lockpoint
ENDEHR

Početna / Usluge / Clarity Assessment / Baseline

Metodologija Objavljena mjerila, a ne mišljenje dana

Što znači „dobro“ kad ga mi izgovorimo.

Svaka ocjena u Clarity Assessmentu mjeri se prema nečemu što možete sami provjeriti. Nema vlasničke crne kutije, nema dojmova. Ova stranica navodi mjerila, kućna pravila koja dodajemo povrh njih i način na koji to dvoje postaje redoslijed prioriteta.

Mjerila

Šest mjera, sve provjerljive.

KonfiguracijaJavni standard

CIS Benchmarks

Konsenzusni hardening standard za operacijske sustave, cloud platforme i SaaS. Vaša konfiguracija AWS-a, GCP-a, Azurea i M365 uspoređuje se red po red s pripadajućim benchmarkom, a rupe se popisuju, a ne sažimaju.

CloudEndpointi
UpravljanjeJavni standard

ISO 27001 Annex A

Skup kontrola iza najtraženije sigurnosne certifikacije na svijetu. Ocjenjujemo koje kontrole postoje, koje postoje samo na papiru i koje nedostaju, tako da kasniji certifikacijski projekt kreće s poznate pozicije.

KontroleISMS
RegulativaPravo EU-a

Mapiranja na DORA-u & NIS2

Ako ste u opsegu, nalazi se mapiraju na članke koje bi regulator citirao: registar ICT imovine, registar trećih strana, spremnost za prijavu incidenata. Izlaz procjene formatiran je tako da izravno služi kao DORA registar.

DORANIS2
ArhitekturaObjavio proizvođač

Referentne arhitekture proizvođača

AWS, Google i Microsoft sami objavljuju kako bi njihove platforme trebale biti izgrađene. Držimo vas uz objavljenu arhitekturu proizvođača, a ne uz preprodavačev paket, što nam je lako jer ne prodajemo nijednu od njih.

AWSGCPAzure / M365
OperativaLockpointova ljestvica

Ocjena automatizacije

Naša kućna ljestvica za životni ciklus dolazaka, premještaja i odlazaka te upravljanje uređajima, od ocjene 0, sve ručno, do ocjene 4, zero-touch. Većina tvrtki koje procjenjujemo sjedi na 1. Ljestvica je objavljena niže, pa se možete smjestiti prije nego što to učinimo mi.

SCIMMDMOffboarding
DizajnLockpointova pravila

Načela čistog dizajna

Pravila koja okolina mora zadovoljiti prije nego što je itko smije automatizirati ili certificirati. Kratka su, stroga i u cijelosti navedena niže na ovoj stranici.

Kućna pravila

Ocjena automatizacije

Odakle stiže laptop novog zaposlenika?

Jedno pitanje smješta većinu tvrtki na ovu ljestvicu. Ocjena mjeri koliki dio životnog ciklusa identiteta i uređaja teče bez čovjeka koji klika.

STUPANJ 0 ručno, iz glave STUPANJ 1 dokumentirano, još ručno STUPANJ 2 skriptirano, po sustavu STUPANJ 3 integrirano: SCIM + MDM STUPANJ 4 zero-touch, iz HR podataka većina procijenjenih tvrtki ciljni raspon

„Kad netko ode, koliko traje dok mu pristup nije u potpunosti ukinut? Ocjena 1 odgovara u tjednima. Ocjena 4 odgovara u minutama, s logom.“

Shadow IT

Alati koje nitko ne priznaje i dalje su vaša odgovornost.

Svaka okolina ima softver koji financije plaćaju, a IT za njega nikad nije čuo, ili koji je neki tim prije tri godine uveo kreditnom karticom. DDQ ispunjen, a da to nije pronađeno, jest DDQ ispunjen pogrešno.

  • Križamo tri izvora: podatke o prijavama iz identity providera, financijske i troškovne evidencije te ono što nam vaši timovi kažu u razgovorima. Alati koji se pojave na jednom popisu, a na drugima ne, upravo su nalaz.
  • Svako otkriće dobiva presudu: usvojiti ga kako treba (vlasnik, SSO, ugovor), zamijeniti nečim već licenciranim ili otkazati. Nijedan alat ne ostaje bez vlasnika.
  • Zašto je to važnije od urednosti: shadow alati drže podatke tvrtke izvan vašeg offboardinga, vaših backupa i vaših DDQ odgovora. Oni su jaz između onoga što potvrđujete i onoga što je istina.

Načela čistog dizajna

Kućna pravila koja svaka ciljna arhitektura mora proći.

  • Svaki alat ima jedan posao i imenovanog vlasnika. Dva alata koja rade isti posao odluka su koja čeka da bude donesena; mi je donosimo.
  • Pristup proizlazi iz HR podataka, ne iz sjećanja. Dolasci, premještaji i odlasci mijenjaju se u jednom sustavu, a sve ostalo slijedi.
  • Ništa privilegirano bez loga. Administratorska prava su ograničena, vremenski oročena i zabilježena, uključujući naša.
  • Arhitektura stane na jednu stranicu. Ako se ne može nacrtati, ne može se ni obraniti, ni u reviziji ni u incidentu.
  • Što ne možete objasniti, ne možete ni potvrditi. Svaki DDQ odgovor mora voditi do sustava koji netko na vašoj strani razumije.
  • Prednost uklanjanju pred dodavanjem. Nalaz koji se može riješiti brisanjem nečega rješava se brisanjem nečega.

Od ocjene do prioriteta

Matematika je jednostavna. Prosudba je proizvod.

Svaka domena dobiva trenutnu i ciljnu ocjenu prema gornjim mjerilima. Svaki jaz postaje nalaz s dva svojstva: izloženost, koliko vas košta ako ostane, i trud, koliko treba da se zatvori. Visoka izloženost i nizak trud idu prvi. Pisano obrazloženje svakog rangiranja nalazi se u izvještaju, pa se vaš tim, ili vaša uprava, s nama mogu sporiti o meritumu.

Što namjerno ne radimo: ne bodujemo prema okviru koji se na vas ne odnosi, ne napuhujemo popis nalaza da opravdamo veći angažman i ne rangiramo prema onome što bi nama bilo najprofitabilnije popraviti. Baseline je javan upravo zato da nas po njemu možete držati za riječ.

Sljedeći korak

Sad znate što ocjena znači. Saznajte svoju.

Clarity Assessment provodi svako mjerilo s ove stranice nad vašom okolinom. €4,000–6,000, fiksno, ostaje vama.

Naručite procjenu Natrag na procjenu