Adatok és IT megfelelő és biztonságos kezelése az értékteremtő technológia érdekében
A vállalatok a robotizált folyamatautomatizálásban (RPA) látják a következő nagy átalakulást, ezért rövid időn belül szeretnék azt bevezetni. Bár a gyors megtérülés lehetősége vonzó lehet, az új „munkaerő” bevezetése előtt a vállalatoknak fel kell tárniuk a kapcsolódó kockázatokat és alaposan meg kell vitatniuk a felmerülő kérdéseket. Ha körültekintően járnak el, megfelelően pozícionálhatják magukat ahhoz, hogy sikeresek legyenek. A hatékony kontrollok és az optimalizált folyamatok segítségével a problémák már korán azonosíthatók, biztosítva ezzel a befektetés pozitív megtérülését.
Ennek legjobb módja, ha szem előtt tartjuk a kockázatokat és általában a felügyelet kérdését, valamint figyelembe vesszük az érintettek szempontjait. Az RPA programokra vonatkozóan öt kockázati kategóriát különböztetünk meg:
Vezetői: Sikerült a megfelelő emberek támogatását elnyerni? Mindenki egyetért abban, hogy mit kell tenni? Értékelte Ön a potenciális megtérülést?
Technikai: Adottak a robotok működéséhez szükséges megfelelő technikai feltételek? Hogyan szabályozható a robotok hozzáférése a rendszerekhez és az adatokhoz? Hogyan teszteljük a robotokat, hogy megbizonyosodjunk rendeltetésszerű működésükről? Vannak-e skálázhatósági korlátok az RPA-ban és a fő rendszerekben?
Változásmenedzsment: Hogyan kezeljük a változásokat, amelyek a robotok hibás működéséhez vezetnek? Ki irányítja a kommunikációt? Hogyan kezeljük a munkavállalók lehetséges ellenállását?
Működési: Milyen kontrollok léteznek a teljesítmény nyomon követésére? Hogyan feleljünk meg a vonatkozó szabályozási követelményeknek?
Funkcionális: A folyamatok kellő mértékben átláthatók, illetve standardizálták-e őket a hatékony automatizálás érdekében? Ki tervezi a kontrollokat? Auditálható és nyomon követhető?
Ha Ön még nem használ RPA-t, folyamatautomatizálási szakértőink segítenek az új robotok kifejlesztésében:
Ha Ön már használ RPA-t, tapasztalt IT auditorjaink bizonyosságot nyújtanak a robotokkal kapcsolatban:
EU adatvédelmi szabályozás (General Data Protection Regulation (GDPR)), 2018 májusától hatályos. Szigorúbb adatvédelmi követelmények, EU állampolgárok adataira vonatkozóan.
Az új, Európai Unióban egységes adatvédelmi rendeletnek való megfelelés elengedhetetlen, hiszen a nem megfelelőség komoly büntetést (az adatkezelő éves bevételének 4%-a is lehet) és szankciókat von maga után.
Az adatvédelmi szabályozás kulcsterületei:
Az új adatvédelmi szabályozás (GDPR) fókusza 2017-re a felkészülés. A PwC által 2016-ban készített átfogó információbiztonsági felmérésben (The Global State of Information Security® Survey, GSISS) is észrevehető, hogy a megkérdezett cég és IT biztonsági vezetők 30 %-ban kiemelt figyelmet fordítanak a szabályozásoknak való megfelelésre.
Forrás: http://www.pwc.com/gsiss
A PwC munkatársai minden részletre kiterjedően segítik partnereik munkáját:
Az Európai Unión belül, minden, EU állampolgár személyes adatát kezelő cég fel kell készüljön a GDPR által szabott követelmények teljesítésére. Az adatvédelmi szabályozásnak való megfelelés a cég működésében több területet is érint:
A PwC egyéni, a cégre szabott információvédelmi felméréssel képes segíteni a felkészülést a GDPR életbe lépésére:
Az adatvédelmi feladatok kezelésére a hazai és a nemzetközi szabályozás is előírja a dedikált felelős kijelölését. Ezt például a közeljövőben hatályossá váló európai adatvédelmi rendelet (GDPR) is tartalmazza. A megfelelő szakember felvétele és teljes foglalkoztatása azonban nehéz, így hatékonyabb azt kiszervezni. A PwC szakértői támogatást tud ebben nyújtani, az adatvédelmi felelős pozícióját el tudja látni.
Az adatvédelmi felelős kiszervezése sok esetben hatékony megoldást jelent. Ez elsősorban a törvényi követelményekből adódó általános feladatok elvégzését jelenti, mint például a szabályzatok véleményezése és a hatóságokkal és a kormányzati eseménykezelő központtal való kapcsolattartás. Az igazi érték azonban a terület átfogóbb kézben tartása. Ennek során szakértőink támogatást adnak mind a fejlesztési irányok meghatározásában, priorizálásában, mind a felkészülési és fejlesztési projektek koordinálásában. Továbbá a megfelelő szabályozottság elérése érdekében nem csak a szabályzatok kialakításához és kontrollok implementálásához nyújtanak segítséget, de rendszeres ellenőrzéseket is végeznek. Az adatvédelmi felelős segít meghatározni a vállalat által használt adatköröket és azok karbantartását is.
A vállalati IT működéssel szemben sok követelményt támasztanak mind az ügyfelek, maguk a vállalatok, mind a szabályozók. Ezen különböző, külső vagy belső elvárásoknak való megfelelés kihívást jelent.
Szakértőink hatékony segítséget tudnak nyújtani, akár iparági (pl. ISO27001, ITIL), szabályozói (pl. MNB elvárások), vagy törvényi (pl. 2013/L tv.) megfelelőségi területen.
Szolgáltatásunk magában foglalhatja a
Megfelelőségi vizsgálataink alapja a jól meghatározott követelmény rendszer, melyet a releváns törvényi és egyéb elvárásokból kiindulva, de minden esetben az ügyfeleink környezetére és működési modelljére testre szabva határozunk meg és egyeztetünk. Ezen megfelelőségi vizsgálatot szinte bármilyen jól meghatározott követelmény rendszerre el tudjuk végezni, de biztonsági területen leggyakrabban az ISO27001, ITIL területek, illetve szabályozói oldalról az MNB információbiztonsági ajánlásai és a 2013/L törvény előírásai szoktak szerepelni kritériumként.
Mindehhez bevált módszertannal és sok esetben már meglévő kérdőívekkel és eszközrendszerrel rendelkezünk. Így nem csak érettségi szintet tudunk felmérni, de az elvárt szinthez képesti eltérések, GAP-ek alapján releváns javítási lépéseket és fejlesztéseket is javaslunk. Mindezeket tovább értékeljük, priorizáljuk és hatásuk és ráfordítási szükséglet alapján csoportosítjuk. Ez által jól áttekinthető fejlesztési területeket, praktikus cselekvési tervet javaslunk, bemutatva azok hatását a megfelelőségre.
A PwC munkatársai minden részletre kiterjedően segítik partnereik munkáját:
Az IT szabályozottsága és védelme akkor hatékony, ha megfelelő kockázatelemzésre épít, melyet egyre több általános és iparági szabályozás is előír, bele értve az MNB ajánlásait is. A PwC nagy tapasztalattal rendelkezik IT és IT biztonsági vizsgálatok és felmérések terén, így hathatós támogatást tud adni a kockázatok azonosításában és elemzésében. Mivel a kockázatelemzés szerves része az üzleti hatáselemzés is, ha ez nem áll rendelkezésre, vagy nem friss, akkor ebben is támogatjuk ügyfeleinket.
Megközelítésünk alapja, hogy felmérjük a Társaság által használt rendszereket, azok használati módját és a lefedett funkcionalitást, majd ezzel kapcsolatban IT vonatkozású kockázatokat azonosítunk. A kockázatokhoz párosítjuk a Társaság által működtetett kontrollokat, és meghatározzuk a maradvány kockázatokat, az üzleti hatáselemzést is figyelembe véve. Ezeket súlyozzuk az üzleti kritikusságuk szerint (hiszen lehet olyan, mely a társaság számára nem jelent nagy veszélyt), és meghatározzuk azokat a pontokat, melyeket fejleszteni szükséges a Társaság kockázati „étvágya” alapján. Kollégáink tapasztalattal rendelkeznek nem csak kockázatelemzés témájában; CISA (Certified Information System Auditor) és CISSP (Certified Information Systems Security Professional) képesítéssel rendelkeznek és járatosak az információbiztonság egyéb területein is, így szélesebb kitekintést tudnak adni.
A PwC munkatársai hatékony és releváns kockázatelemzéssel támogatják Önt:
A kockázatelemzés értelme jól mutatkozik az alábbi példák mentén:
Napjainkban IT biztonsági követelményeket és azok betartását egyre több helyen várják el. A nemzetközi jó gyakorlatok az IT folyamatok terén (ITIL) és az információbiztonságban (ISO27001, NIST) fontos szerepet kapnak.
Az információbiztonsági érettségi felmérés célja, hogy objektív képet alkosson a cég információbiztonsági képességeiről, meghatározza, hogy mennyire ellenálló a szervezet a belső-külső támadásokkal szemben és fejlesztési irányokat mutasson a szervezet vezetői számára. A felmérés eredménye hatékony segítséget nyújt a stratégiai döntések meghozatalában.
Az érettségi felmérés több, egymásra épülő elemből áll. Vizsgálja a folyamatokat, a bevezetett információbiztonsági megoldásokat, azok funkcióit és a szervezetben dolgozók információbiztonsági ismereteit. A felmérés legidőigényesebb része az interjú, amely számba veszi a nemzetközi jó gyakorlat által elvárt információbiztonsági beállításokat.
Az érettségi felmérés kiértékelése során a PwC szakértő munkatársai meghatározzák a hiányosságokat, feltárják a szükséges fejlesztési irányokat és kockázatelemzési módszertan alapján rámutatnak a kritikus pontokra a szervezet információbiztonsági működésében. Ehhez több éves tapasztalattal, IT rendszer auditori és információbiztonsági ismeretekkel és tanúsítványokkal rendelkezünk.
A felmérés irányt tud mutatni a vezetők számára a jövőbeni fejlesztendő területekre és segítséget nyújt a törvényi megfeleléshez.
A felmérés kiértékelése során több nemzetközi szabvány és magyarországi információbiztonsági előírás figyelembe vételre kerül, amely biztosítja azt, hogy a felmérés több területen is felhasználható legyen, mint például:
Az érettségi szint felmérés a PwC további információvédelmi szolgáltatásával kiegészíthető:
Az érettségi felmérések az alábbi területeken a legrelevánsabbak:
Az IT rendszerek, vállalatok belső vagy külső informatikai hálózata több okból lehet céltáblája kibertámadásnak. Néha csak a szolgáltatások elérésének, működésének megakadályozása a cél, néha az informatikai rendszerekben tárolt adatokhoz, információhoz való hozzáférés. A sikeres támadás a szervezet folyamatait támogató IT rendszerei ellen csak két tényezőn múlik.
Az egyik az IT rendszer felhasználóinak tudatossága, a másik az IT rendszer önálló védelme.
Az informatikai rendszereken keresztül végrehajtott folyamatok teljesülésének alapvető eleme, hogy az IT rendszer és a kapcsolódó folyamatok (például adatkezelés) ellenálló legyen a belső vagy külső kibertámadásokkal szemben.
A PwC többféle, mélységében és terjedelmében eltérő folyamati és technikai, kiberbiztonsági vizsgálatot tud lefolytatni, amelynek minden esetben a hiányosságok feltárása a cél. Ezek ismeretében az alkalmazott IT rendszerek üzembiztonsága, rendelkezésre állása és integritása és a folyamatok megbízhatósága fejleszthető.
A feltárt hiányosságok visszaépíthetők az IT biztonsági kockázatelemzésbe is. A kiberbiztonsági vizsgálat végső célja a kockázatok feltárása és csökkentése, amely segíti a szervezet objektív kockázat kezelését és támogatja az IT rendszerek fenntartható és biztonságos működését. A PwC tanácsadói széles körű tudással rendelkeznek kibervédelmi megoldások terén, CISA (Certified Information System Auditor) és CISSP (Certified Information Systems Security Professional) képesítéssel rendelkeznek, így a konfigurációtól a folyamati szervezésig és a kiberbiztonsági vizsgálat eredménye alapján hatékony segítséget nyújtanak a feltárt sérülékenységek kezelésében is.
A PwC munkatársai segítik a biztonsági kockázatok feltárásában és kezelésében:
A vizsgálatokra legrelevánsabb példák:
Az információbiztonsági szakma többszörösen igazolt tapasztalata, hogy az információbiztonságban a „leggyengébb láncszem” az emberi tényező, ezért az adatok megfelelő védelmének biztosításához nem elégséges azokat technikai eszközökkel (pl. vírusirtó, tűzfal) védeni, hanem a napi működésbe is szükséges beépíteni az információbiztonság-tudatosságot.
A PwC friss felmérése alapján (http://www.pwc.com/gsiss) is érdekes tény, hogy új „győztes” van a támadások módját illetően: az Adathalászat mind világ, mind európai szinten első:
Az emberi jóindulatot kihasználó támadások során egy támadó a munkatársak, vagy éppen partnerek, beszállítók segítségével (a tudtuk nélkül) jut érzékeny információkhoz (pl. jelszavak, szerződéses adatok, stb). A technológiai védelem elengedhetetlen, de nem elégséges, kiemelten fontos a tudatossági képzés, hogy a munkavállalók felismerjék, és kezelni tudják ezeket a támadásokat, és információbiztonság beépüljön a napi működésbe.
Biztonságtudatossági oktatásunkkal segítjük a szervezeteket az ilyen típusú támadások és kockázatok felismerésében és a szervezet munkatársait az információbiztonsági jó gyakorlatok megismerésében, azoknak megfelelő használatában.
Ennek során felvázolunk egy általános IT biztonsági körképet is, a támadástípusokat példákon keresztül mutatjuk be, és akár az oktatáson elhangzottakat gyakorlati eszközökkel vagy tesztekkel vissza is mérjük. Ennek hatására csökkenhet a véletlen adatszivárgás, és az adatokhoz való illetéktelen hozzáférés kockázata.
A PwC munkatársai segítik a munkáját:
Az informatikai biztonság fontos eleme a bekövetkezett incidensek kezelése. Nem elég azonban megfelelő folyamatokkal rendelkezni erre, fontos a résztvevők tudatosságának fejlesztése vagy szinten tartása. Így az incidenskezelés esetében kiemelten fontos a szabályzatok frissen tartása és a folyamatok kockázat alapú kialakítása mellett a rendszeres oktatás, és annak visszamérésére alkalmas szimulációs gyakorlatok elvégzése. Szakértőink ezen életciklus minden részében támogatást tudnak adni.
Az incidenskezelési folyamatok és különösen a kiberbiztonsági incidensek kezelése sokszor alulértékelt és nem kellően szabályozott, de gyakran találkozunk idejét múlt verziókkal is. Szakértőink felmérik a jelenlegi folyamatokat, javaslatot tesznek a kiegészítésre vagy módosításokra, további kontrollokra vagy eszkalációs módszerekre. A frissített folyamatokat a Társaság szabályozási rendszerének és működési környezetének figyelembe vételével alakítjuk ki. A szabályzatok tudatosítására gyakorlati példákkal tűzdelt interaktív oktatást tartunk. De az igazi visszamérés a szimulációs gyakorlat. Ennek során egy összetett, többféle incidensből összeállított esetet dolgozunk ki, melyet az érintettekkel „lejátszunk”. Ennek során vizsgáljuk és értékeljük a szabályzatokban szereplő folyamatok és szabályok alkalmazását, a tanulságok mentén esetleg finomítva is azokat.
A PwC támogatja Önt a megfelelő incidens kezelési folyamatok kialakításában és működtetésében:
Példa a felmérésekre és szabályzatokra a legrelevánsabb területeken:
Az információbiztonsági feladatok kezelésére a hazai és a nemzetközi szabályozás is előírja a dedikált felelős kijelölését. Ezt például 2013/L törvény is tartalmazza. A megfelelő szakember felvétele és teljes foglalkoztatása azonban nehéz, így hatékonyabb azt kiszervezni. A PwC szakértői támogatást tud ebben nyújtani, az információbiztonsági felelős pozícióját el tudja látni.
Az információbiztonsági felelős kiszervezése sok esetben hatékony megoldást jelent. Ez elsősorban a törvényi követelményekből adódó általános feladatok elvégzését jelenti, mint például a szabályzatok véleményezése és a hatóságokkal és a kormányzati eseménykezelő központtal való kapcsolattartás. Az igazi érték azonban a terület átfogóbb kézben tartása. Ennek során szakértőink támogatást adnak mind a fejlesztési irányok meghatározásában, priorizálásában, mind a felkészülési és fejlesztési projektek koordinálásában. Továbbá a megfelelő szabályozottság elérése érdekében nem csak a szabályzatok kialakításához és kontrollok implementálásához nyújtanak segítséget, de rendszeres ellenőrzéseket is végeznek.
A szabadulószoba egy oktatási célú szerepjáték, felnőttek részére. Alkalmazásával választ kaphatunk az alábbi kérdésekre:
Manapság népszerűnek mondhatók a felhő alkalmazások, sok szolgáltatás hirdeti ezek előnyeit, de amikor a biztonságáról van szó – a szakmán kívül – akkor még mindig nagy a bizalmatlanság. Mit szabad és mit nem szabad felhőbe tenni? Mennyire érzékeny az adat? Anonimizáljuk?
Ezzel szemben például az USA-ban már az a gyanús, ha valaki nem egy felhő-szolgáltatónál tartja az adatait, akkor számíthat szigorúbb ellenőrzésre. Ehhez persze az is kell, hogy a szolgáltatókat tanúsítják, az IT-auditok jelentős része a felhőszolgáltatások auditját jelenti, melyről megfelelőségi riportokat kapnak. A közelmúltban kiadott IT-biztonságról szóló felmérésünk is azt mutatja, hogy világszinten 63% szervezi ki az IT- működését a felhőbe, Európában még jóval kevesebben, 39%. Ezt követi Európában a marketing, a pénzügy és a beszerzés területe jó 15%-al lemaradva.
A felhőbe való kiszervezés üzleti és technikai kérdéseket is felvet, melyekkel kapcsolatban szakértelmünkkel és tapasztalatunkkal igyekezünk segíteni ügyfeleinket. A biztonsági és technikai területen például a következő szolgáltatásokat nyújtjuk:
A vállalati riporting struktúra jellemzően organikus fejlődés eredménye, amely nagyfokú testreszabottságot eredményez, de egyben csökkenti a riporting tevékenység átláthatóságát. Szakértőink a társaság riportolási folyamatait felmérve átfogó riport-leltárt készítenek, és kiszűrik a redundáns riportolási lépéseket. Ezen túlmutatóan közre tudunk működni a jelenlegi riporting eszközök fejlesztésében, a kor igényeinek megfelelő korszerű riportolási felületek (pl. Tableau, Qlik Sense) bevezetésének elősegítősében.
Az adatvagyon megfelelő felhasználását gyakran korlátozzák az organikusan fejlesztett informatikai környezet és manuális változtatások által eredményezett adatminőségi, adattartalmi hiányosságaink. Az adatstruktúra összefüggéseinek felmérésével és az egyes adatkörök minőségének részletes kiértékelésével kialakíthatóak, és segítségünkkel megvalósíthatóak a teljes adatvagyon megtisztítására vonatkozó akciótervek.
Átfogó adatelemzési kompetenciáink és a rendelkezésünkre álló informatikai eszközök lehetővé teszik, hogy segítséget nyújtsunk olyan adatelemzési feladatokban, amelyre a társasság normál üzletmenetében nem tud vállalkozni. Szakértőink az ügyfelek igényeit megismerve elvégzik a szükséges tömeges adatelemzési feladatokat, és azokból strukturált következtetésekre támaszkodó eredményeket adnak át.
"A belső ellenőrzési tevékenység nem csupán vállalati szintű ellenőrzési eszközt jelent, annál több. A jól végzett ellenőrzés értéket teremt."