Security Scorecard

​​​​​​​​​​​​Security Scorecard

SecurityScorecard je platforma, která umožňuje hodnocení úrovně bezpečnosti organizace na internetu. Je poskytována jako SaaS a nabízí kontinuální neinvazivní monitoring společnosti.

 
 



Náš příběh

Po dokončení auditu u společnosti působící ve fintech oblasti, jsme odhalili nesrovnalosti a s tím spojená bezpečnostní rizika ze strany dodavatelů, kteří neměli potřebnou úroveň řízení bezpečnosti, vyspělost procesního a technologického zabezpečení oblastí spojených s dodávkou služeb našemu klientovi. 

Tito dodavatelé byli pravidelně auditováni, měli platnou certifikaci uznávaného bezpečnostního standardu a procházeli základním compliance checklistem klienta. Rizika spojená s kompromitací nebo únikem dat našeho klienta byla vysoká. S návrhem opatření na straně dodavatelů a současně na straně našeho klienta jsme řešili otázku, jak efektivně identifikovat ty dodavatele, kteří působí největší riziko a zároveň neinvestovat do pravidelných auditů všech dodavatelů. 
U klienta jsme navrhli proces hodnocení dodavatelů z pohledu případného ohrožení bezpečnosti a dopadů na business procesy. Upravili jsme požadavky a definice smluv, které nutí dodavatele k větší zodpovědnosti v kybernetické bezpečnosti. Navrhli jsme procesní a technické opatření pro řízení životního cyklu přístupů do infrastruktury společnosti. V neposlední řadě jsme doporučili sledovat bezpečnostní hygienu dodavatelů v jejich vlastní infrastruktuře, a to pomocí nástroje SecurityScorecard. 
SecurityScorecard zajišťuje přehledný seznam bezpečnostních rizik ze strany dodavatelů monitorované společnosti. Tento seznam SecurityScorecard automaticky klasifikuje dle míry zjištěné závažnosti. Díky nepřetržitému monitorování a klasifikaci možných rizik je klient schopen posoudit, jak dodavatelé dbají na bezpečnost vlastní infrastruktury, jako jsou systémy, jejich konfigurace, úroveň certifikací a šifrování, aktualizace atd. 
Díky službě SecurityScorecard jsme klientovi zlepšili systém hodnocení dodavatelů. Vstupy z tohoto systému jsou dnes používány na úrovni hodnocení dodavatele v nákupním procesu klienta, ale také jako jeden ze vstupů v procesu řízení rizik dodavatelů. Zajímavostí při využití těchto informací jsou klienti, kteří je využívají k sledování úrovně zabezpečení vlastních dceřiných společností. ​

Popis řešení 

Výstupem nástroje je mimo jiné tzv. security rating, ohodnocení bezpečnostní úrovne společnosti v rámci odvětví, přičemž hodnocení je A (nejlepší) až F (nejhorší). Hodnocení je počítáno v logaritmické škále, díky které lze lépe porovnávat velké společnosti s rozsáhlou infrastrukturou s těmi menšími, které mají třeba pouze jednu doménu. 
Celkový rating je kombinací hodnotících algoritmů rozdělených do 10 úrovní: network security, DNS health, patching cadence, endpoint security, IP reputation, application security, cubit score, hacker chatter, information leak a social engineering. Pro každou z deseti oblastí je vytvořen soupis nalezených nedostatků rozdělených do kategorií (high, medium, low, informational severity a positive signals). Každý nedostatek je popsán a je navrhnuto možné opatření. 
Security rating se aktualizuje jednou denně a lze sledovat jeho historii a změny v čase, takže je možné pozorovat, zda se stav společnosti zlepšuje nebo zhoršuje, ale také reakci na nové zranitelnosti, standardy a doporučení v konfiguraci služeb (jako např. šifrovací algoritmy). Graf zobrazuje úroveň společnosti, průměr v daném odvětví a celkové rozpětí hodnot v daném odvětví. V historii je zároveň event log, který vypisuje jednotlivé nové nebo vyřešené události. 

Kromě sledování úrovně vlastní bezpečnosti slouží SecurityScorecard i k řízení rizik dodavatelů, neboť dovoluje stejným způsobem zobrazit ratingy jiných společností. Platforma zároveň nabízí možnost pozvat vendora, který získá zdarma přístup k ratingu vlastní společnosti. Pro každou společnost je vytvořena závěrečná detailní zpráva, která obsahuje tyto informace: 

  1. ​Přehled všech hodnocených faktorů s počtem zjištěných nedostatků. 
  2. Graf hodnocení za uplynulých 30 dnů. 
  3. Přehled nejkritičtějších zjištění. 
  4. Vyhodnocení všech kategorií faktorů, které obsahuje výsledné skóre, seznam všech monitorovaných oblastí a u nich uvedený počet nálezů.​

SecurityScorecard je možné integrovat do GRC nástroje, a to jak data vlastní společnosti, tak i data vendorů. GRC nástroj pak synchronizuje data získaná z dotazníků s hodnocením dodavatelů, zranitelnostmi a s daty ze SecurityScorecard. 

SecurityScorecard nabízí i přiřazení nalezených nedostatků do jednotlivých kategorií nebo částí bezpečnostních standardů či legislativy, a to konkrétně 

      • ​​​​​GDPR, 
      • HIPAA,
      • ISO/IEC 27001:2005,
      • NIST 800-171,​
      • ​​NIST Cybersecurity framework Version 1.1,
      • PCI DSS Version 3.1,
      • SIG a SIG Lite
      • ​TISAX. 

Jak probíhá implementace? 

Implementace řešení je velmi jednoduchá. Protože společnost získává data kontinuálně o velkém množství společností, stačí získat přístupové údaje do platformy, a následně společnost může zobrazit ratingy své a svých vendorů, případně ratingy dalších společností (partnerů atd.). Cena řešení se odvíjí od počtu sledovaných dodavatelů (přístup k vlastní společnosti je vždy zdarma). 

Získávání dat probíhá v těchto krocích: 

  1. Zjištění aktiv – veřejně dostupná digitální aktiva společnosti. 
  2. Skenování aktiv – jak aktivně, tak i pasivně – uloží se do databáze Threat market, což umožní analýzu současného i minulého stavu. 
  3. Měření kyberbezpečnosti – důsledně měří širokou škálu metod skenování a monitorování kybernetické bezpečnosti. 
  4. Atribuce aktiv – aktiva přiřazena a seskupena společností, která je vlastní. 
  5. Hodnocení – na platformě, porovnání se společnostmi v jejich odvětví, případně integrace do GRC platformy.

Proč zvolit AEC?

  • ​Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let. 
  • Nasloucháme klientům a přizpůsobujeme služby jejich potřebám a časovým možnostem.
  • Náš tým tvoří specialisté s bohatými zkušenostmi z oblasti vývoje i etického hackingu.
  • Sledujeme moderní trendy v oblasti vývoje, bezpečnosti a technologií. 
  • Při analýzách zdrojových kódů klademe důraz na manuální revize, které vedou k odhalení většího množství chyb než běžná automatizovaná řešení. 
  • Umožňujeme provádění komplexních bezpečnostních auditů kombinací několika bezpečnostních disciplín. 
  • Stavíme své služby na mnohaletých zkušenostech a léty prověřených standardech.​​

Reference

​Naše zkušenosti z projektů​ pro významné organizace ve svém oboru rádi sdělíme na vyžádání.​​​​​​​​
 

Rádi zkonzultujeme i vaši konkrétní situaci​


Ověření: 

​​
​​​​