Zakaj potrebujete SUVI?
Ko v vašem podjetju izvedemo varnostni pregled omrežja, izpeljemo penetracijski test in skupaj z vami poskrbimo, da se izsledke vseh teh aktivnosti tudi čim bolj natančno prenese v prakso, je na vrsti SUVI.
Trdimo, da je Sistem za upravljanje in varovanje informacij (SUVI), poleg akta o ustanovitvi podjetja, eden izmed najpomembnejših aktov, ki ga sprejmete v podjetju. Brez njega je vsak napor v smeri povečanja varnosti IT sistemov jalovo početje. Zakaj?
Odločitev za ureditev stanja informacijske varnosti v podjetju mora priti iz samega vrha. Nič ne koristi, če se za večjo varnost trudi IT oddelek in nima pri tem podpore vodstva podjetja.
Vodstvo podjetja pa lahko samo skozi sistem pravilnikov, varnostnih politik, delovnih navodil, opisov procesov, tokov dokumentov in podobnega, v varnost podjetja vključi vse zaposlene.
Dejstvo je, da so za informacijsko varnost v podjetju odgovorni prav vsi. Od direktorice do hišnika, če gremo po vertikali, in od IT oddelka, prek proizvodnje do računovodstva, če gremo po horizontali.
Kaj je SUVI?
Sistem upravljanja varovanja informacij je orodje standardizacije procesov v vašem podjetju in če zaposleni SUVI poznajo in ga uporabljajo pri svojem delu, so učinki vsaj tile:
- višji nivo informacijske varnosti
- zmanjševanje tveganj neavtoriziranega dostopa do informacij,
- boljši nadzor nad izvajanjem storitev zunanjih izvajalcev
- podjetje je v veliki meri skladno z zakonodajo (ZVOP, ZVDAGA, ZEKOM)
- izboljšanje varnosti in kakovosti poslovnih procesov
- tudi konkurenčna prednost.
S stališča informacij pa SUVI poskrbi, da so podatki v vašem podjetju vedno:
- Zaupni oz. zaščiteni pred nepooblaščenim dostopanjem in razkritjem.
- Neoporečni. Sistem upravljanja varovanja informacij zagotovi postopke za varovanje točnosti in popolnosti informacij v programih.
- Razpoložljivi. IT storitve in informacije so na voljo takrat, ko jih uporabniki potrebujejo.
SUVI ni mrtva črka na papirju
Idealno je, da se sistem upravljanja varovanja informacij sproti dopolnjuje takrat, ko nastanejo spremembe v procesih podjetja. Lahko, na primer, podjetje pred kratkim posodobilo ali pa povsem spremenilo infrastrukturo, ki skrbi za rezervno kopiranje podatkov. Skrbniki posameznih dokumentov v SUVI sistemu morajo vse spremembe sproti vnašati, da dokumenti ostanejo čim bolj konsistentni z dejanskim stanjem v podjetju.
Tudi v primeru, ko podjetje to redno počne, pa je pametno, da se SUVI revidira vsaj enkrat letno. Na ta način vam tudi zunanje podjetje preveri, če je sistem upravljanja varovanja informacij še vedno v sozvočju s praksami v vašem podjetju.
Kaj lahko naredimo za vas?
- Zgradimo most med vodstvom podjetja in IT oddelkom. Delujemo kot začasni zunanji oz. najeti CIO, CTO, COO in ko končamo, za seboj pustimo urejeno okolje, v katerem uprava razume IT ter IT razume upravo.
- Opravimo analizo tveganja
- Pomagamo pri pripravi pravilnikov, varnostnih politik in delovnih postopkov, ki morajo biti del SUVI. Povedano drugače: skupaj s podjetjem in pravno službo v podjetju zgradimo SUVI in ga spravimo v prakso.
- Letno opravljamo revizijo SUVI in tako nenehno izboljšujemo vaše procese, dokumente, pravilnike in varnostne politike in se pri tem prilagajamo sprotnemu razvoju vašega podjetja.
Pri svojem delu se zanašamo na preizkušene in v svetu uveljavljene metodologije dela oz. ogrodja kot sta ITIL (Information Technology Infrastructure Library) in ITSM (Information Technolgy Service management).
Dobre prakse ITIL in ITSM so tudi naše dobre prakse in prek nas postanejo tudi vaše dobre prakse.