελείται από τα ακόλουθα στάδια:

Στάδιο 1:

• Έναρξη προετοιμασίας
• Καθορισμός των απαραίτητων προσώπων επικοινωνίας
• Συντονισμός ραντεβού συνεντεύξεων
• Επανεξέταση της τεκμηρίωσης του πελάτη με στόχο την κατανόηση των κανονισμών

Στάδιο 2:

• Διενέργεια της επιθεώρησης συστήματος επιτόπου στον πελάτη
• Έλεγχος των διαδικασιών στην πράξη
• Έλεγχος της τεκμηρίωσης προδιαγραφών και επαλήθευσης
• Έλεγχος των φυσικών και χωρικών συνθηκών επί τόπου στον πελάτη, συμπεριλαμβανομένων των κτιρίων και των υποδομών
• Προσδιορισμός των GAP (κενών στα μέτρα)

Στάδιο 3:

• Δημιουργία λεπτομερούς έκθεσης ελέγχου με συστάσεις για δράση (στόχοι του μέτρου αναφοράς)
• Συζήτηση και παρουσίαση των αποτελεσμάτων, κατόπιν σχετικής επιθυμίας, και ενώπιον της διοίκησης

Στάδιο 4:

• Ανάπτυξη σχεδίου δράσης με βάση τα ευρήματα
• Κατάρτιση προγραμματισμού έργου για την υλοποίηση των ανεκπλήρωτων μέτρων αναφοράς
• Υποστήριξη στη διεκπεραίωση των μέτρων μέχρι την επιτυχή ολοκλήρωσή τους
• Δοκιμή αποτελεσματικότητας

Η προσέγγισή μας περιλαμβάνει μεθόδους και μέτρα για την ενσωμάτωση ενός συστήματος διαχείρισης εκτάκτων αναγκών στον οργανισμό ή τον θεσμό του Media Group Upper Franconia. Οι παρεχόμενες υπηρεσίες βασίζονται στο ισχύον πρότυπο 200-4 του BSI. Ωστόσο, οι επιμέρους δραστηριότητες μπορούν επίσης να οριστούν και σύμφωνα με άλλα πρότυπα.

• Ολιστική αντίληψη διαχείρισης εκτάκτων αναγκών
• Καταγραφή απαιτήσεων, προκαταρκτική ανάλυση & σύγκριση προβλεπόμενων/πραγματικών συνθηκών
• Χάραξη γραμμής με ορισμό όλων των κύριων διαδικασιών
• Ανάπτυξη συγκεκριμένων σχεδίων έκτακτης ανάγκης
• Αναθεώρηση, αξιολόγηση & βελτιστοποίηση σχεδίων αντιμετώπισης εκτάκτων αναγκών

Η υπηρεσία

Οι παρεχόμενες υπηρεσίες περιλαμβάνουν:

• Στάδιο 1: Initialization & Pre-Analysis & BIA – Kickoff Conception Workshop
  • Καταγραφή απαιτήσεων των κινήτρων του BCM
  • Καταγραφή απαιτήσεων της περιόδου του BCM που πρέπει να εξασφαλιστεί
  • Καταγραφή απαιτήσεων για τον προσδιορισμό του βαθμού κρισιμότητας/MTPD/RTO/RPO
  • Καταγραφή απαιτήσεων των διαθέσιμων πόρων
  • Καταγραφή απαιτήσεων των συστημάτων
  • Καταγραφή απαιτήσεων των χρησιμοποιούμενων κρίσιμων συστημάτων
  • Καταγραφή απαιτήσεων της αρχιτεκτονικής επικοινωνίας
  • Δυνατότητες δόμησης και κατασκευής αντιδραστικής τεκμηρίωσης έκτακτης ανάγκης
  • Υιοθέτηση των αποτελεσμάτων από τη διαχείριση κινδύνων και τους ορισμούς κινδύνου
  • Καθορισμός των στόχων και του πεδίου εφαρμογής του περιεχομένου
  • Ανασκόπηση των τρεχουσών πηγών πληροφοριών και τεκμηρίωσης
  • Οριοθέτηση/επέκταση σε εγχειρίδια και οδηγίες λειτουργίας
  • Καταγραφή της οργανωτικής δομής εσωτερικά και εξωτερικά
  • Προκαταρκτική ανάλυση των ΒΙΑ
  • Ανάλυση Επιχειρηματικών Επιπτώσεων
  • Σύγκριση πραγματικών/προβλεπόμενων συνθηκών
  • GFP
• Στάδιο 2: Δημιουργία σχεδίων BCM για κύριες διεργασίες - Η δημιουργία ενός προτύπου εγγράφου για τον καθορισμό μιας κατευθυντήριας γραμμής
  • Κίνητρο για την κατασκευή του BCMS 
  • Ορισμός της περιόδου που χρήζει ασφάλισης
  • Πεδίο εφαρμογής του BCM
  • Ορισμός της συνολικής ευθύνης
  • Ορισμός αρμοδιοτήτων στο BCM
  • Ορισμός του BCM και των επιπέδων κλιμάκωσης «δυσλειτουργία», «έκτακτη ανάγκη», «κρίση»
  • Ορισμός επικοινωνίας δικτύου
  • Ορισμός Κρυπτογραφίας
  • Κεντρικοί ρόλοι στο BCMS
  • Διαθέσιμοι πόροι
• Στάδιο 3: Κατάρτιση σχεδίων διαχείρισης εκτάκτων αναγκών πληροφορικών συστημάτων - Κατευθυντήρια γραμμή για τη δημιουργία ειδικής οργανωτικής δομής (BAO)
  • Συγκρότηση επιτελικής ομάδας διαχείρισης εκτάκτων αναγκών/κρίσεων
  • Συγκρότηση της βασικής ομάδας
  • Συγκρότηση προσωπικού ενίσχυσης σε συνάρτηση με συγκεκριμένες καταστάσεις (προαιρετικό)
  • Συγκρότηση επιτελικής υποστήριξης
  • Συγκρότηση ομάδας αντιμετώπισης εκτάκτων περιστατικών
  • Ορισμός/δημιουργία του καναλιού αναφοράς
  • Προδιαγραφές μεθόδων και κανόνων εργασίας επιτελικής ομάδας
  • Απαιτήσεις επικοινωνίας κατά την απόκριση έκτακτης ανάγκης
  • Καθορισμός κριτηρίων αποκλιμάκωσης
  • Καθορισμός κριτηρίων κατάργησης της ΒΑΟ
  • Ανάλυση αντιμετώπισης
  • Δημιουργία ή επέκταση σχεδίων έκτακτης ανάγκης
  • Διατήρηση και έλεγχος διαχείρισης έκτακτης ανάγκης
• Στάδιο 4: Δοκιμή & Εξάσκηση - Τα καθορισμένα και εφαρμοσμένα μέτρα δοκιμάζονται μετά από την ενσωμάτωσή τους με τους υπεύθυνους στο Mediengruppe Oberfranken.
  • Ανασκόπηση του BCMS
• Στάδιο 5: Βελτιστοποίηση
  • Υποστήριξη στη διαδικασία βελτιστοποίησης

Σας δίνουμε τη δυνατότητα μιας ολοκληρωμένης διαχείρισης ή/και αξιολόγησης κινδύνου σύμφωνα με τα πρότυπα BSI 200-3 και το ISO 27005.

• BSI Standard 200-3
• ISO 27005
• Ανάλυση κινδύνου, αξιολόγηση, αντιμετώπιση και παρακολούθηση

Η υπηρεσία

BSI Standard 200-3
Η διαδικασία ανάλυσης κινδύνου είναι ένας αναγνωρισμένος και αποδεδειγμένος τρόπος για την επίτευξη ενός προκαθορισμένου επιπέδου ασφάλειας πληροφοριών με εξοικονόμηση φόρτου εργασίας. Με βάση στοιχειώδεις κινδύνους, οι οποίοι χαρακτηρίζονται στην επιτομή IT-Grundschutz, μια εκτίμηση κινδύνου για περιοχές με κανονικές απαιτήσεις προστασίας περιλαμβάνεται ήδη στην ανάπτυξη των ενοτήτων της βασικής ασφάλειας των πληροφορικών συστημάτων. Το πλεονέκτημα αυτής της μεθόδου είναι ότι οι χρήστες του IT-Grundschutz δεν χρειάζεται να διενεργήσουν ξεχωριστή ανάλυση απειλών και τρωτών σημείων για τα περισσότερα πληροφορικά συστήματα, καθώς αυτό έχει ήδη γίνει από την BSI.
Ωστόσο, εάν το υπό εξέταση σύστημα πληροφοριών περιλαμβάνει αντικείμενα-στόχους που παρουσιάζουν υψηλές απαιτήσεις προστασίας, δεν μπορούν να μοντελοποιηθούν πλήρως με τις υπάρχουσες ενότητες του IT-Grundschutz ή λειτουργούν σε περιβάλλοντα στα οποία δεν είναι δυνατή η κάλυψη στο πλαίσιο της βασικής προστασίας, είναι απολύτως απαραίτητη η διενέργεια μιας ανάλυσης κινδύνων.

ISO 27005

• Ορισμός των συνθηκών πλαισίου
  • Οριοθέτηση της εξεταζόμενης περιοχής
  • Εδραίωση μιας οργάνωσης για τη διαχείριση κινδύνων
  • Καθορισμός μεθόδων
  • Καθορισμός κριτηρίων για την αξιολόγηση, την αποδοχή και τις επιπτώσεις
• Προσδιορισμός κινδύνων
  • Καταγραφή όλων των δεικτών της επιχείρησης. Αυτό περιλαμβάνει πληροφορίες, επιχειρηματικές διαδικασίες, προσωπικό, οργανισμούς και στοιχεία πληροφορικής
  • Προσδιορισμός όλων των σχετικών απειλών και των υφιστάμενων τρωτών σημείων
  • Προσδιορισμός υφιστάμενων και ήδη προγραμματισμένων μέτρων ασφαλείας
  • Προσδιορισμός πιθανών συνεπειών που θα μπορούσαν να προκύψουν σε περίπτωση εμφάνισης των σχετικών απειλών
• Ανάλυση Κινδύνων
  • Αξιολόγηση της αναμενόμενης έκτασης της ζημιάς σε περίπτωση παραβίασης ενός από τους στόχους προστασίας της ασφάλειας πληροφοριών (εμπιστευτικότητα, ακεραιότητα ή διαθεσιμότητα)
  • Προσδιορισμός της πιθανότητας εμφάνισης μιας απειλής
  • Το επίπεδο κινδύνου μπορεί να προσδιοριστεί με τον συνδυασμό της έκτασης της ζημιάς και της πιθανότητας εμφάνισης
• Εκτίμηση των κινδύνων
  • Η ιεράρχηση των κινδύνων με βάση το επίπεδο κινδύνου καθώς και τα κριτήρια αξιολόγησης και αποδοχής αποτελούν τη βάση λήψης αποφάσεων για την επακόλουθη αντιμετώπιση του κινδύνου
• Αντιμετώπιση των κινδύνων
  • Καταρτίζοντας ένα σχέδιο αντιμετώπισης κινδύνων με βάση την αποτυπωμένη εικόνα των κινδύνων, μπορεί να αποφασιστούν οι τρόποι αντιμετώπισης των απειλών που εντοπίζονται. Στη συνέχεια, λαμβάνονται αποφάσεις σχετικά με τον τρόπο αντιμετώπισης των κινδύνων συνυπολογίζοντας τις οικονομικές συνέπειες των κινδύνων σε σχέση με το κόστος υλοποίησης μιας εύλογης αντιμετώπισης. Συνήθως, οι επιλογές αντιμετώπισης των κινδύνων εμπίπτουν σε μία από τις ακόλουθες τέσσερις κατηγορίες
  • Απόφαση, για το εάν ο κίνδυνος μπορεί να
    • περιοριστεί με τη βοήθεια ενδεδειγμένων μέτρων ασφαλείας
    • παραμείνει χωρίς αντιμετώπιση εφόσον πληρούνται τα κριτήρια αποδοχής των υπολειπόμενων κινδύνων
    • αποφευχθεί μέσω της παράλειψης ορισμένων διαδικασιών ή δραστηριοτήτων
    • διαμοιραστεί μέσω κατάλληλης μεταβίβασης σε τρίτους (π.χ. μέσω ασφάλισης).
• Αποδοχή των κινδύνων
  • Με βάση το σχέδιο αντιμετώπισης κινδύνων, η διοίκηση ενός οργανισμού αποφασίζει για τις συνιστώμενες δράσεις που περιέχονται σε αυτό με σκοπό την εφαρμογή των μέτρων, συνυπολογίζοντας τη χρήση των πόρων. Κίνδυνοι έναντι των οποίων δεν λαμβάνονται μέτρα αντιμετώπισης, πρέπει να γίνονται αποδεκτοί.
• Επικοινωνία των κινδύνων
  • Προκειμένου να διασφαλίζεται ότι τα αποτελέσματα και οι μέθοδοι που χρησιμοποιούνται είναι ενημερωμένα, η διαχείριση κινδύνων και οι υπεύθυνοι λήψης αποφάσεων πρέπει να κοινοποιούν συνεχώς πληροφορίες σχετικά με τους κινδύνους. Εφόσον αυτό είναι απαραίτητο, συνιστάται η συμμετοχή άλλων σχετικών εργαζόμενων στη διαδικασία και η συνεχής ανταλλαγή απόψεων μαζί τους.
• Παρακολούθηση και αναθεώρηση των κινδύνων
  • Επιβάλλεται η διαρκής παρακολούθηση των μεταβολών στους παράγοντες που επηρεάζουν τη διαχείριση κινδύνων. Δεδομένου ότι το επιχειρηματικό και τεχνολογικό περιβάλλον υπόκειται πάντα σε μια διαδικασία αλλαγών, αυτές οι μεταβολές επηρεάζουν τόσο τις απειλές όσο και τα τρωτά σημεία ενός οργανισμού. Μια προσέγγιση διαχείρισης κινδύνου θα πρέπει επίσης να επανεξετάζεται περιοδικά ως προς την καταλληλότητά της.

Η προσφορά ενός ολιστικού κόνσεπτ για την επικοινωνία κρίσεων, από την αρχική σύλληψη μέχρι τον καθορισμό και την επικαιροποίηση των δομών διαχείρισης κρίσεων, είναι κάτι πρωτόγνωρο στον κλάδο της παροχής υπηρεσιών πληροφορικής.

• Κόνσεπτ επικοινωνιακής αντιμετώπισης κρίσεων, συμπεριλαμβανομένης της αρχικής φάσης υιοθέτησης
• Προετοιμασία της επικοινωνίας αντιμετώπισης κρίσεων
• Ορισμός & προσαρμογή των επικοινωνιακών δομών
• Κατάρτιση επικοινωνιακού σχεδίου διαχείρισης κρίσεων
• Επικαιροποίηση των δομών διαχείρισης κρίσεων

Η υπηρεσία

• Εναρκτήρια φάση
  • Καταγραφή απαιτήσεων των δομών της εταιρείας, του υφιστάμενου σχεδίου διαχείρισης εκτάκτων αναγκών & κρίσεων, της αρχιτεκτονικής της επικοινωνίας
  • Ανασκόπηση πηγών τεκμηρίωσης
• (1) Προετοιμασία επικοινωνίας κρίσεων
  • Καθορισμός του βασικού και οργανωτικού πλαισίου επικοινωνίας κρίσεων
  • Ανάπτυξη/υλοποίηση/δοκιμή του επικοινωνιακού κύκλου κρίσης
  • Αξιολόγηση/δοκιμή/επικαιροποίηση των ροών επικοινωνίας και πληροφοριών
• (2) Ορισμός/επικαιροποίηση δομών επικοινωνίας εντός της ομάδας διαχείρισης κρίσεων
  • Ορισμός/αξιολόγηση επικοινωνίας με γνώμονα την ομάδα-στόχο
  • Καθορισμός των δομών επικοινωνίας εντός/εκτός του οργανισμού
  • Προσδιορισμός εργασιών γραφείου τύπου
• (3) Ανάπτυξη σχεδίου επικοινωνίας κρίσεων
  • Προπαρασκευαστικά μέτρα για το επικοινωνιακό πλάνο & κατάρτιση σχεδίου δράσης
• (4) Καθορισμός και ενημέρωση των δομών διαχείρισης κρίσεων
  • Καθορισμός των αρμοδιοτήτων, των τομέων ευθύνης και των ρόλων της ομάδας διαχείρισης κρίσεων
  • Ορισμός των διαύλων επικοινωνίας
  • Έλεγχος του κέντρου επιχειρήσεων και του εξοπλισμού
  • Κατευθυντήριες γραμμές δημοσίων σχέσεων
  • Πρότυπο τεκμηρίωσης για την καταγραφή