Mi a SeCube?
A SeCube GRC egy egységes keretrendszerben modulárisan összeilleszthető biztonságirányítási, kockázat, compliance, audit és üzletmenet-folytonosság menedzsment szoftver. Célja a különböző szakterületek hatókörébe tartozó biztonsággal kapcsolatos elemzői, tervezői és fenntartási folyamatok integrált támogatása, ezáltal megteremtve a szervezet biztonság átlátható és riportálható irányítását.
A Kürt Zrt. saját fejlesztésű SeCube GRC rendszere kifejezetten támogatja a következő tevékenységek kialakítását és működtetését:
- Vállalati vagyon elemleltár és függőségi. működési modell kialakítása, karbantartása.
- A szervezet működéséhez szükséges erőforrások, szolgáltatások, adatvagyon, üzleti folyamatok és ezek kapcsolatait leíró áttekinthető struktúra.
- Információbiztonsági és üzleti kockázatelemzés és kezelés, teljes körű Üzleti hatáselemzés vizsgálattal (bizalmasság, sértetlenség és rendelkezésre állás, mint külön vizsgálati szempontok).
- Üzletmenet-folytonosság (BCP) és Informatikai katasztrófa elhárítás (DRP) tervezés és tesztelés támogatása
- Nemzetközi szabványoknak és hazai jogszabályoknak való megfelelés vizsgálat és követés, költség hatékony fenntartása, kifejezett használati esetek:
- Információbiztonsági és Létfontosságú rendszerek és létesítmények törvények
- ISO szabványok (pl. ISO27001)
- 339/2019 Belső kontrollrendszer és audit
- MNB 42/2015 és 8/11/12/2020 megfelelés támogatás
- GDPR
- Kockázatelemzés és -kezelés, BCP és DRP tervezés, valamint audit&compliance egy egységes rendszerben, azaz valós lehetőség a kockázatarányos védelem kialakítására és fenntartására.
- Beruházási döntések alátámasztása, erőforrások és költségek optimalizálása.
- Akár több csoport együttműködésének a támogatása, egymás eredményeinek egységes és követhető módon való felhasználása.
- Naprakész riportok és tervek biztosítása
A SeCube célfelhasználói az IT üzemeltetés, a biztonság, az üzleti folyamat felelősök, a belső ellenőrzés és a compliance területek szakértői és vezetői. Egységes rendszerben képes a különböző szakmai területek felhasználóinak a vállalat egészét átfogó, biztonsággal kapcsolatos tevékenységeit kezelni.
SeCube keretrendszer felépítése
A szoftver többszintű – multitenant – vezérlést támogat:
- A SeCube egy szolgáltatói keretrendszer. Ezen a szinten kezelhetjük a felhasználói hozzáféréseket, tetszőleges jogosultság szerepkörök alakíthatók ki, illetve projekteket, mint önálló tenantokat, példányokat indíthatunk. Egy projekt/tenant egy vállalatot tud kezelni (éles, adhoc, homokozó, oktatás, leány stb.).
- A projektekben/tenantokban a bekapcsolt modulok adják a funkcionalitást. A modulok összeállításával tetszőleges üzleti célú használati eset összeállítható egy tenanton belül, a modulok pedig együttműködnek.
- Harmadik szinten az egyes modulokon belüli funkciókban dolgozhatunk.
- A funkciókon belül és között validációs vizsgálatok (üzleti logika ellenőrzések) segítik az adatok helyességének az eredmények integritásának, konzisztenciájának és aktualitásának folyamatos fenntartását.
- Bizonyos funkciók végrehajtási függőségben vannak (workflow). Más funkciókban történt adatváltozások hatásai kimutatásra kerülnek, illetve a funkciók zárhatók is, ezáltal biztosítva az adatok sértetlenségét és az eredmények visszakövethetőségét.
SeCube keretrendszer kiemelt képességei
Multitenant keretrendszer
- SeCube keretrendszerben számos tanant/projekt indítható, mint önálló vállalatok (pl. leány vagy tag vállalatok).
- A tenantokban funkcionális modulok indíthatók a felhasználási igényeknek megfelelően.
- A multitenant környezet által a szoftver funkcionalitását többször felhasználhatjuk üzleti céljainknak megfelelően. Természetesen a jogosultság kezelés szabályozza ki, milyen módon férhet hozzá egy SeCube projekthez.
- Felhasználási cél lehet például:
-
- Éles, teszt, archív vállalati tenantok
- Anyavállalat – Leányvállaltok modell leképezése
- Kettő vagy több különböző szervezeti egység eltérő céllal, függetlenül szeretné használni a szoftver funkcionalitását
- Ad-hoc egyszeri vagy projekt jellegű elemzések (pl. egyszeri kockázatelemzés)
- Oktató projektek, homokozók
Moduláris funkció felépítés
- A modulok önállóan is működőképesek, ugyanakkor egymás eredményeit kontrollált és követhető módon felhasználják. Az önálló moduláris felépítés lehetővé teszi az aktuális üzleti igényeknek megfelelő részleges, csak a kiválasztott modulokat tartalmazó licensz konfiguráció használatát, az ügyfél aktuális céljai szerint.
Kontrollált és konzisztens eredmények
- Kiterjedt validációs és konzisztencia vizsgálatok üzleti logikák mentén, az adatok helyességének és naprakészségének érdekében.
- Közös nyelv megteremtése az üzleti területek és a belső szolgáltatók (pl. IT) között. Kulcsemberektől való függőség csökkentése, közös tudásbázis.
Fejlett elemző képességek
- A kockázatelemzési jelentés, a BCP, DRP vagy a megfelelés és audit jelentések immáron már nem egyszeri eredmények, hanem könnyen karbantartható, gombnyomásra generálható naprakész riportok.
- Vizuális incidens szimulációs képességek, érzékeny és egyedi hibapontok (SPoF) feltérképezése, fenyegetések rendszerelemek közötti terjedésének, következményeinek, üzleti hatásainak elemzése.
- Nemzetközi ajánlásokon alapuló és folyamatosan frissülő know how (fenyegetés, védelmi intézkedések, sérülékenységek stb.)
Valós testreszabhatóság, rugalmasság
- Akár mező szinten testre szabható nyilvántartások és rugalmasan paraméterezhető módszertani beállítások teszik lehetővé meglévő vállalati gyakorlatokhoz, előírásokhoz való alkalmazkodást.
- A rugalmas akár mezőszintű konfigurálhatóság csökkenti a szállítótól való függőséget.
Többnyelvűség
- Jelenleg támogatott nyelvek: Angol és Magyar
Naplózás és visszaállítás
- Tranzakció szintű naplózási képesség
- Teljes visszaállási funkció támogatás bármely naplózott eseményre.
- Biztonsági napló RFC Syslog és windows event log formátumban
Authentikáció, felhasználó és jogosultságkezelés
- Active Directory integráció lehetőség (authentikáció, user kezelés, authorizáció)
- SSO
- Kétfaktoros authentikáció
- Tetszőlegesen kialakítható szerepkörök. Szerepkör, feladat és felelősség alapú jogosultság kezelés. Kiosztható felmérési és eredmény karbantartási feladatok, email értesítőkkel.
- A szoftver licensz a felhasználói fiókok számát nem korlátozza! Csak az egyidőben engedélyezett felhasználók számát.
Kiterjedt adat import/export képességek
- MS Excel interface, CMDB apik, MS AD interface, Webapi
- ETL: Extract – Transfer – Load betöltő modul. Adatforrások konfigurálható és ütemezhető csatolása.
Technikai részletek
- Magyar és Angol nyelvű
- Webes multitenant keretrendszer, több tag-leány vállalat támogatása
- MS IIS + SQL
- Több node-os load balancolható webes architektúra
- Szerepkör és felelősség alapú jogosultságkezelése
- Tranzakció szintű alkalmazás naplózás
- Biztonsági logok fájl és Windows Event log formátumban
- Active Directory integráció
- E-mail integráció
- Kétfaktoros authentikáció
- CMDB integráció
- MS Excel addin interface (import/export)
A SeCube rövid verzió története
- Az első főverziót (~2011) a Kürt saját információbiztonsági projektjei támogatására hozta létre (risk és bcm), innen ered a szoftver nagymértékű testreszabhatósága
- A második főverzió (~2013) célja már az ügyfelek kezébe adott risk és bcm célszoftver létrehozása volt.
- A harmadik főverzió (~2015) célja már egy funkcionalitásában teljes értékű IT GRC szoftver kifejlesztése volt, mely az egyszeri eredmények helyett már az információbiztonság folyamatos irányítására koncentrált.
- A negyedik főverziő (~2021) célja már a teljes vállalati biztonság átlátható és riportálható irányítását támogató GRC szoftver, delegálható feladatokkal és felelősségekkel.