Přejít na hlavní obsah
       
      Většina bezpečnostních incidentů vzniká uvnitř sítě. Únik dat může mít významné finanční i reputační dopady. Zajistíme, že vaše IT infrastruktura bude stabilní, bezpečná a připravená na budoucí výzvy.
       

      Společnosti, kterým jsme úspěšně pomohli, nejčastěji řešily tyto otázky a výzvy:

      Nedostatečná bezpečnostní opatření / nastavení databází

      Nedodržování regulačních požadavků, resp. nesoulad se standardy

      Absence systematického auditování a analýzy rizik

      Optimální nastavení databází, obnova a zálohování dat

      Jak umíme pomoci

      Bezpečnostní prověrky/audity databází

      • za využití nástroje DiSec pro automatizované vyhodnocení bezpečnostního nastavení​

      Kontroly nastavení dle CIS benchmarků

      • systematické ověřování souladu s mezinárodními bezpečnostními standardy​

      Tvorba a revize interních směrnic či kontrolních mechanismů

      • nastavení pravidel, politik a kontrolních mechanismů v IT bezpečnosti

      Komplexní správa, optimalizace a rozvoj databází ve spolupráci s Digitec Solutions

      • zálohování, ladění výkonu, migrace, upgrady a vývojové služby

      Posouzení souladu s regulacemi a standardy

      • NIS2, DORA, GDPR, ISO 27001, COBIT, ITIL ad.

      Analýza rizik a návrh opatření v IT a bezpečnosti

      • identifikace slabých míst a návrh řešení

      Hodnocení vyspělosti IT procesů

      • zpracování maturity modelu a návrh řešení

      Nástroje DiSec a DiMon

      Při auditech systémů IT i aplikačních kontrol využíváme analytický nástroj DiSec, jehož výstup slouží jako podklad jak pro interní audity, tak pro regulatorní kontroly (např. NIS2, GDPR) a pravidelné vyhodnocování bezpečnostní úrovně databází. Výstupy z nástroje mohou být užitečné i při komunikaci
      s ČNB a NÚKIB.

      Pro kontinuální sledování úrovně tohoto nastavení nasazujeme nástroj DiMon, který pomáhá s dlouhodobým sledováním výkonu, dostupnosti a provozních parametrů databází. Pravidelný reporting umožňuje včas odhalit problémy a optimalizovat provoz.

      Jak pracujeme

      Spolupráce probíhá ve čtyřech fázích, které zajišťují efektivní a bezpečné vyhodnocení stavu databázového prostředí. Dle výsledků identifikujeme slabá místa a navrhneme konkrétní kroky ke zlepšení a splnění regulatorních požadavků.

      • Fáze A – příprava skriptů pro analýzu nastavení databáze
      • Fáze B – spuštění skriptu klientem a získání vstupních dat pro naši analýzu
      • Fáze C – analýza výsledků v chráněném prostředí KPMG
      • Fáze D – závěrečná zpráva s doporučeními

      Na závěrečnou zprávu lze navázat i rozsáhlejším auditem/prověrkou prostředí IT se zaměřením na testování klíčových oblastí IT (přístupová práva, řízení změn, incident management, fyzická i cyber bezpečnost, řízení dat v rámci IT governance aj.).

      Pokrýváme následující technologie:

      Oracle Database (verze 11g – 19c)
      více než 200 bezpečnostních kontrol dle CIS

      Linux (Red Hat, Oracle Linux)
      připravováno přes 650 kontrol pro verze 7 až 9

      Microsoft SQL Server (verze 2008–2022)
      téměř 50 kontrol dle CIS

      Windows Server
      součást CIS benchmarků, pokrytí bezpečnostních nastavení OS

      Standardy a metodiky

      CIS benchmark
      doporučení pro bezpečnostní konfiguraci technologií (OS, databáze, servery)

      ISO 27001, COBIT, ITIL
      rámce pro řízení informační bezpečnosti a IT procesů

      NIS2, DORA, GDPR
      legislativní požadavky v oblasti kybernetické bezpečnosti a ochrany dat

      Reference

      Komplexní audit bezpečnostního nastavení dle CIS standardů

      Klient si byl vědom rizik spojených s nedostatečným zabezpečením svých Oracle databází a chtěl jejich nastavení porovnat s existujícími benchmarky a standardy. Pomocí analytického nástroje DiSec jsme provedli komplexní audit bezpečnostního nastavení v souladu se standardy CIS. Díky detailní analýze jsme identifikovali největší slabiny a navrhli konkrétní opatření ke zvýšení bezpečnosti. Po implementaci doporučených řešení se klientovi podařilo výrazně zlepšit úroveň ochrany dat a snížit riziko potenciálních útoků.

      Bezpečnostní nastavení databází Oracle a MS SQL

      Klient chtěl pravidelně vyhodnocovat bezpečnostní úroveň svých databází Oracle i MS SQL pro interní účely i jako podklad pro regulatorní kontroly (např. NIS2 aj.). V reakci na opakující se bezpečnostní incidenty, které ohrožovaly citlivá data, jsme provedli audit procesů IT, nastavili databáze a zavedli účinné mechanismy pro detekci a reakci. Díky nástroji DiSec klient získal pravidelná a včasná upozornění na neobvyklé aktivity a nastavení v Oracle i MS SQL databázích.

      Ondřej Krejčí
      Ondřej Krejčí

      Senior Manager, Advisory – Risk & Finance

      KPMG Česká republika

      stepan-dolak
      Štěpán Dolák

      Manager, Advisory – Risk & Finance

      KPMG Česká republika