Usklađenost i Otpornost.

Usklađenost sa Zakonom o kibernetičkoj sigurnosti (ZKS) nije opcija, već obaveza.

Tu obavezu zajedno možemo pretvoriti u priliku za smanjenje rizika, povećanje reputacije i izbjegavanje skupih incidenata.

Kroz preciznu gap analizu, tehničke provjere, interne audite i prilagođene interne akte, usklađenost za nas ne znači samo ispunjavanje zahtjeva i stavljanje kvačica – već stvaranje sigurnijeg, otpornijeg i konkurentnijeg poslovanja.

Sa preko 10 godina iskustva u informacijskoj sigurnosti i 20+ godina u radu sa visokim tehnologijama, tu smo da pomognemo u razumijevanju novih sigurnosnih zahtjeva koji su pred Vama.

7 načela po kojima radimo:

  1. Preciznost. Poštujemo Vaše vrijeme i jedan od prioriteta nam je minimum uplitanja u Vaše poslovne aktivnosti.
  2. Povjerljivost i diskrecija. Apsolutno i neupitno poštivanje tajnosti osjetljivih informacija – bez iznimki.
  3. No BS. Direktni smo, ne koristimo “snake oil”, maglu i nepotrebne komplikacije.
  4. Ljubaznost. Ne stvaramo otpor gdje je potrebna komunikacija i suradnja.
  5. Customizacija. Ne vjerujemo u “one size fits all”. Svaka organizacija ima svoje specifične potrebe i oblikujemo rješenja prema njima.
  6. Vendorless. Nema skrivenih interesa. Preporučujemo rješenja isključivo prema Vašim potrebama, a ne prema sponzorstvima.
  7. Overworking as Exception (OaE). Poštivanje rokova i dogovorenog opsega usluge. Ali ne “trčanjem po gradilištima”, već pametnom organizacijom i potpunom posvećenošću jednom klijentu u jednom projektnom razdoblju.

Usluge koje nudimo:

🛡 Procjena sigurnosne zrelosti

Procjena cjelokupne sigurnosne zrelosti organizacije prema priznatim standardima,
uključujući analizu upravljanja rizicima, tehnoloških kontrola i organizacijskih politika i praksi

◘ GAP analiza

Provođenje gap analize usklađenosti s NIS2/ZKS i standardima ISO 27001/22301, uključujući:

  • Analizu organizacijskih struktura, organigrama i procesa
  • Kartiranje podatkovnih tokova i identifikaciju ključnih (crown jewel) procesa
  • Pripremu konkretnih preporuka za zatvaranje identificiranih praznina
  • Pripremu i/ili reviziju prilagođenih internih akata

☑ Interni audit

Provođenje internih audita prema ISO 27001/22301 s fokusom na:

  • Pregled i evaluaciju dokumentacije (politike, procedure)
  • Organizaciju i provođenje intervjua sa zaposlenicima i ključnim dionicima
  • On-site analiza i inspekcija fizičkih i tehničkih kontrola
  • Pripremu detaljnog izvješća s identifikacijom slabosti i prijedlozima za poboljšanje

👁 Procjena ranjivosti

Provođenje povoljnih procjena ranjivosti (VA) i penetracijskih testova (PT) manjeg obujma
(manje firme do 50ak zaposlenih):

  • black-box testovi: evaluacija sustava s minimalnim informacijama
    (ulaz: IP adresa/domena, pristup izvana)
  • gray/white-box testovi: testiranje uz pristup unutarnjoj mreži poduzeća
  • OSINT: prikupljanje javno dostupnih informacija o ciljanom sustavu i/ili osobama radi dobivanja obavještajnih uvida
  • Priprema detaljnog izvješća s klasifikacijom ranjivosti prema ozbiljnosti i preporukama za mitigaciju

Upravljanje rizicima

Uspostavljanje procesa upravljanja rizicima prema ISO 27001 standardu, uključujući:

  • Idenfikaciju rizika kroz ulazne podatke iz procjena ranjivosti, penetracijskih testova,
    internih audita i gap analiza
  • Razvijanje i održavanje registra rizika s procjenom utjecaja i vjerojatnosti događaja
  • Definiranje i implementaciju kontrola za smanjenje rizika
  • Periodički pregled i ažuriranje registra rizika u skladu s promjenama u okruženju

🗎 Dokumentacija

Razvoj i/ili provjera internih akata vezanih uz informacijsku sigurnost, npr.:

  • Registar rizika
  • Politika informacijske sigurnosti
  • Metodologija procjene rizika
  • Incident Response plan
  • Disaster Recovery (DR) playbook
  • Izjava o primjenjivosti (SoA)
  • Program internih audita
  • Ciljevi informacijske sigurnosti
  • Politika kontinuiteta poslovanja
  • Politika klasifikacije i rukovanja podacima

🕮 Edukacije

Organizacija edukacija o sigurnosnoj svijesti prilagođenih različitim razinama zaposlenika, uključujući:

  • Operativna razina: Osnove sigurnosne higijene, prepoznavanje phishing napada, upravljanje lozinkama i sigurnosne politike, specijalizirane edukacije za pojedine odjele.
  • C-suite razina: Upravljanje rizicima, strategije za sprječavanje socijalnog inženjeringa, donošenje informiranih odluka o kibernetičkoj sigurnosti, AI u sigurnosti i poslovanju. 
  • Edukacije se mogu provesti u formi interaktivnih radionica, e-learning modula, online, ili prilagođenih treninga na lokaciji klijenta.
  • Primjeri tematskih edukacija:
    • primijenjena kriptografija
    • mrežna sigurnost
    • etičko hakiranje
    • GRC teme (upravljanje rizicima, regulative, standardi)
    • korporativna sigurnost
    • sustavi autentikacije
    • sigurnost i zaštita podataka (backupovi, deduplikacija, DR, ..)
    • upravljanje incidentima

⛫ vCISO

Za tvrtke kojima je CISO preskupa stavka, vCISO pruža isto vodstvo – ali fleksibilno i skalabilno.

  • Razvoj strategije informacijske i kibernetičke sigurnosti
  • Procjena i upravljanje rizicima
  • Izrada i revizija sigurnosnih politika i procedura
  • Usklađenost s regulativom i standardima
  • Neovisna procjena, preporuka i ugovaranje vanjskih partnera
  • Incident Response Plan (IRP)
  • Savjetovanje o sigurnosnoj arhitekturi i tehnologijama
  • Podizanje svijesti i edukacija zaposlenika
  • Izvještavanje Upravi / Odboru