CyberBezpieczeństwo
CyberBezpieczeństwo
CyberSecurity
Bezpieczeństwo Informatyczne to ciągły proces doskonalenia. Organizacja musi monitorować zagrożenia, szkolić pracowników i cyklicznie audytować swoje zabezpieczenia IT.
Czy Twoje dane firmowe są bezpieczne?
Czy Twoi pracownicy wiedzą jakie zagrożenia czyhają na nich w Internecie?
Czy spełniasz wymogi ustawowe związane z CyberBezpieczeństwem i RODO?
Służymy pomocą w zakresie dostosowania organizacji do wymogów Cyber i RODO.
Specjalista ds Bezpieczeństwa IT, Security Office, Specjalista CyberBezpieczeństwa, Pełnomocnik ds. CyberBezpieczenstwa, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji Trójmiasto (Gdańsk, Sopot, Gdynia), Pruszcz Gdański, Tczew i Starogard Gdański
W 2018 roku weszła w życie ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC). Ministerstwa właściwe sektorowo wyznaczyły (na podstawie zebranych wcześniej ankiet) przedsiębiorstwa świadczące usługi kluczowe na rzecz społeczeństwa (np. dostawa wody, opieka zdrowotna, telefonia komórkowa, dostawa i produkcja energii elektrycznej, dostawa i wytwarzanie ciepła)
Podmioty Publiczne i Operatorzy Usług Kluczowych (OUK) mają nowe obowiązki związane z zapewnieniem ochrony i przeciwdziałaniem atakom w cyberprzestrzeni.
Ustawa wskazuje zadania, które trzeba zrealizować w terminach liczonych od otrzymania decyzji o uznaniu za OUK
– cyklicznie szacować ryzyko dla usługi kluczowej,
– zarządzać incydentami zwykłymi, istotnymi, poważnymi i krytycznymi,
– wyznaczyć osobę do kontaktu z właściwym CSIRT-em,
– wyznaczyć osobę do kontaktu z właściwym Ministerstwem dla OUK,
– cyklicznie szkolić pracowników z zakresu cyberzagrożeń,
– zapewnić sprzęt, oprogramowanie i wiedzę, które są niezbędne do analizy przez zespół Cyber do wykrywania cyberzagrożeń,
– zbudować zespół odpowiedzialny za analizę i przeciwdziałanie na zagrożenia w ramach struktury Cyber,
– cyklicznie szkolić zespół tworzący struktury CyberBezpieczeństwa w organizacji,
– zapewnić całodobową (24/7) obsługę incydentów w ramach wewnętrznych systemów IT,
– zgłaszać do Ministerstw incydenty poważne,
– zbierać, monitorować (24/7) i analizować zagrożenia (wykonywanych prób i ataków na infrastrukturę IT za pomocą systemów klasy SIEM i Syslog),
– tworzyć i aktualizować dokumentację systemów IT,
– zapewnić dedykowane specjalnie przystosowane pomieszczenie dla zespołu tworzącego struktury CyberBezpieczeństwa w przedsiębiorstwie,
– przechowywać dokumentację techniczną systemów IT w pomieszczeniach i szafach ognioodpornych,
– wykonywać cyklicznie zewnętrzne audytysprawdzające dostosowanie organizacji do zmian w Ustawie KSC i powiązanych z nią Rozporządzeń,
– wykonywać testy zabezpieczeń swoich systemów IT oraz OT (np. systemem Nessus),
– przekazywać raporty z audytów wskazanym Ustawowo podmiotom,
– ograniczać skutki incydentów,
– realizować działania naprawcze i wyciągać wnioski po incydentach,
– wprowadzać proaktywne działania związane z przeciwdziałaniem przyczyn i skutków incydentów które miały miejsce w przeszłości w organizacji lub podobnych branżowych podmiotów,
– wykonywać testy ciągłości działania i odtworzenia po awarii (Disaster Recovery).
Ustawa wskazuje najlepsze praktyki bezpieczeństwa w ramach norm ISO 27001 (System zarządzania bezpieczeństwem informacji.) i ISO 22301 (Zarządzanie ciągłością działania).
Wspieramy organizacje w zakresie dostosowania do spełnienia ustawowych wymagań na poziomie sprzętowym, programowym (oprogramowanie IT, systemy przemysłowe: SCADA, urządzenia przemysłowe: sterowniki PLC, panele HMI, systemy DCS), konfiguracyjnym (segmentacja sieci, separacja IT/OT, wdrożenie SIEM, Syslog, Zabbix) oraz dokumentacji (analiza ryzyka, polityki bezpieczeństwa, polityka backupu danych, polityki dostępu do pomieszczeń specjalnych, polityka retencji danych, procedury DR – Disaster recovery, oraz inne). Od początku istnienia ustawy o Krajowym Systemie Cyberbezpieczeństwa, aktywnie uczestniczyliśmy w ramach wewnętrznych struktur CyberBezpieczeństwa Przedsiębiorstw OUK z NASK, CSIRT, CERT, Ministerstwami właściwymi oraz Przedsiębiorstwami objętymi tą ustawą. Braliśmy udział w audytach oraz dostosowywaliśmy organizacje do spełnienia wytycznych KSC zgodnie z najwyższymi normami i standardami bezpieczeństwa IT.