SeCube keretrendszer

Mi a SeCube?

A SeCube GRC egy egységes keretrendszerben modulárisan összeilleszthető biztonságirányítási, kockázat, compliance, audit és üzletmenet-folytonosság menedzsment szoftver. Célja a különböző szakterületek hatókörébe tartozó biztonsággal kapcsolatos elemzői, tervezői és fenntartási folyamatok integrált támogatása, ezáltal megteremtve a szervezet biztonság átlátható és riportálható irányítását.

A Kürt Zrt. saját fejlesztésű SeCube GRC rendszere kifejezetten támogatja a következő tevékenységek kialakítását és működtetését:

• Vállalati vagyon elemleltár és függőségi. működési modell kialakítása, karbantartása.
• A szervezet működéséhez szükséges erőforrások, szolgáltatások, adatvagyon, üzleti folyamatok és ezek kapcsolatait leíró áttekinthető struktúra.
• Információbiztonsági és üzleti kockázatelemzés és kezelés, teljes körű Üzleti hatáselemzés vizsgálattal (bizalmasság, sértetlenség és rendelkezésre állás, mint külön vizsgálati szempontok).
• Üzletmenet-folytonosság (BCP) és Informatikai katasztrófa elhárítás (DRP) tervezés és tesztelés támogatása
• Nemzetközi szabványoknak és hazai jogszabályoknak való megfelelés vizsgálat és követés, költség hatékony fenntartása, kifejezett használati esetek:
  • Információbiztonsági és Létfontosságú rendszerek és létesítmények törvények
  • ISO szabványok (pl. ISO27001)
  • 339/2019 Belső kontrollrendszer és audit
  • MNB 42/2015 és 8/11/12/2020 megfelelés támogatás
  • GDPR
• Kockázatelemzés és -kezelés, BCP és DRP tervezés, valamint audit&compliance egy egységes rendszerben, azaz valós lehetőség a kockázatarányos védelem kialakítására és fenntartására.
• Beruházási döntések alátámasztása, erőforrások és költségek optimalizálása.
• Akár több csoport együttműködésének a támogatása, egymás eredményeinek egységes és követhető módon való felhasználása.
• Naprakész riportok és tervek biztosítása

A SeCube célfelhasználói az IT üzemeltetés, a biztonság, az üzleti folyamat felelősök, a belső ellenőrzés és a compliance területek szakértői és vezetői. Egységes rendszerben képes a különböző szakmai területek felhasználóinak a vállalat egészét átfogó, biztonsággal kapcsolatos tevékenységeit kezelni.

SeCube keretrendszer felépítése

A szoftver többszintű – multitenant – vezérlést támogat:

1. A SeCube egy szolgáltatói keretrendszer. Ezen a szinten kezelhetjük a felhasználói hozzáféréseket, tetszőleges jogosultság szerepkörök alakíthatók ki, illetve projekteket, mint önálló tenantokat, példányokat indíthatunk. Egy projekt/tenant egy vállalatot tud kezelni (éles, adhoc, homokozó, oktatás, leány stb.).
2. A projektekben/tenantokban a bekapcsolt modulok adják a funkcionalitást. A modulok összeállításával tetszőleges üzleti célú használati eset összeállítható egy tenanton belül, a modulok pedig együttműködnek.
3. Harmadik szinten az egyes modulokon belüli funkciókban dolgozhatunk.
   • A funkciókon belül és között validációs vizsgálatok (üzleti logika ellenőrzések) segítik az adatok helyességének az eredmények integritásának, konzisztenciájának és aktualitásának folyamatos fenntartását.
   • Bizonyos funkciók végrehajtási függőségben vannak (workflow). Más funkciókban történt adatváltozások hatásai kimutatásra kerülnek, illetve a funkciók zárhatók is, ezáltal biztosítva az adatok sértetlenségét és az eredmények visszakövethetőségét.

SeCube keretrendszer kiemelt képességei

Multitenant keretrendszer 

• SeCube keretrendszerben számos tanant/projekt indítható, mint önálló vállalatok (pl. leány vagy tag vállalatok).
• A tenantokban funkcionális modulok indíthatók a felhasználási igényeknek megfelelően.
• A multitenant környezet által a szoftver funkcionalitását többször felhasználhatjuk üzleti céljainknak megfelelően. Természetesen a jogosultság kezelés szabályozza ki, milyen módon férhet hozzá egy SeCube projekthez.
• Felhasználási cél lehet például:

• • Éles, teszt, archív vállalati tenantok
  • Anyavállalat – Leányvállaltok modell leképezése
  • Kettő vagy több különböző szervezeti egység eltérő céllal, függetlenül szeretné használni a szoftver funkcionalitását
  • Ad-hoc egyszeri vagy projekt jellegű elemzések (pl. egyszeri kockázatelemzés)
  • Oktató projektek, homokozók

Moduláris funkció felépítés

• A modulok önállóan is működőképesek, ugyanakkor egymás eredményeit kontrollált és követhető módon felhasználják. Az önálló moduláris felépítés lehetővé teszi az aktuális üzleti igényeknek megfelelő részleges, csak a kiválasztott modulokat tartalmazó licensz konfiguráció használatát, az ügyfél aktuális céljai szerint.

Kontrollált és konzisztens eredmények

• Kiterjedt validációs és konzisztencia vizsgálatok üzleti logikák mentén, az adatok helyességének és naprakészségének érdekében.
• Közös nyelv megteremtése az üzleti területek és a belső szolgáltatók (pl. IT) között. Kulcsemberektől való függőség csökkentése, közös tudásbázis.

Fejlett elemző képességek

• A kockázatelemzési jelentés, a BCP, DRP vagy a megfelelés és audit jelentések immáron már nem egyszeri eredmények, hanem könnyen karbantartható, gombnyomásra generálható naprakész riportok.
• Vizuális incidens szimulációs képességek, érzékeny és egyedi hibapontok (SPoF) feltérképezése, fenyegetések rendszerelemek közötti terjedésének, következményeinek, üzleti hatásainak elemzése.
• Nemzetközi ajánlásokon alapuló és folyamatosan frissülő know how (fenyegetés, védelmi intézkedések, sérülékenységek stb.)

Valós testreszabhatóság, rugalmasság

• Akár mező szinten testre szabható nyilvántartások és rugalmasan paraméterezhető módszertani beállítások teszik lehetővé meglévő vállalati gyakorlatokhoz, előírásokhoz való alkalmazkodást.
• A rugalmas akár mezőszintű konfigurálhatóság csökkenti a szállítótól való függőséget.

Többnyelvűség

• Jelenleg támogatott nyelvek: Angol és Magyar

Naplózás és visszaállítás

• Tranzakció szintű naplózási képesség
• Teljes visszaállási funkció támogatás bármely naplózott eseményre.
• Biztonsági napló RFC Syslog és windows event log formátumban

Authentikáció, felhasználó és jogosultságkezelés

• Active Directory integráció lehetőség (authentikáció, user kezelés, authorizáció)
• SSO
• Kétfaktoros authentikáció
• Tetszőlegesen kialakítható szerepkörök. Szerepkör, feladat és felelősség alapú jogosultság kezelés. Kiosztható felmérési és eredmény karbantartási feladatok, email értesítőkkel.
• A szoftver licensz a felhasználói fiókok számát nem korlátozza! Csak az egyidőben engedélyezett felhasználók számát.

Kiterjedt adat import/export képességek

• MS Excel interface, CMDB apik, MS AD interface, Webapi
• ETL: Extract – Transfer – Load betöltő modul. Adatforrások konfigurálható és ütemezhető csatolása.

Technikai részletek

• Magyar és Angol nyelvű
• Webes multitenant keretrendszer, több tag-leány vállalat támogatása
• MS IIS + SQL
• Több node-os load balancolható webes architektúra
• Szerepkör és felelősség alapú jogosultságkezelése
• Tranzakció szintű alkalmazás naplózás
• Biztonsági logok fájl és Windows Event log formátumban
• Active Directory integráció
• E-mail integráció
• Kétfaktoros authentikáció
• CMDB integráció
• MS Excel addin interface (import/export)

A SeCube rövid verzió története

1. Az első főverziót (~2011) a Kürt saját információbiztonsági projektjei támogatására hozta létre (risk és bcm), innen ered a szoftver nagymértékű testreszabhatósága
2. A második főverzió (~2013) célja már az ügyfelek kezébe adott risk és bcm célszoftver létrehozása volt.
3. A harmadik főverzió (~2015) célja már egy funkcionalitásában teljes értékű IT GRC szoftver kifejlesztése volt, mely az egyszeri eredmények helyett már az információbiztonság folyamatos irányítására koncentrált.
4. A negyedik főverziő (~2021) célja már a teljes vállalati biztonság átlátható és riportálható irányítását támogató GRC szoftver, delegálható feladatokkal és felelősségekkel.