Cyberbezpieczeństwo | KPMG | PL

Cyberbezpieczeństwo informacji i systemów (Cybersecurity)

Cyberbezpieczeństwo

Cyberbezpieczeństwo aktywów informacyjnych, systemów informatycznych oraz instalacji przemysłowych SCADA.

Cyberbezpieczeństwo informacji, systemów IT oraz instalacji przemysłowych SCADA.

Cyberbezpieczeństwo stanowi ważną kwestię dla każdej organizacji do której należy podchodzić kompleksowo i nie polegać wyłącznie na technologiach. Codzienne wydarzenia uwypuklają ryzyka stwarzane przez atakujących – od pojedynczych hakerów, po profesjonalne i zorganizowane grupy cyberprzestępców, które planują systematycznie kraść pieniądze, własność intelektualną oraz zakłócać działanie firm. Prawidłowa alokacja zasobów na bezpieczeństwo cyfrowe, aktywne zarządzanie i podejmowanie decyzji w sprawie bezpieczeństwa cyfrowego oraz budowanie świadomej kultury organizacyjnej opartej na wiedzy pozwoli Organizacjom stawić czoła otaczającym je ryzyka i efektywnie przygotować się na nowe cyberzagrożenia.

Aktywa informacyjne i dążenie do zapewnienia ich integralności, poufności oraz dostępności stanowią fundamentalną rolę dla stabilnego i kontrolowanego wzrostu każdego przedsiębiorstwa. Świadomość tego jest już powszechna, a inwestycje firm w technologie informatyczne - poza zapewnieniem ciągłości i dostępności usług operacyjnych - objęły również usługi ochrony informacji strategicznych oraz narzędzi przeciwdziałających wszelkiego rodzaju nadużyciom. Bez względu na wielkość organizacji oraz charakter jej działalności, efektywność wewnętrznego systemu kontroli w obszarze bezpieczeństwa technologii i zasobów informacyjnych może stanowić o jej sukcesie bądź porażce. Wzrost świadomości w tym zakresie wynika również z rosnącej liczby zagrożeń i coraz większego zasięgu ich potencjalnych konsekwencji, które wymuszają na organizacjach działania ochronne.

Aby wesprzeć Państwa w działaniach prewencyjnych bądź ograniczających skutki materializacji potencjalnych ryzyk w środowisku technologii informatycznych prezentujemy główne elementy naszych kompetencji:

  • Projektowanie i analiza strategii bezpieczeństwa teleinformatycznego oraz bezpieczeństwa informacji. Aby efektywnie zarządzać bezpieczeństwem aktywów informacyjnych należy dążyć do całkowitego wykluczenia wszelkiej przypadkowości poprzez stworzenie spójnego i nadzorowanego systemu kontroli wewnętrznych. W tym celu oferujemy Państwu wsparcie w zakresie identyfikacji potrzeb oraz celów w obszarze rozwoju technologii informatycznych Państwa organizacji, analizy dojrzałości i efektywności aktualnego systemu kontroli, jak również w przygotowywaniu planu dalszych działań i mechanizmów nadzoru. Nasi konsultanci dysponują praktyczną wiedzą z zakresu najlepszych rynkowych praktyk (jak np. normy ISO/IEC 27000, SABSA, COBIT), oraz doświadczeniem we współpracy z Klientami w zakresie tworzenia od podstaw dostosowanych strategii bezpieczeństwa IT, dzięki czemu jesteśmy w stanie odpowiedzieć na Państwa potrzeby w powyższym obszarze.
  • Weryfikacja zgodności kontroli w środowisku IT w odniesieniu do stosownych regulacji. W zależności od rynku, na którym Państwa organizacja funkcjonuje, bądź profilu jej działalności, stopień dojrzałości wewnętrznego systemu kontroli w obszarze bezpieczeństwa informacji i technologii informatycznych może podlegać dodatkowym regulacjom prawnym (np. rekomendacja D dla sektora bankowego). Wówczas osiągnięcie statusu zgodności np. z normą ISO/IEC27001 może okazać się niewystarczające i konieczne będzie podjęcie dodatkowych bądź bardziej szczegółowych działań w zakresie przeciwdziałania i mitygowania potencjalnych zagrożeń w środowisku IT. Dzięki naszemu zaangażowaniu w projekty o charakterze audytowym i doradczym, możemy pochwalić się doświadczeniem zdobytym w obszarach sprawozdawczości finansowej, badań typu Due-Diligence, usług poświadczających (np. ISAE 3402, ISAE 3000, PCI DSS), kontroli realizowanych na zlecenie dostawców usług finansowych, a także w zakresie działań towarzyszących zaktualizowanej Rekomendacji D i jej odpowiednikowi dotyczącemu firm ubezpieczeniowych. Dzięki temu jesteśmy w stanie zaoferować Państwu kompleksowe i efektywne wsparcie w zakresie analiz zgodności kontroli stosowanych w środowisku IT względem regulacji obowiązujących w Państwa organizacji.
  • Testy poziomu bezpieczeństwa wewnętrznego systemu kontroli oraz wybranych mechanizmów ochronnych.
    • Zaawansowane testy APT (Advanced Persistent Threat). Najczęstszą przewagą intruzów atakujących zabezpieczenia zasobów informacyjnych jest czas na zaplanowanie i przygotowanie właściwego dla danej organizacji wektora ataku. Dzięki niemu mogą oni w nieograniczony sposób analizować biznesową charakterystykę celu, wykorzystywane technologie, aktywności pracowników w mediach społecznościowych, ale także procesy administracyjne w siedzibie firmy (np. obecność zewnętrznych firm cateringowych). Łącząc elementy technik inżynierii społecznej, bezpieczeństwa operacyjnego i bezpieczeństwa systemów informatycznych atakujący zbiera informacje pozwalające na opracowanie zaawansowanej i wielowymiarowej metody ataku na długo przed bezpośrednim dotknięciem badanej infrastruktury. Aby umożliwić Państwu zapobieganie oraz przewidywanie potencjalnych skutków tych działań przygotowaliśmy propozycję zaawansowanych testów APT, która łączy w sobie weryfikację wewnętrznego systemu kontroli i przeciwdziałania ryzykom zagrażającym chronionym zasobom informacyjnym. Czynności jakie podejmujemy w ramach projektu opierają się na kompleksowych procedurach identyfikacji słabości w mechanizmach ochronnych kontroli bezpieczeństwa logicznego (np. w zakresie poziomu bezpieczeństwa usług informatycznych), fizycznego (np. w zakresie mechanizmów ochronnych przed nieautoryzowanym przeniknięciem do przestrzeni biurowych) i operacyjnego (np. poprawności i efektywności procesów identyfikujących i przeciwdziałających zagrożeniom). W zależności od preferencji Klienta, nasze działania mogą być również ukierunkowane na weryfikację świadomości użytkownika poprzez elementy inżynierii społecznej.
    • Testy penetracyjne środowiska informatycznego. Podczas testów penetracyjnych nasi konsultanci wcielają się w rolę intruza, dokonując kontrolowanego ataku m.in. w celu spowodowania niedostępności danej usługi (np. strony internetowej) bądź pozyskania dostępu do chronionych zasobów informacyjnych. Testy penetracyjne polegają na sprawdzeniu skuteczności wykorzystywanych zabezpieczeń w środowisku informatycznym poprzez kontrolowane próby ich przełamania, ominięcia lub wykorzystania błędów implementacyjnych. Szczegóły realizacji powyższych procedur testowych, a także działania podejmowane w wyniku ich powodzenia, zawsze uzgadniane są z Klientem przed rozpoczęciem projektu, chyba że celem danej inicjatywy będzie zasymulowanie jak najrealniejszego procesu przygotowywania i wykonywania ataku teleinformatycznego. W tym przypadku przekazanie wiedzy o planowanych metodach, a także o środowisku Klienta, celowo ograniczane jest do niezbędnego minimum. Ryzyko związane ze zidentyfikowanymi lukami bezpieczeństwa badanych systemów oceniane jest w postaci skumulowanych efektów ich działań. Ocena ta, poza aspektami technicznymi, dokonywana jest w kategoriach ryzyka biznesowego, tak by przedstawione wyniki zrealizowanych testów oraz potencjalnych konsekwencji były czytelne dla kadry zarządzającej Klienta.
    • Testy bezpieczeństwa technologii nadzoru przemysłowego IACS (Industrial Automation and Control Systems). Przeprowadzenie kompleksowej oceny poziomu bezpieczeństwa komponentów systemów automatyki przemysłowej IACS jest procesem bardzo złożonym i wymagającym wysokiej dbałości o ich niezakłócone funkcjonowanie. Ważnym aspektem efektywnego przeciwdziałania zagrożeniom w środowiskach IACS jest również umiejętność zapewnienia poprawnej i każdorazowej definicji charakterystyki operacyjnej i biznesowej wszystkich głównych elementów technologii (np. SCADA, DCS, PLC etc.) dla danej organizacji. Biorąc to pod uwagę opracowaliśmy dedykowaną metodykę testów realizowaną w oparciu o międzynarodowe, uznane standardy i wytyczne w zakresie systemów IACS w tym między innymi: DHS, GCHQ, ISA, etc. Podejście KPMG rozważa wszystkie istotne zagadnienia związane z ludźmi, procesami oraz technologią. W szczególności koncentrujemy się na aspektach ładu korporacyjnego, strategii w zakresie utrzymania, planowania i rozwoju, zasadach współpracy z dostawcami zewnętrznymi oraz procesach zapewniających świadomość sytuacyjną, jak również monitoring możliwości w zakresie analizy incydentów. Oprócz procedur weryfikujących kształt wewnętrznego systemu kontroli w środowisku IACS, nasze podejście przewiduje również realizację testów implementacji najlepszych praktyk w zakresie konfiguracji, testy penetracyjne oraz złożone testy APT (Advanced Persistent Threat).
    • Testy odporności wobec ataków z wykorzystaniem elementów inżynierii społecznej. Wykorzystywanie błędów ludzkich jest jednym z najbardziej skutecznych sposobów na uzyskanie dostępu do zasobów nawet najbardziej chronionych instytucji na całym świecie. Z tego powodu w naszych usługach wyodrębniliśmy testy odporności wobec ataków z wykorzystaniem elementów inżynierii społecznej, mimo że elementy socjotechniki stanowią również integralną część testów penetracyjnych. Testy te dają możliwość przeprowadzenia realnej próby efektywności i dojrzałości systemu kontroli bezpieczeństwa w Państwa organizacji. Cel ten realizujemy poprzez przygotowanie ustalonych i zaakceptowanych przez Klienta scenariuszy testowych, polegających na przeprowadzeniu prób nieautoryzowanego pozyskania informacji potencjalnie wrażliwych bądź ominięcia mechanizmów kontrolnych przy pomocy technik manipulacji i z wykorzystaniem narzędzi informatycznych. W wyniku tych działań możemy dokonać oceny poziomu świadomości pracowników w zakresie ryzyk związanych z technologiami informatycznymi i efektywności procesu reagowania na zidentyfikowane incydenty bezpieczeństwa.
    • Testy bezpieczeństwa fizycznego. Bezpieczeństwo fizyczne zasobów informacyjnych, jak również mechanizmów wykorzystywanych do ich przetwarzania, stanowi ważny element spójnego i efektywnego systemu kontroli każdego przedsiębiorstwa. Nasze doświadczenie wyniesione z realizacji projektów z zakresu bezpieczeństwa teleinformatycznego pokazuje, że środki przeciwdziałające potencjalnym ryzykom są często ograniczane do odpowiedniego, acz jednorazowego zabezpieczenia głównego wejścia budynku, przestrzeni biurowych czy wejść drugorzędnych takich jak wejścia/ wyjścia awaryjne oraz parkingowe. Warto zauważyć, iż także w zakresie bezpieczeństwa fizycznego poza poprawnym zaprojektowaniem stosownych kontroli niezwykle istotna jest dbałość o ich efektywność. Celem proponowanej przez nas usługi jest umożliwienie Państwu doświadczenia potencjalnego wpływu symulowanych zagrożeń, a tym samym możliwości realnej i niezależnej konfrontacji posiadanych zabezpieczeń z najtrudniejszym przeciwnikiem jakim jest czas i rutyna. Czynności podejmowane w ramach tego typu projektów ukierunkowane są na obserwację działania mechanizmów zastosowanych w celu ochrony przed nieautoryzowanym dostępem do przestrzeni fizycznych. Podczas testów weryfikowane są mechanizmy kontrolne w obszarze bezpieczeństwa fizycznego oraz potencjalna możliwość nieuprawnionego wykorzystania przestrzeni ogólnodostępnej skupiającej pracowników danej organizacji (np. ogólnodostępna restauracja lub recepcja). Oczekiwanym wynikiem tych obserwacji jest identyfikacja potencjalnych nieprawidłowości w implementacji kontroli bezpieczeństwa bądź braku efektywności w ich realizacji (np. możliwość rejestracji wejścia „intruza” w statusie gościa danej organizacji, a następnie po przekazaniu instrukcji gdzie należy się kierować pozostawienie takiej osoby bez nadzoru).
  • Przegląd konfiguracji elementów usług informatycznych. Mimo dostępności narzędzi usprawniających realizację inicjatyw łączących obszary utrzymania IT, rozwoju IT i strony biznesowej przedsiębiorstwa (np. metodologia ITIL), w organizacjach zdarzają się nieprawidłowości wynikające z nieefektywnych procesów, nieprawidłowego rozdziału kompetencji wewnątrz zespołów bądź nieefektywnej komunikacji między departamentami. W szczególności, przypadki te dotyczą procesów zarządzania zmianą oraz konfiguracją w środowisku informatycznym, dotykających w sposób bezpośredni zagadnienia konfiguracji elementów usług informatycznych (np. urządzeń sieciowych, systemów operacyjnych, baz danych itp.). Przeglądy konfiguracji realizowane przez KPMG w Polsce, poza identyfikacją i oceną ryzyk dokonywaną w odniesieniu do najlepszych praktyk, uwzględniają również rekomendację potencjalnych zmian w oparciu o ustalony poziom ryzyka oraz weryfikację ich zasadności biznesowej. Dzięki temu, poza merytoryczną oceną poziomu bezpieczeństwa dowolnego elementu usługi informatycznej, dokonywana jest także weryfikacja zasadności skonfigurowanych funkcjonalności, jak również implementacji uprawnień. Warto także nadmienić, iż KPMG w Polsce jest firmą całkowicie niezależną od firm wdrożeniowych jak również dostawców technologii informatycznych.
  • Szkolenia w obszarze bezpieczeństwa technologii informatycznych. Konieczność stałego podnoszenia świadomości potencjalnych ryzyk i budowania mechanizmów zapobiegawczych jest jednym z fundamentów postępowania z wszelkimi działaniami zagrażającymi integralności, poufności i dostępności chronionych zasobów informacyjnych. Wychodząc tej potrzebie naprzeciw przygotowaliśmy cykl szkoleniowy dedykowany dla użytkowników systemów informatycznych. W jego zakresie omawiamy i prezentujemy praktyczne metody i techniki stosowane przez intruzów w celu przełamania bądź ominięcia zabezpieczeń, jak również we współpracy z Klientem, omawiamy sprawdzone metody przeciwdziałania wskazanym próbom nadużyć.

     

Jednym z naszych głównych priorytetów jest dążenie do zapewnienia najwyższej jakości świadczonych przez nas usług, dlatego każdorazowo dostosowujemy je do potrzeb Klienta.

 

Nasze projekty realizowane są przez wykwalifikowanych ekspertów KPMG w zgodzie z najlepszymi rynkowymi standardami oraz rekomendacjami uznanych na całym świecie organizacji jak np.:

  • OWASP (Open Web Application Security Project),
  • OSSTMM (Open Source Security Testing Methodology Manual),
  • NIST (National Institute of Standards and Technology),
  • COBIT (Control Objectives for Information and related Technology),
  • PN ISO/IEC,
  • ITIL (Information Technology Infrastructure Library).

 


Dzięki zdobytemu doświadczeniu oraz umiejętnościom stale rozwijanym w profesjonalnych środowiskach na całym świecie, pomagamy naszym Klientom identyfikować słabe punkty stosowanych rozwiązań technologicznych i organizacyjnych, oceniać wpływ zidentyfikowanych problemów na biznes, projektować i wdrażać strategię w zakresie ochrony informacji, jak również wdrażać rozwiązania w zakresie bezpieczeństwa. Eksperci KPMG pomagają Klientom zidentyfikować i adekwatnie zaadresować ryzyka związane z bezpieczeństwem oraz zaprojektować i wdrożyć efektywny system ich monitorowania.

 

 

Bądź z nami w kontakcie

 

Zapytanie ofertowe (RFP)

 

Prześlij

Kontakt