Eksternalizirane funkcije
Svaka kompanije, bez obzira na njenu veličinu i djelatnost, želi zaštititi resurse kako bi uspješno ostvarila svoje poslovne ciljeve. Osim fizičke imovine kao što su zgrade, strojevi, oprema i sl. bitni i za poslovanje svake kompanije nezamjenjivi resursi su ljudi, procesi, programska rješenja i IT infrastruktura. Isto tako, ključan i kritičan resurs je informacija. Svaka informacija ima svoju vrijednost za kompaniju. Stoga je informaciju potrebno promatrati kao imovinu te informacija predstavlja informacijsku imovinu. Informacijska imovina uključuje podatke i informacije zapisane na papiru, u digitalnom obliku ili kao audiovizualne zapise. Informacijska imovina su, ali ne ograničava se na podatke u bazama podataka, datoteke s podacima, programski kôd, sistemsku i aplikacijsku dokumentaciju, korisničke priručnike, planove, interne akte i slično. Tehnološka infrastruktura, organizacija, ljudi i postupci za prikupljanje, obradu generiranje, pohranu, prijenos, prikaz i distribuciju informacija te prikaz informacija čine informacijski sustav (IS).
U današnjem globalnom gospodarstvu cilj svake kompanije je da na adekvatan način štiti svoje informacije te da ima pristup svojim informacijama uz osiguranje povjerljivosti, cjelovitosti i dostupnosti. Sveobuhvatni i sistematičan pristup upravljanja informacijskom sigurnosti naziva se sustav upravljanja informacijskom sigurnosti a podrazumijeva zaštitu informacija i informacijskog sustava od neovlaštenog pristupa, korištenja, otkrivanja, prekida, izmjena ili uništenja. Upravljanje informacijskom sigurnošću je proces kojim se definiraju sigurnosne kontrole u cilju zaštite informacijske imovinu.
Metode koje se zasnivaju na temelju ad-hoc projekata u svrhu otklanjanja sigurnosnog incidenta tijekom odvijanja poslovnih procesa svakako ne predstavljaju adekvatan način i sustavan pristup upravljanja informacijskom sigurnosti. Isto tako, postavljanje vatrozida, instalacija antivirusnog softvera ili dodjela identiteta za prijavu na IT sustave nije dovoljna da bi se izbjegle vanjske i unutarnje prijetnje kojima se narušava povjerljivost, integritet i dostupnost informacija.
Zbog sve veće izloženosti rizicima poslovanja vezanim uz sigurnost informacijskih sustava zakonodavna i regulatorna tijela kroz zakonske okvire nameću kompanijama obvezu učinkovitog upravljanja informacijskom sigurnosti. Takvi zahtjevi nameću rukovodstvu kompanije da se usredotoči na uspostavu učinkovitog sustava upravljanja informacijske sigurnosti kao jednog od bitnih elemenata za postizanje strateških ciljeva i provedbu svakodnevnih poslova. Prilikom razmatranja ovog izazova rukovodstvu kompanije nameće se nekoliko ključnih pitanja:
- Zašto je potrebno ulagati u informacijsku sigurnost?
- Gdje treba usmjeriti pozornost u ostvarenju ključnih ciljeva informacijske sigurnosti?
- Koje su ključne aktivnosti za izgradnju učinkovitog programa informacijske sigurnosti?
- S kojim zakonima, propisima, standardima i smjernicama se treba uskladiti i što treba razumjeti da se izgradi učinkovit program informacijske sigurnosti?
- Tko može pomoći u procjeni trenutnog stanja informacijske sigurnosti u kompaniji i i kako izgraditi učinkovit sustav informacijske sigurnosti?
Adekvatno i učinkovito ustrojen sustav upravljanja informacijskom sigurnosti korištenjem primjerenih sigurnosnih kontrola pridonosi strateškom unapređenju servisa informacijske tehnologije kao podrške poslovanju kompanije. Takav pristup jača vezu između informacijskih sustava i ostalih poslovnih procesa u svrhu ostvarenja organizacijski ciljeva.
Trilix svojim klijentima pomaže u razvoju učinkovitog i sveobuhvatnog programa za uspostavu sustava upravljanja informacijskom sigurnosti kojeg čine:
- dokumentirani okvir upravljanja informacijskom sigurnosti
- upravljanje rizicima
- upravljanje incidentima
- upravljanje konfiguracijama i promjenama
- upravljanje kontinuitetom poslovanja i oporavak od katastrofe
Trilix kod pružanja usluge upravljanja informacijskom sigurnosti nudi sistematičan pristup kreiranja sustava sigurnosti u skladu sa poslovnim ciljevima i organizacijskom strukturom klijenta te zakonskim i regulatornim zahtjevima.
Koristeći naš pristup upravljanja informacijskom sigurnosti klijent dobiva jasno definirane postupke upravljanja informacijskom sigurnosti, identificirane kritične prijetnje za informacijsku sigurnost, prijedloge kontrola za učinkovito poboljšanje te praćenje provedbe i preispitivanje učinkovitosti mjera sigurnosti.
- Utvrđivanje trenutnog stanja sigurnosti
- Definiranje željenog stanja sigurnosti
- Definiranje preporuka i plana za ostvarenje željenog stanja
- Implementacija i praćenje provedbe mjera sigurnosti
- Praćenje učinkovitosti mjera sigurnosti
Korist za korisnika
Korištenjem eksternalizirane usluge voditelja informacijske sigurnosti koju vam nudi Trilix tvrtke ostvaruju poslovnu i operativnu korist.
Poslovna korist je:
- Smanjenje troškova
- Korištenje stručnjaka sa bogatim znanje, vještinama i iskustvom
- Usmjerenost na ugovorene aktivnosti
- Fleksibilnost na promjene
- Podjela rizika
- Usklađenost sa zakonskim i regulatornim zahtjevima.
Operativna korist je:
- Strategija ublažavanja izloženosti riziku informacijske sigurnosti
- Politika informacijske sigurnosti
- Definiranje sigurnosnih metrika
- Sudjelovanje u razvoju informacijske sigurnosti standarda / procesi za infrastrukturu
- Preporuke za projektiranje odgovarajućih kontrola informacijske sigurnosti
- Dizajn metodologije za otkrivanje ranjivosti IT infrastrukture
- Dizajn metodologije pravovremenog otkrivanja i sprečavanja vanjske i unutarnje prijetnje
- Definiranje postupaka ublažavanje prijetnji – identifikacija i rješavanje kritičnih prijetnji za poslovne procese
- Provedba analize rizika informacijskog sustava
- Istraživanje sigurnosnih incidenata
- Implementacija mjera sigurnosti u skladu sa zakonskim i regulatornim zahtjevima, međunarodnim normama i ugovornim obvezama