Bezpieczeństwo
w cyfrowym świecie

ISEC jest polskim dostawcą wyspecjalizowanych usług
i rozwiązań obejmujących zagadnienia bezpieczeństwa
IT oraz ochrony danych

Wykonujemy usługi profesjonalnej analizy i oceny bezpieczeństwa
systemów i aplikacji, oraz dostarczamy dedykowane rozwiązania
związane z ochroną informacji

Bezpieczeństwo
Aplikacji

Skuteczna ochrona danych przetwarzanych przez
systemy i aplikacje wymaga regularnej ich
oceny pod kątem podatności na zagrożenia

Testy penetracyjne

Pomagamy w dążeniu do najwyższego poziomu bezpieczeństwa systemów IT

Wykonujemy projekty, których celem jest ocena poziomu bezpieczeństwa systemów IT i aplikacji a także badanie ich zgodności z wymaganiami bezpieczeństwa. Zadaniem, które realizujemy jest nie tylko identyfikacja podatności, ale także sprawdzenie poprawności implementacji logiki biznesowej (np. workflows) oraz mechanizmów bezpieczeństwa (np. kontroli dostępu). Posiadamy doświadczenie w testowaniu aplikacji webowych, mobilnych (dla platform iOS, Android, Windows Phone), urządzeń i usług sieciowych, systemów operacyjnych (Unix/Linux, BSD, Microsoft Windows, OS X), oprogramowania typu gruby klient i dedykowanych rozwiązań typu embedded.

Analiza kodu źródłowego

Analizujemy niskopoziomowo podatności oprogramowania

Dzięki licznym doświadczeniom jesteśmy w stanie spojrzeć ze zrozumieniem wgłąb rozwiązania informatycznego, do poziomu kodu źródłowego. Analizując oprogramowanie w tej warstwie dokonujemy niskopoziomowej oceny bezpieczeństwa rozwiązania (tzw. metodą white-box) i identyfikujemy błędy, których często nie da się stwierdzić testując oprogramowanie wysokopoziomowo (tzw. metodą black-box). Dysponujemy znakomitą znajomością następujących języków programowania: C, C++, Objective-C, PHP, Java, Python, Perl. Posiadamy również bogate doświadczenie w poszukiwaniu backdoorów tj. nieudokumentowanych, tylnych furtek do systemu.

Analiza powłamaniowa

Pomagamy w trudnych przypadkach włamań do systemów i kradzieży danych

Znając metody, którymi posługują się internetowi przestępcy, jesteśmy w stanie odtworzyć sposoby ich działania i przeanalizować system informatyczny pod kątem obecności śladów włamania. Materiał zgromadzony zgodnie z zasadą chain of custody analizujemy pod kątem informacji służących do ustalenia czasu, źródła, metody i zakresu nieuprawnionego dostępu. Swoim doświadczeniem dzieliliśmy się w ramach projektów w Polsce i za granicą, a także szkoląc przedstawicieli organów ścigania i wymiaru sprawiedliwości.

Research & Development

Znajdujemy skuteczne i dopasowane do potrzeb rozwiązania

Realizujemy nietypowe zlecenia wymagające dużej kreatywności oraz zdolności w poszukiwaniu rozwiązań w dziedzinie bezpieczeństwa. Dzięki bogatemu i szerokiemu doświadczeniu z różnych obszarów (m.in. programowania, badania podatności bezpieczeństwa, informatyki śledczej, administracji systemami i sieciami, zarządzania bezpieczeństwem, prowadzenia audytów) jesteśmy gotowi wesprzeć Klientów w stawianiu czoła wyzwaniom, którym nie są w stanie sprostać gotowe rozwiązania (tzw. COTS) ani standardowe procedury.

Wsparcie w projektach

Dzielimy się wiedzą i doświadczeniem w zapewnianiu bezpieczeństwa w projektach

Zapewniamy wsparcie w realizacji projektów poprzez pomoc w definiowaniu wymagań bezpieczeństwa (także tych wynikających z regulacji m.in. UODO, Pt, rekomendacji KNF), projektowaniu bezpiecznej architektury systemu, implementacji w nim mechanizmów bezpieczeństwa oraz weryfikacji jego zgodności z założeniami i celami w dziedzinie bezpieczeństwa. Posiadamy doświadczenie we współpracy zarówno z analitykami, projektantami, programistami oraz administratorami, jak i z działami regulacyjnymi czy jednostkami biznesowymi.

Bezpieczeństwo
Biznesu

Powodzenie w biznesie w coraz większym stopniu zależy
od zdolności organizacji do skutecznego
zarządzania swoim bezpieczeństwem

Audyty zgodności

Badamy zgodność procesów oraz systemów z wymaganiami bezpieczeństwa

Pomagamy Klientom w doskonaleniu ich procesów oraz ulepszaniu systemów informatycznych poprzez wskazywanie niezgodności z wymaganiami wewnętrznnymi (np. standardami bezpieczeństwa) i zewnętrznymi (m.in. Ustawą o ochronie danych osobowych, wytycznymi i rekomendacjami KNF, normą ISO/IEC 27001). Zapewniamy także wsparcie w opracowywaniu planów działań naprawczych, których celem jest efektywne zarządzenie ryzykiem i osiągnięcie zgodności. Wspieramy także Klientów w budowaniu i funkcjonowaniu audytu wewnętrznego.

Doradztwo

Analizujemy poziomy dojrzałości i bezpieczeństwa procesów

Realizujemy projekty, których celem jest ocena poziomu dojrzałości procesów związanych z zapewnianiem bezpieczeństwa informacji (np. kontroli dostępu, nadzoru nad dostawcami), a także weryfikacja skuteczności mechanizmów ochrony danych w ramach procesów biznesowych (np. sprzedaży, obsługi klienta) i okołobiznesowych (np. komunikacji, zakupów). Doradzamy naszym Klientom, w jaki sposób organizować zarządzanie bezpieczeństwem IT i informacji w skuteczny i efektywny kosztowo sposób.

Testy socjotechniczne

Identyfikujemy i wskazujemy obszary niskiej świadomości zagrożeń wśród personelu

Testy socjotechniczne ukierunkowane są na wykorzystanie niskiej świadomości zagrożeń, schematycznego postępowania pracowników oraz słabości zabezpieczeń technicznych w organizacji. W ramach tej usługi prowadzimy wierne symulacje incydentów bezpieczeństwa, pokazując Klientom, w jaki sposób obejść mechanizmy ochrony, przedostać się do wnętrzna infrastruktury oraz uzyskać zdalny i nieuprawniony dostęp do ich systemów i przetwarzanych w nich danych.

Threat Intelligence

Gromadzimy i analizujemy trudno dostępne informacje pomagając rozwiązywać złożone problemy

Pomagamy w rozwiązywaniu nietypowych i skomplikowanych problemów wymagających niestandardowego podejścia i unikalnych umiejętności. Realizując tego typu projekty najczęściej zapewniamy wsparcie w szerzej zakrojonych działaniach mających na celu ustalenie okoliczności towarzyszących włamaniom, wyciekom danych, szantażom, czarnemu PR-owi, innym sytuacjom inspirowanym przez przestępców, jak również czynem nieuczciwej konkurencję lub zwykłemu przypadkowi.