Početna / Iz prakse

Isti problemi, u pet različitih soba.

Svaki profil u nastavku stvaran je angažman, anonimiziran. Radimo za regulirane tvrtke i dobavljače koji ih opslužuju; objavljivanje imena klijenata reklo bi više o nama nego o poslu. Obrazac koji vrijedi uočiti: svaki počinje pritiskom, prolazi kroz Jasnoću, Automatizaciju, Sigurnost i završava s manje toga za upravljanje, a ne s više.

Prije profila Što prva procjena tipično pronađe

Brojke iza osjećaja, za tipičnu tvrtku od 200 korisnika.

Vaše brojke bit će drugačije. Upravo je njihovo mjerenje poanta.

60–80

SaaS alata u okolini, od čega je otprilike trećina duplicirana, nekorištena ili bez ikakvog vlasnika

12–20

računa bivših zaposlenika s još uvijek aktivnim pristupom pri prvom skeniranju

25–35^%

potrošnje u cloudu vezano uz workloade kojima nitko ne zna imenovati trenutnu svrhu

DORA pod nadzorom BaFin-a, bez sigurnosnog tima

Privatna banka · Frankfurt · ~220 zaposlenih

Polazna situacija

DORA na snazi, BaFin pozoran, a interni IT tim građen za operativu, ne za okvir ICT rizika. Banci je trebao program usklađenosti koji će zadovoljiti regulatora i voditelj sigurnosti koji može sjesti preko puta njega.

Što smo napravili

Izgradili DORA program od početka do kraja: okvir ICT rizika, registar imovine, registar trećih strana i proces za incidente uvježban na roku od 72 sata. Lockpointov vCISO preuzeo je vlasništvo nad sigurnosnim stanjem, izvještavanjem uprave i komunikacijom s regulatorom, na paušalu.

Gdje je završilo

Registri koji se ažuriraju iz dnevne operative umjesto iz godišnje panike, proces za incidente koji je tim stvarno proveo i jedna imenovana osoba odgovorna za svako pitanje nadzora. Model zajedničkog upravljanja: njihov IT zadržao je ključeve.

ISO 27001 na cloudu koji su stvarno koristili

Upravitelj imovinom · Zürich · ~75 zaposlenih

Polazna situacija

Okolina na AWS-u i Google Workspaceu koja je rasla od posla do posla, rastuća očekivanja FINMA-e i prijašnji savjetnici koji su gurali migraciju platforme koja tvrtki nije trebala. Htjeli su ISO 27001 bez preslagivanja stacka radi nečije marže na preprodaji.

Što smo napravili

Prvo čišćenje arhitekture: mapirali okolinu, standardizirali konfiguraciju prema CIS Benchmarks, konsolidirali duplicirane alate, a zatim na rezultatu implementirali ISO 27001. Bez migracije, bez nove platforme, bez prodanih licenci.

Gdje je završilo

ISMS spreman za certifikaciju na infrastrukturi koju su već razumjeli, manji skup alata nego na početku i dijagram arhitekture koji partneri FINMA-i mogu objasniti sami.

Preživjeti bankarske upitnike

B2B SaaS koji opslužuje EU banke · Amsterdam · ~110 zaposlenih

Polazna situacija

Sami nisu regulirani, ali svaki njihov kupac jest. DORA zahtjevi za treće strane počeli su stizati kao ugovorne klauzule i DDQ-ovi s dvjesto pitanja, a zaglavljen upitnik blokirao je produljenje ugovora. Prodaja je pregovarala o sigurnosnim tvrdnjama koje nitko nije mogao dokazati.

Što smo napravili

DORA spremnost za treće strane mapirana na ono što banke stvarno pitaju, SOC 2 program koji na ta pitanja odgovara trajno i penetracijsko testiranje kroz našu provjerenu mrežu specijalista. Na aktivne DDQ-ove odgovarali smo s njima, red po red.

Gdje je završilo

Upitnici su prestali biti vatrogasna vježba: standardni odgovori poduprti stalnim dokazima, pentest izvještaj u arhivi prije nego što nabava pita, a sigurnost je od prodajne kočnice postala dio ponude.

Pedeset novih zaposlenika, bez IT tima

Osigurateljna grupa · Hrvatska · ~380 zaposlenih

Polazna situacija

Rastuća grupa s IT-jem raspršenim po odjelima, dobavljačima bez vlasnika i NIS2 na horizontu. Zapošljavanje i vođenje internog IT i sigurnosnog tima na toj veličini koštalo bi više, a isporučilo manje nego što problem zaslužuje.

Što smo napravili

Puni MSP plus MSSP pod jednim ugovorom: zero-touch životni ciklus uređaja kroz MDM, identitet i pristupi kroz SCIM, helpdesk, upravljanje privilegiranim pristupom, hardening te upravljana detekcija i odgovor. Registar dobavljača konsolidiran, duplicirani alati otkazani.

Gdje je završilo

Jedna odgovorna strana za sve, od novog laptopa do alarma u 3 ujutro. Onboarding i offboarding teku iz HR podataka, skup alata manji je nego prije našeg dolaska, a NIS2 dokazi proizlaze iz načina na koji okolina ionako radi.

Usklađenost brzinom prikupljanja kapitala

Platna institucija · Beč · ~55 zaposlenih

Polazna situacija

Series B u tijeku, investitorski due diligence već postavlja sigurnosna pitanja, a DORA i ISO 27001 oboje bez odgovora. Tradicionalni konzultantski raspored nadživio bi rundu financiranja.

Što smo napravili

Vodili Jasnoću, Automatizaciju i izgradnju usklađenosti paralelno gdje je redoslijed to dopuštao: mapiranje imovine i pristupa punilo je DORA registar, SCIM i MDM zatvarali su rupe koje bi revizori označili, a implementacija ISO 27001 skrojena je na ono što platna institucija od 55 ljudi stvarno koristi.

Gdje je završilo

Usklađivanje s DORA-om i ISO 27001 isporučeni unutar prozora transakcije, due diligence odgovori poduprti dokazima umjesto namjerama i sloj automatizacije u koji tvrtka nastavlja urastati i nakon runde.

Zajednička nit: nijedna od ovih tvrtki nije dobila registrator. Dobile su sustave koji rade, stalne dokaze i, u četiri od pet slučajeva, manju okolinu nego na početku.

Sljedeći korak

Vaša situacija je negdje na ovoj stranici.

Trideset minuta s inženjerom. Donesite svoju verziju.

Dogovorite poziv Ili počnite s procjenom