Chronimy (czy ciągle tracimy?) dane i informacje w systemach teleinformatycznych organizacji

Transkrypt

1 Chronimy (czy ciągle tracimy?) dane i informacje w systemach teleinformatycznych organizacji Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

2 Zagrożenia związane z wykorzystaniem sieci informatycznych 69 %zarejestrowanych incydentów bezpieczeństwa pochodziła z wewnątrz organizacji.* Największe zagrożenia dla bezpieczeństwa organizacji stanowi.* Przestępcy komputerowi 40% Pracownicy organizacji 34% Straty spowodowane atakami z zewnątrz były o 52% wyższe dla organizacji niż ataki z wewnątrz* Źródło:

3

4 W dobie rozwoju technologii oraz globalnej informatyzacji istotną sprawą staje się umiejętność korzystania z jej dobrodziejstw. Często zapominanym aspektem tej umiejętności jest świadomość użytkowników (pracowników) w zakresie ryzyk, jakie niesie nieprzestrzeganie podstawowych zasad bezpieczeństwa. Brak świadomości zagrożeń ma bezpośredni wpływ na bezpieczeństwo informacji poufnych, a w konsekwencji reputację organizacji czy też bezpośrednie straty finansowe.

5 Poważne włamanie do systemu transakcyjnego polskiego banku

6

7 Gazeta Stołeczna: warszawskie śmietniki są prawdziwą skarbnicą wiedzy. W kontenerach poniewierają się PIT-y, dokumenty z numerami NIP-u i PESEL-u, numery kont bankowych, billingi, a nawet akty notarialne. To prawdziwa żyła złota dla "złodziei tożsamości". raport z audytu wewnętrznego, schemat rozmieszczenia ukrytych kamer i instalacji alarmowej, kopie dowodów rejestracyjnych, wnioski kredytowe;

8 arszawa PTE PZU, baza danych ZUS w ofercie sprzedaży Gazecie Wyborczej dańsk KWP Tajne. Egzemplarz pojedynczy Plan dyslokacji blokad i zapór Dziennik Bałtycki arszawa Wiadomości Informacja o prywatnych numerach telefonów VIP- ów RP

9 iałystok dokumenty prokuratury, Policji, UC, SG, (wysypisko miejskie) rocław TU Allianz, umowy, protokoły szkód, adresy, NIP-y, PESEL e (śmietnik centrum) Gdańsk CV ze zdjęciami kandydatów do pracy w pubie

10 JAK CHRONIĆ DANE I INFORMACJE? Na każdym szczeblu przetwarzania danych konieczne jest respektowanie procedur, w szczególności: zachowanie rygorów bezpieczeństwa, posługiwanie się wyłącznie własnymi identyfikatorami na wyłącznie własne potrzeby, stosowanie unikalnych loginów, przestrzeganie regulacji dotyczących używanych haseł, okresowe zmiany hasła, bezpieczne przechowywanie haseł, przestrzegania zasady czystego biurka

11 JAK CHRONIĆ DANE I INFORMACJE? TYPOWE BŁĘDY Zasada czystego biurka Synchronizacja danych urządzenia mobilne samochody Pozostawianie druków na szybach skanerów drukarkach blatach biurek

12

13

14

15

16 Zasady Bezpieczeństwa Informacji Każdy pracownik organizacji jest zobowiązany zachować poufność przetwarzanych danych oraz sposobów ich zabezpieczenia. Dane można wykorzystywać wyłącznie do celów, dla których zostały udostępnione. Dokumenty zawierające informacje podlegające ochronie powinny być przechowywane na biurku i innych miejscach do tego przeznaczonych, w taki sposób, aby osoba nieuprawniona nie miała do nich dostępu. Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym.

17 Zasady Bezpieczeństwa Informacji ciąg dalszy Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym. Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści. Dokumenty zawierające informacje podlegające ochronie, przed wyrzuceniem do kosza należy zanonimizować, w taki sposób, aby nie można było odtworzyć ich treści i zidentyfikować osoby, której dane dotyczą, lub zniszczyć za pomocą niszczarki.

18 Zasady Bezpieczeństwa Informacji ciąg dalszy Monitor należy usytuować w taki sposób, aby osoby nieupoważnione wchodzące do pomieszczenia nie miały wglądu do danych na nim wyświetlanych. Przed zalogowaniem się do systemu stacji roboczej należy upewnić się, że w pobliżu nie ma osób trzecich lub urządzeń nagrywających mogących zarejestrować hasła dostępowe do systemów, z których zamierzamy skorzystać. Jeśli występuje takie zagrożenie należy zastosować szczególne środki ostrożności uniemożliwiające zarejestrowanie wpisywanego hasła. Oprogramowanie instaluje tylko i wyłącznie administrator systemu informatycznego, nigdy nie należy robić tego samodzielnie. Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści.

19 W 2103 roku 87% organizacji w Europie Wschodniej doświadczyło wewnętrznego incydentu naruszenia bezpieczeństwa informacji, który w części przypadków spowodował utratę poufnych danych. Tak wynika z badania Global Corporate IT Security Risks 2014 przeprowadzonego przez Kaspersky Lab wraz z agencją badawczą B2B International.

20 Dziękuję za uwagę Jacek Bajorek tel. kom