Kwiecień Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

Wielkość: px
Rozpocząć pokaz od strony:

Download "Kwiecień 2013. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji"

Transkrypt

1 Kwiecień 2013 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

2 Obserwując skalę oraz tempo zmian cyberzagrożeń można założyć, że każda organizacja została lub zostanie zaatakowana. Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań w skali całej organizacji, opartych na fundamentach dobrego zrozumienia apetytu na ryzyko oraz profilu zagrożeń, dopasowania strategii działania do celów biznesowych organizacji, dobrego przygotowania do szybkiej reakcji na incydenty, współdziałania z partnerami w zwalczaniu cyberataków oraz ciągłej edukacji, doskonalenia i ćwiczeń. 2 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

3 Spis treści 7 Wprowadzenie 9 Ewolucja zagrożeń 17 Droga do odporności 23 Rola odpowiedzialnego partnerstwa 26 5 zasad bezpieczeństwa 27 Kontakt 28 Przypisy Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 3

4 4 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

5 Świat nowoczesnych technologii ulega gwałtownym przemianom. Wynikają one przede wszystkim z powszechnego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich systemami informatycznymi oraz popularyzacji technologii mobilnych. Granice między organizacjami w szybkim tempie ulegają zatarciu. Za dynamicznymi zmianami technologicznymi niezwłocznie podążają zorganizowane grupy przestępcze, które zachęcone pozorną anonimowością sieci, ograniczoną skutecznością organów ścigania oraz niskim kosztem podejmowanych działań atakują regularnie organizacje oraz ich klientów tam, gdzie są oni najbardziej podatni w cyberprzestrzeni. Stosowane od lat podejście do ochrony kluczowych aktywów oparte na wykrywaniu i neutralizowaniu cyberzagrożeń już po ich wystąpieniu oraz doskonaleniu procesów ochrony w oparciu o wnioski wynikłe z analizy zagrożeń, przestało obecnie być skuteczne. Skala potencjalnych strat w organizacjach silnie uzależnionych od technologii może być tak znaczna, że nie będą one miały szans wyciągnąć wniosków z własnych błędów przestaną istnieć w wyniku skutecznego cyberataku. Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań opartych na następujących fundamentach: założeniu, że każda organizacja została lub zostanie zaatakowana przez cyberprzestepców, skutecznym przygotowaniu do szybkiej reakcji na incydenty pozwalającym organizacji przetrwać nieuchronny atak, ciągłej edukacji, doskonaleniu i ćwiczeniach budujących stan gotowości organizacji do zmierzenia się z nadchodzącym atakiem, współdziałaniu z partnerami biznesowymi, ułatwiającym pozyskiwanie informacji oraz czerpanie wiedzy z doświadczeń innych organizacji. Raport podsumowuje aktualne i możliwe zagrożenia związane z aktywnością przedsiębiorstw w sieci. W opracowaniu znajdują się informacje o kluczowych wyzwaniach związanych z integracją sieci w procesach biznesowych oraz świadczonych usługach, ze szczególnym ukierunkowaniem na zagadnienia partnerstwa i kooperacji. Liderami na rynku staną się te instytucje, które nie tylko w sposób proaktywny będą potrafiły reagować na zagrożenia, ale te, które będą potrafiły je przewidzieć i im zapobiec. Jakub Bojanowski Partner Dział Zarządzania Ryzykiem Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 5

6 6 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

7 Wprowadzenie Rzeczywistość wymiany informacji ulega głębokim przemianom, które odbywają się niemal niezauważalnie, lecz w sposób ciągły. Przemiany te powodują, że na zagadnienia takie jak prywatność, ochrona danych czy bezpieczeństwo, będziemy musieli spojrzeć w zupełnie nowy, świeży sposób i dostosować naszą działalność do nowej cyberrzeczywistości. Przemiany te oznaczają również dogłębną zmianę sposobu, w jaki chronimy nasze tajemnice, zmianę zasad zaufania między pracownikami, a pracodawcą, usługodawcą, a usługobiorcą, zmianę metod wykorzystania technologii czy nawet zmianę procesów biznesowych lub relacji z klientami. Przemiany te wynikają przede wszystkim z powszechnego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich strukturami danych oraz popularyzacji urządzeń i aplikacji mobilnych. Nie bez znaczenia pozostaje profesjonalizacja grup przestępczych wykorzystujących powszechny rozwój technologii, globalny przepływ informacji czy rosnące zaangażowanie aktywnych społecznie hakerów (np. Anonymous). Dynamika tych zmian powoduje, że organizacje, chcąc zachować ciągłość działalności biznesowej, potrzebują nowego spojrzenia na kwestię ochrony przed cyberzagrożeniami. Zarówno skala, jak i charakter ataków świadczą o tym, że atakujący, świadomie i z rozmysłem, wykorzystują fakt olbrzymiej współzależności między organizacjami oraz dostępność nowych technologii, a także brak skutecznej kontroli nad ich wykorzystaniem. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. To, kto lub co jest celem, wyznaczane jest przez interes polityczny oraz finansowy lub ideologię. Stosowane od lat podejście defensywne, polegające na wykrywaniu i neutralizowaniu zagrożeń, przestało być skuteczne. Każda organizacja we własnym zakresie musi odpowiedzieć sobie na pytania, na ile działania podejmowane w obszarze cyberprzestrzeni są skuteczne, czy zarządza ryzykiem we właściwy sposób i co się stanie, gdy zostanie zaatakowana. Nie podlega dyskusji, czy dana organizacja zostanie zaatakowana, tylko kiedy i w jaki sposób. Raport zawiera wiele danych oraz odniesień dotyczących sektora finansowego, który zarówno w wymiarze technologicznym, jak i zarządczym, pełni rolę wskaźnika wyprzedzającego dla zagadnień związanych z bezpieczeństwem informacji w innych sektorach gospodarki. Z tego powodu doświadczenia z sektora finansowego stanowią dobrą podstawę do dyskusji nad przyszłymi zmianami w obszarze ochrony informacji w całym otoczeniu biznesowym. Zatarcie granic Stale postępujący rozwój technologii, czy powszechny outsourcing, to niektóre z przyczyn zacierania się granic technologicznych. Przedsiębiorstwa szukają oszczędności, a outsourcing jest sposobem na to, by przenosząc procesy poza organizację, potencjalnie obniżyć koszty z nimi związane. Sprzyja temu olbrzymia konkurencja, a także budowanie centrów kompetencyjnych w różnych regionach świata, w tym w Polsce. Outsourcing jest już na tyle powszechną formą realizacji usług, że sieć powiązań organizacyjno-technicznych między firmami zaczyna być bardzo skomplikowana. Dodatkowo, współzależność infrastruktury oraz procesów sprawia, że granice między organizacjami są trudne do określenia. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 7

8 Przez lata systemy informatyczne funkcjonowały jako rozwiązania odseparowane od sieci publicznej, a połączenie z Internetem stanowiło dla nich jedyne okno na świat. Dynamiczny rozwój technologii informatycznych, a przede wszystkim uzasadniona potrzeba integracji między organizacjami, spowodowały, że pojawiło się więcej możliwości. Współzależność wielu organizacji postępowała wraz z implementacją nowych technologii. Poza pozytywnymi rezultatami, takimi jak oszczędności, większa elastyczność, szybszy i bardziej efektywny przepływ informacji, pojawiły się również zagrożenia. Firmy, które decydują się na ten model działania (zarówno usługodawcy jak i usługobiorcy) muszą być przygotowane na to, że szeroki dostęp do ich środowisk teleinformatycznych i przetwarzanych w nich danych, wymaga spełnienia bardzo wysokich standardów, a przede wszystkim równoważenia rozważnymi mechanizmami ochrony. Za postępującymi zmianami nie nadążały procesy zarządzania bezpieczeństwem informacji oraz przepisy prawa. W efekcie, z jednej strony widoczny był od lat szybki postęp technologiczny, a z drugiej, usiłujące go dogonić działy bezpieczeństwa, prawnicy i regulatorzy. Na wiele zmian jest już za późno, a wdrożenie innych (zwłaszcza na gruncie prawnym np. w obszarze cloud-computingu) wiązać się będzie ze znacznymi wyzwaniami i nakładami. Zachodzącym zmianom i zacierającym się granicom bacznie przyglądają się regulatorzy, zwłaszcza rynków finansowych i telekomunikacyjnych. Przyglądają im się także cyberprzestępcy, którzy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami. W bardziej elastyczny sposób dostosowują się do zachodzących zmian i często sami jej wywołują. Mając na uwadze znaczny skok technologiczny, który nastąpił w ciągu ostatnich trzech dekad, można stwierdzić, że dzisiejsze ataki są bardziej zaawansowane, co w połączeniu z rosnącą współzależnością środowisk IT wywołuje coraz większe straty. Cyberprzestępcy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami. 8 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

9 Ewolucja zagrożeń Zatarcie granic pomiędzy organizacjami nie dzieje się w oderwaniu od rzeczywistości, zwłaszcza tej wirtualnej. Bezpośrednio wiąże się ono z rozwojem technologii, a także powstawaniem nowych trendów oraz ewolucją następujących, kluczowych zjawisk: Większe zaangażowanie technologii w fundamenty procesów biznesowych oraz coraz większa trudność w nakreśleniu jasnych granic pomiędzy środowiskami czy procesami zarządzanymi przez poszczególne organizacje. Profesjonalizacja ataków polegająca na stosowaniu wzorców wypracowanych przez tradycyjne organizacje przestępcze do działań w cyberprzestrzeni. Istotna zmiana technologiczna wynikająca głównie z popularyzacji przetwarzania mobilnego i powszechnej dostępności serwisów społecznościowych. Ograniczona skuteczność tradycyjnych metod ochrony infrastruktury informatycznej, takich jak systemy antywirusowe, zapory sieciowe czy aktywne i pasywne systemy wykrywania intruzów. Coraz większa presja na racjonalne i oszczędne alokowanie środków przeznaczanych na ochronę informacji, a przez to konieczność rozważania nakładów na ochronę informacji w tradycyjnym modelu zwrotu z nakładów inwestycyjnych. Połączenie powyższych czynników stawia osoby zarządzające organizacjami, które są w istotny sposób oparte o skuteczną wymianę informacji, pod wielką presją znalezienia optymalnych rozwiązań bezpieczeństwa przy jednoczesnym zapewnieniu ich efektywności finansowej. Wykres 1. Ewolucja zagrożeń Atak kontrolowany Sfrustrowany ex-it administrator Zorganizowana przestępczość Wyrafinowanie ataku Hobbysta Konkurencja Zrzeszenie hackerów Złośliwe oprogramowanie Partner biznesowy Sfrustrowany klient Cyberterroryzm Przypadkowe odkrycie Insider Script kiddy Sfrustrowany ex-pracownik Hacktivism Determinacja atakującego Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 9

10 80% Ponad 80% dokonywanych przestępstw jest przeprowadzanych przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci Profesjonalizacja ataków Działania przestępcze w cyberprzestrzeni stały się atrakcyjnym źródłem korzyści materialnych dla kryminalistów, których w niewirtualnej rzeczywistości coraz skuteczniej osaczają organy ścigania. Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę. Atrakcyjność cyberrzeczywistości, jako platformy przeznaczonej do nielegalnych działań, wynika z kilku czynników: pozornej (a w niektórych warunkach rzeczywistej) anonimowości cyberprzestępców, braku gotowości organów ścigania i wymiaru sprawiedliwości do sprawnego reagowania na zagrożenia i braku efektywnej współpracy w tym zakresie z sektorem prywatnym, bardzo ograniczonego ryzyka kary za działalność przestępczą, niskiego wstępnego kosztu inwestycji w działania przestępcze w sieci, znacznego potencjału wzrostu przychodów z tej platformy działań przestępczych w nadchodzących latach. Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę. Efektem powyższych zachęt jest dynamicznie postępująca profesjonalizacja cyberprzestępców, w wyniku której powstają wyspecjalizowane struktury oferujące usługi na rzecz środowiska cyberprzestępców, takie jak przechowywanie danych, dzierżawa sieci typu bot-net, wysyłka spamu, dostosowywanie narzędzi technologicznych do wymagań poszczególnych ataków czy usługi typu escrow. Wyspecjalizowane struktury cyberprzestępcze tworzą klasyczny system przepływu informacji oraz pieniędzy ukierunkowany na maksymalizację korzyści, a także ograniczenie ryzyka związanego z prowadzeniem działalności przestępczej. Typowy schemat działań cyberprzestępców można podzielić na następujące bloki (Wykres 2): Wyciek informacji, do którego dochodzi w wyniku ataku na indywidualną organizację, ich grupę lub użytkowników końcowych. Do zdarzenia tego dochodzi często w wyniku skoordynowanych działań wielu grup przestępczych udzielających sobie wsparcia. Sprzedaż lub dystrybucja danych w ramach podziemnych struktur komunikacyjnych. Działanie to jest ukierunkowane na możliwie szybkie spieniężenie pozyskanych danych jeżeli przestępca, który dane pozyskał nie jest w stanie spieniężyć ich przy pomocy bardziej zaawansowanego ataku. Wzbogacanie i weryfikacja danych oparta o korelację informacji pochodzących z różnych źródeł. W ramach tego działania dane są katalogowane oraz przeznaczane do konkretnego typu ataku (np. phishing, wyłudzenie kredytów lub świadczeń, itp.). Przetworzone i wzbogacone dane są sprzedawane grupom specjalizującym się w konkretnych rodzajach przestępstw. Spieniężenie oraz legalizacja środków. W ramach tej działalności pozyskane dane są wykorzystywane w sposób zależny od ich przydatności do konkretnych rodzajów przestępstw. Uzyskiwane w ten sposób środki są wielokrotnie przetwarzane, często z wykorzystaniem tak zwanych wirtualnych walut (np. Bitcoin), w celu ukrycia źródła oraz sposobu ich zdobycia. 10 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

11 Wykres 2. Profesjonalizacja zagrożeń Wyciek informacji Zakup informacji Wzbogacenie i weryfikacja danych Sprzedaż Realizacja zysków Twórcy złośliwego oprogramowania Kolekcjonerzy tożsamości Kasjerzy Cyberprzestępcy Usługi rozprzestrzeniające złośliwe oprogramowanie Usługi zakupu danych Eksploatacja i wzbogacanie danych Sprzedaż danych Spieniężenie Spamerzy Twórcy Botnet-u Usługa walidacji danych Fora carderów Sprzedawcy usług i towarów Adres dostawy chroniący anonimowość Botnet Bramki płatnicze Komunikatory Instytucje finansowe Przelewy Phishing Keylogger-y Strony e-commerce Pieniądz elektroniczny Hazard on-line Miejsca przerzutu skradzionych danych Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 11

12 Najistotniejsze zagrożenia dla organizacji działających w cyberrzeczywistości 78% Dane przekazywane stronom trzecim 74% Wykorzystanie urządzeń mobilnych Omówiona profesjonalizacja jest wysoce zaawansowana i powszechna. Badanie obszaru cyberprzestepczości 1 wskazuje, że ponad 80% dokonywanych przestępstw jest przeprowadzane przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci. To samo badanie sugeruje, że cyberprzestępczość jest czwartą generacją rozwoju zorganizowanych grup przestępczych, zaraz po generacji pierwszej opartej o hazard oraz nielegalne wytwarzanie alkoholu, generacji drugiej opartej o rozwój czarnego rynku po drugiej wojnie światowej oraz generacji trzeciej skoncentrowanej na rozwoju rynku handlu narkotykami w latach osiemdziesiątych oraz dziewięćdziesiątych XX wieku. Niezależnie od toczących się dyskusji o metodykach i wiarygodności badań prowadzonych w obszarze wyceny cyberzagrożeń należy zauważyć, że nawet najbardziej sceptyczne opracowania wskazują na gwałtowny wzrost ich skali oraz złożoności. Z uwagi na pozbawiony granic charakter sieci, polskie przedsiębiorstwa są w podobnym zakresie narażone na cyberzagrożenia, jak ich konkurenci na rynku regionalnym i globalnym. Działalność przestępców to jednak tylko jedno z wielu źródeł współczesnych zagrożeń dla organizacji działających w cyberrzeczywistości. Organizacje uczestniczące w globalnym badaniu Deloitte TMT Security Survey wskazały, że dostrzegają istotne zagrożenia związane: z ilością oraz rodzajem danych przekazywanych stronom trzecim (78% respondentów), Wpływ technologii Określenia takie jak cloud-computing i wirtualizacja, big data, BYOD, technologie mobilne czy social-media, na stałe wpisały się do słowników zarówno przedsiębiorstw, jak i użytkowników końcowych. Powszechna dostępność, łatwość obsługi i stosunkowo niewielki koszt wdrożenia oraz obsługi tych technologii i usług sprawia, że tradycyjnie rozumiany dział IT stoi przed nowymi wyzwaniami. Wyzwania te dotyczą także osób odpowiedzialnych w firmach za bezpieczeństwo informacji. Cloud computing Technologią, która na wielu frontach rewolucjonizuje podejście do kwestii prywatności i ochrony danych jest wirtualizacja. Przetwarzanie w chmurze nie jest jedynie sposobem na szukanie oszczędności. W praktyce zwiększa ono dostępność usług i stwarza nowe możliwości ich rozwoju, dając zarówno działom biznesowym jak i IT większą elastyczność w doborze rozwiązań. Przedsiębiorstwa, z początku nieufne, coraz częściej przekonują się do tej technologii. W branży TMT 40% badanych firm przyznaje, że korzysta z chmury obliczeniowej. Należy przy tym zwrócić uwagę na fakt, że łatwa dostępność i niski koszt sprawiają, iż działy biznesowe mogą korzystać z usług typu SaaS (Software as a Service) bez wiedzy i wsparcia działów IT. Powoduje to ryzyko funkcjonowania w firmach tzw. dzikiego IT (ang. rogue IT). Jest to zjawisko o tyle niepożądane, że, jak wskazują wyniki badania w branży finansowej, najczęściej zgłaszane przez audytorów zastrzeżenia w obszarze IT dotyczą nadmiarowych praw przyznanych użytkownikom i developerom w tego typu środowiskach. 70% Brak odpowiedniej świadomości wśród pracowników coraz szerszym wykorzystaniem urządzeń mobilnych (74%) oraz brakiem odpowiedniej świadomości wśród pracowników (70%). Powoduje to sytuację, w której z jednej strony organizacje stoją przed wyzwaniami związanymi z cyberprzestępczością, a trendami w dziedzinie wykorzystania technologii z drugiej. Budowanie mechanizmów ochronnych, które skutecznie zaadresują ryzyka w obu obszarach, jest zadaniem wymagającym nowego spojrzenia na rzeczywistość, którą kształtują dynamicznie postępujące zmiany technologiczne. Stanowi to kolejny czynnik sprzyjający szerzeniu się znanych wcześniej niebezpieczeństw i powstawaniu nowych zagrożeń. Prawie 50% badanych organizacji z sektora finansowego nie zdecydowało się jeszcze na przetwarzanie w chmurze, właśnie z powodu obaw o bezpieczeństwo danych, niedojrzałość samej technologii czy też braku jej dostosowania do potrzeb organizacji. Jednak wśród tych, którzy się na to zdecydowali, prawie wszyscy potwierdzili, że na różne sposoby, organizacyjne i techniczne, dbają o bezpieczeństwo danych przetwarzanych w chmurze. Od strony organizacyjnej firmy zabezpieczają się poprzez odpowiednie klauzule w umowach z dostawcami usług, wymuszające stosowanie określonych mechanizmów bezpieczeństwa oraz definiujące kryteria dotyczące m.in. dostępności tych usług. Rozwiązania techniczne dotyczą głównie kontroli dostępu do zasobów, należytej priorytetyzacji ruchu sieciowego względem poszczególnych usług w chmurze oraz testowania procedur związanych z zapewnieniem 12 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

13 ciągłości działania. Częściowym rozwiązaniem z obu obszarów jest zapis umowny zezwalający na prawo do audytu infrastruktury wirtualnej dostawcy tego typu usług, a także późniejsze kontrolowanie sposobu, w jaki dostawca wywiązuje się ze swoich zobowiązań związanych z ochroną danych. Bring Your Own Device Kolejnym trendem nadającym kształt cyberzagrożeniom jest BYOD (ang. Bring Your Own Device). W czasach, gdy telefon komórkowy lub tablet potrafią zastąpić komputer, mobilność pracowników bywa krytycznym aspektem funkcjonowania przedsiębiorstwa, a granica między tym, co służbowe i prywatne często jest niedostrzegalna, rozsądne wydaje się szukanie oszczędności właśnie w kieszeni pracownika. Przyczyny takiego stanu rzeczy wykraczają jednak poza zwykłe ograniczanie kosztów. Nosząc więcej niż jeden telefon pracownicy mogą chcieć dążyć do optymalizacji warunków, w których funkcjonują. Przejawem tego będzie współdzielenie danych pomiędzy ich urządzeniami, korzystanie z aplikacji mobilnych integrujących się z serwisami internetowymi (np. społecznościowymi), a w efekcie rezygnacja z dwóch urządzeń na rzecz jednego. Stąd krok do sytuacji, w której pracownik przychodzi do firmy z własnym urządzeniem, na którym przetwarza kluczowe dane firmowe. Połowa firm badanych w ramach Deloitte TMT Security Survey 2013 stwierdziła, że posiada uregulowania dotyczące BYOD, a trzy czwarte badanych widzi w wykorzystaniu technologii mobilnych poważne zagrożenie. Stosowanie tradycyjnych mechanizmów ochronnych nie wystarczy, gdy pracownicy korzystają ze sprzętu (telefonu, tabletu, laptopa itp.) znajdującego się poza kontrolą pracodawców. W celu zapewnienia bezpiecznego funkcjonowania sprzętu pracownika, większość z firm stosuje tylko najprostsze środki organizacyjne, takie jak polityka dozwolonego użytku, programy security awareness, czy techniczne np. hasło lub PIN, szyfrowanie, czyszczenie urządzenia w przypadku jego oddania lub kilkukrotnego podania błędnego hasła. Może być to podyktowane obawami związanymi z kwestiami regulacyjnymi, gdyż telefon należy do pracownika i przechowuje on w nim także swoje prywatne dane (takie jak zdjęcia, notatki czy wiadomości SMS). Wydawać się może, że rozwiązania typu MDM (ang. Mobile Device Management) stanowią panaceum na piętrzące się problemy związane z BYOD oraz technologiami mobilnymi. Jednak bez właściwych regulacji i skutecznego zakomunikowania zainteresowanym pracownikom celowości ich wprowadzania, żadna technologia nie rozwiąże problemów. Media społecznościowe Firmy i ich pracownicy mają potrzebę obecności w mediach społecznościowych. Jest to skuteczne i tanie narzędzie marketingowe, a także sposób na pozostanie w kontakcie z klientami. Należy jednak przemyśleć, w jaki sposób można pozwolić pracownikom na korzystanie z serwisów społecznościowych dbając jednocześnie o bezpieczeństwo przetwarzanych przez nich danych firmowych (a niekiedy prywatnych). 37% organizacji z branży finansowej dokonuje w związku z tym przeglądu istniejących regulacji, a 31% uświadamia swoich pracowników, mówiąc o zagrożeniach, które wiążą się z obecnością w serwisach społecznościowych. Złożoność tych zagrożeń sprawia, że tradycyjne mechanizmy obrony przestają być skuteczne, choć nadal większość organizacji postrzega rozwiązania takie jak firewall, webfilter czy antywirus jako wystarczające. W przypadku mediów społecznościowych te zabezpieczenia nie sprawdzają się. Cyberprzestępcy swoje działania kierują tam, gdzie znajdują się ich potencjalne ofiary. Dlatego oprócz zabezpieczeń technologicznych, należy przede wszystkim budować świadomość pracowników. Olbrzymia popularność serwisów społecznościowych jest zatem czynnikiem ryzyka, którego nie można pomijać w procesie zarządzania bezpieczeństwem informacji. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 13

14 31% Organizacje, które uświadamiają pracowników o zagrożeniach, wiążących się z obecnością w serwisach społecznościowych Big data Innym trendem, który istotnie wpływa na sposób postrzegania bezpieczeństwa informacji jest big data. Olbrzymia ilość danych w połączeniu z możliwościami, jakie daje technologia, stanowi odpowiedź na coraz śmielsze pomysły dotyczące ich wykorzystania. Rozpatrując kwestie bezpieczeństwa informacji w kontekście big data należy skupić się na koncepcji Four V : Volume - ilość danych wpływa na ich dostępność, gdyż przekłada się na wydajność rozwiązań służących do ich przetwarzania. Oznacza także, że każdy, nawet najmniejszy wyciek informacji, może stanowić duży problem. Variety - olbrzymia różnorodność danych wymaga dogłębnej analizy dopuszczalności ich przetwarzania. Rygorystyczne przepisy prawa mogą zabraniać przetwarzania danych po określonym czasie, a nieprzestrzeganie tego zakazu rodzi ryzyka natury regulacyjnej. Velocity - potrzeba zapewnienia szybkości generowania i przetwarzania danych, a w efekcie dostarczania wyników analiz sprawia, że upraszczając architekturę systemów IT, pominięte mogą zostać, zbędne w opinii ekspertów od data miningu, elementy bezpieczeństwa. Value - wartość danych składających się na big data jest trudna do oszacowania, jednak, jak argumentują zwolennicy tej koncepcji, jest znacząca. Tym samym analiza ryzyka i dobór właściwych rozwiązań w obszarze bezpieczeństwa tych danych nie jest zadaniem prostym. Rozwiązania zapobiegające wyciekom danych (ang. Data Leak/Loss Prevention - DLP) w najbliższej przyszłości będą musiały zostać dostosowane do nowych wymagań bezpieczeństwa, co w obliczu wskazanych powyżej czynników będzie stanowić szczególne wyzwanie. Stawić czoła temu wyzwaniu może pomóc właśnie big data. Popularne systemy SIEM (ang. Security Information and Event Management) czy threat intelligence, opierają się na analizie w czasie rzeczywistym dużych woluminów różnorodnych danych. Ich wartość w kontekście bezpieczeństwa informacji jest nieoceniona. Nieskuteczność tradycyjnych metod ochrony danych W czasach, w których informacja jest dla przedsiębiorstw najcenniejsza, stosowane od lat tradycyjne systemy realizujące funkcje bezpieczeństwa przestają być wystarczające. Stanowią one wprawdzie jedną z pierwszych linii obrony przed atakami, jednak widoczne tendencje podpowiadają, że aby chronić informacje, trzeba zacząć samemu je zdobywać. Przykładem aktywnego działania na tym polu jest wykorzystywanie systemów typu SIEM. Systemy takie są niezbędnymi narzędziami w rękach zespołów SOC (ang. Security Operations Centre), lecz nawet najlepszy system będzie bezużyteczny, jeśli dane, które przetwarza będą niskiej jakości. W obliczu zagrożeń typu APT (ang. Advanced Persistent Threats) najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja. Możliwość jak najszybszego reagowania może zapewnić korelowanie danych z systemów klasy SIEM, z informacjami pochodzącymi od innego rodzaju rozwiązań, tj. threat intelligence gathering. Tradycyjne metody oparte na kontroli dostępu, rozliczalności czy zapobieganiu zdarzeniom, okazują się nieadekwatne do stopnia złożoności i szkodliwości aktualnych zagrożeń. Funkcjonując w świecie biznesu opartego o technologie należy liczyć się z tym, że prawdopodobieństwo skutecznego ataku na sieć przedsiębiorstwa jest bliskie 100%. Skrajnym przypadkiem jest założenie, że infrastruktura teleinformatyczna została spenetrowana (taki model działania przyjęła Narodowa Agencja Bezpieczeństwa w Stanach Zjednoczonych). Informacja, że spośród badanych firm z sektora finansowego, 98% korzysta z programu antywirusowego, niekoniecznie jest wyznacznikiem poziomu bezpieczeństwa ich systemów. Wątpliwości co do bezpieczeństwa danych budzi 2% firm niekorzystających z takiego rozwiązania. Niezależnie od wykorzystywanych rozwiązań technologicznych należy pamiętać, że tradycyjne metody oparte na analizie sygnatur, detekcji anomalii, czy też heurystyce przestają być skuteczne. Proaktywne podejście do zarządzania bezpieczeństwem, oparte na zdobywaniu informacji (tj. threat intelligence) zarówno z wnętrza sieci, jak i spoza niej, pomaga kształtować linię obrony i podejmować właściwe decyzje we właściwym czasie. Im szybciej naruszenie bezpieczeństwa zostanie zidentyfikowane, tym szybciej podjęte zostaną działania mające na celu minimalizację skutków, wykrycie sprawców i zabezpieczenie materiałów mogących stanowić dowód w postępowaniu. 14 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

15 Dla osiągniecia proponowanego stanu gotowości należy wypracować struktury oraz procedury funkcjonowania na wypadek cyberataku, bazujące na zespołach typu SOC. Ich sprawne funkcjonowanie oparte jest na narzędziach i procedurach, lecz przede wszystkim wynika z dogłębnego zrozumienia procesów zachodzących w firmie, a nie tylko w infrastrukturze IT przedsiębiorstwa. Tym samym inicjatywy typu BYOD, cloud-computing, big data czy też współpraca z partnerami zewnętrznymi, nie mogą pozostać bez wpływu na poziom ochrony danych w firmie. Wzrost kosztów i presja optymalizacji budżetu Można przypuszczać, że wraz z istotnymi zmianami technologicznymi zmianie ulegnie także poczucie istotności bezpieczeństwa informacji. Z badania Deloitte 3 wynika jednak, że mimo rosnącej skali oraz złożoności zagrożeń, budżety przeznaczane na ochronę kluczowych informacji oraz obronę przed cybezagrożeniami pozostają niemal bez zmian od 3 lat. Blisko połowa firm z sektora bankowego i technologicznego zwraca uwagę, że kolejny rok z rzędu ograniczenia budżetowe stanowią poważną przeszkodę na drodze do budowania efektywnego programu bezpieczeństwa informacji w organizacji. Wydatki na bezpieczeństwo, w tym na dedykowane urządzenia i platformy, a także usługi, mogą przynieść wymierną wartość finansową większości organizacji, gdy przyjmie się odpowiednie założenia i właściwy model funkcjonowania bezpieczeństwa w firmie i poza nią. W obliczu zagrożeń typu APT najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja. Stopień skomplikowania technologii i opartych o nią procesów biznesowych wymaga znacznych nakładów na jej utrzymanie i inwestycje z nią związane. Z obserwacji rynku wynika, że tradycyjne pojmowanie bezpieczeństwa jako problemu IT lub kwestii zgodności z wymogami regulacyjnymi powoli staje się nieaktualne. Bezpieczeństwo informacji coraz częściej jest elementem biznesu, należałoby więc oczekiwać, że planowanie wydatków związanych z ochroną danych oparte będzie o znane mechanizmy bazujące na wskaźniku zwrotu nakładu na inwestycje (ang. Return on Investment - ROI). Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 15

16 16 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

17 Droga do odporności Dynamicznie postępująca ewolucja zagrożeń wymaga zastosowania nowego podejścia do zarządzania bezpieczeństwem informacji. We wcześniejszej części raportu opisane zostały przyczyny, dla których zmiana postrzegania jest niezbędna i uzasadniona. Dalsza część skupia się na możliwych do podjęcia działaniach mających na celu osiągnięcie takiego poziomu odporności, który pozwoli odeprzeć pierwsze uderzenie cyberataku i w szybki oraz elastyczny sposób zareagować i dostosować się do stale zmieniających się reguł gry. Najbardziej korzystne rezultaty zostaną osiągnięte, gdy działania będą podejmowane wielotorowo, we wszystkich wskazanych obszarach. Osiągnięty dzięki temu efekt synergii pozwoli na sprawne funkcjonowanie organizacji odpornej na cyberzagrożenia. Stosuj metody wywiadowcze Zasadnicza zmiana, jaka nastąpiła w podejściu do ochrony tajemnic przedsiębiorstwa dotyczy spojrzenia, które coraz częściej koncentruje się na tym, co dzieje się poza przedsiębiorstwem. Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz. Hacktywizm, cyberkonflikty między narodami czy szpiegostwo przemysłowe na stałe wpisały się na listę tych zagrożeń. Mechanizmy obrony przed nimi powinny mieć charakter wyprzedzający i muszą funkcjonować niczym sprawny wywiad (threat intelligence) dostarczający informacji na czas. Informacje te są niezbędne, by móc uniknąć niepożądanych zdarzeń lub wręcz kształtować wydarzenia w cyberrzeczywistości, a nierzadko i poza nią. Właściwe podejście zakłada, że do skutecznego ataku może dojść z prawdopodobieństwem graniczącym z pewnością. Dlatego jednym z głównych filarów cyberodporności jest zbieranie i analiza informacji zarówno z wnętrza organizacji jak i spoza niej. Sprzyja temu organizowanie się w branżowe organizacje i dzielenie się wiedzą i doświadczeniem, zwłaszcza że koszt takiej inicjatywy jest stosunkowo niewielki. Podstawowe informacje, które będą miały wartość dla naszej organizacji możemy uzyskać: Śledząc informacje pojawiające się na branżowych forach internetowych zawierające dane o zagrożeniach, które dotknęły organizacje podobne do naszej. Podobieństwo to dotyczy zarówno wymiaru technologicznego jak i profilu ryzyka. Poszukując aktywnie informacji o zagrożeniach w sieciach anonimowych (takich jak sieć TOR) będących zwyczajową płaszczyzną komunikacji dla początkujących cyberprzestępców. Starannie obserwując własną infrastrukturę oraz gromadząc i korelując informacje o zdarzeniach bezpieczeństwa w infrastrukturze technologicznej. Istniejące na rynku wyspecjalizowane firmy, gromadzące i analizujące informacje o zagrożeniach w cyberprzestrzeni, niejednokrotnie schodzą do tzw. podziemia, by jeszcze szybciej i skuteczniej informować swoich klientów o przygotowywanych na nich atakach. Popyt na tego typu usługi będzie rósł wraz ze zwiększającą się skalą i powagą zagrożeń. Odpowiednio poinformowane organizacje będą w stanie z wyprzedzeniem zareagować na cyberatak np. usuwając nieznaną wcześniej lukę w swoich systemach IT lub czasowo zwiększając zasoby dostępne dla atakowanego serwisu. Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 17

18 Zarządzaj incydentami Tradycyjny model zarządzania incydentami bezpieczeństwa informacji (oparty o monitorowanie zdarzeń, reakcję na incydent, analizę, wyciąganie wniosków i działanie) przestaje wystarczać. Zarówno skala jak i charakter niepożądanych zdarzeń coraz częściej przerastają możliwości ich obsługi przez zaatakowane podmioty. W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%. W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%. Należy szukać odpowiedzi na pytanie jakie działania zostaną podjęte, gdy moja organizacja zostanie zaatakowana, a nie czy jest bezpieczna. Niezbędna jest proaktywna postawa, mająca na celu przygotowanie się na cyberatak. Czynności te mogą mieć charakter zarówno organizacyjny jak i techniczny: Analizuj starannie informacje uzyskane w ramach białego wywiadu. Poszukuj w nich sygnałów świadczących o możliwym ataku lub przygotowaniach do niego. Zapewnij gotowość narzędzi do zbierania materiału mogącego stanowić dowód w postępowaniu; środków komunikacji na wypadek uszkodzenia tych podstawowych; grupy ekspertów, którzy niezwłocznie podejmą działania eliminujące podatności wykorzystane przez atakujących. Prawidłowe reagowanie na powstałe lub powstające zagrożenia wymaga od osób na szczeblu zarządczym zrozumienia istoty tych negatywnych zdarzeń. Przedyskutuj z kluczowymi członkami kadry kierowniczej potencjalny wpływ oraz metody reagowania na cyberzagrożenia. Opracowanie założeń do modelu proaktywnego reagowania na incydenty wymaga doskonałej znajomości procesów w organizacji, właściwych struktur i środków. Są to elementy niezbędne do zbudowania efektywnego systemu odpornościowego przedsiębiorstwa. Funkcjonowanie w tradycyjnym modelu (monitorowanie - incydent - postępowanie - wnioski - działanie - monitorowanie) z czasem przestanie być skuteczne i opłacalne. Dbaj o świadomość swoich pracowników oraz stron trzecich W ocenie badanych organizacji z sektorów telekomunikacyjnego i finansowego, podnoszenie świadomości użytkowników jest na czołowym miejscu wśród inicjatyw, mających na celu dbanie o bezpieczeństwo informacji w firmie. Dla 70% respondentów ze świata technologii, brak wiedzy z zakresu ochrony danych wśród personelu stanowi poważne zagrożenie. Jednak niecała połowa z nich organizuje dla swoich pracowników szkolenia na ten temat, a wśród dużych organizacji tylko 8% uważa to za sprawę priorytetową. Właściwe podejście do zarządzania cyberbezpieczeństwem wymaga spełnienia trzech warunków w obszarze budowania świadomości pracowników przedsiębiorstwa: Wymagany jest jasny i spójny system regulacji wewnętrznych dotyczących ochrony przed cyberzagrożeniami. System, który będzie przystępny i dostępny dla pracowników, od których wymaga się przy zatrudnieniu podpisania oświadczenia o zapoznaniu z wewnętrznymi przepisami. Warto, aby personel miał świadomość, gdzie znajdzie poszukiwane dokumenty i że są one aktualne oraz pozostające w mocy. Tę wiedzę najłatwiej przekazać za pomocą stron intranetowych. Organizacja, poprzez formę i treść swoich procedur i zasad, nie może zniechęcać pracowników do ich stosowania. Wśród personelu musi panować przekonanie, że regulacje pozostają w racjonalnym związku z tym, czego dotyczą. Właściwy przykład w stosowaniu wewnętrznych regulacji, płynący od samego kierownictwa. Należy dbać o to, aby promować postępowanie właściwe i w umiejętny sposób wskazywać i eliminować przejawy negatywnego postępowania. 18 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

19 Wykres 3. Radar cyberzagrożeń Zapobieganie Wdrożenie nowej technologii o znacznym stopniu złożoności Poziom obaw Niski Średni Wysoki Sankcje z powodu naruszeń dotyczących międzynarodowego przetwarzania i przepływu danych Utrata danych z powodu naruszenia bezpieczeństwa urządzeń mobilnych Zakłocenie działalności operacyjnej jako skutek celowego działania osoby wewnątrz organizacji Utrata danych z powodu zastosowania metod socjotechnicznych Zablokowanie dostępności kanału klienckiego Utrata reputacji poprzez podmianę treści na stronie internetowej Sponsorowane przez konkurencje celowe działania zorganizowanych grup przestępczych Utrata danych z powodu celowej działalności osoby wewnątrz organizacji Utrata danych w wyniku wykorzystania podatności technicznych Utrata reputacji marki poprzez media społecznościowe Sponsorowana przez państwo cyber wojna Utrata danych z powodu zaawansowanego ataku (użycie wielu technik i wektorów ataku jednocześnie) Wykrywanie i reagowanie Przyszłe zagrożenia Nowo powstające zagrożenia Obecne zagrożenia Znane i rozumiałe Znane, ale niezrozumiałe Nieznane i niezrozumiałe Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 19

20 Wykres 4. Mapa dojrzałości cyberbezpieczeństwa Zarządzanie Szkolenia i budowanie świadomości Zapobieganie Monitorowanie i ochrona danych Identyfikacja i klasyfikacja informacji Zarządzanie tożsamością Zarządzanie rolami i uprawnieniami Usługi kryptograficzne Archiwizacja i utylizacja danych Uwierzytelnienie klientów i pracowników Bezpieczny rozwój oprogramowania Ochrona aplikacji Kontrola dostępu Zapewnienie integralności aplikacji Polityki i standardy Ochrona informacji Ochrona aplikacji Dostęp zdalny Ochrona przed złosliwym oprogramowaniem Architektura i plany Zarządzanie bezpieczeństwem Cyber Security Ochrona infrastruktury Ochrona platform Zarządzanie ryzykiem i zgodnością Zarządzanie zagrożeniami Ochrona sieci Zarządzanie Zarządzanie płatnościami zachowania incydentami Analiza Identyfikacja zagrożeń Ochrona marki Tworzenie profilu zachowania pracowników/klientów Monitorowanie zdarzeń bezpieczeństwa Reagowanie na incydenty i podtrzymywanie ciągłosci usług E-discovery i informatyka śledcza Tworzenie profilu aktywności sieci i systemów Tworzenie modeli zagrożeń Przygotowanie na cyber ataki Wykrywanie 20 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

Ochrona biznesu w cyfrowej transformacji

Ochrona biznesu w cyfrowej transformacji www.pwc.pl/badaniebezpieczenstwa Ochrona biznesu w cyfrowej transformacji Prezentacja wyników 4. edycji badania Stan bezpieczeństwa informacji w Polsce 16 maja 2017 r. Stan cyberbezpieczeństwa w Polsce

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa Juliusz Brzostek Dyrektor NC Cyber w NASK Październik 2016 r. Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa Powody powołania NC Cyber luty 2013 Strategia bezpieczeństwa cybernetycznego

Bardziej szczegółowo

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele Nowa Strategia Cyberbezpieczeństwa RP na lata 2017-2022 główne założenia i cele Dariusz Deptała Serock, 29-31 maja 2017 r. Strategia Cyberbezpieczeństwa RP- Krajowe Ramy Polityki Cyberbezpieczeństwa Ustawa

Bardziej szczegółowo

epolska XX lat później Daniel Grabski Paweł Walczak

epolska XX lat później Daniel Grabski Paweł Walczak epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe

Bardziej szczegółowo

Prezentacja raportu z badania nadużyć w sektorze finansowym

Prezentacja raportu z badania nadużyć w sektorze finansowym Prezentacja raportu z badania nadużyć w sektorze finansowym Edycja 2017 24 października 2017 Agenda 1 Problem badawczy Zakres badania, zależności między zmiennymi 2 Grupa respondentów Udział poszczególnych

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Michał Kluska Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Łopuszna, 6-7 lutego 2012 r. Agenda:

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Reforma ochrony danych osobowych RODO/GDPR

Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,

Bardziej szczegółowo

Jak uchronić Twój biznes przed cyberprzestępczością

Jak uchronić Twój biznes przed cyberprzestępczością www.pwc.com Jak uchronić Twój biznes przed cyberprzestępczością Nigdy nie zostałem zhakowany Roman Skrzypczyński Marcin Klimczak 03 listopada 2015 2 3 Tu i teraz nasza firma? 4 20 symulacji zintegrowanych

Bardziej szczegółowo

2016 Proget MDM jest częścią PROGET Sp. z o.o.

2016 Proget MDM jest częścią PROGET Sp. z o.o. Proget MDM to rozwiązanie umożliwiające administrację urządzeniami mobilnymi w firmie takimi jak tablet czy telefon. Nasza platforma to także bezpieczeństwo danych firmowych i prywatnych: poczty email,

Bardziej szczegółowo

Launch. przygotowanie i wprowadzanie nowych produktów na rynek

Launch. przygotowanie i wprowadzanie nowych produktów na rynek Z przyjemnością odpowiemy na wszystkie pytania. Prosimy o kontakt: e-mail: kontakt@mr-db.pl tel. +48 606 356 999 www.mr-db.pl MRDB Szkolenie otwarte: Launch przygotowanie i wprowadzanie nowych produktów

Bardziej szczegółowo

Dwie szkoły oceny 360 stopni. Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem

Dwie szkoły oceny 360 stopni. Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem Czy stosowanie tradycyjnego podejścia do metody 360 stopni jest jedynym rozwiązaniem? Poznaj dwa podejścia do przeprowadzania procesu oceny

Bardziej szczegółowo

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa? Polsko-Amerykańskie Centrum Zarządzania Polish-American Management Center dr Joanna Kulesza Katedra prawa międzynarodowego i stosunków międzynarodowych WPiA UŁ Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Bardziej szczegółowo

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach Załącznik nr 3 do Regulaminu systemu kontroli wewnętrznej B S w Łubnianach Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Łubnianach Rozdział 1. Postanowienia ogólne 1 Zasady systemu kontroli

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Informacja Banku Spółdzielczego w Chojnowie

Informacja Banku Spółdzielczego w Chojnowie BANK SPÓŁDZIELCZY W CHOJNOWIE Grupa BPS Informacja Banku Spółdzielczego w Chojnowie wynikająca z art. 111a ustawy Prawo Bankowe według stanu na dzień 31.12.2016 r. 1. Informacja o działalności Banku Spółdzielczego

Bardziej szczegółowo

Kompleksowe Przygotowanie do Egzaminu CISMP

Kompleksowe Przygotowanie do Egzaminu CISMP Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Model dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie

Model dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie Tab. 1. Opis poziomów dojrzałości procesów dla obszaru nadzór. Formalne strategiczne planowanie biznesowe Formalne strategiczne planowanie Struktura organizacyjna Zależności organizacyjne Kontrola budżetowania

Bardziej szczegółowo

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI Warszawa, dnia 17 września 2015 r. RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI BM-WP.072.315.2015 Pani Małgorzata Kidawa-Błońska Marszałek Sejmu RP Szanowna Pani Marszałek, w nawiązaniu do

Bardziej szczegółowo

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku? Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku? Badanie Cyberbezpieczeństwo Firm Warszawa, 2 marca 2017 The better the question. The better the answer. The better the world works.

Bardziej szczegółowo

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym SPIS TREŚCI 1. Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej...3 1.1. Informacje o systemie

Bardziej szczegółowo

Program ochrony cyberprzestrzeni RP założenia

Program ochrony cyberprzestrzeni RP założenia Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Szukanie wspólnej wartości (korzyści) w klastrze

Szukanie wspólnej wartości (korzyści) w klastrze Szukanie wspólnej wartości (korzyści) w klastrze Struktura klastrowa M. Porter - klastry to geograficzne koncentracje wzajemnie powiązanych przedsiębiorstw, wyspecjalizowanych dostawców (w tym dostawców

Bardziej szczegółowo

2016 CONSULTING DLA MŚP. Badanie zapotrzebowania na usługi doradcze

2016 CONSULTING DLA MŚP. Badanie zapotrzebowania na usługi doradcze 2016 CONSULTING DLA MŚP Badanie zapotrzebowania na usługi doradcze 1 O raporcie Wraz ze wzrostem świadomości polskich przedsiębiorców rośnie zapotrzebowanie na różnego rodzaju usługi doradcze. Jednakże

Bardziej szczegółowo

Przedszkole Nr 30 - Śródmieście

Przedszkole Nr 30 - Śródmieście RAPORT OCENA KONTROLI ZARZĄDCZEJ Przedszkole Nr 30 - Śródmieście raport za rok: 2016 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Dopasowanie IT/biznes

Dopasowanie IT/biznes Dopasowanie IT/biznes Dlaczego trzeba mówić o dopasowaniu IT-biznes HARVARD BUSINESS REVIEW, 2008-11-01 Dlaczego trzeba mówić o dopasowaniu IT-biznes http://ceo.cxo.pl/artykuly/51237_2/zarzadzanie.it.a.wzrost.wartosci.html

Bardziej szczegółowo

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Rozwiązania SCM i Portal dla handlu i przemysłu

Rozwiązania SCM i Portal dla handlu i przemysłu POŁĄCZ WSZYSTKICH UCZESTNIKÓW PROCESU Jedna platforma IT wszystko pod kontrolą Rozwiązania SCM i Portal dla handlu i przemysłu Jedna platforma IT wszystko pod kontrolą Rozwiązania SCM i Portal Świat kręci

Bardziej szczegółowo

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej. Samoocena może dotyczyć zarówno procesów zachodzących w jednostce, jak i poszczególnych elementów systemu jakie uwzględnia kontrola zarządcza. W procesie samooceny biorą udział pracownicy jednostki bezpośrednio

Bardziej szczegółowo

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo RODO a cyberbezpieczeństo ROZPORZĄDZENIE RODO Projekt ustawy o krajowym systemie cyberbezpieczeństwa 25 maja

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

TECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO

TECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO TECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO 2019-2022 Technologiczny okrągły stół EKF jest inicjatywą zainaugurowaną podczas ubiegłorocznego Europejskiego Kongresu Finansowego, z

Bardziej szczegółowo

Prelegent : Krzysztof Struk Stanowisko: Analityk

Prelegent : Krzysztof Struk Stanowisko: Analityk Prelegent : Krzysztof Struk (BDO@KAMSOFT.PL) Stanowisko: Analityk Nowe wyzwania Największa zmiana prawna (w historii) w obszarze ochrony i przetwarzania danych osobowych, wrażliwych Przeniesienie odpowiedzialności

Bardziej szczegółowo

Strategia dla Klastra IT. Styczeń 2015

Strategia dla Klastra IT. Styczeń 2015 Strategia dla Klastra IT Styczeń 2015 Sytuacja wyjściowa Leszczyńskie Klaster firm branży Informatycznej został utworzony w 4 kwartale 2014 r. z inicjatywy 12 firm działających w branży IT i posiadających

Bardziej szczegółowo

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013 Wartość audytu wewnętrznego dla organizacji Warszawa, 11.03.2013 Informacje o Grupie MDDP Kim jesteśmy Jedna z największych polskich firm świadczących kompleksowe usługi doradcze 6 wyspecjalizowanych linii

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

9481/19 dh/aga/mk 1 JAI.1

9481/19 dh/aga/mk 1 JAI.1 Rada Unii Europejskiej Bruksela, 22 maja 2019 r. (OR. en) 9481/19 NOTA Od: Do: Prezydencja Nr poprz. dok.: 9035/19 Dotyczy: Komitet Stałych Przedstawicieli / Rada COSI 117 JAI 555 ENFOPOL 261 ENFOCUSTOM

Bardziej szczegółowo

CSA STAR czy można ufać dostawcy

CSA STAR czy można ufać dostawcy CSA STAR czy można ufać dostawcy Agenda CSA i OKTAWAVE Wprowadzenie do modelu cloud computing wg NIST Ryzyka, zagrożenia oraz aspekty prawne w modelu cloud computing. Program certyfikacyjny STAR (Security

Bardziej szczegółowo

Jak budować markę? Zestaw praktycznych porad

Jak budować markę? Zestaw praktycznych porad Budowa marki 2018 Jak budować markę? Zestaw praktycznych porad Kto jest kim w markowym zespole? Wybrany członek zarządu: pełni rolę sponsora projektu, ułatwia promocję projektu w organizacji i nadaje mu

Bardziej szczegółowo

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Warszawa, 9 października 2014r. Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Grzegorz Długajczyk ING Bank Śląski Które strony popełniały najwięcej naruszeń w ostatnich 10 latach?

Bardziej szczegółowo

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Jakub Syta, CISA, CISSP Warszawa, 14 czerwca 2010 1 Zastrzeżenie

Bardziej szczegółowo

trendów, które zmieniają IT (technologię informatyczną)

trendów, które zmieniają IT (technologię informatyczną) trendów, które zmieniają IT (technologię informatyczną) Powszechnie wiadomo, że technologia informatyczna ewoluuje. Ludzie wykorzystują technologię w większym stopniu niż dotychczas. A ponieważ nasi użytkownicy

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie I. CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli wewnętrznej W Banku Spółdzielczym w Gogolinie funkcjonuje system

Bardziej szczegółowo

Szczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych

Szczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych Szczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych Samoocena podstawowe informacje Samoocena kontroli zarządczej, zwana dalej samooceną, to proces,

Bardziej szczegółowo

Dopasowanie IT/biznes

Dopasowanie IT/biznes Dopasowanie IT/biznes Dlaczego trzeba mówić o dopasowaniu IT-biznes HARVARD BUSINESS REVIEW, 2008-11-01 Dlaczego trzeba mówić o dopasowaniu IT-biznes http://ceo.cxo.pl/artykuly/51237_2/zarzadzanie.it.a.wzrost.wartosci.html

Bardziej szczegółowo

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing ZARZĄDZANIE MARKĄ Doradztwo i outsourcing Pomagamy zwiększać wartość marek i maksymalizować zysk. Prowadzimy projekty w zakresie szeroko rozumianego doskonalenia organizacji i wzmacniania wartości marki:

Bardziej szczegółowo

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Jednym z elementów zarządzania Bankiem jest system kontroli wewnętrznej (SKW), którego podstawy, zasady i cele wynikają

Bardziej szczegółowo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa Tomasz Łużak Paweł Krawczyk Informacja chroniona w Exatel 1 Czym jest Cyber Threat Intelligence? Cyber Threat Intelligence (CTI)

Bardziej szczegółowo

I. Cele systemu kontroli wewnętrznej.

I. Cele systemu kontroli wewnętrznej. Opis systemu kontroli wewnętrznej Międzypowiatowego Banku Spółdzielczego w Myszkowie stanowiący wypełnienie zapisów Rekomendacji H KNF dotyczącej systemu kontroli wewnętrznej w bankach. I. Cele systemu

Bardziej szczegółowo

Europejska inicjatywa dotycząca przetwarzania w chmurze. budowanie w Europie konkurencyjnej gospodarki opartej na danych i wiedzy

Europejska inicjatywa dotycząca przetwarzania w chmurze. budowanie w Europie konkurencyjnej gospodarki opartej na danych i wiedzy Cyberpolicy http://cyberpolicy.nask.pl/cp/dokumenty-strategiczne/komunikaty-komis ji-euro/66,europejska-inicjatywa-dotyczaca-przetwarzania-w-chmurze-b udowanie-w-europie-konk.html 2019-01-15, 14:37 Europejska

Bardziej szczegółowo

e-administracja: nowe technologie w służbie obywatelowi

e-administracja: nowe technologie w służbie obywatelowi e-administracja: nowe technologie w służbie obywatelowi Co niesie administracji chmura obliczeniowa? dr inż. Dariusz Bogucki Centrum Projektów Informatycznych Wrocław, 3 października 2012 r. Paradoks wykorzystania

Bardziej szczegółowo

Firmowe media społecznościowe dla pracowników

Firmowe media społecznościowe dla pracowników Firmowe media społecznościowe dla pracowników Raport z badania Maciej Dymalski, Szymon Góralski Wrocław, 2012 ul. Więzienna 21c/8, 50-118 Wrocław, tel. 71 343 70 15, fax: 71 343 70 13, e-mail: biuro@rrcc.pl,

Bardziej szczegółowo

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich Załącznik do Uchwały Zarządu Nr 11/XLI/14 z dnia 30 grudnia 2014r. Załącznik do uchwały Rady Nadzorczej Nr 8/IX/14 z dnia 30 grudnia 2014r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym

Bardziej szczegółowo

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 znaczenie i najbliższe działania Departament Cyberbezpieczeństwa AGENDA 1. Cele Krajowych Ram Cyberbezpieczeństwa RP

Bardziej szczegółowo

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Dokument przyjęty przez Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet

Bardziej szczegółowo

Bezpieczeństwo cybernetyczne

Bezpieczeństwo cybernetyczne Bezpieczeństwo cybernetyczne Aby zapewnić bezpieczeństwo cybernetyczne, potrzebny jest nowy plan walki. Efektywniejszy plan, który obejmie wszystkie aspekty bezpieczeństwa cybernetycznego w Państwa firmie

Bardziej szczegółowo

CZYNNIKI SUKCESU PPG

CZYNNIKI SUKCESU PPG CZYNNIKI SUKCESU PPG STOSOWANIE UMIEJĘTNOŚCI ZAWODOWYCH Wiedza o biznesie Wiedza specjalistyczna Wiedza o produktach i usługach Wiedza przemysłowa ZARZĄDZANIE REALIZACJĄ ZADAŃ Działanie w perspektywie

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

BUDOWANIE POZYCJI FIRMY NA KONKURENCYJNYM GLOBALNYM RYNKU

BUDOWANIE POZYCJI FIRMY NA KONKURENCYJNYM GLOBALNYM RYNKU GRY STRATEGICZNE BUDOWANIE POZYCJI FIRMY NA KONKURENCYJNYM GLOBALNYM RYNKU Warsztaty z wykorzystaniem symulacyjnych gier decyzyjnych TERMIN od: TERMIN do: CZAS TRWANIA:2-3 dni MIEJSCE: CENA: Symulacyjne

Bardziej szczegółowo

enxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości

enxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości enxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości Szybka i trafna ocena potrzeb nabywców nieruchomości Pełen obraz procesu sprzedaży oraz umiejętność kontroli całego procesu

Bardziej szczegółowo

Zmień taktykę przejdź do ofensywy! Staw czoła cyfrowej transformacji!

Zmień taktykę przejdź do ofensywy! Staw czoła cyfrowej transformacji! Zmień taktykę- przejdź do ofensywy. Staw czoła cyfrowej transformacji. Zmień taktykę przejdź do ofensywy! Staw czoła cyfrowej transformacji! Prezentacja wyników badania IDC w Polsce na tle badań globalnych

Bardziej szczegółowo

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Domaoski Zakrzewski Palinka sp. k. Marzec 2016 Czy sami dbamy o nasze bezpieczeostwo?

Bardziej szczegółowo

SMART OFFICE - NOWOCZESNE PODEJŚCIE DO FUNKCJONOWANIA FIRMY

SMART OFFICE - NOWOCZESNE PODEJŚCIE DO FUNKCJONOWANIA FIRMY SMART OFFICE - NOWOCZESNE PODEJŚCIE DO FUNKCJONOWANIA FIRMY CYFROWA TRANSFORMACJA CZYNNIKI WYMUSZAJĄCE ZMIANĘ Rosnący udział cyfrowych kanałów komunikacji w rozwijaniu relacji z klientami Środowisko cyfrowe

Bardziej szczegółowo

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r. DZIENNIK URZĘDOWY Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE z dnia 21 czerwca 2013 r. w sprawie ogłoszenia jednolitego tekstu uchwały Nr 384/2008 Komisji Nadzoru Finansowego w sprawie wymagań

Bardziej szczegółowo

Bezpieczeństwo IT w środowisku uczelni

Bezpieczeństwo IT w środowisku uczelni Bezpieczeństwo IT w środowisku uczelni Teleinformatica - Wide Area Networking & Security (Grupa SECURITY.PL) Warszawa, 25 kwietnia 2017 O czym będę mówił? Bezpieczeństwo IT specyfika środowiska akademickiego

Bardziej szczegółowo

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Monika Kos, radca ministra Departament Polityki Wydatkowej Warszawa, 13 stycznia 2015 r. Program prezentacji

Bardziej szczegółowo

Rozdział 1 Postanowienia ogólne

Rozdział 1 Postanowienia ogólne Polityka zgodności Spis treści Rozdział 1 Postanowienia ogólne... 2 Rozdział 2 Cel i podstawowe zasady zapewnienia zgodności... 2 Rozdział 3 Zasady zapewnienia zgodności w ramach funkcji kontroli... 4

Bardziej szczegółowo

Katalog rozwiązań informatycznych dla firm produkcyjnych

Katalog rozwiązań informatycznych dla firm produkcyjnych Katalog rozwiązań informatycznych dla firm produkcyjnych www.streamsoft.pl Obserwować, poszukiwać, zmieniać produkcję w celu uzyskania największej efektywności. Jednym słowem być jak Taiichi Ohno, dyrektor

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze Prof. SGH, dr hab. Andrzej Sobczak, Kierownik Zakładu Systemów Informacyjnych, Katedra Informatyki Gospodarczej SGH

Bardziej szczegółowo

Wykorzystanie potencjału internetu

Wykorzystanie potencjału internetu Wykorzystanie potencjału internetu Blok 11 Internet a przedsiębiorczość podejście holistyczne Internet właściwie ICT information and telecommunication technologies połączenie technologii informacyjnych

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia

Bardziej szczegółowo

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018 Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018 Wdrożenie przepisów RODO w praktyce Wyzwania Techniczne i Prawne Tomasz Pleśniak Adam Wódz Wdrożenie przepisów RODO w praktyce Wyzwania

Bardziej szczegółowo

Zespół do spraw Transformacji Przemysłowej Departament Innowacji

Zespół do spraw Transformacji Przemysłowej Departament Innowacji Zespół do spraw Transformacji Przemysłowej 26.07.2016 Departament Innowacji Kierunki transformacji polskiej gospodarki 5 Filarów rozwoju gospodarczego Polski Reindustrializacja Rozwój innowacyjnych firm

Bardziej szczegółowo

Kierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej

Kierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej Kierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej Prof. nadzw. dr hab. Andrzej Sobczak Dyrektor Ośrodka Studiów nad Cyfrowym Państwem Agenda wystąpienia

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

OPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA

OPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA OPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA - w ramach projektu Razem Blisko Krakowa zintegrowany rozwój podkrakowskiego obszaru

Bardziej szczegółowo

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach

Bardziej szczegółowo

BADANIE JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII LIFE IS FOR SHARING.

BADANIE JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII LIFE IS FOR SHARING. ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE Badanie wykonane przez THINKTANK - ośrodek dialogu i analiz. Czerwiec 2015 BADANIE

Bardziej szczegółowo

z kapitałem polskim Zatrudnienie 1 10 osób osób 2,27% osób 11,36% osób osób powyżej osób 20,45% 50,00% 13,64%

z kapitałem polskim Zatrudnienie 1 10 osób osób 2,27% osób 11,36% osób osób powyżej osób 20,45% 50,00% 13,64% Profil uczestników badania Firma 6,8% 9,1% sektor publiczny służby mundurowe z kapitałem zagranicznym 5 z kapitałem polskim 5 13,6% banki 9,1% instytucje finansowe 4, telekomunikacja Zatrudnienie 2,2 2,2

Bardziej szczegółowo

Zarządzanie łańcuchem dostaw

Zarządzanie łańcuchem dostaw Społeczna Wyższa Szkoła Przedsiębiorczości i Zarządzania kierunek: Zarządzanie i Marketing Zarządzanie łańcuchem dostaw Wykład 1 Opracowanie: dr Joanna Krygier 1 Zagadnienia Wprowadzenie do tematyki zarządzania

Bardziej szczegółowo

Cyfrowa administracja Jak zaoszczędzić dzięki nowoczesnym IT?

Cyfrowa administracja Jak zaoszczędzić dzięki nowoczesnym IT? Cyfrowa administracja Jak zaoszczędzić dzięki nowoczesnym IT? Cloud computing? The interesting thing about cloud computing is that we've redefined cloud computing to include everything that we already

Bardziej szczegółowo

Załącznik do Uchwały Nr 61 z dnia 16 grudnia 2016 roku

Załącznik do Uchwały Nr 61 z dnia 16 grudnia 2016 roku Załącznik do Uchwały Nr 61 z dnia 16 grudnia 2016 roku STRATEGIA ZARZĄDZANIA ZASOBAMI LUDZKIMI Uniwersytetu Warmińsko-Mazurskiego w Olsztynie Rozdział 1 Założenia ogólne 1 1. Uniwersytet Warmińsko-Mazurski

Bardziej szczegółowo