Ocena poziomu bezpieczeństwa Twojej firmy – prosto, darmowo, kompleksowo

dodał 13 czerwca 2017 o 07:02 w kategorii Info  z tagami:
Ocena poziomu bezpieczeństwa Twojej firmy – prosto, darmowo, kompleksowo

Uwierzycie, że można w kilka dni samodzielnie przeprowadzić ocenę poziomu bezpieczeństwa informacji w niedużej firmie nie mając wcześniejszego doświadczenia w tym obszarze? My też nie wierzyliśmy – dopóki nie ujrzeliśmy KILPa.

Kiedy pół roku temu spotkaliśmy się z kilkoma osobami pracującymi nad aplikacją webową, umożliwiającym małym i średnim firmom własnoręczne przeprowadzenie przeglądu i oceny poziomu bezpieczeństwa swoich systemów i infrastruktury, nie do końca wierzyliśmy, że to możliwe. System jednak powstał, działa i w naszej ocenie może mocno zmienić rynek, pozytywnie wpływając na ogólny poziom bezpieczeństwa firm, których do tej pory nie było stać na profesjonalne usługi. Poniżej znajdziecie krótki opis usługi a na końcu artykułu kod i link umożliwiający przetestowanie jej zanim zostanie udostępniona całemu światu.

Co to w ogóle jest

KILP, bo tak nazwana została aplikacja, jest narzędziem służącym do oceny poziomu bezpieczeństwa systemów teleinformatycznych. Jego sercem jest autorski algorytm wykorzystujący naukową metodologię szacowania i traktowania ryzyka, która pozwala na rzetelną identyfikację niespełnionych wymagań bezpieczeństwa. W oparciu o odpowiedzi użytkownika, wymogi regulacyjne oraz najlepsze praktyki system wskazuje te obszary bezpieczeństwa, które są najbardziej zagrożone i wymagają najszybszej interwencji.

Warto podkreślić, że KILP nie jest „elektronicznym audytorem”. Dla firm, które stać na audytorów, KILP może stać się narzędziem usprawniającym pracę obu stron. Z kolei dla tych, których dotychczas nie było stać na dbanie o bezpieczeństwo teleinformatyczne, może być ciekawą alternatywą, która pomoże im zająć się najważniejszymi problemami.

Jak to wygląda?

KILP to zwykła aplikacja webowa. Działa zadając użytkownikowi kilkaset pytań. Na podstawie analizy pierwszych odpowiedzi buduje kolejne scenariusze, by jak najlepiej dopasować kwestionariusz do faktycznych potrzeb firmy. Na początku identyfikujemy urządzenia oraz systemy i oceniamy ich wartość i istotność dla firmy.

W kolejnym etapie odpowiadamy na szczegółowe pytania pomagające systemowi ocenić poziom dojrzałości bezpieczeństwa w danym obszarze.

Liczba obszarów do zbadania zależy oczywiście od skali działania organizacji. Przykładowy fragment listy wygląda następująco:

Po zidentyfikowaniu wszystkich istotnych zasobów i ich zbadaniu system pozwala na wygenerowanie raportu. Zaczyna się on od całościowej oceny poziomu bezpieczeństwa w organizacji w stosunku do wyniku możliwego do osiągnięcia.

Dostępne sa także wyniki dla poszczególnych systemów:

Autorzy KILPa rozwijają obecnie kolejny moduł, który w oparciu o uzyskane wyniki przeglądu bezpieczeństwa zaproponuje kilka scenariuszy inwestycji i zaproponuje najbardziej efektywne mechanizmy bezpieczeństwa, których koszt zmieści się w założonym budżecie.

W trakcie udzielania odpowiedzi na zadawane przez system pytania można korzystać z podpowiedzi i wyjaśnień, a przy okazji także zbierać karty wiedzy, które pomagają w przystępny sposób zrozumieć dany obszar osobom nie będącymi specjalistami w danej dziedzinie.

Odpowiedzi na każde pytanie czy cały obszar można także delegować innej osobie (bez konieczności zakładania kolejnego konta). Dzięki temu proces wypełniania formularza można znacznie przyspieszyć, mając jednocześnie pewność, że zaangażowane są w niego właściwe osoby, np. zajmujące się kadrami czy finansami.

Co z bezpieczeństwem danych?

Podawanie stronie trzeciej szczegółów posiadanych mechanizmów bezpieczeństwa może być ryzykowne. Jest jednak na to prosty sposób – łącząc się do aplikacji wystarczy z usługi korzystać za pomocą VPNa lub innego sposobu anonimizacji źródła pochodzenia informacji a konto założyć na specjalnie do tego celu utworzoną skrzynkę poczty elektronicznej niepowiązanej z firmą, w której pracujemy. KILP nie oczekuje od użytkownika żadnych prawdziwych danych identyfikacyjnych. Co więcej, autorzy usługi sami zachęcają do zachowania anonimowości przy wypełnianiu formularza a zakres przechowywanych na serwerze danych jest minimalizowany pod kątem zapewnienia prywatności użytkowników.

Na czym zarabiają autorzy?

KILP jest całkowicie darmowy – z czego zatem chcą czerpać zyski autorzy? Nie ukrywają swojego modelu biznesowego i bez problemu odpowiadają na to pytanie. W następnym kroku rozwoju KILP wprowadzi platformę zakupową, na której algorytmy będą rekomendowały konkretne rozwiązania podnoszące bezpieczeństwo dostosowane do profilu badanej firmy, . Co ważne, KILP nie będzie w żaden sposób komercyjnie związany z konkretnym producentem czy dostawcą usług – autorzy zmapowali tysiące dostępnych na rynku rozwiązań, a narzędzie będzie rekomendowało te, które dla konkretnej sytuacji badanej firmy zwiększy poziom bezpieczeństwa zapewniając optymalizację kosztów. Planowane jest również wprowadzanie dodatkowych płatnych opcji dla korzystających z serwisu firm, m.in. narzędzi do łatwego badania zgodności z poszczególnymi normami i regulacjami (np. zbliżającym się RODO).

Po drugie zagregowane dane zebrane od użytkowników również mogą mieć istotną wartość rynkową. Choć dane indywidualnych profili firm nie będą udostępniane, to twórcy KILPa bardzo gorąco zachęcają do podawania ich w sposób anonimowy, by uniknąć wszelkich wątpliwości.

Podsumowanie

Audytem systemów informatycznych przez wiele lat zajmowaliśmy się zarówno od strony prowadzących audyty, jak i podmiotów audytowanych. Usługi te z reguły były dostępne dla większych firm, które stać było na opłacenie czasu specjalistów. KILP oferuje analogiczną usługę za darmo, dodając do niej mechanizm rekomendacji poprawy sytuacji badanej firmy. W naszej ocenie może się to okazać bardzo ciekawą rewolucją. Oczywiście, jak w każdym przypadku innowacji, to rynek zweryfikuje założenia projektu. Zatem, rynku, do dzieła!

Przedpremierowy dostęp do usługi
Aplikacja obecnie jest w stadium zamkniętej wersji beta, zatem do testów dopuszczana jest ograniczona liczba osób. Aby zacząć pracować z KILPem wystarczy wejść na stronę usługi, kliknąć „Mam zaproszenie” i podać hasło ZaufanaTrzeciaStrona.

Zapraszamy do testowania. Znalezione błędy, pytania i uwagi można wysyłać na feedback@kilp.co, albo – do czego gorąco zachęcamy – dołączyć do kanału na Slacku https://kilp-beta.slack.com/ (dołączyć można poprzez formularz na stronie kilp.co) i współtworzyć aplikację z autorami.

Naszą ambicją jest współtworzenie naszego rozwiązania wraz ze społecznością ludzi zajmujących się bezpieczeństwem. Wierzymy, że razem możemy usprawnić ten rynek i zwiększyć poziom bezpieczeństwa firm, dlatego gorąco zachęcamy do dołączenia do naszego kanału i podzielenie się opiniami.

mówią autorzy.

Za publikację tego artykułu nie wzięliśmy ani złotówki, bo to fajny, darmowy, naprawdę innowacyjny, polski projekt i takie zawsze chętnie promujemy.