Saugumas
Trys dalykai: nuolatinis išorinis skverbties testavimas pagal jūsų leidimų tempą, virtualaus CISO retaineris strateginiam darbui, reikalaujančiam vadovų sprendimų, ir visapusiškas ISO 27001 ar SOC 2 sertifikavimo paruošimas, įskaitant susirašinėjimą su auditoriumi.
Nuolatinis pagal nutylėjimą
Tradicinė saugumo sutartis — tai kartą per metus atliekamas skverbties testas ir sertifikavimo ciklas, vykstantis mėnesiais prieš kitą atnaujinimą. Tokia kadencija palaiko dokumentus aktualius. Sistemai, leidžiančiai kodą kas savaitę, saugumo darbas turi veikti tuo pačiu ritmu kaip ir leidimai.
Mūsų skverbties testavimo paslauga vyksta nuolat: kas mėnesį, kas savaitę ar kasdien, priklausomai nuo jūsų leidimų tempo. VCISO retaineris yra nuolatinis, todėl valdymo spragą galima iškelt tą savaitę, kai ji atsiranda, ir uždaryti tą patį ketvirtį. ISO/SOC 2 darbas struktūrizuotas taip, kad sertifikavimas iškiltų iš kasdienės praktikos, kurią komanda jau vykdo, renkant įrodymus, kai jie atsiranda.
Trys sutartys, kurias vykdome
Dauguma klientų samdosi mus bent dviem kartu. Paspauskite bet kurią kortelę, kad pamatytumėte apimtį, kadenciją ir pradinę kainą.
ISO 27001 / SOC 2
ISO 27001 ir SOC 2 audito paruošimas — nuo pradžios iki pabaigos su auditorių koordinavimu.
Įsilaužimo testavimas
Nuolatinis išorinis skverbties testavimas — mėnesinė, savaitinė arba dienos kadencija.
Nuo pozicijos peržiūros iki nuolatinės programos
Saugumo pozicijos peržiūra
Vienos–dviejų savaičių struktūrizuota peržiūra, kur saugumo programa yra šiandien: esami valdikliai, dabartinė skverbties testavimo aprėptis, sertifikavimo būsena, duomenų srautai, atitikties įsipareigojimai, ankstesni incidentai. Rezultatas yra prioritetinė spragų analizė su rekomenduojama darbų seka ir fiksuotos kainos pasiūlymu.
Nuolatinis valdymas
Skverbties testavimo nuskaitymai vykdomi pagal pasirinktą kadenciją (kas mėnesį, savaitę, dieną); radiniai triažuojami, rūšiuojami pagal sunkumą ir stebimi iki pašalinimo. vCISO valdo rizikos registrą, dalyvauja atitikties pokalbiuose ir atstovauja saugumo funkcijai valdybos ataskaitose.
Auditas ir atnaujinimas
Kai ateina sertifikavimo auditas, mes visą laiką rinkome įrodymus, todėl auditorius mato programą, veikusią visus metus. Mes dalyvaujame audito pokalbiuose. Atsakome į radinius. Pernešame artefaktus į kitą priežiūros ciklą.
Nuo ko prasideda kiekviena paslauga
Penetration Testing
Mėnesinis: €99 / month · Savaitinis: €250 / month · Kasdieninis: €500 / month. Kiekvienas nuskaitymas yra pilnas giluminis nuskaitymas — kadencija yra vienintelis kintamasis.
Virtual CISO
Retaineris nuo €5,000 / month. Strateginis saugumo vadovavimas be pilno etato samdinių. Puikiai dera su skverbties testavimo paslauga: vCISO valdo programą, skverbties testavimas gamina artefaktus.
ISO 27001 & SOC 2
Vieno frameworks'o ciklas nuo €25,000. ISO 27001 atskirai nuo €12,000; SOC 2 pasirengimas nuo €4,500. Sertifikavimo įstaigos audito mokesčiai yra atskiri.
Saugumo sutartys — klausimai, kuriuos girdime
Ar dirbate kartu su mūsų vidine saugumo komanda?
Taip — dauguma sutarčių atrodo būtent taip. Vidinė komanda valdo operacijas ir reagavimą į incidentus; mes valdome išorinį testavimą, sertifikavimo paruošimą ir strateginį vCISO darbą, kuriam nauda iš išorinės perspektyvos. Pasidalijimas priklauso nuo sutarties; aprašysime tai aiškiai apimties dokumente.
Ką iš tikrųjų apima „nuolatinis skverbties testavimas"?
Visiški išorinės atakų paviršiaus nuskaitymai pagal pasirinktą kadenciją — žiniatinklio programos, API, atskleista infrastruktūra, autentifikavimo srautai, konfigūracijos silpnybės, žinomos pažeidžiamos priklausomybės. Kiekvienas nuskaitymas gamina rašytinę ataskaitą su radiniais, surūšiuotais pagal sunkumą, įrodymus ir pašalinimo nurodymus.
Kuo vCISO retaineris skiriasi nuo CISO samdymo?
vCISO dirba su jumis ne visą darbo dieną, retainerio pagrindu, valdydamas CISO vaidmens strategines ir valdymo atsakomybes be pilno dalyvavimo organizacinėje struktūroje. Naudinga, kai įmonei reikia vyresnio saugumo sprendimo — pardavėjų peržiūroms, valdybos atskaitomybei, atitikties plėtojimui, reagavimo į incidentus vadovavimui, — tačiau ji nėra tokio masto, kad pilno etato CISO būtų pateisinamas.
ISO 27001 ar SOC 2 — nuo ko pradėti?
Priklauso nuo to, kas prašo sertifikavimo. JAV verslo įsigijimas pagal nutylėjimą prašo SOC 2; Europos verslas ir NIS2 apimties organizacijos prašo ISO 27001. Jei abu yra jūsų ateityje, vykdome kombinuotą sutartį, nes pagrindinis valdiklių darbas labai sutampa — nuoseklus vykdymas kainuoja daugiau nei lygiagretus.
Kas, jei radinys virsta tikru incidentu?
Jei esame jūsų vCISO retaineris, reagavimo į incidentus vadovavimas yra apimties dalis — esame pokalbyje, padedame koordinuoti atsaką. Jei esame tik jūsų skverbties testavimo tiekėjas, radiniai vis tiek stebimi iki pašalinimo, o atsako vadovavimas vykdomas viduje jūsų komandos.
Papasakokite apie savo saugumo poziciją
Papasakokite, kur saugumo programa yra šiandien ir ko prašoma toliau. Atsakysime rekomenduojama seka ir fiksuotos kainos apibrėžimu sekančiai sutarčiai.
Susisiekti → Peržiūrėti kainas →