Texnoloji Risk Məsləhəti

Texnoloji Risk Məsləhəti

Texnoloji Risk və Məsləhət təşkilatlar daxilində texnologiyanın istifadəsi və yerləşdirilməsi ilə bağlı risklər barədə məsləhətlər verir. Mütəxəssis komandalarımız geniş şəkildə aşağıdakı başlıqlar altında təsnif edilə bilən bir sıra xidmətlər təqdim edir:

İnformasiya təhlükəsizliyi təşkilatlara riskləri müəyyənləşdirməyə və məlumatı qorumaq və qorumaq üçün mövcud nəzarət vasitələrini qiymətləndirməyə kömək edir.
PCI DSS-BDO müştərilərə onların uyğunluğuna kömək etmək üçün bir sıra xidmətlər təklif edən QSA şirkətidir.
  • Xidmət Təşkilatına Nəzarət Hesabatları: nəzarət vasitələrinin dizaynı və əməliyyat effektivliyinin müstəqil yoxlanılması.
  • Data Analytics: məlumatların idarə edilməsinə və verilənlərdən həqiqi dəyər əldə etməyə kömək etmək üçün qabaqcıl məlumat sorğu proqramından istifadə.
  • Məlumat Məxfiliyi: məlumatların məxfiliyi siyasəti və prosedurlarının uyğunluğunu başa düşmək və qiymətləndirməkdə köməklik.
  • İT Daxili Audit (daxili Sarbanes-Oxley Bölmə 404 testi daxil olmaqla): biz daxili mütəxəssis resursuna malik olmayan müştərilərə İT daxili audit xidmətləri təqdim edirik.
  • Layihə Riskinin İdarə Edilməsi: layihənin idarə edilməsi metodologiyalarının korporativ səviyyədə və layihə-layihə əsasında uyğunluğunun və effektivliyinin qiymətləndirilməsi.
Biznesin davamlılığı planların uyğunluğunun qiymətləndirilməsinə köməklikdən tutmuş planların sıfırdan hazırlanmasına qədər bir sıra xidmətləri əhatə edir.
Biz ya güclü sistem nəzarətinə malik olduqlarını nümayiş etdirməli, ya da nəzarətlə bağlı araşdırmalar aparmağı seçmiş bir sıra müştərilərlə işləyirik. Risk və Məsləhət Xidmətləri bu yaxınlarda xidmət təşkilatına nəzarət hesabatı xidmətlərini təqdim etmək üçün bir sıra müştərilərlə məşğul olmuşdur.

BULUD TƏHLÜKƏSİZLİK RİSKİNİN QİYMƏTLƏNDİRİLMƏSİ

Bulud hesablamasının bir çox tərifləri var. Sadə dillə desək, bu, biznes məlumatlarınızın (bəlkə də məxfi və həssas), proqramların və/və ya İT infrastrukturunuzun elementlərinin internet və ya “bulud” üzərindən üçüncü tərəflərə miqyas iqtisadiyyatından faydalanmaq üçün autsorsingidir.
Bulud hesablama ilə İT infrastrukturunuzun bir hissəsi və etibar sərhədiniz üçüncü tərəf xidmət təminatçısına keçir. Rəhbərliyə bulud hesablamaları ilə bağlı riskləri adekvat şəkildə anlamaq və həll etmək imkanı vermək üçün İT sistemlərini bulud provayderinə köçürməzdən əvvəl bulud hesablama riskinin qiymətləndirilməsi aparılmalıdır.
Bulud təhlükəsizliyi risk qiymətləndirməmiz bir sıra sahələrə baxır:
  • İT strategiyası
  • İdarəetmə
  • Sertifikatlar və müstəqil attestasiya
  • Məlumatların qorunması haqqında qanunvericilik
  • Məlumat yeri
  • İT təhlükəsizliyi
  • İstifadəçi Girişinin İdarə Edilməsi
  • İmtiyazlı istifadəçi girişi
  • Mövcudluq və davamlılıq

MALİYYƏ XİDMƏTLƏRİ MƏLUMATLARININ TƏHLÜKƏSİZLİYİ DİAQNOSTİKASI

Bizim Maliyyə Xidmətləri Məlumat Təhlükəsizliyi Diaqnostikası aparıcı tənzimləyicilər tərəfindən təqdim edilən sənayenin yaxşı təcrübəsinin nəticələrinə qarşı məlumat təhlükəsizliyinə nəzarəti nəzərdən keçirir.
Diaqnostika alətimizdən istifadə edərək, məlumat təhlükəsizliyinə nəzarəti nəzərdən keçirmək və hər hansı boşluqları müəyyən etmək üçün əsas maraqlı tərəflərlə işləyəcəyik. Bizim aydın və qısa hesabatımız müqayisə məqsədləri üçün istifadə edilə bilən əsas sahələr üzrə daha sonra bölünmüş ümumi məlumat təhlükəsizliyi xalını təqdim edir.
İNFORMASİYA TƏHLÜKƏSİZLİYİ
Tələblə bağlı dəqiq məlumat əldə etmək çox vacibdir və getdikcə daha çox təşkilatlar öz biznes sistemlərini təchizatçılar, müştərilər, işçilər və partnyorlarla inteqrasiyadan əldə ediləcək əhəmiyyətli faydanı dərk edirlər. Bununla belə, sistemlər nə qədər mürəkkəb və inteqrasiya olunarsa, biznesin qarşılaşa biləcəyi İT təhlükəsizliyi riskləri bir o qədər çox olar.

Həssas məlumatların oğurlanması və müştərilərə xidmətin dayandırılması kimi İT təhlükəsizliyi pozuntuları ciddi uzunmüddətli təsirlərə səbəb ola bilər, o cümlədən:
  • Reputasiyanın zədələnməsi nəticəsində biznes itkisi
  • Tənzimləyicilər məlumat təhlükəsizliyinin pozulmasına görə ağır cərimələr tətbiq edirlər
  • Hüquqi iddialardan yaranan potensial xərclər
  • İT təhlükəsizliyinin idarə edilməsi şirkətlərə öz məlumat və sistemlərini nəzarətdə saxlamağa və təhlükəsizliyini təmin etməyə imkan verən təhlükəsizlik risklərinin müəyyən edilməsi və aradan qaldırılması prosesidir.
Xidmətlərimiz İT təhlükəsizliyinə yanaşmanızın uyğun olmasını təmin etmək üçün nəzərdə tutulub. Bu, risk iştahınızı, qarşılaşdığınız təhlükələri və tələb etdiyiniz nəzarətləri başa düşməyi əhatə edir. Biz bir nöqtədə İT təhlükəsizlik xidməti təqdim edirik.

Xidmətlərimizin çeşidinə aşağıdakılar daxildir:
  • İT Təhlükəsizlik Risklərinin Qiymətləndirilməsi
  • Nüfuz Testləri və Zəifliyin Qiymətləndirilməsi
  • Bulud Təhlükəsizliyi Riskinin Qiymətləndirilməsi
  • ISO 27001
  • Maliyyə Xidmətləri Məlumat Təhlükəsizliyi Diaqnostikası
  • PCI DSS

ISO 27001 NƏZARƏT İNCƏLƏMƏSİ

ISO 27001 İT təhlükəsizliyinin həm texniki, həm də idarəetmə aspektlərini əhatə edən beynəlxalq səviyyədə tanınmış, geniş əsaslı İT təhlükəsizliyinin yaxşı təcrübə çərçivəsidir. İT təhlükəsizlik nəzarətlərinizi ISO 27001 İT təhlükəsizlik standartı ilə müqayisə edə bilərik. Əgər siz standarta uyğun sertifikat almaq və ya sadəcə olaraq onların İT təhlükəsizliyi yanaşmasını təkmilləşdirmək istəyirsinizsə, biz sizə ISO 27001 İnformasiya Təhlükəsizliyi İdarəetmə Sistemini (İBS) inkişaf etdirməyə və sizi sertifikatlaşdırmaya hazırlamağa kömək edə bilərik.

İT TƏHLÜKƏSİZLİK RİSKİNİN QİYMƏTLƏNDİRİLMƏSİ

İT təhlükəsizliyi tez-tez texniki terminologiya ilə örtülmüş bir sahədir və onu başa düşmək çətin ola bilər. Əksər təşkilatlar İT təhlükəsizliyini qiymətləndirmək və ölçməkdə çətinlik çəkirlər nəticədə, daha geniş biznes təsirini kifayət qədər nəzərə almadan tez-tez texnologiyaya diqqət yetirilir.

Bizim yanaşmamız risk seminarına diqqət yetirir. Bu, ISO 27001 İT təhlükəsizlik standartının sahələri ətrafında strukturlaşdırılmış xüsusi İT təhlükəsizlik risklərinizin çevik tədqiqidir. BDO Risk Qiymətləndirmə Alətimizdən istifadə edərək, təhlükəsizlik nəzarətinizdəki boşluqları müəyyən edərək biznesinizin üzləşdiyi əsas İT təhlükəsizliyi risklərini müzakirə etdiyimiz və razılaşdığımız İT risk seminarını asanlaşdırırıq.
Seminarda əhatə olunan mövzular sizin xüsusi ehtiyaclarınızdan asılı olacaq, lakin tipik sahələrə aşağıdakılar daxildir:
  • İT təhlükəsizliyinin idarə edilməsi
  • Fiziki və ekoloji təhlükəsizlik
  • Təhlükəsizlik hadisələrinin idarə edilməsi
  • İnsan resurslarının təhlükəsizliyi
  • İT aktivlərinin idarə edilməsi
  • Biznesin davamlılığı
  • Giriş nəzarəti
  • Uyğunluq
  • İnformasiya sistemlərinin əldə edilməsi, inkişafı və saxlanması
  • Rabitə və əməliyyatların idarə edilməsi

ÖDƏNİŞ KARTI SƏNAYƏSİ MƏLUMATLARININ TƏHLÜKƏSİZLİK STANDARTI (PCI DSS)


BDO Ödəniş Kartı Sənayesi (PCI) Kvalifikasiyalı Təhlükəsizlik Qiymətləndiricisi (QSA) və Təsdiqlənmiş Skanlama Satıcısı (ASV) kimi akkreditə olunub. Müştərilərimizə onların PCI DSS uyğunluq tələblərini yerinə yetirməsinə kömək edən tam PCI xidməti təklif edirik.

PCI DSS ödəniş kartı detalları ətrafında təhlükəsizliyi artırmaq, istehlakçıları qorumaq və kart saxtakarlığını azaltmaq üçün sənaye standartı kimi yazılmışdır.

Standart altı təhlükəsizlik məqsədi ətrafında aşağıdakı kimi yazılmışdır:
  1. Təhlükəsiz Şəbəkə qurun və qoruyun
  2. Kart sahibi məlumatlarını qoruyun
  3. Zəifliyin İdarə Edilməsi Proqramını qoruyun
  4. Güclü Giriş Nəzarəti Tədbirlərini həyata keçirin
  5. Şəbəkələri müntəzəm olaraq yoxlayın və sınayın
  6. İnformasiya Təhlükəsizliyi Siyasətini qoruyun
Ödəniş kartı məlumatlarını saxlayan, emal edən və ya ötürən bütün təşkilatlar standarta uyğun olmalıdır. PCI DSS-ə riayət etmək çətin bir iş kimi görünə bilər, lakin buna ehtiyac yoxdur. İxtisaslı Təhlükəsizlik Qiymətləndiricilərimiz (QSA) risklərinizi anlamaqda və idarə olunan və sərfəli şəkildə PCI DSS uyğunluğuna nail olmaqda sizə kömək edə bilər.

BDO-nun təlim keçmiş QSA-ları aşağıdakı yollarla kömək göstərə bilər:
  • Əhatə dairəsinin azaldılması
  • Məlumat kəşfi
  • Boşluğun təhlili
  • Özünü Qiymətləndirmə Anketinin (SAQ) doldurulmasına kömək edin
  • Uyğunluq Hesabatının (ROC) tamamlanması
  • Məsləhət, məsləhət və rəhbərlik

RÜBƏRLƏR ZƏFƏRDƏN TARAMALAR

BDO Təsdiqlənmiş Skanlama Satıcısı (ASV) kimi akkreditə olunub. Bu, bizə PCI DSS uyğunluğuna çatmaq və saxlamaq üçün tələb olunan rüblük xarici zəiflik skanlarını həyata keçirməyə imkan verir.

Skanları həyata keçirməklə yanaşı, biz hər hansı əhəmiyyətli tapıntıların aradan qaldırılmasında və problemlərin həll olunduğunu yoxlamaq üçün təkrar araşdırmaların aparılmasında ekspert yardımı təklif edə bilərik.

PENETRASİYON TESTLƏRİ VƏ HƏFSLİLİK QİYMƏTLƏNMƏLƏRİ

Məlumatlarınıza və sistemlərinizə qarşı davamlı və daim inkişaf edən hücum təhlükəsi var. Həm mövcud, həm də yeni aşkar edilmiş zəifliklərdən faydalanmaq üçün gündəlik olaraq yeni istismarlar yaradılır.

Mürəkkəb hücumlar sizin bir və ya bir neçəsini hədəf ala bilər:
  • Şəbəkə
  • Veb infrastrukturu
  • Müştərilər
  • İşçilər
Hücumlara həssas məlumatların oğurlanması və müştərilərə xidmətin pozulması daxildir. Təhlükəsizlik pozuntuları biznesiniz üçün bir sıra ciddi nəticələrə səbəb ola bilər, o cümlədən:
  • Reputasiyanızın zədələnməsi nəticəsində biznes itkisi
  • Tənzimləyicilər məlumat təhlükəsizliyinin pozulmasına görə ağır cərimələr tətbiq edirlər
  • Hüquqi iddialardan yaranan potensial xərclər
  • Səhm qiymətinizə zərər
  • Dövri sınaq sistemlərinizin davamlı olaraq qorunduğuna əminlik verir.
 
Biz həm “xarici”, həm də “daxili” nüfuzetmə testlərini və zəifliyin qiymətləndirilməsini xaricdən və şəxsi şəbəkəniz daxilindən yaranan hücumlara qarşı həssaslığınızı qiymətləndirməyinizə kömək edirik. Testimiz həm şəbəkəniz, həm də veb infrastrukturunuz üçün təhlükələri əhatə edir.
 

XİDMƏT TƏŞKİLATININ NƏZARƏT HESABATLARI

Tipik olaraq, xidmət təşkilatında nəzarətlər haqqında hesabat vermək tapşırığı AAF 01/06 və SAS 70 və ya digər yerli standart əsasında həyata keçirilirdi. 15 iyun 2011-ci il tarixindən etibarən bir çoxunun ya ISAE 3402 və ya SSAE 16 altında çıxış edəcəyi, ya da bu standartlara keçidə başlayacağı gözlənilir. Xidmət təşkilatına nəzarət hesabatları adətən xidmət təşkilatlarının müştərilərinin auditorları ilə auditordan auditora ünsiyyət kimi istifadə olunur. Bu hesabatların oxucuları ondan xidmət təşkilatında mövcud olan nəzarət vasitələrini başa düşmək və müəyyən hallarda xidmət təşkilatında nəzarətin effektiv olub olmadığını müəyyən etmək üçün istifadə edirlər.
Xidmət auditorunun verə biləcəyi iki növ xidmət təşkilatına nəzarət hesabatı var.

1-ci tip hesabatda auditor xidmət təşkilatında nəzarət vasitələrinin ədalətli şəkildə təqdim edilib-edilməməsi və onların nəzarət məqsədlərinə cavab vermək üçün uyğun şəkildə tərtib edilib-edilməməsi barədə hesabat verir. Daha tez-tez rast gəlinən 2-ci tip hesabatda auditor nəzarət vasitələrinin ədalətli təqdimatı, dizaynı və həyata keçirilməsi haqqında hesabat verməklə yanaşı, müəyyən dövr ərzində nəzarət vasitələrinin səmərəli fəaliyyət göstərib-keçirmədiyi barədə də hesabat verir. Bu adətən bir ildir, lakin ümumiyyətlə altı aydan az olmamaqla müxtəlif dövrlər üçün ola bilər.

BDO prosesi mümkün qədər hamar etməyə kömək edə bilər.Bu hesabatları uğurla tamamlaya bilmək üçün meyarları müəyyən etmək və sistemləri və nəzarətləri müəyyən etmək üçün bir çox müştəri ilə işləmiş komandamız mövcuddur.

Sizi və təşkilatınızın necə fəaliyyət göstərdiyini tanımaq üçün vaxt sərf edirik. Bu o deməkdir ki, daha sonra sizinlə mövcud seçimlər və məqsədlərinizə çatmağın ən yaxşı və ən səmərəli yolu haqqında ağıllı müzakirələr apara bilərik.

Layihənin ilkin mərhələlərində biz nəzarət məqsədlərinizin standartlara uyğunlaşdırılmasına və bütün lazımi sahələri əhatə etməsinə kömək edə bilərik. Başlanğıcda əsasları yerinə yetirmək üçün vaxt ayırmaqla, bu, hər şeyin ilkin mərhələlərdə nəzərdən keçirildiyinə dair sizə rahatlıq verir və sonradan layihədə səmərəliliyə gətirib çıxarır.

Nəzarət vasitələriniz təcrübəli auditorlar tərəfindən müstəqil şəkildə yoxlanılmalı və yekunlaşdırılmalıdır. Bu məqsədlə, müştərilərinizin tələb etdiyi müstəqil əminliyi təmin etmək üçün nəzarətlərinizi sınaqdan keçirə bilərik.

Bir xidmət təşkilatı olaraq bir sıra seçimləriniz var. Hansı variantın sizin üçün ən yaxşı olduğuna qərar verərkən nəzərə alınmalı olan əsas amil müştərilərinizin tələblərindən asılıdır. Müştəriləriniz yalnız ABŞ-da yerləşirsə və beynəlxalq bazarlara çıxmaq planınız yoxdursa, SSAE 16 standartlarını tətbiq etmək daha yaxşı olar.

Əgər siz müştərilərə beynəlxalq səviyyədə xidmət göstərirsinizsə, lakin bunlar ABŞ-da deyilsə, o zaman ISAE 3402 hesabatı ehtiyaclarınıza ən yaxşı şəkildə cavab verəcəkdir. Həm ABŞ-da, həm də beynəlxalq miqyasda müştərilərin olduğu yerlərdə biz sizinlə mövcud olan ən yaxşı variantları müzakirə edə bilərik, çünki geniş müştəri bazanızı təmin etmək üçün hər bir standart dəsti üzrə hesabata sahib olmaq istəyə bilərsiniz.
İxtisaslı Risk və Məsləhətçi komanda üzvlərimiz müştəriləri bu prosesdən uğurla keçməkdə böyük təcrübəyə malikdirlər. Biz müştərilərə ISAE 3402, SSAE 16, AAF 01/06, SAS 70, SOX 404, ITIL və COBIT daxil olmaqla, həm prosesləri, həm də əsas informasiya sistemlərini biznes və tənzimləmə tələblərinə uyğunlaşdırmaqla onların əsas əməliyyat risklərini müəyyən etməyə və səmərəli şəkildə azaltmağa kömək edirik. Bizim yanaşmamız biznes və İT risklərinin təminatı və məsləhətləri üzrə dərin biliklərə əsaslanır.
.

Müşfiq Muxtarov

Vergi və Mühasibat üzrə Baş Məsləhətçi
personView bio