A Kürt szakértői a Nemzeti Közszolgálati Egyetem, Kiberbiztonsági MSC képzésén információbiztonsági kockázatelemzést tanítanak a SeCube GRC szoftverük segítségével.
Puskás Adrienn, a szak hallgatója, a következő témában írt diplomamunkát: Dinamikus kockázatértékelés az információbiztonságban.
Diplomamunkája keretében, mint hazai fejlesztésű GRC szoftvert, megvizsgálta SeCube GRC termékünket is. Ehhez mi csak hozzáférést biztosítottunk, további munkáját önállóan végezte.
Alább olvasható munkájának SeCube összegzés fejezete, mely hasznos és független információkkal szolgál. Bár a SeCube szoftver a dinamikus automatizált kockázatfeltárást pont nem támogatja – egyelőre -, a további szigorú vizsgálati szempontok esetén viszont remekül vizsgázott szoftverünk.
„SeCube összegzés
A SeCube rendszer egy átlátható felületet biztosít a felhasználók számára, akik egyszerre akár 100-an is dolgozhatnak a szoftverben. Mivel a SeCube -ban van lehetőség Active Directory (a továbbiakban: AD) integrációra, így a rendszeren belüli jogosultságkezelés könnyen megoldható. Az AD mellett, többek között CMDB (Configuration Management Database) integrációra is van lehetőség, amely nem csak azt mutatja meg, hogy egy szervezet milyen eszközökkel rendelkezik, hanem meghatározza az eszközök közötti kapcsolatokat és kölcsönös függőségeket is, így egyszerűbbé teszi a kockázati hatások kimutathatóságát. A rendszerben a feladatok, felelősségek könnyen delegálhatóak, email integrációval az egyes feladatokról rendszeres emlékeztető küldhető.
A SeCube segíti a szervezeteket, hogy egy helyen kezeljék többek között feladataikat, rendszereiket, rendszerelemeiket, szolgáltatásaikat, így biztosítva a szervezet biztonságának átlátható és riportálható irányítását. Ha a szervezet érettségi szintje megengedi, a SeCube-ban a különböző szakterületekhez tartozó, biztonsággal összefüggő elemzői, tervezői és fenntartási folyamatokat integráltan lehet kezelni, azonban az is megoldható, hogy csak egy-egy modul kerüljön használatra. Fontos azonban megjegyezni, hogy minél integráltabban használják a GRC szoftvert, annál értékesebbé válik a szervezet számára.
A SeCube támogatja a szervezetet a nemzetközi szabványnak, valamint hazai jogszabályoknak való megfelelésnek például: az ISO szabványok, MNB 8/2020.
Ugyanakkor a pozitív tulajdonságok mellett, ki kell azt is emelni, hogy a rendszer állandó felügyeletet igényel, hiszen abban az esetben, ha az adatok feltöltése között nincs koherencia, hamis képet kaphatunk a szervezet biztonsági szintjéről, a kockázatértékelés eredménye pedig nem fogja lefedni a valóságot. A SeCube egy irányítási szoftver és mivel nem csinál hálózati sérülékenység szkennelést, így csak abban az esetben nyújt segítséget a szervezet védelmének kialakításában, ha azt GRC folyamatban részt vevők megfelelően támogatják.
A vizsgálat eredménye az alábbiak szerint alakult a SeCube esetén.
A SeCube is csak részben felel meg, az általam vizsgált pontoknak. A felület felhasználóbarát, átlátható, könnyen tanulható. A rendszerben található alap sérülékenységi, valamint fenyegetési lista segíti a felhasználókat. Többféle grafikus riport kinyerhető, ami segítséget nyújt többek között a vezetőségnek, de a kockázatértékelés során is hasznosnak bizonyul. Habár, többek között AD-val, CMDB-vel, emaillel integrálható, a DRAhoz szükséges, információbiztonsági sebezhetőséget detektáló rendszerekkel nem. Így ebben a rendszerben sem végezhető el a valós idejű kockázatértékelés.”
Puskás Adrienn; Dinamikus kockázatértékelés az információbiztonságban – szakdolgozat NKE
