Analýza a riadenie rizík
Nevyhnutným krokom systematického riešenia informačnej a kybernetickej bezpečnosti je byť informovaný o rizikách, ktorým môže byť organizácia vystavená pri dosahovaní svojich cieľov. Najlepším spôsobom ako „spravovať“ riziká súvisiace s vašim IT prostredím je mať funkčne vybudovaný systém analýzy a riadenia rizík.
Hlavným východiskom pre riadenie rizík informačnej bezpečnosti je medzinárodne uznávaná a v Slovenskej republike akceptovaná norma ISO/IEC 27005 Riadenie rizík informačnej bezpečnosti. Táto norma poskytuje odporúčania pre riadenie rizík informačnej bezpečnosti v rámci organizácie, hlavne s ohľadom na požiadavky systému riadenia informačnej bezpečnosti podľa normy ISO/IEC 27001 Systém riadenia informačnej bezpečnosti. Pri riadení a analýze rizík zohľadňuje Gordias aj platnú slovenskú legislatívu – napr. zákon č. 95/2019 Z. z. o informačných technológiách verejnej správy, zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, nariadenie GDPR a súvisiaci zákon č. 18/2018 Z. z. o ochrane osobných údajov.
Analýza rizík IS je jednou z kľúčových aktivít zvyšovania a udržiavania informačnej a kybernetickej bezpečnosti a najdôležitejším prvkom samotného systému riadenia rizík. Jej základom je identifikácia aktív, hrozieb, zraniteľností, dopadov a realizovaných bezpečnostných opatrení. Mala by byť opakovaná a aktualizovaná pri každej významnej zmene v štruktúre aktív, hrozieb alebo iných dôležitých zmenách súvisiacich s informačnou bezpečnosťou a IS organizácie. Jej cieľom je dať pravdivé odpovede najmä na otázky, čo ohrozuje IS a údaje v ňom, ako sú IS proti takýmto hrozbám chránené a aké opatrenia je potrebné prijať na zaistení bezpečnosti.
Neexistuje jednoznačná metodika vhodná pre všetky prostredia a všetkých používateľov. Metodika analýzy rizík, podľa ktorej postupuje Gordias má väčšinou neformálny, kvalitatívny charakter, s optimalizovanou detailnosťou podľa konkrétneho projektu. V našom portfóliu je aj výkon analýzy rizík podľa metodík, ktoré môžu byť detailné alebo zjednodušené, kvantitatívne (výpočtovo orientované) alebo kvalitatívne (postavené na popisoch či hodnoteniach). Vždy vychádzajú z medzinárodne akceptovaných štandardov a odporúčaní.
Gordias zohľadňuje charakter vašej organizácie a prispôsobuje mu priebeh, formu ako i detailnosť analýzy rizík.
Gordias zohľadňuje charakter vašej organizácie a prispôsobuje mu priebeh, formu ako i detailnosť analýzy rizík.
Medzi hlavné výhody a prínosy využitia našich služieb v oblasti analýzy a riadenia rizík patria najmä:
- získanie aktuálnych poznatkov o informačnej a kybernetickej bezpečnosti nezávislou stranou,
- získanie podkladov pre manažérske rozhodnutia pri riadení rizík,
- získanie podkladov pre manažérske rozhodnutia o pridelení investícií do oblasti informačnej bezpečnosti,
- výstup analýzy podľa požiadaviek ISMS (štruktúra dokumentácie, spojenie vybraných opatrení, prehlásenie o aplikovateľnosti podľa požiadaviek normy),
- detailná identifikácia kľúčových aktív (nielen informačných), zraniteľných miest v prevádzkových postupoch i spôsoboch využívania technológií,
- návrh konkrétnych opatrení smerujúcich k náprave zistených nedostatkov členených podľa priority realizácie a náročnosti,
- významné zvýšenie úrovne bezpečnosti IS implementáciou navrhnutých opatrení.
S odpoveďou na všetky otázky týkajúce sa analýzy a riadenia rizík vám ochotne pomôžu naši špecialisti, ktorí majú s ich implementáciou dlhoročné skúsenosti. Vykonali sme analýzy rizík pre orgány štátnej správy, priemyselné podniky, obchodné spoločnosti i finančné inštitúcie (Profil spoločnosti).
Ak veríte v úspešnú budúcnosť vašej organizácie, jedným z najdôležitejších krokov na ceste do tejto budúcnosti je spoznanie rizík, ktoré váš môžu stretnúť. Služby v oblasti analýzy a riadenia rizík, ktoré vám ponúka spoločnosť Gordias, vás na túto cestu bezpečne vypravia.