STORM GRC Framework

Transcription

STORM GRC Framework
STORM
GRC Framework
CISSP, CRISC
1
‫עמית קורן‬
amit@innosec.com | 050-7105171
‫מי אנחנו‬
‫• אינוסק נוסדה בשנת ‪ 2010‬בישראל‬
‫• החברה מתמחה במתן שירותי ייעוץ ע"י מומחים‬
‫בתחומי אבטחת מידע‪ ,‬ביקורת ‪ IT‬וניהול סיכוני‬
‫סייבר ו‪.IT -‬‬
‫• המוטו שלנו‪ :‬אבטחת מידע מנקודת מבט עסקית‪.‬‬
‫‪2‬‬
‫‪The Solution‬‬
‫משנת ‪ 2011‬אינוסק מפתחת ‪ Framework‬לעולם ה‪-‬‬
‫‪ ,GRC‬ניהול אבטחת מידע‪ ,‬ועוד‪.‬‬
‫ה‪ Framework -‬הותאם לצרכי לקוחות החברה‬
‫ותוכנן בצורה שמאפשרת גמישות והתאמה קלה‬
‫לצרכיו של כל לקוח‪.‬‬
‫המערכת מספקת כלים אפקטיביים לממשל‬
‫טכנולוגיות מידע‪ ,‬סיכונים טכנולוגיים וסיכונים‬
‫תפעוליים‪ ,‬אבטחת מידע‪ ,‬ביקורת פנים‪ ,‬ציות ועוד‪.‬‬
‫‪3‬‬
‫מה זה בעצם?‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪4‬‬
‫ממשק אינטואיטיבי וידידותי‬
‫מערכת מבוססת קוד פתוח‬
‫פיתוח מהיר‪ ,‬קל ופשוט‬
‫תוכננה באופן שמאפשר התאמה לתהליכים‬
‫הקיימים בארגון‬
Storm features
Gap Analysis and Compliance
 Create and manage Gap Analysis audits, based on
regulations, standards, or internal policies.
 Assign gap questionnaire section to be managed
by different individuals from different
departments.
 Create and link Tasks to each requirement in the
Gap, Allowing you to link a single task to multiple
requirements.
 Extended reports to view Compliance progress
Status at any moment.
5
Storm Features
Audit & Vulnerability Management
Create and manage Information Security
audits and vulnerabilities.
Create and manage Tasks from within the
Audit “project”.
Extended reports to view Remediation status,
and Risk levels.
6
Storm features
Risk Management
Extremely flexible Risk Model Engine that can
be customized to fit the organization’s risk
management methodology.
Attach Controls to Risks.
Define Tests, link Tests to Controls, attach test
evidence (output files, screenshots, etc).
Extended reports to view Risk map, controls
efficiency, tests results, etc.
7
Storm features
Project & Tasks Management
 Create and manage Projects and Tasks.
 Define start date and end date for projects and
tasks.
 Define an “Original due date” to distinguish
planned due date and actual due date.
 Assign tasks to individuals or group.
 Extended reports to view Tasks by Status, Priority,
Individual, department, dates and much more...
8
Storm features
Asset Management
Inventory management of assets.
Interlink assets to Risk and Compliance.
Connect to 3rd party CMDB systems.
Set Rules and Alerts (for related Controls,
various expiration dates, etc.).
Extended reports.
9
Storm features
Email Notifications
Receive email notifications on creation of new
content (project, task, gap analysis,
comments, etc…)
Receive email notification for upcoming Due
Dates.
Reply by mail – reply to an email notification
to publish your comment.
10
Storm features
Dashboard
 Dynamic charts and graphs shows statuses of
various data types (Compliance, Project, Task,
Audit, etc.)
 Per user selection – each user can choose his own
dashboard elements and arrangement.
 In-graph/chart drilldown capabilities.
 Export carts/graph view to excel/pdf.
 Open source – add/customize charts according to
organization’s needs.
11
Storm features
Additional Features
 Import data from Excel (gap requirements,
vulnerabilities, tasks, etc.)
 Create recurring Tasks (Daily, Weekly, etc.)
 Log – Simple view on field level changes,
including value before and after.
 Post talkback-like comments on various content
types (Tasks, Vulnerabilities, Gap requirements,
etc.).
 File attachment to all content types, including
comments.
12
Storm features
Additional Features – Cont.
 Search: All the information is indexed, allowing
you to find whatever you’re looking for.
 Active Directory integration
User authentication – use your network credentials
User authorization – map Storm roles to AD groups
 Full Multilanguage support on user interface,
reports, mail notifications and more.
13
‫הקונספט‬
‫בואו נבחן כמה תהליכי עבודה קיימים‬
‫כמו שאתם עושים אותם כיום‬
‫‪14‬‬
‫הקונספט‬
‫מספק מענה לחלק מהצרכים‬
‫ובמידה מסוימת‬
‫ניהול סיכוני ‪IT‬‬
‫‪15‬‬
‫מעקב תיקון ליקויים‬
‫ניהול ציות‬
‫ניהול סקרים‪/‬ביקורות‬
‫בקרות וטסטים‬
‫ניהול משימות‬
‫ניהול פרויקטים‬
‫הקונספט‬
‫מספק מענה לחלק מהצרכים‬
‫ובמידה מסוימת‬
‫ניהול סיכוני ‪IT‬‬
‫‪16‬‬
‫מעקב תיקון ליקויים‬
‫ניהול ציות‬
‫מדף ‪GRC‬‬
‫מוצרי‬
‫ניהול סקרים‪/‬ביקורות‬
‫בקרות וטסטים‬
‫ניהול משימות‬
‫ניהול פרויקטים‬
‫הקונספט‬
‫מה ההשלכות?‬
‫לשנות תהליכי עבודה‬
‫קיימים?‬
‫לוותר על חלק‬
‫מהדרישות?‬
‫לאמץ מתודולוגיות‬
‫חדשות?‬
‫להטמיע מספר‬
‫מערכות?‬
‫פשרה!‬
‫‪17‬‬
‫הקונספט‬
‫ה‪ Framework -‬עושה את העבודה‬
‫‪18‬‬
‫דשבורד ודוחות‬
‫ניהול סיכוני ‪IT‬‬
‫שיתוף פעולה‬
‫מעקב תיקון ליקויים‬
‫ניהול הציות‬
‫ניהול סקרים וביקורות‬
‫בקרות וטסטים‬
‫ניהול משימות‬
‫ניהול פרויקטים‬
‫ניהול נכסים‬
‫‪19‬‬
‫דשבורד‬
‫‪20‬‬
‫סקרים וחשיפות‬
‫‪21‬‬