ל- Securitree ניסיון עתיר ידע בביצוע מבדקי חוסן לאתרים דינמיים (E-business) ו- Gateway מורכבים ומרובי מנגנוני הגנה שונים. בין לקוחותינו בארץ ובעולם בתחום: בנקים, חברות תעופה, תיירות, ביטוח, קופות חולים, אקדמיה, פיננסי, הי-טק ועוד. במסגרת מבדקי החוסן צוות המומחים של Securitree מדמה האקר המגיע מכיוון האינטרנט ו/או האקר פנימי המבצע חדירה מיחידות שונות בתוך הארגון ליחידות אחרות אליהן הוא אינו מורשה לגשת. במסגרת המבדק צוות Securitree בודק את כל שכבות ה-OSI החל מרמת התקשורת ועם התמקדות מיוחדת ברמת האפליקציה בה נעשה שימוש רב בביצוע חדירות לארגונים.
ל- Securitree צוות מיומן של האקרים הפועל לבחינת חוסנו של האתר / Gateway הנבדק בשני מישורים:
- מישור ראשון - בחינת כל רכיב באתר / Gateway הנבדק תוך ביצוע ניסיונות חדירה ומיפוי נקודות התורפה בכל רכיב.
- מישור שני - לבצע התקפה "צעד אחר צעד", כלומר לדמות התקפה בלתי מבוקרת על האתר / Gateway לבחון את תגובת האתר על הפעולות השונות המבוצעות עליו ולנצל את תגובות האתר להתקדמות בהתקפה וחדירה לארגון.
מתודולוגית העבודה של Securitree משלבת ניסיון וידע רב בהדמיית האקרים ובכלי האבטחה והרשת המשמשים כיום ארגונים. חדירה לארגון משלבת עשרות תסריטי תקיפה שונים המכילים בין השאר ניסיונות התחזות, חדירה לארגון באמצעות סוסים טרויאנים, ביצוע עשרות מניפולציות על המערכות, ניצול באגים ועוד.
ל- Securitree ניסיון עתיר ידע בביצוע סקרי סיכונים לרשתות ארגוניות בסדרי גודל שונים עד חברות בעלות אלפי שרתים ופריסה עולמית ענפה.
סקר הסיכונים בוחן את רמת אבטחת המידע ונקודות התורפה באופן שיטתי בארגון, החל מרמת המקרו של בחינת פעילות הארגון כמקשה אחת, בעיקר מבחינת מבנה התקשורת של הארגון, הממשקים השונים של הארגון לספקים, קישוריות המאפשרת גישה מרחוק, ומבנה ה-LAN, ועד להתעמקות ברמת המיקרו ובחינת כל רכיב ברשת בנפרד, כגון: אבטחת מידע ברמת מערכות ההפעלה, אפליקציות, ההגנות בו משתמש הארגון, נקודות תורפה מבחינת הממשק האנושי ועוד.
מיפוי שיטתי זה ואיתור נקודות התורפה בכל מערך בנפרד ובכל הממשקים בין המערכות יחד, מאפשר לארגון לקבל תמונת מצב ברורה על הסיכונים השונים להם הוא חשוף. חברת Securitree מסייעת ללקוח לשפר את רמת האבטחה בארגון על ידי מתן מסמך המלצות המקביל למסמך הממצאים שאותרו, המותאם ספציפית לארגון הנבדק ומאפשר לו לשפר ולשדרג את רמת האבטחה ולצמצם סיכויי פגיעה בעתיד.
חברת Securitree מתמחה בהכשרת ארגונים לקראת הסמכתם לתקן ישראלי 7799. התקן, אשר אומץ על-ידי ארגון ה-ISO כתקן ISO17799, מהווה תקן בינלאומי (BS7799) מוביל ובלעדי בתחום ניהול אבטחת המידע בארגון. מומחי חברתSecuritree הוכשרו על-ידי הארגון האנגלי BSI (British Srandard Institute) כ-Lead Auditors המוסמכים על-פי אמות מידה בינלאומיות בתחום הקמת מערכות לניהול אבטחת מידע בארגונים.חברת Securitree מספקת שורה של פעילויות איכותיות אשר הכרחיות בהקמת מערך אבטחת מידע יעיל, המותאם לסיכונים הייחודיים מולם עומד הארגון. במסגרת הפעילויות המוצעות: גיבוש מסמך מדיניות, מיפוי נכסים, ביצוע הערכת סיכונים, כתיבת נהלי אבטחה, הדרכה, תרגול, פיתוח שיטות בקרה ואכיפה, התווית תוכנית התאוששות מאסון (DRP). ביכולתו של הלקוח גם לבחור שירותים בודדים מתוך סל הפעילויות.
בשנים האחרונות הולכת וגוברת מגמת מיקור חוץ (OUTSOURCING) לתחומים שונים ומגוונים בארגון. לגורמים רבים מטעם חברות ספק (ממשקים עסקיים) ניתנת נגישות פיזית ולוגית למידע רגיש אשר הפגיעה בו או חשיפתו הבלתי מבוקרת, במזיד או בשוגג, עלולים לגרום לחברה נזקים קשים, חלקם אף מבלי שתהיה מודעת להיווצרותם. חברות רבות ערות לצורך בהטמעת היבטי אבטחה פנים-ארגוניים אך נוטות להזניח את יישום הנחיות האבטחה בקרב הממשקים העסקיים. לחברת Securitree ניסיון רב היקף בתחום הטיפול האבטחתי בממשקים עסקיים. מתודולוגית הטיפול כוללת, בין השאר: ביצוע מיפויים מקדימים לקביעת "רמות הסיכון" של הממשקים העסקיים, ביצוע סקרי סיכונים ארגוניים בקרב ממשקים עסקיים נבחרים, ניסוח נספחי אבטחת מידע ייחודיים וספציפיים לכל חברת ספק, ליווי הלקוח עד לשלב חתימת חברת הספק על נספחי אבטחת המידע, ביצוע "ביקורות שלאחר חתימה" על-מנת לוודא את יישומם המלא של נספחי אבטחת המידע, ניסוח "נספחי ליקויים" המשקפים את הפערים בין "המצוי לרצוי".בנוסף וכאופציה, ניתן לקיים ביקורות סמויות בחברות בהן קיים מידע רגיש במיוחד.
למרות ההתפתחות הטכנולוגית המאפשרת עיבוד, העברה ואחסון מידע באמצעים לוגים, מידע רב עדיין מופק ומאוחסן במצעים פיזיים (מסמכים, פלטים, שקפים, דיסקים, דיסקטים וכדומה). בעת שחברות רבות משקיעות את עיקר משאבי אבטחת המידע בהיבטי המחשוב והתקשורת, מצוי ברחבי חברות רבות מידע רב ורגיש המפוזר כמעט ללא כל בקרה, על גבי מצעים פיזיים. המידע אינו ממודר בפני גורמים בלתי מורשים ואינו מאובטח. פעמים רבות הנו משונע באמצעים בלתי מהימנים, ללא בקרה או מעקב ומידע רגיש אף מגיע פעמים רבות לפחי הזבל אשר מחוץ לשטח החברה, שם הנו חשוף לעיניהם של גורמים מתחרים או עוינים, החפצים בו. יישום מדיניות אבטחה בתחום המצעים הפיזיים מחייבת שינוי בתרבות הארגונית של הארגון, שהרי אחריות יישום ההנחיות מוטלת על כתפי העובדים בלבד. מתודולוגיה מסודרת ויעילה תניב רמת אבטחה גבוהה בתחום ותוביל למזעור נזקים פוטנציאליים העלולים לנבוע מחשיפתם הבלתי רצויה של מצעים פיזיים. לחברת Securitree ניסיון מעשי עשיר בהנחלה מוצלחת ורבת היקף של תרבות ארגונית זו.
לחברת Securitree צוות מנוסה ומיומן בניתוח תהליכים עסקיים, תכנון ויישום של מערכים להמשכיות עסקית (BCP) ואישוש מערכות המידע (DRP), והקמתם של מערכי ניסוי, פיקוח ובקרה המיועדים לבחון את המוכנות של אתר המחשוב החלופי.
Securitree תסיע לארגונך ב-:
- הקמת מערך שיאפשר את המשך פעילותו העסקית גם בעתות חירום/אסון.
- ליווי, הטמעה, פיקוח ובקרה של הקמת מערך חלופי לאישוש מערכי המידע.
- עיצוב ויישום לאישוש מודרג בשלבים של מערך המחשוב החלופי ומיצוב כח-אדם.
- הכנת מדיניות, נהלים ותהליכים תפעוליים לניהול שוטף ותחזוקת המערך החלופי.
- תרגול תרחישי ייחוס שונים לבחינה ובקרת אישוש התהליכים הקריטיים בארגון.
לחברת Securitree הידע, הניסיון וכח-האדם הדרוש על מנת לסייע לארגונך בתכנון לניהול מבוקר של הסיכונים ובהטמעת האבטחה והבקרה במערכות מידע ארגוניות.
Securitree תסיע לארגונך ב-:
- איתור וניתוח הסיכונים המאיימים על המערכות/תהליכים אשר ייסקרו בארגון.
- קביעת תיעדוף לטיפול בסיכונים שאותרו בהתייחס לרמת "החומרה" ומורכבות הפתרון.
- עיצוב פתרון בשיתוף גורמים בארגון בהתייחס אל הממצאים ורמות התיעדוף שנקבעו.
- הכנת תוכנית עבודה ואבני דרך (לו"ז) ליישומה בשלבים, בהתאמה לפתרון שעוצב בארגון.
- ליווי תהליך היישום, וסיוע בשלבי ההטמעה ובבקרת הכלים והאמצעים ששולבו בפתרון.
לחברת Securitree כח-אדם מנוסה המצויד בכלים ובכל הידע הנדרש על מנת לסייע בתכנון לניהול הסיכונים ובהטמעת אבטחת המידע במערכי מחשוב מרכזיים.
Securitree תסיע לארגונך ב-:
- סקירת האבטחה בתשתיות, ממשקים, תקשורת ויישומים המותקנים במחשוב המרכזי.
- איתור וזיהוי סיכוני האבטחה ומיפוי נקודות הכשל הנובעות מהפער שבין הקיים לנדרש.
- ניתוח הסיכונים שאותרו תוך כדי קביעת רמות "חומרה" עבורם וסולם תיעדוף לטיפול.
- עיצוב פתרונות לשיפור האבטחה בשלבים ותכנון מודרג באמצעות אבני דרך ולו"ז לביצוע.
- ליווי, סיוע ופיקוח בהטמעת הפתרונות שעוצבו ובקרת צוותי הפרויקט ורמת יישומו בפועל.
- תיעוד והכנה לתפעול של הפתרונות שיושמו ותכנון לתחזוקה ובקרה של מערך האבטחה.
|
|