חברת Vigorous Security מעניקה את השירותים הבאים (ואנו גם פתוחים לשמוע מכם אודות שירותים שאתם צריכים ולא מופיעים להלן – צרו קשר!):
ניהול אבטחת מידע
שירות vCISO – כלומר Virtual CISO (מוכר גם בשם CISO as a Service), הכוונה למנהל אבטחת מידע ארגוני שאינו עובד הארגון אך הוא באופן מעשי הממונה על בניה, תחזוקה, שיפור וקידום אבטחת המידע בארגון. בהתאם למאפיינים השונים של הארגון (כגון גודל, מיקום, פריסה, בשלות התקשוב ואבטחת המידע, תקציב וכן הלאה)
ה-vCISO מבצע את הפעילויות המוזכרות בהמשך עמוד זה ונוספות, באופן אישי ו/או בסיוע עובדי ה-IT ואבטחת המידע של הארגון
סיוע לחברות ותיקות, סטארט-אפים וקרנות הון סיכון בפיתוח ושיפור המוצרים והשירותים שהן מפתחות
היבטי אבטחת מידע במוצר ובשירות – ביצוע סקירה של המוצר או השירות בהיבטי אבטחת מידע כגון קיום ואיכות מנגנוני הזדהות, הרשאות ולוגים; קיום ואיכות הצפנות וגיבוב (Hash) במידע שאינו פעיל (At Rest) ובתקשורת (In Transit); עמידה בתקנים וסטנדרטים אשר נדרשים על ידי החוק, רגולציות, לקוחות וספקים
"בוחן מציאות" למוצרים ושירותים – הערכת הצורך המעשי במוצר או בשירות הרלוונטיים; בחינת השוק והשוואה מול מוצרים ושירותים מתחרים; בחינה מעשית של המוצר בראיית הלקוח הסופי והצעות לשינוי ושיפור
בדיקת מצב קיים, מיפוי וביקורת
סקר סיכונים – בחינה מקיפה של כלל סיכוני התקשוב האפשריים לארגון, או רק במערכת מסוימת, בכדי שהארגון יהיה מודע לכמות ואיכות הסיכונים ויקבל דו"ח סיכונים מפורט אשר גם יציע פתרונות מעשיים, כולל הערכת עלויות, משאבים ולוחות הזמנים אשר נדרשים לצורך הקטנת הסיכונים וסגירת הפערים
מיפוי רמת החשיפה הפסיבית של הארגון – בדיקת נקודות הגישה אל הארגון מרשת האינטרנט ואילו שירותים חשופים מול העולם, במטרה לצמצם אותן ככל שניתן ולבדוק את ההגנות עליהן, בכדי להקטין את הסיכון ככל שניתן
מיפוי רמת החשיפה האקטיבית של הארגון – בדיקת נקודות הגישה מהארגון אל רשת האינטרנט וישירות אל גורמי חוץ אחרים, במטרה לצמצם אותן ככל שניתן ולבדוק את ההגנות עליהן, בכדי להקטין את הסיכון ככל שניתן
בדיקות חוסן / חדירה (Penetration Testing) – ניסיונות טכניים מעשיים לפרוץ אל מערך התקשוב הארגוני, בלי כמובן לגרום לנזק כלשהו, במטרה לקבל מושג מעשי עד כמה הארגון פגיע, תוך שימוש בכלי התקפה וטכניקות בהם עושים שימוש פושעי סייבר
ביקורת (Audit) – ארגון אשר מבקש להבטיח את קיומו חייב לוודא מדי פעם, באמצעות נקודת מבט מקצועית חיצונית, כי מערך התקשוב של הארגון, בכללותו או בחלקים מסוימים ממנו, מקיים אבטחת מידע נאותה אל מול פני הסיכונים הרלוונטיים, ולשם כך יש צורך לבצע תהליך של בקרה על בסיס פעילות של ביקורת על מערך אבטחת המידע הארגוני, באמצעות תשאול מסוגים שונים (מילוי שאלונים, ראיונות פנים אל פנים וכדומה), על ידי סקירה מעשית של המערכות (במצב "קריאה בלבד", כך שאין סיכון לנזק למערכות) ובמקרים מסוימים גם באמצעות בדיקות חוסן אשר מדמות תקיפה אמיתית אך באופן בטוח (ראו את השירות "בדיקות חוסן / חדירה (Penetration Testing)" לעיל בעמוד זה). אנו מבצעים פעילויות בקרה אלו עבור יחידות הביקורת של הלקוחות שלנו ולעתים אף על בסיס בקשות מיוחדות של דרגי ניהול בכירים אשר רוצים חוות-דעת חיצונית מקצועית ובלתי-תלויה
תחזוקה ושיפור
תחזוקת מערך אבטחת מידע קיים – בשלב ראשון יתבצע לימוד של הארגון וצרכיו מבחינה עסקית ותקשובית (בדגש על אבטחת המידע בארגון) ותתקיים ישיבה עם הארגון בכדי להחליט אילו מערכות, מוצרים ושירותים הארגון מעוניין לתחזק בהיבטי אבטחת מידע ובאיזה היקף – ובהתאם להחלטות שיתקבלו תחל פעילות התחזוקה בלוח הזמנים שהארגון יבחר
שיפור מערך אבטחת מידע קיים – רצוי כי פעילות זו תחל לאחר ביצוע סקר סיכונים כנזכר לעיל, אולם לא תמיד ארגונים מעוניינים לבצע סקר סיכונים, שהוא פעילות יחסית נרחבת, אלא מעוניינים להתמקד בשיפור תחומים ספציפיים.
בשלב ראשון יתבצע לימוד של הארגון וצרכיו מבחינה עסקית ותקשובית (בדגש על אבטחת המידע בארגון) ותתקיים בחינה של הפערים בין הרצוי למצוי במערכות הנדרשות; בשלב השני ייכתב מסמך המלצות אליו יתווספו תוכניות עבודה, רכש, תקציב ולוח זמנים; ולבסוף, במידה והתוכניות יאושרו – נעבור לשלב הביצוע
הכנה ותגובה לאירועי חירום
לצער כולנו לא ניתן להבטיח הגנה של 100%, לא בעולם הפיזי ולא בעולם הדיגיטלי, ועל כן אנו חייבים להכין עצמנו מראש למצב שבו תתרחש תקיפה עוינת אשר תצליח ברמה כזו או אחרת:
אנו נסייע לכם להכין מראש את הארגון לתרחישי תקיפה שונים על ידי בחינה ושיפור של שרידות המידע והמערכות, רצוי כולל ביצוע תרגילי התמודדות עם תרחישים שונים של תקיפה כנגד הארגון.
כמו כן, במקרה, חס וחלילה, של תקיפה כנגד הארגון – אנו נלווה אתכם אישית לאורך כל האירוע עד לסיומו, במטרה להפחית את כמות ורמת הנזק שיכולים להיגרם לארגון. לאחר האירוע נפיק עבורכם דו"ח סיכום עם המלצות לשיפור ומניעה, וכמובן נשמח לסייע לכם לממש המלצות אלו
מדיניות, נהלים, עמידה בדרישות רגולטוריות והכנה להסמכות
כתיבת מדיניות אבטחת המידע הארגונית – ממשל ארגוני תקין מחייב קיום מסמך יסוד אשר מהווה את הבסיס אשר על פיו יתבצעו כלל פעילויות אבטחת המידע בארגון, ומסמך זה הוא "מדיניות אבטחת המידע" של הארגון, אשר אנו נכתוב עבורכם באופן מותאם ייחודית לארגון שלכם
כתיבת נהלים – נהלים הם הדרך הארגונית להבטיח אחידות בפעילות האנשים והמערכות במהלך העבודה השוטפת באופן מותאם למסמך "מדיניות אבטחת המידע" של הארגון (המוזכר לעיל). אנו נכתוב עבורכם את הנהלים הדרושים לכם באופן מותאם ייחודית עבור הארגון שלכם
הסמכות לתקנים ועמידה ברגולציה – הסמכות הן הדרך המקובלת להציג לעולם כי הארגון שלכם עומד בדרישות אחידות של אבטחת מידע. לעתים אלו דרישות הכרחיות לתחום העיסוק של הארגון (כגון PCI עבור ארגון שמקבל תשלומים על בסיס כרטיסי אשראי, או דרישות רגולציה של המדינה או של גופים מקצועיים) או כי הארגון רוצה לוודא שהוא מתנהל נכון ועל פי סטנדרטים מקובלים (כגון תקני ISO). אנו נייעץ לכם אילו הסמכות נדרשות ו/או רצויות לכם, מה משמעותן ומה נדרש בכדי להשיג אותן, ונלווה אתכם עד לקבלת ההסמכה ולאורך התהליך הנדרש בכדי להחזיק את ההסמכה בתוקף לאורך זמן
התחלות חדשות
הקמת מערך אבטחת מידע – מקימים מערך תקשוב חדש? משרד או סניף חדש? כדאי לשלב את אבטחת המידע מיד בהתחלה, ביחד עם כלל ה-IT, בכדי להבטיח הגנה משולבת ממש בהתחלה. לאחר תשאול שיסייע לנו להבין מכם את מטרות הארגון, הרכב האנשים והמערכות, הקישורים הנדרשים מול העולם ועוד – נציג בפניכם את הרכיבים שאנו סבורים שיעניקו לכם הגנת אבטחת מידע מיטבית, ונסייע לכם במימוש ההתקנות וההגדרות בפועל
הכנסת מערכת או שירות חדשים – במהלך חיי ארגון קיים מדי פעם צורך להוסיף מערכת חדשה או שירות חדש, אשר דורשים התייחסות אבטחתית משלהם ואנו נסייע לכם להגדיר את השינוי באופן מאובטח, משלב הרכש וההקמה ועד להעברה לתפעול שוטף
מידענות
שירות מידענות ממקורות מידע גלויים (OSINT, Open-source intelligence) – מידע הוא הנכס היקר ביותר בעידן שלנו ומידע הוא הבסיס לידע, וכידוע – ידע הוא כוח. היכולת שלכם להיות מיודעים ומודעים לסיכונים חדשים בעולם ולמענים האפשריים להם – נותנת לכם יתרון משמעותי במימוש הגנה נכונה ויעילה על הארגון שלכם, על בסיס סדר עדיפויות ריאלי שלוקח בחשבון סיכונים אקטואליים וממשיים.
אנו נסייע לכם להבין את הטרנדים בעולמות אבטחת המידע בכלל ובייחוד באלו הנוגעים לתחום העסקי שלכם ולמערכות בהן אתם עושים שימוש; נעדכן אתכם באופן שוטף בחדשות וידיעות בתחומים אלו; נבצע סקרי שוק של טכנולוגיות מוצרים ושירותים – כולל השוואות; ועל פי צורך גם נכין דו"חות עומק על פי הנושאים בהם אתם מעוניינים
.