Wymagania KSC nie muszą oznaczać rewolucji w firmie. Wiesław Kasprzak Expert Blue energy sp. z o.o.

Transkrypt

1 Wymagania KSC nie muszą oznaczać rewolucji w firmie Wiesław Kasprzak Expert Blue energy sp. z o.o.

2 O nas Blue energy sp. z o.o. to zespół ponad 50 konsultantów/ekspertów Nasi konsultanci od ponad 12 lat wspierają przedsiębiorców i administrację Nasz zespół zrealizował ponad: 100 wdrożeń systemów bezpieczeństwa informacji 50 wdrożeń systemów ciągłości działania 600 wdrożeń systemów zarządzania (jakością, środowiskiem, BHP itp.) 500 wdrożeń narzędzi wspomagających zarządzanie: modelowanie procesów, portal dokumentacji, workflow, wskaźniki, raportowanie

3 Modelowanie procesów biznesowych Zarządzanie zmianą Prowadzenie projektów ISO 9001:2000 Budowa struktur organizacyjnych HR ORGANIZACJA BEZPIECZEŃSTWO Cyberbezpieczeństwo ISO Audyt teleinformatyczny Korporacyjna analiza ryzyka Audyty socjotechniczne Wybór rozwiązań BI (SIEM, DLP, Endpoint) Ciągłość działania RODO Optymalizacja procesowa Optymalizacja kosztowa Procedury ITIL, ISO Przygotowanie do wdrożenia systemów informatycznych Optymalizacja obsługi klientów OPTYMALIZACJA AUTOMATYZACJA Dane osobowe Wdrożenie narzędzi BPM Wdrożenie systemów antyfraud Wdrożenie systemów zarządzania ryzykiem

4 Wymagania prawne Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii - Dyrektywa NIS Ustawa z dnia 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa Narodowy Program Ochrony Infrastruktury Krytycznej Wytyczne bezpieczeństwa RCB dla sektora.. Zbiór wytycznych mający wpływ na ciągłość funkcjonowania usług kluczowych Przechodzimy z zaleceń i próśb do wymagań za którymi stoją organy kontrolne i sankcje karne

5 Wymagania prawne!!!! Ustawowe ustanowienie struktur ds. cyberbezpieczeństwa w Polsce Raportowanie incydentów przejrzystość i wymiana informacji pozwalających na reakcję Prewencja ustanowienie Systemu Zarządzania Bezpieczeństwem Audyty własne i organów nadzorczych Wdrażanie rekomendacji wynikających z audytów Sankcje finansowe dla przedsiębiorstw Powołanie na standardy ISO/IEC i ISO 22301

6 Dlaczego KSC? W drugiej połowie 2018 roku doszło do 157 ataków na infrastrukturę krytyczną RFN W całym 2017 roku 145 W całym 2016 roku 38 BSI (Federalny Urząd Bezpieczeństwa Teleinformatycznego) wychodzi z założenia że nie wie o wszystkich atakach, Część z nich nie zauważa a część nie jest zgłaszana.

7 Ustawa wolna interpretacja Usługi kluczowe procesy zachodzące w firmie Określenie krytyczności systemów w kontekście usług kluczowych/procesów Przeprowadzenie oceny ryzyka Wdrożenie zabezpieczeń Zabezpieczenia organizacyjne (dokumentacja, procesy bezpieczeństwa) Zabezpieczenia techniczne (narzędzia, monitorowanie systemów) Realizacja procesów bezpieczeństwa Korzystanie z narzędzi technicznych

8 Ustawa należyta staranność Należyta staranność Wykonywać swoje działania właściwie, optymalnie Nie podpadać w skrajności: Rażące niedbalstwo Nadmierna gorliwość

9 Nadzorowanie dokumentacji i zapisów Dokumentacja dotycząca procedur oraz instrukcji wynikająca z dokumentacji normatywnej Opisy sposobów dokumentowania wykonania czynności w ramach ustalonych procedur Dokumentacja poświadczająca każdorazowe wykonanie procedury Dostępność, ochrona i identyfikowalność dokumentów Przechowywanie dokumentów przez 2 lata od jej wycofania Nadzorowanie uchwał zarządu, nadzorowanie dokumentacji, procesów, zapisów

10 Nadzorowanie dokumentacji i zapisów Identyfikacja wymagań: Procedury Instrukcje Akty prawne Umowy Normy Planowanie i realizacja audytów, oceny ryzyka: Audyty wewnętrzne Ranking ryzyka, Ocenę zgodności, Mierniki. Nadzorowanie zadań, zapisy: Raport z audytu, Uzgodnienia, Zalecenia i nadzór, Ocena skuteczności, Eskalacja zadań. To jak będziemy bezpieczni zależy od tego, jak szybko przekonamy administratorów, że ich praca to nie tylko administracja systemami

11 Zarządzanie incydentem Osoby do których trafiają informacje o potencjalnych incydentach Źródła informacji o potencjalnych incydentach (systemy, ludzie, narzędzia analityczne) Analiza określanie źródłowej przyczyny Reakcja na incydent, reakcja na przyczynę wystąpienia incydentu Incydenty RODO, Nadużycia, Próby włamań do systemów, naruszenia bezpieczeństwa systemów

12 Zarządzanie incydentem Zawsze było tak: U nas nie ma incydentów Jesteśmy ludźmi nie robotami Analiza danych i wizualizacja sytuacji to podstawa do podejmowania decyzji przez człowieka Wizualizacja ICS jak widzieć i nie popsuć Bez narzędzi wizualizujących stan sieci/systemów nie wiemy nic

13 Zarządzanie incydentem automatyzacja reakcji Zawsze było tak U nas nie ma incydentów Dzielenie się informacjami o incydentach ogranicza ich skutek Źródła informacji o incydentach to systemy wizualizujące sytuacje Ustawa dokłada rozliczalność podjętych działań, należytą staranność, podejmowanie działań minimalizujących wystąpienie incydentów w przyszłości Automatyzacja działań w wyniku wystąpienia incydentów i gromadzenie zapisów

14 Zarządzanie podatnościami Identyfikacja podatności (narzędzia, źródła zewnętrzne, odpowiedzialności, role) Ocena podatności krytyczność każdej z nich z uwzględnieniem innych zabezpieczeń Podjęcie z Właścicielem Biznesowym decyzji o postepowaniu z podatnością Kto zna wroga i zna siebie, nie będzie zagrożony choćby i w stu starciach. Kto nie zna wroga, ale zna siebie, czasem odniesie zwycięstwo, a innym razem zostanie pokonany. Kto nie zna ani wroga, ani siebie, nieuchronnie ponosi klęskę w każdej walce. Sun Tzu około 500 r. p.n.e

15 Zarządzanie ryzykiem nadmierna gorliwość Identyfikujemy zagrożenia które mogą wpłynąć na bezpieczeństwo zasobu Identyfikujemy podatności które mogą być wykorzystane przez zagrożenia dla zasobów Określamy zależności między zasobami, zagrożeniami i podatnościami uwzględniając najgorsze możliwe przypadki wystąpień Określamy prawdopodobieństwo tego, że określone zagrożenie wykorzysta podatność aktywu lub grupy aktywów w celu spowodowania strat lub zniszczenia aktywów Podejmujemy decyzję o ograniczeniu ryzyka

16 Zarządzanie ryzykiem dzisiejsza percepcja Wskazanie zagrożeń dostosowanych do organizacji (zagrożenia) Identyfikacja rzeczywistych problemów (podatności) Ocena skutku i możliwości wystąpienia zagrożeń Proponowanie rozwiązań Przykłady: Zarządzanie ryzykiem korporacyjnym, raporty 8d, ryzyko wynikające z systemów znormalizowanych.

17 Zarządzanie ryzykiem angażowanie pracowników Angażowanie możliwie szerokiego grona osób realnie odpowiedzialnych za bezpieczeństwo zwiększa poczucie współdecydowania o zadaniach wynikających z analizy ryzyka nastawia ludzi na współprace pomaga im rozwiązywać ich własne problemy Poczucie wpływu na to co się dzieje w firmie

18 Zarządzanie ryzykiem angażowanie pracowników Typowa firma: 15 pracowników Service Desk 20 administratorów systemów 30 administratorów aplikacji 5 osób odpowiedzialnych za administrację i bezpieczeństwo fizyczne 4 osoby w kadrach 10 sprzedawców 40 osób w obsłudze klienta 6 osób odpowiedzialnych za rozwój produktów Kilkadziesiąt osób, które mogą wiedzieć gdzie firma ma problemy

19 Zarządzanie ryzykiem angażowanie pracowników Czy są na to gotowi? krótki test ile razy w ciągu roku przyznałeś się przed szefem do błędu. zwróciłeś uwagę kolegom że powinni postępować inaczej. poprosiłeś bezpieczeństwo o uszczegółowienie niejasnego wymagania (i odpowiedzieli) zastanawiałeś się co możesz robić lepiej/inaczej niż do tej pory Świadomość własnych słabości jest miarą mądrości Twojej i Twojej firmy

20 Zarządzanie ryzykiem wybór metody FRAAP - Facilitated Risk Analysis and Assessment Process Niedościgniony wzór prostej oceny ryzyka ukierunkowanej na identyfikację problemów? BPM Risk Wskaż problem Powiedz nam jaki on jest istotny dla Ciebie Podpowiedz co możemy dla ciebie zrobić

21 Sterylność systemów

22 Sterylność systemów Zawsze było tak: Wydzielamy sieć serwerem lustrzanym Wydzielamy sieć logicznie ACL panaceum na wszystko Nie separujemy, bo mamy najlepsze systemy aktywnej ochrony Blokujemy nośniki USB Diody danych Filtry danych Klasyczne architektury minimalizujące konfigurację i ruch pomiędzy sieciami - NIST Silne szyfrowanie VPN jako metoda separacji - Advenica Nie ma standardowych rozwiązań standardem jest projekt separacji, który należy uruchomić i wybrać rozwiązanie dostosowane do realiów

23 Dziękuję za uwagę To, czy jesteśmy gotowi zarządzać bezpieczeństwem jest zdeterminowane naszą zdolnością do uczenia się Wiesław Kasprzak - Ekspert ds. bezpieczeństwa Wieslaw.Kasprzak@grupablue.pl Blue energy sp. z o.o.