Kiberbiztonság és adatvédelem

Adatok és IT megfelelő és biztonságos kezelése az értékteremtő technológia érdekében

Nem újdonság, hogy az informatika áthatja az életünket és az üzletet egyaránt. Technológiai eszközökkel hatékonyabbá tehetők az üzleti folyamatok, amelyek során rengeteg adat keletkezik. Ezek felhasználása innovatív üzleti modellek alapja, de nem szabad megfeledkezni megfelelő védelmükről sem, hiszen különféle rendszereket alkalmazunk, és változatos szereplőknek adunk hozzáférést a rendszereink bizonyos részeihez. Így a kibervédelemmel foglalkozni manapság már nem csupán biztonsági megfontolás, sokkal inkább a vállalati szintű hatékonyságnövelés része.

A megfelelően felépített biztonsági architektúra jelentős mértékben hozzájárul az üzleti folyamatok eredményességéhez, növeli az ügyfelek és partnerek bizalmi szintjét, támogatja az átlátható és ezáltal könnyen kezelhető információs infrastruktúra működését és nem utolsó sorban egy kockázatokkal arányos biztonsági rendszer megvédi a vállalat értékteremtő folyamatait és eszközeit a kibertérben. A jól kialakított és végrehajtott kibervédelmi stratégia nem csak arra fókuszál, hogy megakadályozza a támadásokat, hanem biztosítja a megfelelő hozzáférést a partnerek számára, és hatékony reakciót definiál a bekövetkezett esetekre is.

Hiszünk benne, hogy ez nem csak egy technikai kérdés, így támogatást adunk a kibervédelem és információbiztonság területén a stratégiától a megvalósításig, a megfelelőségi törekvésektől a technikai tesztelésekig, a felsővezetői képzésektől az incidens és krízis szimulációkig.


Szolgáltatásaink

IT és folyamati megfelelés

A magas színvonalú szabványok következetes működése érdekében

Ügyfelek, szabályozó szervek, de még a vállalatok maguk is magas színvonalat várnak el a vállalati IT rendszerektől. Szakembereink segítenek a legfontosabb ipari szabványok (pl. NIST, ISO27001, ITIL) illetve a (helyi vagy nemzetközi) jogszabályi / törvényi előírások betartásában. Eltérés-elemzések mellett segítünk a döntéshozatal lehetőségeinek elemzésében, javaslatokat teszünk a feltárt eltérések kiküszöbölésére, és teljes mértékben támogatjuk Önt a megfeleléshez vezető úton.

  • Szabványok: NIS, NIST, ISO27k, EU Cyber Act, ITIL
  • Törvényi elvárások: MNB, 2013/L, SWIFT, PSD2
  • Kiszervezések, SOC2

A megfelelőségi kihívások magukban foglalják az Ön beszállítóit, forgalmazóit és a partnereit is. A folyamatok kiszervezése gyakran a megfelelő megoldás, különösen ha informatikai műveletekről van szó, viszont van, amit nem lehet kiszervezni: az elszámolhatóságot. Szakembereink segítenek abban, hogy külső ellenőrzések révén megbizonyosodjon a kiszervezett folyamatok megfelelőségéről és biztonságáról, valamint bizonyosságot nyújtunk ügyfeleinek az Ön folyamatairól. Kiszervezési szolgáltatásokat nyújtó felek az adott megfelelőségi riportokon (SOC1-2, ISAE 3402, ISAE 3000) keresztül képesek a megfelelőségről tanúbizonyságot adni.

Ezt a döntést új technológiák és releváns kontroll környezetek felülvizsgálatával és értékelésével támogatjuk, melyet bevált gyakorlatokról és lehetőségekről való konzultációval egészítünk ki.

Információbiztonsági stratégia és irányítás

Hogy biztonsági intézkedései hatékonyan működjenek

Minden összetett irányítási tevékenység kulcsfontosságú eleme, hogy megfelelő - azaz az üzleti követelményekkel összehangolt, a vállalkozás sajátos kockázatain alapuló - stratégiával rendelkezzen. Szakembereink segítenek ezeknek a stratégiáknak és irányvonalaknak a meghatározásában, valamint a megfelelő biztonsági eljárások kiválasztásában.

  • Kiberbiztonsági stratégia és program
  • Cyber dashboard kezelés
  • Információbiztonsági kockázat és érettségi felmérés
  • Üzletmenet-folytonosság & Krízis Management

Széleskörű kockázatkezelési tapasztalatainkat felhasználva segítünk kockázatainak azonosításában és elemzésében, valamint az üzleti hatásvizsgálatának elkészítésében, így tevékenységei és irányelvei egy átfogó kockázatelemzésen alapulnak. A prioritások meghatározása érdekében nemzetközi keretrendszereket illetve szabályozási követelményeket figyelembe véve mérjük fel az Ön biztonsági rendszerének érettségét, ezzel objektív áttekintést nyújtva Önnek a vállalat információbiztonsági képességeiről, valamint a belső és a külső fenyegetésekkel szembeni ellenálló képességéről.

Továbbá, hogy fel tudjon készülni a váratlanra, segítséget nyújtunk Önnek üzletmenet-folytonosság tervezésében és válság utáni helyreállásban. Egy válságot azonban nem a szabályzatok fogják megoldani, hanem emberek, akik a szabályzatokat megfelelően hajtják végre, ezért gyakorlati feladatokat és a helyzetről készült reális szimulációkat kínálunk a menedzsment és a reagáló csapatok számára.

A Cyber tevékenységek és hatékonyság monitorozásának érdekében létrehoztunk egy módszertant, ami megfelelő belátást nyújt az Ön felsővezetőségének és partnereinek.

A helyes teljesítménymutatók, valamint a megfelelő jelentési struktúra kiválasztása fontos szerepet játszik az üzleti menedzsment számára a biztonsági rendszerek előrehaladásának és értekének a szemléltetésében.

IT biztonság humán oldala

A kiberbiztonság leggyengébb láncszemének megerősítése

A humán tényező kulcsszerepet játszik az IT biztonsági láncban, ezért elengedhetetlen, hogy a biztonsági tudatosság a napi műveletek részévé váljon. Képzéseink célja, hogy segítsék a felsővezetést, valamint kollégáit a veszélyek, kockázatok és a rossz szokások felismerésében és megértésében, valamint az IT biztonság vezető gyakorlatainak átvételében.

  • Menedzsment szimulációs gyakorlatok
  • Biztonság tudatossági képzés és tesztelés
  • Szabadulószoba, gamification
  • CISO támogatás, coaching

A legfelsőbb színtű menedzsment tudatosságát fejlesztő szimulációs gyakorlatokat is nyújtunk, a cyber kockázatok megértésének és azok legjobb kezelésének céljával. A gamification a gyakorlatokat interaktívabbá, és emiatt emlékezetesebbé teszi.

Hasonlóképpen, cyber szabadulószobáink új megközelítést biztosítanak a munkavállalók képzéséhez, amely során kollégái felfedezhetik valójában mennyire könnyű rossz biztonsági szokásokat kihasználva bizalmas adatokat lopni, de azt is, hogy alapvető biztonsági szokások a mindennapi munkába integrálva milyen könnyen biztosíthatják a társaság adatainak biztonságát.

A belső IT biztonsági feladatait támogatva segítséget kínálunk az Ön CISO-jának vagy hasonló funkciót betöltő kollégái számára tréning, coaching formájában, illetve konzultációt nyújtunk a belső kontrollokra, bevált gyakorlatokra, és irányelvekre vonatkozóan.

Adatvédelem

A magánélet védelme értéket teremt

Meggyőződésünk, hogy az adatok biztonságos kezelése nem csak megfelelés kérdése, hanem az üzleti vállalkozás szerves része, és valódi megkülönböztető tényező lehet. Holott a GDPR fontos szerepet játszik ezen a területen, az adatvédelemmel kapcsolatos témák annál szélesebb körűek. Segítünk Önnek a megfelelő adatvédelmi rendszer előkészítésében, implementálásban, bevezetésében és fenntartásában.

  • GDPR megfelelés, implementáció utáni felülvizsgálat
  • Koncepció kialakítása és ellenőrzése (érintetti jogok, adatok kötelező törlése, stb)
  • Adatvédelmi kockázatértékelés és folyamatvizsgálat
  • Harmadik fél/szállítói audit

Miközben mindenki különböző módon és különböző sikerrel felel meg a GDPR-nak, saját fejlesztésű célzott, bevezetés utáni állapotot vizsgáló módszereinkkel támogatjuk Önt holtterek és a további fejlesztési pontok azonosításában. Ezek alapossága jóval meghaladja a törvényi megfelelést, és felmérik az informatikai és folyamatokkal kapcsolatos kérdéseket, valamint felfedik a implementáció hiányosságait.

Az Ön megközelítésének finomítása érdekében továbbá áttekintjük és támogatjuk a vonatkozó koncepciókat is, például személyes adatokra vonatkozó jogi folyamatokat vagy az adatok törlési stratégiáját. Az adatok hatékony védelme megfelelő kockázattudatosságot és kezelést igényel. Az adatkezelési folyamatok megvizsgálásán és kockázatok elemzésén keresztül segítünk Önnek abban, hogy meghozza a szükséges lépéseket a biztonságos adatkezelés felé.

Viszont nem csak az Ön folyamatai igényelhetnek bizonyosságot. Harmadik felek megfelelését is kiértékeljük, hogy Ön mélyebb belátást kapjon beszállítói megfelelőségébe, vagy hogy Ön bizonyítsa megfelelőségét ügyfelei számára.

Incidenskezelés és reagálás

Kétfajta szervezet van: amelyet már ért támadás és amelyik még nem tudja

Napjainkban már nem az a kérdés, hogy lesz e  kiberbiztonsági incidens egy adott vállalatnál/szervezetnél, sokkal inkább az, hogy mikor és vajon készen áll-e a kezelésére? Miközben egy támadás komoly krízist okozva akár hosszútávú következményekkel is járhat, a megfelelő felkészüléssel és szakértői csapat bevonásával a károk jelentősen enyhíthetők, az eredeti működés visszaállítása pedig tervezetten, nagyságrenddel rövidebb idő alatt megtörténhet.

  • incidensre való technikai felkészítés
  • incidens érzékelése és kontaminálása
  • incidensre való azonnali reakció
  • post-incidens vizsgálat és rendszerfejlesztés

Az incidensek kezelése, a kiváltó okok - esetenként konkrét támadások -  felderítése nem olyan triviális kompetencia, amellyel egy IT üzemeltető csapatnak rendelkeznie kell. Eszközök, módszertan, és speciális tudás adja azt a kombinációt, ami szükséges egy krízishelyzetben. Az ezen szaktudással és gyakorlattal  rendelkező csapat képes az incidenst okozó probléma teljes feltárására, az incidenst lehetővé tevő hiányosságok, gyengeségek azonosítására. Az incidens kivizsgálásának eredménye így nem csak egy teljeskörű vezetői és technikai jelentés, hanem az incidens bekövetkeztét lehetővé tevő állapot javítására tett javaslat.

Információbiztonsági rendszerek implementációja és üzemeltetése

Segítünk az Ön céges környezetének biztonságos felépítésében és működtetésében

Az olyan biztonsági eszközök, mint például a DLP, IDM vagy szűrő és monitorozó alkalmazások bevezetése, konfigurálása, valamint a megfelelő eszközök kiválasztása szakértelmet és kockázatalapú értékelést igényel. Csapatunk széleskörű szakmai és gyakorlati tapasztalattal rendelkezik, amellyel támogatjuk az implementálás folyamatában, az Ön igényeinek formalizálásától és telepítésétől egy fenntartható konfiguráció felállításáig.

  • Biztonsági eszközök implementációja
  • Üzemeltetés és monitorozás
  • DevOps Biztonság
  • SOC
  • Threat Intelligence

Ez ugyanolyan fontos egy saját fejlesztésű környezetben, egy agilis és DevOps fejlesztési környezetben pedig kifejezetten nehéz. Eszközeinkkel és globális tapasztalatunkkal segítünk Önnek a folyamatok felügyeletében, a tesztelés automatizálásában vagy a jelenlegi fejlesztési gyakorlat felmérésében.

Úgy gondoljuk, hogy a biztonságos környezet üzemeltetése és fenntartása komplex feladat, amely nem csak a naplófájlokat foglalja magába, hanem bizonyos események elemzését és a változatos folyamat monitorozást, valamint előfordulhat még egy dedikált SOC is. Segítünk ennek a definiálásában és beállításában, és a hatékonyság további fokozása érdekében különféle szintű Threat Intelligence szolgáltatást biztosítunk.

Innovatív és kiberfizikai biztonság

Az értékteremtési láncokat védjük - a rejtett infrastruktúra és új technológiák esete

Az elmúlt években az elektronikai és az informatikai eszközök szinte észrevétlenül jutottak egyre nagyobb szerephez. A gyártósorok, a logisztikai rendszerek, az irodai működés, vagy a tudományos kutatások is elképzelhetetlenek már informatika nélkül. A számítástechnika már közvetlenül kihat a fizikai világunkra is. Munkánk során megértjük ügyfeleink üzleti igényeit és az informatikai adottságokat, így tudjuk felmérni és kezelni a releváns kockázatokat - melyek az üzletmenet, vagy a termelés mellett akár emberéleteket is veszélyeztethetnek.

  • IoT biztonság és architektúra
  • Ipari rendszerek
  • 5G biztonság és kockázatelemzés

Az informatikában és a kiberbiztonságban szerzett tapasztalatainkat használjuk fel a kiberfizikai rendszerek védelme érdekében. Legyen szó ipari, IoT eszközökről vagy új telekommunikációs rendszerekről, közös bennük, hogy védeni kell azokat a támadásoktól vagy a leállások ellen. A védelmet integráltan fejlesztjük tovább az üzleti működéssel és más informatikai rendszerekkel összhangban, gyakran - pozitív mellékhatásként - többlet értéket teremtve ezzel.

A teljes kiberbiztonsági és adatvédelmi portfóliónkat alkalmazzuk ezen a területen. Célzott és releváns keretrendszerek adják módszertanunk, munkánk alapját. Képesek vagyunk segíteni a digitális átalakulást, transzformációt: igény szerinti elemzésekkel, működési modellek kialakításával, folyamatok és informatikai rendszerek biztonságosabbá tételével. Igény szerint, a biztonság kialakítása során, az elmélet mellett technikai vizsgálatokat is végzünk a fizikai rendszereken és az azokat irányító számítógépes eszközökön, hálózatokon.

Az IoT, 5G és az előállítás folyamatosan növekvő automatizálása miatt ezen speciális környezetek biztonsága kulcsfontosságú a megbízhatóság és az üzemidő szempontjából. Hiszünk az integrált tevékenységekben az OT és ipari rendszerek esetében, ahol az OT környezet tervezése, biztonsága és megfigyelése ugyanolyan fontos, vagy akár fontosabb az irodai IT rendszereknél. 

Átfogó megközelítésünknek köszönhetően az akciótervek készítése után a működés során, a megvalósításban és a visszamérésben is támogatni tudjuk Ügyfeleinket.

Miért releváns az Ön számára a DORA?

A digitális működési reziliencia rendelet (DORA) a pénzügyi piacokon felmerülő digitális kockázatok hatékony és mindenre kiterjedő kezelésének új európai keretrendszere.

Bővebben

Kapcsolat

Major Andrea

Major Andrea

Partner, PwC Hungary

Peter Durojaiye

Peter Durojaiye

Partner, PwC Hungary

Gyimesi Csaba

Gyimesi Csaba

Igazgató, PwC Hungary

Kövessen minket!