OFERTA HANDLOWA AUDYTU I TESTÓW BEZPIECZEŃSTWA

Transkrypt

1 Katowice, OFERTA HANDLOWA AUDYTU I TESTÓW BEZPIECZEŃSTWA Silence on the wire Adres: Katowice, ul. Chorzowska 6, p. V Telefon kontaktowy: contact@silenceonthewire.com Strona internetowa:

2 SPIS TREŚCI Kim jesteśmy? - 3 Nasze cele - 3 Zakres usług - 4 Przykładowa oferta: - 7 Oferta dla firm - 8 Oferta dla banków i instytucji finansowych - 9 Dlaczego my? - 10

3 Kim jesteśmy? Firma Silence on the wire powstała z chęci realizacji i rozwinięcia pasji do bezpieczeństwa w obszarze informatyki. Założycieli spółki aktywnie realizujących się w dziedzinie bezpieczeństwa połączyły wspólne cele i odrębne profesjonalne doświadczenia. Przede wszystkim: Audyt bezpieczeństwa, Dedykowane testy dla każdej z firm, Tworzenie aplikacji i rozwiązań webowych, Media społecznościowe Zdobyta wiedza i doświadczenie doprowadziły do realizacji projektu kompleksowej ochrony bezpieczeństwa firm realizujących swoje przedsięwzięcia w cyberprzestrzeni. Priorytetowym zadaniem w spółce jest: Zapewnienie cyberbezpieczeństwa przy pełnej zgodności z przepisami, regulacjami Unii Europejskiej oraz wymogami Komisji Nadzoru Finansowego. Nasze cele: Jakość i profesjonalizm świadczonych usług, Pełna zgodność z przepisami prawa w szczególności ochrony danych osobowych, tajemnicy przedsiębiorstwa, płatności elektronicznych, Działanie w obszarach bezpieczeństwa środowiska teleinformatycznego i cyberprzestrzeni, Usługi ochrony danych przetwarzanych w cyberprzestrzeni, Zapewnianie bezpieczeństwa procesów, Doradztwo i audyty w zakresie zgodności systemów przetwarzających płatności,

4 Pomoc instytucjom finansowym w zarządzaniu ryzykiem związanym z bezpieczeństwem systemów Dostarczanie narzędzi do prowadzenia audytu, przeprowadzanie audytu w firmach Pomoc w tworzeniu bezpiecznych systemów płatności internetowych Tworzenie hybrydowych modeli działań zespołów Security Operation Center Obecnie pracujemy nad narzędziem do: Zgłaszania incydentów oraz ich obsługi Przeprowadzania procesu audytu Zakres usług: Zarządzanie procesem audytu Tworzenie raportów z przeprowadzonych audytów i testów bezpieczeństwa Tworzenie kompletnego planu bezpieczeństwa w firmie, które ma chronić dostępności, integralności i poufności infrastruktury IT oraz danych przechowywanych i przekazywanych Wprowadzanie w życie aktualnych trendów technologicznych, w tym social media Ochrona ważnych informacji przed przechwyceniem, usuwaniem lub wprowadzaniem zmian Monitorowanie transmisji danych przez sieć przed nieuprawnionym dostępem Analizowanie danych i wprowadzanie niezbędnych aktualizacji Badanie sieci, komputerów, serwerów, routerów, przełączników w celu poprawy bezpieczeństwa i ulepszenia Przeprowadzanie oceny ryzyka w całej sieci, w tym systemów sprzętowych i programowych Ocena podatności na ataki cybernetyczne Poprawa bezpieczeństwa sieci, zarządzania tożsamością, logowania Przygotowanie planów i dokumentów związanych z danymi centrum ekspansji lub uzupełnień

5 Testy bezpieczeństwa Wykrywanie luk bezpieczeństwa i ich niwelowanie Tworzenie skryptów testowych dla luk bezpieczeństwa Opracowanie narzędzi niskiego poziomu, które poprawiają bezpieczeństwo i monitorowanie badań Projektowanie systemów spełniających wymagania HIPAA, PCI, SOX Poprawa bezpieczeństwa fizycznego w sieciach LAN i WAN Identyfikacja potencjalnych, niepożądanych zdarzeń, w tym sprzętu komputerowego i oprogramowania, awarii, malware, szkodliwych intruzów, ataków typu DoS i wykroczeń pracowników Projektowanie systemów bezpieczeństwa i szyfrowania, aby wyeliminować lub zmniejszyć luki bezpieczeństwa Tworzenie i wdrażanie modeli matematycznych do analizy danych Opracowanie systemów zabezpieczeń kryptograficznych i algorytmów Opracowanie i przetestowanie statystycznych i matematycznych modeli testowych Zidentyfikowanie luk i niedociągnięć w systemach Przeciwdziałanie nadużyciom w systemach płatności elektronicznej Klasyfikowanie złośliwego oprogramowania na podstawie podobieństw i zagrożeń Informowanie o najnowszych zagrożeniach malware Zarządzanie ryzykiem finansowym Nadzorowanie i kontrola zarządzania ryzykiem Zarządzanie incydentami teleinformatycznymi Prowadzenie dochodzenia po naruszeniu systemu Analizowanie niedociągnięć w sieci i infrastrukturze komunikacyjnej, w tym bezprzewodowej i mobilnej

6 Wykorzystanie systemu SCADA (Supervisory Control and Data Acquisition) Konfiguracja i kalibracja urządzeń, serwerów i sieci w firmie Monitorowanie przepływu danych Szybkie reagowanie na próby ataku z zewnątrz Rozwiązywanie błędów PLC Zarządzanie polityką ruchu Optymalizacja wszystkich operacji IT w firmach, w tym wsparcia sprzedaży, finansów, HR i obsługi klienta oraz wsparcia Ocena bezpieczeństwa danych finansowych po zaszyfrowaniu i dostępu dla określonej grupy osób. Dotyczy przede wszystkim kart kredytowych, bankomatów, transakcji internetowych. Kodowanie plików, wiadomości i systemów dla wojska i organów ścigania Opracowanie metod i procedur szyfrowania Diagnozowanie oraz naprawa usterek przy wykorzystaniu oprogramowania Tworzenie systemów bezpieczeństwa zapobiegającym atakom cybernetycznym Zarządzanie dostępem do systemu Przestrzeganie wszystkich procedur bezpieczeństwa Ocena ryzyka Nadzorowanie projektów IT pod kątem bezpieczeństwa Tworzenie pełnej dokumentacji w zakresie przeprowadzonych działań Wytwarzanie oprogramowania Określenie możliwych exploitów w aplikacjach internetowych firmy Odzyskiwanie danych, ocena wiarygodności i ich kompletności Tworzenie kopii zapasowych planów Wykorzystanie Help Desk w razie awarii systemu podczas pracy pracowników

7 Tworzenie okien dialogowych, menu, interfejsu użytkownika w zależności od potrzeb biznesowych Szkolenia związane z całym obszarem IT Prowadzenie konsultacji w zakresie bezpieczeństwa Doradztwo w zakresie podatności systemu IT i ochrony przed złośliwym oprogramowaniem i atakami cyberprzestępców Przeprowadzanie szkoleń dla pracodawców i pracowników z zakresu bezpieczeństwa oraz oceny zagrożeń Przykładowa oferta Oferta dla firm: 1. Testy analityczne Analiza konfiguracji dla wszystkich usług i urządzeń w organizacji. Zwana też jest analizą kodu źródłowego. Jest długim procesem, jednak bardzo skutecznym. Potrafi znaleźć wszystkie podatności oprogramowania 2. Testy automatyczne Opierają się głównie na programowaniu. Zadaniem osoby testującej jest przygotowanie narzędzi w taki sposób, aby wykonał zadany scenariusz oraz widoczne były rezultaty pracy. 3. Testy penetracyjne Są to symulowane ataki na wskazany cel. Testy penetracyjne pozwalają sprawdzić rzeczywisty poziom bezpieczeństwa informacji. Ponadto pozwala wykazać podatności konkretnego systemu, aplikacji, bazy danych czy sieci. Testy umożliwiają identyfikację zagrożeń, które mogą doprowadzić do wycieku informacji, utraty dostępności czy awarii systemów 4. Doradztwo z zakresu bezpieczeństwa teleinformatycznego 5. Audyt bezpieczeństwa Zadaniem jest podniesienie poziomu bezpieczeństwa w danym przedsiębiorstwie lub instytucji. Celem audytu jest zbadanie zgodności działania instytucji z aktualnie obowiązującymi

8 przepisami w zakresie ochrony danych osobowych. Ma on również za zadanie wyeliminować różnego typu uchybienia zachodzące podczas przetwarzania danych osobowych. Istotną kwestią są kontrolowane ataki, które mają wykazać uchybienia w bezpieczeństwie systemu IT. Ważne jest również skontrolowanie wyrywkowo pracowników w przypadku wycieku danych na zewnątrz. Wykonywane są z określonymi standardami i normami np. dotyczące zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS). Popularnym certyfikatem posiadającym wiedzę z zakresu audytu, jest certyfikat CISA. Wydawany jest przez międzynarodową organizację ISACA. 6. Audyt nadużyć (śledczy) Wykrywanie nieprawidłowości w zarządzaniu przedsiębiorstwem, zapobieganie nadużyciom i przestępstwom, a także praniu brudnych pieniędzy. Badanie dokumentacji finansowej i dokumentów źródłowych np. fałszowanie danych finansowych. Konflikty interesów związane z działaniem rynku finansowego. 7. Archiwizacja Przeniesienie danych w inne miejsce w pamięci masowej. Celem jest długotrwałe przechowywanie zawartych w nim danych. Przeprowadza się ją w regularnych odstępach czasu. Do przeprowadzenia archiwizacji wykorzystuje się specjalne oprogramowanie. Ważne jest określenie parametrów przed samym rozpoczęciem archiwizacji tj. czas jej trwania, czas przechowywania danych, po którym dane zostaną usunięte z archiwum, czy będą to dane do odczytu, czy również zapisu. Wycena zlecenia odbywa się indywidualnie po wybraniu konkretnego pakietu usług/usługi oraz określeniu stopnia zaawansowania: BASIC, STANDARD, PRO Oferta dla banków i instytucji finansowych: 1. Kolektory danych Tworzenie kolektorów danych, analizujących behawioryzm klientów bankowości internetowej, w tym zachowania odbiegającego od normy, takich jak logowanie się do systemu z nietypowych krajów lub tworzenie nietypowych paczek przelewów internetowych.

9 Wyszukiwanie w bazach systemów Asseco oraz Comarch problemów związanych z fraudami oraz pralniami i słupami w bankowości elektronicznej. Odnajdowanie kretów w organizacji. 2. Testy penetracyjne Testy penetracyjne aplikacji bankowych wraz z testami procesowymi. Zapewnienie zgodności procesowej z Rekomendacją D oraz Rekomendacjami dotyczącymi bezpieczeństwa płatności internetowych. Określanie ryzyka operacyjnego na podstawie odnalezionych podatności oraz dostępności aplikacji w sieci i działania na poszczególnych interfejsach. Interfejs to grupa oprogramowania, wzajemnie komunikująca się ze sobą. Dopiero pełny test interfejsu, na którym pracuje aplikacja, pozwala na pełną ocenę ryzyka związanego z bezpieczeństwem aplikacji. Przeprowadzamy testy bezpieczeństwa i audyty bezpieczeństwa sieci, serwerów, aplikacji internetowych, desktopowych i mobilnych. Tworzymy rzeczywiste scenariusze testowe. Przeprowadzamy audyty kodu pod kątem bezpieczeństwa i wydajności. Pomagamy instytucjom przeciwdziałać atakom inżynierii społecznej oraz badamy odporność procesów w aplikacji na możliwość wystąpienia ataku inżynierii społecznej. Atakujemy aplikacje zachowując się jak prawdziwi cyberprzestępcy. Sprawdzamy odporność organizacji na działania związane z prowadzeniem cyberwojny przeciwko organizacji. 3. Zarządzanie procesem audytu Oferujemy profesjonalne zarządzanie procesem audytu oraz zarządzanie ryzykiem w instytucjach finansowych. Specjalizujemy się w procesie audytu opartym o COBIT oraz posiadamy scenariusze audytowe, opisujące każdy proces COBIT. Prowadzimy audyt wewnętrzny, w tym audyt jakości danych oraz pomagamy wdrażać rekomendacje audytów wewnętrznych i zewnętrznych. 4. Systemy anty-fraudowe Tworzymy behawioralne systemy anty-fraudowe, w oparciu o geolokalizację, listę podejrzanych adresów IP oraz numerów NRB. Pomagamy lokalizować pralnie oraz konta słupy. Wyszukujemy działania kretów i sprawdzamy, czy są one rzeczywiście możliwe. Poprzez nowoczesny data mining wyszukujemy nadużycia związane z praniem pieniędzy oraz finansowaniem terroryzmu. Przeciwdziałamy zwykłym cyberprzestępcom oraz cyberprzestępczości zorganizowanej. Tworzymy aplikacje i skrypty pod bazy danych systemów DEF 3000 i wyszukujemy działania fraudowe bezpośrednio w bazach tego systemu. Zbieramy dowody do spraw sądowych oraz dla organów ścigania. Oferujemy pełną informatykę śledczą systemów oraz aplikacji. 5. Zarządzamy incydentami teleinformatycznymi

10 Oferujemy zarządzanie incydentami teleinformatycznymi 24/7/365. W ramach usługi opracowujemy procedury monitorowania i przeciwdziałania incydentom teleinformatycznym. Instytucja finansowa może ograniczyć ryzyko, tworząc u nas zespoły SOC, które ściśle współpracują z całymi obszarami IT. Tworzymy międzynarodowy system do zarządzania incydentami teleinformatycznymi w instytucjach finansowych, zasilający systemy klasy SIEM, systemy płatności elektronicznych oraz firewalle nowej generacji. Przy każdym zgłoszeniu dotyczącym spamu oraz malware, dokonujemy szczegółowej analizy i kontaktujemy się z klientem, pomagając zapobiegać incydentom teleinformatycznym. Opiniujemy procedury wewnętrzne oraz opracowujemy alternatywne ścieżki postępowania, w tym alternatywne ścieżki postępowania z oprogramowaniem antywirusowym. Dlaczego my? To co robimy i nasza przyszłość opiera się na tym, jacy ludzie pracują nad naszymi projektami. Ufamy sobie wzajemnie i tworzymy produkty, które zmieniają świat. Dzięki należytej motywacji, wiemy, że nasze rozwiązania zawsze będą najlepsze. Pracujemy w zespole posiadającym wieloletnie doświadczenie w zakresie proponowanych rozwiązań. Jesteśmy pewni, że znajdziemy dla Państwa jak najlepsze rozwiązania, które nie tylko usprawnią pracę w Waszej firmie, ale przede wszystkim zapewnią jak najwyższy poziom bezpieczeństwa. Staramy się być cały czas dostępni i gotowi do działania. Mamy nadzieję, że niniejsza oferta stanie się podstawą do zawarcia współpracy. Jesteśmy gotowi odpowiedzieć na wszystkie Państwa pytania i wątpliwości. Zespół Silence on the wire