POBA Servis

Safetica pomohla zvýšit interní bezpečnost

Představení společnosti

Společnost POBA Servis, a.s. je dceřinou společností Poštové Banky, a.s. a zajišťuje Poštové Bance účetnictví, správu majetku a nemovitostí. Tato firma se připravuje na certifikaci ISO/IEC 27001 a hledala vhodné softwarové řešení, které zajistí pokrytí požadavků daných normou. Kromě jiného byly tedy základními požadavky podpora systému managementu bezpečnosti informací a procesu řízení rizik.

Analýza potřeb

Pro tyto potřeby si IT oddělení společnosti zvolilo softwarové bezpečnostní řešení Safetica. Toto řešení poskytuje nástroje pro podporu a zajištění bezpečnosti v mnohých oblastech požadavků pro certifikaci dle standardu ISO/ IEC 27001.

Po analýze potřeb společnosti POBA Servis byly identifikovány další oblasti, které se ukázaly pro management jako přínosné a produkt Safetica je dokázal vyřešit. Jednalo se o potřeby chránit citlivá firemní data, řídit přístupy externích zařízení a také základní audit práce zaměstnanců. Společnost pracuje s citlivými účetními daty různých společností, projektovou dokumentací, dokumenty Poštové banky a dalšími dokumenty, které by se neměly dostat na veřejnost. Vedení by pak chtělo dostávat na email pravidelný souhrnný report pro tyto definované potřeby. Vedoucí IT oddělení měl požadavek na upozornění před případným bezpečnostním incidentem.

Řešení Safetica

V prvotní fázi projektu se začalo analýzou činností uživatelů na koncových stanicích, zejména v souvislosti s běžnými praktikami práce s daty. Monitoroval se životní cyklus dat, tisk citlivých souborů, přístupy a aktivita na webových stránkách a používání firemních aplikací. O těchto aktivitách dostává vedení týdenní souhrnné reporty. V další fázi byly nastaveny politiky pro řízení přístupu externích zařízení. Potřeba zákazníka byla povolit pouze připojování definovaných USB zařízení a zbylé externí zařízení zakázat. Společnost zvolila cestu investice do firemních USB disků pro zaměstnance, které byly následně skrz software Safetica zašifrovány a povoleny pro použití. Všechna ostatní zařízení byla zakázána. Pokud zaměstnanec potřebuje k práci jiné externí zařízení, může pro něj administrátor udělat v systému výjimku po interním schválení. V poslední fázi projektu byly definovány a odladěny samotné politiky pro ochranu dat. Na základě domluvy s managementem byly definovány základní kategorie citlivých dokumentů, a byl nastaven proces uživatelské klasifikace s možností auditu korektního užití. Pro citlivá data jsou definovány pravidla, která zakazují nahrávání těchto dokumentů na síť, tisknutí, kopírování dokumentů na neautorizované externí zařízení, vypalování, pořizování snímků obrazovky a posílání těchto dokumentů na externí emailové adresy. Dokumenty se tedy mohou pohybovat pouze po definovaných cestách, které se využívají v rámci pracovní činnosti. O všech akcích je k dispozici záznam.

Kompletní přehled aktivit a firemní data v bezpečí

Díky softwaru Safetica má nyní společnost POBA Servis kompletní přehled o aktivitách svých zaměstnanců. Díky samotnému faktu, že zaměstnanci o monitorování vědí, se snížila míra přístupu na neproduktivní webové stránky. Pouze u jednoho zaměstnance společnost odhalila zvýšenou aktivitu na sázkových serverech a tuto skutečnost vyřešila domluvou s daným zaměstnancem. Zároveň má důkazy o všech činnostech, které by vedly k případné bezpečnostní hrozbě. Citlivá firemní data jsou chráněna a při případném bezpečnostním incidentu dostává vedení včasné upozornění. Má tak v rukou nástroj, který usnadní cestu k certifikaci dle standardu ISO/IEC 27001, pomáhá zvýšit interní firemní bezpečnost a chrání společnost před selháním lidského faktoru.

POBA

Poba Servis