Kwiecień Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

Wielkość: px
Rozpocząć pokaz od strony:

Download "Kwiecień 2013. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji"

Transkrypt

1 Kwiecień 2013 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

2 Obserwując skalę oraz tempo zmian cyberzagrożeń można założyć, że każda organizacja została lub zostanie zaatakowana. Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań w skali całej organizacji, opartych na fundamentach dobrego zrozumienia apetytu na ryzyko oraz profilu zagrożeń, dopasowania strategii działania do celów biznesowych organizacji, dobrego przygotowania do szybkiej reakcji na incydenty, współdziałania z partnerami w zwalczaniu cyberataków oraz ciągłej edukacji, doskonalenia i ćwiczeń. 2 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

3 Spis treści 7 Wprowadzenie 9 Ewolucja zagrożeń 17 Droga do odporności 23 Rola odpowiedzialnego partnerstwa 26 5 zasad bezpieczeństwa 27 Kontakt 28 Przypisy Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 3

4 4 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

5 Świat nowoczesnych technologii ulega gwałtownym przemianom. Wynikają one przede wszystkim z powszechnego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich systemami informatycznymi oraz popularyzacji technologii mobilnych. Granice między organizacjami w szybkim tempie ulegają zatarciu. Za dynamicznymi zmianami technologicznymi niezwłocznie podążają zorganizowane grupy przestępcze, które zachęcone pozorną anonimowością sieci, ograniczoną skutecznością organów ścigania oraz niskim kosztem podejmowanych działań atakują regularnie organizacje oraz ich klientów tam, gdzie są oni najbardziej podatni w cyberprzestrzeni. Stosowane od lat podejście do ochrony kluczowych aktywów oparte na wykrywaniu i neutralizowaniu cyberzagrożeń już po ich wystąpieniu oraz doskonaleniu procesów ochrony w oparciu o wnioski wynikłe z analizy zagrożeń, przestało obecnie być skuteczne. Skala potencjalnych strat w organizacjach silnie uzależnionych od technologii może być tak znaczna, że nie będą one miały szans wyciągnąć wniosków z własnych błędów przestaną istnieć w wyniku skutecznego cyberataku. Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań opartych na następujących fundamentach: założeniu, że każda organizacja została lub zostanie zaatakowana przez cyberprzestepców, skutecznym przygotowaniu do szybkiej reakcji na incydenty pozwalającym organizacji przetrwać nieuchronny atak, ciągłej edukacji, doskonaleniu i ćwiczeniach budujących stan gotowości organizacji do zmierzenia się z nadchodzącym atakiem, współdziałaniu z partnerami biznesowymi, ułatwiającym pozyskiwanie informacji oraz czerpanie wiedzy z doświadczeń innych organizacji. Raport podsumowuje aktualne i możliwe zagrożenia związane z aktywnością przedsiębiorstw w sieci. W opracowaniu znajdują się informacje o kluczowych wyzwaniach związanych z integracją sieci w procesach biznesowych oraz świadczonych usługach, ze szczególnym ukierunkowaniem na zagadnienia partnerstwa i kooperacji. Liderami na rynku staną się te instytucje, które nie tylko w sposób proaktywny będą potrafiły reagować na zagrożenia, ale te, które będą potrafiły je przewidzieć i im zapobiec. Jakub Bojanowski Partner Dział Zarządzania Ryzykiem Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 5

6 6 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

7 Wprowadzenie Rzeczywistość wymiany informacji ulega głębokim przemianom, które odbywają się niemal niezauważalnie, lecz w sposób ciągły. Przemiany te powodują, że na zagadnienia takie jak prywatność, ochrona danych czy bezpieczeństwo, będziemy musieli spojrzeć w zupełnie nowy, świeży sposób i dostosować naszą działalność do nowej cyberrzeczywistości. Przemiany te oznaczają również dogłębną zmianę sposobu, w jaki chronimy nasze tajemnice, zmianę zasad zaufania między pracownikami, a pracodawcą, usługodawcą, a usługobiorcą, zmianę metod wykorzystania technologii czy nawet zmianę procesów biznesowych lub relacji z klientami. Przemiany te wynikają przede wszystkim z powszechnego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich strukturami danych oraz popularyzacji urządzeń i aplikacji mobilnych. Nie bez znaczenia pozostaje profesjonalizacja grup przestępczych wykorzystujących powszechny rozwój technologii, globalny przepływ informacji czy rosnące zaangażowanie aktywnych społecznie hakerów (np. Anonymous). Dynamika tych zmian powoduje, że organizacje, chcąc zachować ciągłość działalności biznesowej, potrzebują nowego spojrzenia na kwestię ochrony przed cyberzagrożeniami. Zarówno skala, jak i charakter ataków świadczą o tym, że atakujący, świadomie i z rozmysłem, wykorzystują fakt olbrzymiej współzależności między organizacjami oraz dostępność nowych technologii, a także brak skutecznej kontroli nad ich wykorzystaniem. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. To, kto lub co jest celem, wyznaczane jest przez interes polityczny oraz finansowy lub ideologię. Stosowane od lat podejście defensywne, polegające na wykrywaniu i neutralizowaniu zagrożeń, przestało być skuteczne. Każda organizacja we własnym zakresie musi odpowiedzieć sobie na pytania, na ile działania podejmowane w obszarze cyberprzestrzeni są skuteczne, czy zarządza ryzykiem we właściwy sposób i co się stanie, gdy zostanie zaatakowana. Nie podlega dyskusji, czy dana organizacja zostanie zaatakowana, tylko kiedy i w jaki sposób. Raport zawiera wiele danych oraz odniesień dotyczących sektora finansowego, który zarówno w wymiarze technologicznym, jak i zarządczym, pełni rolę wskaźnika wyprzedzającego dla zagadnień związanych z bezpieczeństwem informacji w innych sektorach gospodarki. Z tego powodu doświadczenia z sektora finansowego stanowią dobrą podstawę do dyskusji nad przyszłymi zmianami w obszarze ochrony informacji w całym otoczeniu biznesowym. Zatarcie granic Stale postępujący rozwój technologii, czy powszechny outsourcing, to niektóre z przyczyn zacierania się granic technologicznych. Przedsiębiorstwa szukają oszczędności, a outsourcing jest sposobem na to, by przenosząc procesy poza organizację, potencjalnie obniżyć koszty z nimi związane. Sprzyja temu olbrzymia konkurencja, a także budowanie centrów kompetencyjnych w różnych regionach świata, w tym w Polsce. Outsourcing jest już na tyle powszechną formą realizacji usług, że sieć powiązań organizacyjno-technicznych między firmami zaczyna być bardzo skomplikowana. Dodatkowo, współzależność infrastruktury oraz procesów sprawia, że granice między organizacjami są trudne do określenia. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 7

8 Przez lata systemy informatyczne funkcjonowały jako rozwiązania odseparowane od sieci publicznej, a połączenie z Internetem stanowiło dla nich jedyne okno na świat. Dynamiczny rozwój technologii informatycznych, a przede wszystkim uzasadniona potrzeba integracji między organizacjami, spowodowały, że pojawiło się więcej możliwości. Współzależność wielu organizacji postępowała wraz z implementacją nowych technologii. Poza pozytywnymi rezultatami, takimi jak oszczędności, większa elastyczność, szybszy i bardziej efektywny przepływ informacji, pojawiły się również zagrożenia. Firmy, które decydują się na ten model działania (zarówno usługodawcy jak i usługobiorcy) muszą być przygotowane na to, że szeroki dostęp do ich środowisk teleinformatycznych i przetwarzanych w nich danych, wymaga spełnienia bardzo wysokich standardów, a przede wszystkim równoważenia rozważnymi mechanizmami ochrony. Za postępującymi zmianami nie nadążały procesy zarządzania bezpieczeństwem informacji oraz przepisy prawa. W efekcie, z jednej strony widoczny był od lat szybki postęp technologiczny, a z drugiej, usiłujące go dogonić działy bezpieczeństwa, prawnicy i regulatorzy. Na wiele zmian jest już za późno, a wdrożenie innych (zwłaszcza na gruncie prawnym np. w obszarze cloud-computingu) wiązać się będzie ze znacznymi wyzwaniami i nakładami. Zachodzącym zmianom i zacierającym się granicom bacznie przyglądają się regulatorzy, zwłaszcza rynków finansowych i telekomunikacyjnych. Przyglądają im się także cyberprzestępcy, którzy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami. W bardziej elastyczny sposób dostosowują się do zachodzących zmian i często sami jej wywołują. Mając na uwadze znaczny skok technologiczny, który nastąpił w ciągu ostatnich trzech dekad, można stwierdzić, że dzisiejsze ataki są bardziej zaawansowane, co w połączeniu z rosnącą współzależnością środowisk IT wywołuje coraz większe straty. Cyberprzestępcy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami. 8 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

9 Ewolucja zagrożeń Zatarcie granic pomiędzy organizacjami nie dzieje się w oderwaniu od rzeczywistości, zwłaszcza tej wirtualnej. Bezpośrednio wiąże się ono z rozwojem technologii, a także powstawaniem nowych trendów oraz ewolucją następujących, kluczowych zjawisk: Większe zaangażowanie technologii w fundamenty procesów biznesowych oraz coraz większa trudność w nakreśleniu jasnych granic pomiędzy środowiskami czy procesami zarządzanymi przez poszczególne organizacje. Profesjonalizacja ataków polegająca na stosowaniu wzorców wypracowanych przez tradycyjne organizacje przestępcze do działań w cyberprzestrzeni. Istotna zmiana technologiczna wynikająca głównie z popularyzacji przetwarzania mobilnego i powszechnej dostępności serwisów społecznościowych. Ograniczona skuteczność tradycyjnych metod ochrony infrastruktury informatycznej, takich jak systemy antywirusowe, zapory sieciowe czy aktywne i pasywne systemy wykrywania intruzów. Coraz większa presja na racjonalne i oszczędne alokowanie środków przeznaczanych na ochronę informacji, a przez to konieczność rozważania nakładów na ochronę informacji w tradycyjnym modelu zwrotu z nakładów inwestycyjnych. Połączenie powyższych czynników stawia osoby zarządzające organizacjami, które są w istotny sposób oparte o skuteczną wymianę informacji, pod wielką presją znalezienia optymalnych rozwiązań bezpieczeństwa przy jednoczesnym zapewnieniu ich efektywności finansowej. Wykres 1. Ewolucja zagrożeń Atak kontrolowany Sfrustrowany ex-it administrator Zorganizowana przestępczość Wyrafinowanie ataku Hobbysta Konkurencja Zrzeszenie hackerów Złośliwe oprogramowanie Partner biznesowy Sfrustrowany klient Cyberterroryzm Przypadkowe odkrycie Insider Script kiddy Sfrustrowany ex-pracownik Hacktivism Determinacja atakującego Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 9

10 80% Ponad 80% dokonywanych przestępstw jest przeprowadzanych przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci Profesjonalizacja ataków Działania przestępcze w cyberprzestrzeni stały się atrakcyjnym źródłem korzyści materialnych dla kryminalistów, których w niewirtualnej rzeczywistości coraz skuteczniej osaczają organy ścigania. Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę. Atrakcyjność cyberrzeczywistości, jako platformy przeznaczonej do nielegalnych działań, wynika z kilku czynników: pozornej (a w niektórych warunkach rzeczywistej) anonimowości cyberprzestępców, braku gotowości organów ścigania i wymiaru sprawiedliwości do sprawnego reagowania na zagrożenia i braku efektywnej współpracy w tym zakresie z sektorem prywatnym, bardzo ograniczonego ryzyka kary za działalność przestępczą, niskiego wstępnego kosztu inwestycji w działania przestępcze w sieci, znacznego potencjału wzrostu przychodów z tej platformy działań przestępczych w nadchodzących latach. Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę. Efektem powyższych zachęt jest dynamicznie postępująca profesjonalizacja cyberprzestępców, w wyniku której powstają wyspecjalizowane struktury oferujące usługi na rzecz środowiska cyberprzestępców, takie jak przechowywanie danych, dzierżawa sieci typu bot-net, wysyłka spamu, dostosowywanie narzędzi technologicznych do wymagań poszczególnych ataków czy usługi typu escrow. Wyspecjalizowane struktury cyberprzestępcze tworzą klasyczny system przepływu informacji oraz pieniędzy ukierunkowany na maksymalizację korzyści, a także ograniczenie ryzyka związanego z prowadzeniem działalności przestępczej. Typowy schemat działań cyberprzestępców można podzielić na następujące bloki (Wykres 2): Wyciek informacji, do którego dochodzi w wyniku ataku na indywidualną organizację, ich grupę lub użytkowników końcowych. Do zdarzenia tego dochodzi często w wyniku skoordynowanych działań wielu grup przestępczych udzielających sobie wsparcia. Sprzedaż lub dystrybucja danych w ramach podziemnych struktur komunikacyjnych. Działanie to jest ukierunkowane na możliwie szybkie spieniężenie pozyskanych danych jeżeli przestępca, który dane pozyskał nie jest w stanie spieniężyć ich przy pomocy bardziej zaawansowanego ataku. Wzbogacanie i weryfikacja danych oparta o korelację informacji pochodzących z różnych źródeł. W ramach tego działania dane są katalogowane oraz przeznaczane do konkretnego typu ataku (np. phishing, wyłudzenie kredytów lub świadczeń, itp.). Przetworzone i wzbogacone dane są sprzedawane grupom specjalizującym się w konkretnych rodzajach przestępstw. Spieniężenie oraz legalizacja środków. W ramach tej działalności pozyskane dane są wykorzystywane w sposób zależny od ich przydatności do konkretnych rodzajów przestępstw. Uzyskiwane w ten sposób środki są wielokrotnie przetwarzane, często z wykorzystaniem tak zwanych wirtualnych walut (np. Bitcoin), w celu ukrycia źródła oraz sposobu ich zdobycia. 10 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

11 Wykres 2. Profesjonalizacja zagrożeń Wyciek informacji Zakup informacji Wzbogacenie i weryfikacja danych Sprzedaż Realizacja zysków Twórcy złośliwego oprogramowania Kolekcjonerzy tożsamości Kasjerzy Cyberprzestępcy Usługi rozprzestrzeniające złośliwe oprogramowanie Usługi zakupu danych Eksploatacja i wzbogacanie danych Sprzedaż danych Spieniężenie Spamerzy Twórcy Botnet-u Usługa walidacji danych Fora carderów Sprzedawcy usług i towarów Adres dostawy chroniący anonimowość Botnet Bramki płatnicze Komunikatory Instytucje finansowe Przelewy Phishing Keylogger-y Strony e-commerce Pieniądz elektroniczny Hazard on-line Miejsca przerzutu skradzionych danych Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 11

12 Najistotniejsze zagrożenia dla organizacji działających w cyberrzeczywistości 78% Dane przekazywane stronom trzecim 74% Wykorzystanie urządzeń mobilnych Omówiona profesjonalizacja jest wysoce zaawansowana i powszechna. Badanie obszaru cyberprzestepczości 1 wskazuje, że ponad 80% dokonywanych przestępstw jest przeprowadzane przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci. To samo badanie sugeruje, że cyberprzestępczość jest czwartą generacją rozwoju zorganizowanych grup przestępczych, zaraz po generacji pierwszej opartej o hazard oraz nielegalne wytwarzanie alkoholu, generacji drugiej opartej o rozwój czarnego rynku po drugiej wojnie światowej oraz generacji trzeciej skoncentrowanej na rozwoju rynku handlu narkotykami w latach osiemdziesiątych oraz dziewięćdziesiątych XX wieku. Niezależnie od toczących się dyskusji o metodykach i wiarygodności badań prowadzonych w obszarze wyceny cyberzagrożeń należy zauważyć, że nawet najbardziej sceptyczne opracowania wskazują na gwałtowny wzrost ich skali oraz złożoności. Z uwagi na pozbawiony granic charakter sieci, polskie przedsiębiorstwa są w podobnym zakresie narażone na cyberzagrożenia, jak ich konkurenci na rynku regionalnym i globalnym. Działalność przestępców to jednak tylko jedno z wielu źródeł współczesnych zagrożeń dla organizacji działających w cyberrzeczywistości. Organizacje uczestniczące w globalnym badaniu Deloitte TMT Security Survey wskazały, że dostrzegają istotne zagrożenia związane: z ilością oraz rodzajem danych przekazywanych stronom trzecim (78% respondentów), Wpływ technologii Określenia takie jak cloud-computing i wirtualizacja, big data, BYOD, technologie mobilne czy social-media, na stałe wpisały się do słowników zarówno przedsiębiorstw, jak i użytkowników końcowych. Powszechna dostępność, łatwość obsługi i stosunkowo niewielki koszt wdrożenia oraz obsługi tych technologii i usług sprawia, że tradycyjnie rozumiany dział IT stoi przed nowymi wyzwaniami. Wyzwania te dotyczą także osób odpowiedzialnych w firmach za bezpieczeństwo informacji. Cloud computing Technologią, która na wielu frontach rewolucjonizuje podejście do kwestii prywatności i ochrony danych jest wirtualizacja. Przetwarzanie w chmurze nie jest jedynie sposobem na szukanie oszczędności. W praktyce zwiększa ono dostępność usług i stwarza nowe możliwości ich rozwoju, dając zarówno działom biznesowym jak i IT większą elastyczność w doborze rozwiązań. Przedsiębiorstwa, z początku nieufne, coraz częściej przekonują się do tej technologii. W branży TMT 40% badanych firm przyznaje, że korzysta z chmury obliczeniowej. Należy przy tym zwrócić uwagę na fakt, że łatwa dostępność i niski koszt sprawiają, iż działy biznesowe mogą korzystać z usług typu SaaS (Software as a Service) bez wiedzy i wsparcia działów IT. Powoduje to ryzyko funkcjonowania w firmach tzw. dzikiego IT (ang. rogue IT). Jest to zjawisko o tyle niepożądane, że, jak wskazują wyniki badania w branży finansowej, najczęściej zgłaszane przez audytorów zastrzeżenia w obszarze IT dotyczą nadmiarowych praw przyznanych użytkownikom i developerom w tego typu środowiskach. 70% Brak odpowiedniej świadomości wśród pracowników coraz szerszym wykorzystaniem urządzeń mobilnych (74%) oraz brakiem odpowiedniej świadomości wśród pracowników (70%). Powoduje to sytuację, w której z jednej strony organizacje stoją przed wyzwaniami związanymi z cyberprzestępczością, a trendami w dziedzinie wykorzystania technologii z drugiej. Budowanie mechanizmów ochronnych, które skutecznie zaadresują ryzyka w obu obszarach, jest zadaniem wymagającym nowego spojrzenia na rzeczywistość, którą kształtują dynamicznie postępujące zmiany technologiczne. Stanowi to kolejny czynnik sprzyjający szerzeniu się znanych wcześniej niebezpieczeństw i powstawaniu nowych zagrożeń. Prawie 50% badanych organizacji z sektora finansowego nie zdecydowało się jeszcze na przetwarzanie w chmurze, właśnie z powodu obaw o bezpieczeństwo danych, niedojrzałość samej technologii czy też braku jej dostosowania do potrzeb organizacji. Jednak wśród tych, którzy się na to zdecydowali, prawie wszyscy potwierdzili, że na różne sposoby, organizacyjne i techniczne, dbają o bezpieczeństwo danych przetwarzanych w chmurze. Od strony organizacyjnej firmy zabezpieczają się poprzez odpowiednie klauzule w umowach z dostawcami usług, wymuszające stosowanie określonych mechanizmów bezpieczeństwa oraz definiujące kryteria dotyczące m.in. dostępności tych usług. Rozwiązania techniczne dotyczą głównie kontroli dostępu do zasobów, należytej priorytetyzacji ruchu sieciowego względem poszczególnych usług w chmurze oraz testowania procedur związanych z zapewnieniem 12 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

13 ciągłości działania. Częściowym rozwiązaniem z obu obszarów jest zapis umowny zezwalający na prawo do audytu infrastruktury wirtualnej dostawcy tego typu usług, a także późniejsze kontrolowanie sposobu, w jaki dostawca wywiązuje się ze swoich zobowiązań związanych z ochroną danych. Bring Your Own Device Kolejnym trendem nadającym kształt cyberzagrożeniom jest BYOD (ang. Bring Your Own Device). W czasach, gdy telefon komórkowy lub tablet potrafią zastąpić komputer, mobilność pracowników bywa krytycznym aspektem funkcjonowania przedsiębiorstwa, a granica między tym, co służbowe i prywatne często jest niedostrzegalna, rozsądne wydaje się szukanie oszczędności właśnie w kieszeni pracownika. Przyczyny takiego stanu rzeczy wykraczają jednak poza zwykłe ograniczanie kosztów. Nosząc więcej niż jeden telefon pracownicy mogą chcieć dążyć do optymalizacji warunków, w których funkcjonują. Przejawem tego będzie współdzielenie danych pomiędzy ich urządzeniami, korzystanie z aplikacji mobilnych integrujących się z serwisami internetowymi (np. społecznościowymi), a w efekcie rezygnacja z dwóch urządzeń na rzecz jednego. Stąd krok do sytuacji, w której pracownik przychodzi do firmy z własnym urządzeniem, na którym przetwarza kluczowe dane firmowe. Połowa firm badanych w ramach Deloitte TMT Security Survey 2013 stwierdziła, że posiada uregulowania dotyczące BYOD, a trzy czwarte badanych widzi w wykorzystaniu technologii mobilnych poważne zagrożenie. Stosowanie tradycyjnych mechanizmów ochronnych nie wystarczy, gdy pracownicy korzystają ze sprzętu (telefonu, tabletu, laptopa itp.) znajdującego się poza kontrolą pracodawców. W celu zapewnienia bezpiecznego funkcjonowania sprzętu pracownika, większość z firm stosuje tylko najprostsze środki organizacyjne, takie jak polityka dozwolonego użytku, programy security awareness, czy techniczne np. hasło lub PIN, szyfrowanie, czyszczenie urządzenia w przypadku jego oddania lub kilkukrotnego podania błędnego hasła. Może być to podyktowane obawami związanymi z kwestiami regulacyjnymi, gdyż telefon należy do pracownika i przechowuje on w nim także swoje prywatne dane (takie jak zdjęcia, notatki czy wiadomości SMS). Wydawać się może, że rozwiązania typu MDM (ang. Mobile Device Management) stanowią panaceum na piętrzące się problemy związane z BYOD oraz technologiami mobilnymi. Jednak bez właściwych regulacji i skutecznego zakomunikowania zainteresowanym pracownikom celowości ich wprowadzania, żadna technologia nie rozwiąże problemów. Media społecznościowe Firmy i ich pracownicy mają potrzebę obecności w mediach społecznościowych. Jest to skuteczne i tanie narzędzie marketingowe, a także sposób na pozostanie w kontakcie z klientami. Należy jednak przemyśleć, w jaki sposób można pozwolić pracownikom na korzystanie z serwisów społecznościowych dbając jednocześnie o bezpieczeństwo przetwarzanych przez nich danych firmowych (a niekiedy prywatnych). 37% organizacji z branży finansowej dokonuje w związku z tym przeglądu istniejących regulacji, a 31% uświadamia swoich pracowników, mówiąc o zagrożeniach, które wiążą się z obecnością w serwisach społecznościowych. Złożoność tych zagrożeń sprawia, że tradycyjne mechanizmy obrony przestają być skuteczne, choć nadal większość organizacji postrzega rozwiązania takie jak firewall, webfilter czy antywirus jako wystarczające. W przypadku mediów społecznościowych te zabezpieczenia nie sprawdzają się. Cyberprzestępcy swoje działania kierują tam, gdzie znajdują się ich potencjalne ofiary. Dlatego oprócz zabezpieczeń technologicznych, należy przede wszystkim budować świadomość pracowników. Olbrzymia popularność serwisów społecznościowych jest zatem czynnikiem ryzyka, którego nie można pomijać w procesie zarządzania bezpieczeństwem informacji. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 13

14 31% Organizacje, które uświadamiają pracowników o zagrożeniach, wiążących się z obecnością w serwisach społecznościowych Big data Innym trendem, który istotnie wpływa na sposób postrzegania bezpieczeństwa informacji jest big data. Olbrzymia ilość danych w połączeniu z możliwościami, jakie daje technologia, stanowi odpowiedź na coraz śmielsze pomysły dotyczące ich wykorzystania. Rozpatrując kwestie bezpieczeństwa informacji w kontekście big data należy skupić się na koncepcji Four V : Volume - ilość danych wpływa na ich dostępność, gdyż przekłada się na wydajność rozwiązań służących do ich przetwarzania. Oznacza także, że każdy, nawet najmniejszy wyciek informacji, może stanowić duży problem. Variety - olbrzymia różnorodność danych wymaga dogłębnej analizy dopuszczalności ich przetwarzania. Rygorystyczne przepisy prawa mogą zabraniać przetwarzania danych po określonym czasie, a nieprzestrzeganie tego zakazu rodzi ryzyka natury regulacyjnej. Velocity - potrzeba zapewnienia szybkości generowania i przetwarzania danych, a w efekcie dostarczania wyników analiz sprawia, że upraszczając architekturę systemów IT, pominięte mogą zostać, zbędne w opinii ekspertów od data miningu, elementy bezpieczeństwa. Value - wartość danych składających się na big data jest trudna do oszacowania, jednak, jak argumentują zwolennicy tej koncepcji, jest znacząca. Tym samym analiza ryzyka i dobór właściwych rozwiązań w obszarze bezpieczeństwa tych danych nie jest zadaniem prostym. Rozwiązania zapobiegające wyciekom danych (ang. Data Leak/Loss Prevention - DLP) w najbliższej przyszłości będą musiały zostać dostosowane do nowych wymagań bezpieczeństwa, co w obliczu wskazanych powyżej czynników będzie stanowić szczególne wyzwanie. Stawić czoła temu wyzwaniu może pomóc właśnie big data. Popularne systemy SIEM (ang. Security Information and Event Management) czy threat intelligence, opierają się na analizie w czasie rzeczywistym dużych woluminów różnorodnych danych. Ich wartość w kontekście bezpieczeństwa informacji jest nieoceniona. Nieskuteczność tradycyjnych metod ochrony danych W czasach, w których informacja jest dla przedsiębiorstw najcenniejsza, stosowane od lat tradycyjne systemy realizujące funkcje bezpieczeństwa przestają być wystarczające. Stanowią one wprawdzie jedną z pierwszych linii obrony przed atakami, jednak widoczne tendencje podpowiadają, że aby chronić informacje, trzeba zacząć samemu je zdobywać. Przykładem aktywnego działania na tym polu jest wykorzystywanie systemów typu SIEM. Systemy takie są niezbędnymi narzędziami w rękach zespołów SOC (ang. Security Operations Centre), lecz nawet najlepszy system będzie bezużyteczny, jeśli dane, które przetwarza będą niskiej jakości. W obliczu zagrożeń typu APT (ang. Advanced Persistent Threats) najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja. Możliwość jak najszybszego reagowania może zapewnić korelowanie danych z systemów klasy SIEM, z informacjami pochodzącymi od innego rodzaju rozwiązań, tj. threat intelligence gathering. Tradycyjne metody oparte na kontroli dostępu, rozliczalności czy zapobieganiu zdarzeniom, okazują się nieadekwatne do stopnia złożoności i szkodliwości aktualnych zagrożeń. Funkcjonując w świecie biznesu opartego o technologie należy liczyć się z tym, że prawdopodobieństwo skutecznego ataku na sieć przedsiębiorstwa jest bliskie 100%. Skrajnym przypadkiem jest założenie, że infrastruktura teleinformatyczna została spenetrowana (taki model działania przyjęła Narodowa Agencja Bezpieczeństwa w Stanach Zjednoczonych). Informacja, że spośród badanych firm z sektora finansowego, 98% korzysta z programu antywirusowego, niekoniecznie jest wyznacznikiem poziomu bezpieczeństwa ich systemów. Wątpliwości co do bezpieczeństwa danych budzi 2% firm niekorzystających z takiego rozwiązania. Niezależnie od wykorzystywanych rozwiązań technologicznych należy pamiętać, że tradycyjne metody oparte na analizie sygnatur, detekcji anomalii, czy też heurystyce przestają być skuteczne. Proaktywne podejście do zarządzania bezpieczeństwem, oparte na zdobywaniu informacji (tj. threat intelligence) zarówno z wnętrza sieci, jak i spoza niej, pomaga kształtować linię obrony i podejmować właściwe decyzje we właściwym czasie. Im szybciej naruszenie bezpieczeństwa zostanie zidentyfikowane, tym szybciej podjęte zostaną działania mające na celu minimalizację skutków, wykrycie sprawców i zabezpieczenie materiałów mogących stanowić dowód w postępowaniu. 14 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

15 Dla osiągniecia proponowanego stanu gotowości należy wypracować struktury oraz procedury funkcjonowania na wypadek cyberataku, bazujące na zespołach typu SOC. Ich sprawne funkcjonowanie oparte jest na narzędziach i procedurach, lecz przede wszystkim wynika z dogłębnego zrozumienia procesów zachodzących w firmie, a nie tylko w infrastrukturze IT przedsiębiorstwa. Tym samym inicjatywy typu BYOD, cloud-computing, big data czy też współpraca z partnerami zewnętrznymi, nie mogą pozostać bez wpływu na poziom ochrony danych w firmie. Wzrost kosztów i presja optymalizacji budżetu Można przypuszczać, że wraz z istotnymi zmianami technologicznymi zmianie ulegnie także poczucie istotności bezpieczeństwa informacji. Z badania Deloitte 3 wynika jednak, że mimo rosnącej skali oraz złożoności zagrożeń, budżety przeznaczane na ochronę kluczowych informacji oraz obronę przed cybezagrożeniami pozostają niemal bez zmian od 3 lat. Blisko połowa firm z sektora bankowego i technologicznego zwraca uwagę, że kolejny rok z rzędu ograniczenia budżetowe stanowią poważną przeszkodę na drodze do budowania efektywnego programu bezpieczeństwa informacji w organizacji. Wydatki na bezpieczeństwo, w tym na dedykowane urządzenia i platformy, a także usługi, mogą przynieść wymierną wartość finansową większości organizacji, gdy przyjmie się odpowiednie założenia i właściwy model funkcjonowania bezpieczeństwa w firmie i poza nią. W obliczu zagrożeń typu APT najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja. Stopień skomplikowania technologii i opartych o nią procesów biznesowych wymaga znacznych nakładów na jej utrzymanie i inwestycje z nią związane. Z obserwacji rynku wynika, że tradycyjne pojmowanie bezpieczeństwa jako problemu IT lub kwestii zgodności z wymogami regulacyjnymi powoli staje się nieaktualne. Bezpieczeństwo informacji coraz częściej jest elementem biznesu, należałoby więc oczekiwać, że planowanie wydatków związanych z ochroną danych oparte będzie o znane mechanizmy bazujące na wskaźniku zwrotu nakładu na inwestycje (ang. Return on Investment - ROI). Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 15

16 16 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

17 Droga do odporności Dynamicznie postępująca ewolucja zagrożeń wymaga zastosowania nowego podejścia do zarządzania bezpieczeństwem informacji. We wcześniejszej części raportu opisane zostały przyczyny, dla których zmiana postrzegania jest niezbędna i uzasadniona. Dalsza część skupia się na możliwych do podjęcia działaniach mających na celu osiągnięcie takiego poziomu odporności, który pozwoli odeprzeć pierwsze uderzenie cyberataku i w szybki oraz elastyczny sposób zareagować i dostosować się do stale zmieniających się reguł gry. Najbardziej korzystne rezultaty zostaną osiągnięte, gdy działania będą podejmowane wielotorowo, we wszystkich wskazanych obszarach. Osiągnięty dzięki temu efekt synergii pozwoli na sprawne funkcjonowanie organizacji odpornej na cyberzagrożenia. Stosuj metody wywiadowcze Zasadnicza zmiana, jaka nastąpiła w podejściu do ochrony tajemnic przedsiębiorstwa dotyczy spojrzenia, które coraz częściej koncentruje się na tym, co dzieje się poza przedsiębiorstwem. Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz. Hacktywizm, cyberkonflikty między narodami czy szpiegostwo przemysłowe na stałe wpisały się na listę tych zagrożeń. Mechanizmy obrony przed nimi powinny mieć charakter wyprzedzający i muszą funkcjonować niczym sprawny wywiad (threat intelligence) dostarczający informacji na czas. Informacje te są niezbędne, by móc uniknąć niepożądanych zdarzeń lub wręcz kształtować wydarzenia w cyberrzeczywistości, a nierzadko i poza nią. Właściwe podejście zakłada, że do skutecznego ataku może dojść z prawdopodobieństwem graniczącym z pewnością. Dlatego jednym z głównych filarów cyberodporności jest zbieranie i analiza informacji zarówno z wnętrza organizacji jak i spoza niej. Sprzyja temu organizowanie się w branżowe organizacje i dzielenie się wiedzą i doświadczeniem, zwłaszcza że koszt takiej inicjatywy jest stosunkowo niewielki. Podstawowe informacje, które będą miały wartość dla naszej organizacji możemy uzyskać: Śledząc informacje pojawiające się na branżowych forach internetowych zawierające dane o zagrożeniach, które dotknęły organizacje podobne do naszej. Podobieństwo to dotyczy zarówno wymiaru technologicznego jak i profilu ryzyka. Poszukując aktywnie informacji o zagrożeniach w sieciach anonimowych (takich jak sieć TOR) będących zwyczajową płaszczyzną komunikacji dla początkujących cyberprzestępców. Starannie obserwując własną infrastrukturę oraz gromadząc i korelując informacje o zdarzeniach bezpieczeństwa w infrastrukturze technologicznej. Istniejące na rynku wyspecjalizowane firmy, gromadzące i analizujące informacje o zagrożeniach w cyberprzestrzeni, niejednokrotnie schodzą do tzw. podziemia, by jeszcze szybciej i skuteczniej informować swoich klientów o przygotowywanych na nich atakach. Popyt na tego typu usługi będzie rósł wraz ze zwiększającą się skalą i powagą zagrożeń. Odpowiednio poinformowane organizacje będą w stanie z wyprzedzeniem zareagować na cyberatak np. usuwając nieznaną wcześniej lukę w swoich systemach IT lub czasowo zwiększając zasoby dostępne dla atakowanego serwisu. Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 17

18 Zarządzaj incydentami Tradycyjny model zarządzania incydentami bezpieczeństwa informacji (oparty o monitorowanie zdarzeń, reakcję na incydent, analizę, wyciąganie wniosków i działanie) przestaje wystarczać. Zarówno skala jak i charakter niepożądanych zdarzeń coraz częściej przerastają możliwości ich obsługi przez zaatakowane podmioty. W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%. W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%. Należy szukać odpowiedzi na pytanie jakie działania zostaną podjęte, gdy moja organizacja zostanie zaatakowana, a nie czy jest bezpieczna. Niezbędna jest proaktywna postawa, mająca na celu przygotowanie się na cyberatak. Czynności te mogą mieć charakter zarówno organizacyjny jak i techniczny: Analizuj starannie informacje uzyskane w ramach białego wywiadu. Poszukuj w nich sygnałów świadczących o możliwym ataku lub przygotowaniach do niego. Zapewnij gotowość narzędzi do zbierania materiału mogącego stanowić dowód w postępowaniu; środków komunikacji na wypadek uszkodzenia tych podstawowych; grupy ekspertów, którzy niezwłocznie podejmą działania eliminujące podatności wykorzystane przez atakujących. Prawidłowe reagowanie na powstałe lub powstające zagrożenia wymaga od osób na szczeblu zarządczym zrozumienia istoty tych negatywnych zdarzeń. Przedyskutuj z kluczowymi członkami kadry kierowniczej potencjalny wpływ oraz metody reagowania na cyberzagrożenia. Opracowanie założeń do modelu proaktywnego reagowania na incydenty wymaga doskonałej znajomości procesów w organizacji, właściwych struktur i środków. Są to elementy niezbędne do zbudowania efektywnego systemu odpornościowego przedsiębiorstwa. Funkcjonowanie w tradycyjnym modelu (monitorowanie - incydent - postępowanie - wnioski - działanie - monitorowanie) z czasem przestanie być skuteczne i opłacalne. Dbaj o świadomość swoich pracowników oraz stron trzecich W ocenie badanych organizacji z sektorów telekomunikacyjnego i finansowego, podnoszenie świadomości użytkowników jest na czołowym miejscu wśród inicjatyw, mających na celu dbanie o bezpieczeństwo informacji w firmie. Dla 70% respondentów ze świata technologii, brak wiedzy z zakresu ochrony danych wśród personelu stanowi poważne zagrożenie. Jednak niecała połowa z nich organizuje dla swoich pracowników szkolenia na ten temat, a wśród dużych organizacji tylko 8% uważa to za sprawę priorytetową. Właściwe podejście do zarządzania cyberbezpieczeństwem wymaga spełnienia trzech warunków w obszarze budowania świadomości pracowników przedsiębiorstwa: Wymagany jest jasny i spójny system regulacji wewnętrznych dotyczących ochrony przed cyberzagrożeniami. System, który będzie przystępny i dostępny dla pracowników, od których wymaga się przy zatrudnieniu podpisania oświadczenia o zapoznaniu z wewnętrznymi przepisami. Warto, aby personel miał świadomość, gdzie znajdzie poszukiwane dokumenty i że są one aktualne oraz pozostające w mocy. Tę wiedzę najłatwiej przekazać za pomocą stron intranetowych. Organizacja, poprzez formę i treść swoich procedur i zasad, nie może zniechęcać pracowników do ich stosowania. Wśród personelu musi panować przekonanie, że regulacje pozostają w racjonalnym związku z tym, czego dotyczą. Właściwy przykład w stosowaniu wewnętrznych regulacji, płynący od samego kierownictwa. Należy dbać o to, aby promować postępowanie właściwe i w umiejętny sposób wskazywać i eliminować przejawy negatywnego postępowania. 18 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

19 Wykres 3. Radar cyberzagrożeń Zapobieganie Wdrożenie nowej technologii o znacznym stopniu złożoności Poziom obaw Niski Średni Wysoki Sankcje z powodu naruszeń dotyczących międzynarodowego przetwarzania i przepływu danych Utrata danych z powodu naruszenia bezpieczeństwa urządzeń mobilnych Zakłocenie działalności operacyjnej jako skutek celowego działania osoby wewnątrz organizacji Utrata danych z powodu zastosowania metod socjotechnicznych Zablokowanie dostępności kanału klienckiego Utrata reputacji poprzez podmianę treści na stronie internetowej Sponsorowane przez konkurencje celowe działania zorganizowanych grup przestępczych Utrata danych z powodu celowej działalności osoby wewnątrz organizacji Utrata danych w wyniku wykorzystania podatności technicznych Utrata reputacji marki poprzez media społecznościowe Sponsorowana przez państwo cyber wojna Utrata danych z powodu zaawansowanego ataku (użycie wielu technik i wektorów ataku jednocześnie) Wykrywanie i reagowanie Przyszłe zagrożenia Nowo powstające zagrożenia Obecne zagrożenia Znane i rozumiałe Znane, ale niezrozumiałe Nieznane i niezrozumiałe Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 19

20 Wykres 4. Mapa dojrzałości cyberbezpieczeństwa Zarządzanie Szkolenia i budowanie świadomości Zapobieganie Monitorowanie i ochrona danych Identyfikacja i klasyfikacja informacji Zarządzanie tożsamością Zarządzanie rolami i uprawnieniami Usługi kryptograficzne Archiwizacja i utylizacja danych Uwierzytelnienie klientów i pracowników Bezpieczny rozwój oprogramowania Ochrona aplikacji Kontrola dostępu Zapewnienie integralności aplikacji Polityki i standardy Ochrona informacji Ochrona aplikacji Dostęp zdalny Ochrona przed złosliwym oprogramowaniem Architektura i plany Zarządzanie bezpieczeństwem Cyber Security Ochrona infrastruktury Ochrona platform Zarządzanie ryzykiem i zgodnością Zarządzanie zagrożeniami Ochrona sieci Zarządzanie Zarządzanie płatnościami zachowania incydentami Analiza Identyfikacja zagrożeń Ochrona marki Tworzenie profilu zachowania pracowników/klientów Monitorowanie zdarzeń bezpieczeństwa Reagowanie na incydenty i podtrzymywanie ciągłosci usług E-discovery i informatyka śledcza Tworzenie profilu aktywności sieci i systemów Tworzenie modeli zagrożeń Przygotowanie na cyber ataki Wykrywanie 20 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

epolska XX lat później Daniel Grabski Paweł Walczak

epolska XX lat później Daniel Grabski Paweł Walczak epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Launch. przygotowanie i wprowadzanie nowych produktów na rynek

Launch. przygotowanie i wprowadzanie nowych produktów na rynek Z przyjemnością odpowiemy na wszystkie pytania. Prosimy o kontakt: e-mail: kontakt@mr-db.pl tel. +48 606 356 999 www.mr-db.pl MRDB Szkolenie otwarte: Launch przygotowanie i wprowadzanie nowych produktów

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Michał Kluska Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Łopuszna, 6-7 lutego 2012 r. Agenda:

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

Program ochrony cyberprzestrzeni RP założenia

Program ochrony cyberprzestrzeni RP założenia Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie

Bardziej szczegółowo

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI Warszawa, dnia 17 września 2015 r. RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI BM-WP.072.315.2015 Pani Małgorzata Kidawa-Błońska Marszałek Sejmu RP Szanowna Pani Marszałek, w nawiązaniu do

Bardziej szczegółowo

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Warszawa, 9 października 2014r. Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Grzegorz Długajczyk ING Bank Śląski Które strony popełniały najwięcej naruszeń w ostatnich 10 latach?

Bardziej szczegółowo

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Domaoski Zakrzewski Palinka sp. k. Marzec 2016 Czy sami dbamy o nasze bezpieczeostwo?

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

Dopasowanie IT/biznes

Dopasowanie IT/biznes Dopasowanie IT/biznes Dlaczego trzeba mówić o dopasowaniu IT-biznes HARVARD BUSINESS REVIEW, 2008-11-01 Dlaczego trzeba mówić o dopasowaniu IT-biznes http://ceo.cxo.pl/artykuly/51237_2/zarzadzanie.it.a.wzrost.wartosci.html

Bardziej szczegółowo

Rozwiązania SCM i Portal dla handlu i przemysłu

Rozwiązania SCM i Portal dla handlu i przemysłu POŁĄCZ WSZYSTKICH UCZESTNIKÓW PROCESU Jedna platforma IT wszystko pod kontrolą Rozwiązania SCM i Portal dla handlu i przemysłu Jedna platforma IT wszystko pod kontrolą Rozwiązania SCM i Portal Świat kręci

Bardziej szczegółowo

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Dokument przyjęty przez Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet

Bardziej szczegółowo

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne Załącznik Nr 1 do Zarządzenia Nr 29 z 01.07.2013r. REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU Postanowienia ogólne 1 1. Kontrola zarządcza w Powiatowym Urzędzie

Bardziej szczegółowo

Model dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie

Model dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie Tab. 1. Opis poziomów dojrzałości procesów dla obszaru nadzór. Formalne strategiczne planowanie biznesowe Formalne strategiczne planowanie Struktura organizacyjna Zależności organizacyjne Kontrola budżetowania

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing ZARZĄDZANIE MARKĄ Doradztwo i outsourcing Pomagamy zwiększać wartość marek i maksymalizować zysk. Prowadzimy projekty w zakresie szeroko rozumianego doskonalenia organizacji i wzmacniania wartości marki:

Bardziej szczegółowo

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013

Wartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013 Wartość audytu wewnętrznego dla organizacji Warszawa, 11.03.2013 Informacje o Grupie MDDP Kim jesteśmy Jedna z największych polskich firm świadczących kompleksowe usługi doradcze 6 wyspecjalizowanych linii

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Jakub Syta, CISA, CISSP Warszawa, 14 czerwca 2010 1 Zastrzeżenie

Bardziej szczegółowo

Polskie firmy na drodze ku cyfrowej transformacji

Polskie firmy na drodze ku cyfrowej transformacji Prognoza IT 2015 Polskie firmy na drodze ku cyfrowej transformacji Żyjemy w czasach przełomowych zmian wywołanych przez rozwój i upowszechnienie technologii. Jak te zmiany przekładają się na biznes? Jaką

Bardziej szczegółowo

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015 Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015 O mnie Michał Olczak, Członek zarządu, CTO absolwent Politechniki Poznańskiej,

Bardziej szczegółowo

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich Załącznik do Uchwały Zarządu Nr 11/XLI/14 z dnia 30 grudnia 2014r. Załącznik do uchwały Rady Nadzorczej Nr 8/IX/14 z dnia 30 grudnia 2014r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym

Bardziej szczegółowo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

Kierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej

Kierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej Kierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej Prof. nadzw. dr hab. Andrzej Sobczak Dyrektor Ośrodka Studiów nad Cyfrowym Państwem Agenda wystąpienia

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Elementy budujące zaufanie pomiędzy Sprzedawcą a Klientem

Elementy budujące zaufanie pomiędzy Sprzedawcą a Klientem Elementy budujące zaufanie pomiędzy Sprzedawcą a Klientem Wszystkie prawa zastrzeżone Na celowniku sprzedawcy muszą znaleźć się cele biznesowe klienta, a jego działania muszą koncentrować się wokół tego,

Bardziej szczegółowo

e-administracja: nowe technologie w służbie obywatelowi

e-administracja: nowe technologie w służbie obywatelowi e-administracja: nowe technologie w służbie obywatelowi Co niesie administracji chmura obliczeniowa? dr inż. Dariusz Bogucki Centrum Projektów Informatycznych Wrocław, 3 października 2012 r. Paradoks wykorzystania

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

BADANIE JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII LIFE IS FOR SHARING.

BADANIE JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII LIFE IS FOR SHARING. ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE Badanie wykonane przez THINKTANK - ośrodek dialogu i analiz. Czerwiec 2015 BADANIE

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC Konferencja organizowana w ramach projektu Implementacja i rozwój systemu informacyjnego publicznych służb zatrudnienia Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC Konferencja

Bardziej szczegółowo

Wstęp... 7. 3. Technologie informacyjne wpływające na doskonalenie przedsiębiorstwa

Wstęp... 7. 3. Technologie informacyjne wpływające na doskonalenie przedsiębiorstwa Spis treści Wstęp.............................................................. 7 1. Przedsiębiorstwo w dobie globalizacji.............................. 11 1.1. Wyzwania globalnego rynku....................................

Bardziej szczegółowo

2016 CONSULTING DLA MŚP. Badanie zapotrzebowania na usługi doradcze

2016 CONSULTING DLA MŚP. Badanie zapotrzebowania na usługi doradcze 2016 CONSULTING DLA MŚP Badanie zapotrzebowania na usługi doradcze 1 O raporcie Wraz ze wzrostem świadomości polskich przedsiębiorców rośnie zapotrzebowanie na różnego rodzaju usługi doradcze. Jednakże

Bardziej szczegółowo

OPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA

OPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA OPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA - w ramach projektu Razem Blisko Krakowa zintegrowany rozwój podkrakowskiego obszaru

Bardziej szczegółowo

Tomasz Chlebowski ComCERT SA

Tomasz Chlebowski ComCERT SA Tomasz Chlebowski ComCERT SA sumaryczny koszt poprawnie oszacować koszty wynikające z incydentów (co jest czasem bardzo trudne) dopasować odpowiednie rozwiązania redukujące powyższe koszty wybrać takie

Bardziej szczegółowo

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia

Bardziej szczegółowo

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji.

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji. Wspieramy w doborze, wdrażaniu oraz utrzymaniu systemów informatycznych. Od wielu lat dostarczamy technologie Microsoft wspierające funkcjonowanie działów IT, jak i całych przedsiębiorstw. Nasze oprogramowanie

Bardziej szczegółowo

Nowe trendy w zarządzaniu operacyjnym Przejście z zarządzania ręcznie sterowanego do efektywnie zarządzanej firmy

Nowe trendy w zarządzaniu operacyjnym Przejście z zarządzania ręcznie sterowanego do efektywnie zarządzanej firmy Nowe trendy w zarządzaniu operacyjnym Przejście z zarządzania ręcznie sterowanego do efektywnie zarządzanej firmy Paweł Zemła Członek Zarządu Equity Investments S.A. Wprowadzenie Strategie nastawione na

Bardziej szczegółowo

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r. DZIENNIK URZĘDOWY Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE z dnia 21 czerwca 2013 r. w sprawie ogłoszenia jednolitego tekstu uchwały Nr 384/2008 Komisji Nadzoru Finansowego w sprawie wymagań

Bardziej szczegółowo

Badania Marketingowe. Kalina Grzesiuk

Badania Marketingowe. Kalina Grzesiuk Badania Marketingowe Kalina Grzesiuk definicja Badania marketingowe systematyczny i obiektywny proces gromadzenia, przetwarzania oraz prezentacji informacji na potrzeby podejmowania decyzji marketingowych.

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Strategia dla Klastra IT. Styczeń 2015

Strategia dla Klastra IT. Styczeń 2015 Strategia dla Klastra IT Styczeń 2015 Sytuacja wyjściowa Leszczyńskie Klaster firm branży Informatycznej został utworzony w 4 kwartale 2014 r. z inicjatywy 12 firm działających w branży IT i posiadających

Bardziej szczegółowo

ANALITYK BEZPIECZEŃSTWA IT

ANALITYK BEZPIECZEŃSTWA IT ANALITYK BEZPIECZEŃSTWA IT 1. TEMATYKA Bezpieczeństwo informacji jest jednym z najważniejszych elementów sukcesu w dzisiejszym świecie. Postępująca informatyzacja zarówno w życiu prywatnym jak i biznesowym

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

Lean management w procesie obsługi klienta

Lean management w procesie obsługi klienta Lean management w procesie obsługi klienta Lean Management oznacza sprawne a zarazem efektywne kosztowe wykonywanie wszystkich działań w firmie przy założeniu minimalizacji strat, minimalizacji stanów

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz 2012 Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne Maciej Bieńkiewicz Społeczna Odpowiedzialność Biznesu - istota koncepcji - Nowa definicja CSR: CSR - Odpowiedzialność przedsiębiorstw

Bardziej szczegółowo

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o.

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o. Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX Bartosz Marciniak Actuality Sp. z o.o. Prezes Zarządu Społeczeństwo informacyjne społeczeństwo, które znalazło zastosowanie

Bardziej szczegółowo

Firmowe media społecznościowe dla pracowników

Firmowe media społecznościowe dla pracowników Firmowe media społecznościowe dla pracowników Raport z badania Maciej Dymalski, Szymon Góralski Wrocław, 2012 ul. Więzienna 21c/8, 50-118 Wrocław, tel. 71 343 70 15, fax: 71 343 70 13, e-mail: biuro@rrcc.pl,

Bardziej szczegółowo

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP Stowarzyszenie Euro-Atlantyckie, którego statutowym celem jest inicjowanie publicznej dyskusji oraz rozwijanie dialogu z instytucjami

Bardziej szczegółowo

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r.

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r. dr Bogdan Fischer Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r. za jedno z najistotniejszych obecnie wyzwań.

Bardziej szczegółowo

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze Prof. SGH, dr hab. Andrzej Sobczak, Kierownik Zakładu Systemów Informacyjnych, Katedra Informatyki Gospodarczej SGH

Bardziej szczegółowo

REKOMENDACJA D Rok PO Rok PRZED

REKOMENDACJA D Rok PO Rok PRZED REKOMENDACJA D Rok PO Rok PRZED Praktyczne aspekty procesu weryfikacji i zapewnienia zgodności z zaleceniami REKOMENDACJA D Jacek Więcki, Bank BGŻ S.A., Wydział Strategii i Procesów IT e mail: jacek.wiecki@bgz.pl

Bardziej szczegółowo

enxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości

enxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości enxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości Szybka i trafna ocena potrzeb nabywców nieruchomości Pełen obraz procesu sprzedaży oraz umiejętność kontroli całego procesu

Bardziej szczegółowo

www.ergohestia.pl Ryzyka cybernetyczne

www.ergohestia.pl Ryzyka cybernetyczne Ryzyka cybernetyczne W dobie technologicznego rozwoju i danych elektronicznych zabezpieczenie się przed szkodami cybernetycznymi staje się konieczne. Według ekspertów ryzyka cybernetyczne będą w najbliższych

Bardziej szczegółowo

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Centrum Informatyzacji II Konferencja Zabezpieczenie danych osobowych Nowa rola ABI aspekty organizacyjne

Bardziej szczegółowo

Cele kluczowe W dziedzinie inwestowania w zasoby ludzkie W zakresie wzmacniania sfery zdrowia i bezpieczeństwa

Cele kluczowe W dziedzinie inwestowania w zasoby ludzkie W zakresie wzmacniania sfery zdrowia i bezpieczeństwa Cele kluczowe Idea społecznej odpowiedzialności biznesu jest wpisana w wizję prowadzenia działalności przez Grupę Kapitałową LOTOS. Zagadnienia te mają swoje odzwierciedlenie w strategii biznesowej, a

Bardziej szczegółowo

PLAN DZIAŁANIA KT 270. ds. Zarządzania Środowiskowego

PLAN DZIAŁANIA KT 270. ds. Zarządzania Środowiskowego Strona 2 PLAN DZIAŁANIA KT 270 ds. Zarządzania Środowiskowego STRESZCZENIE Komitet Techniczny ds. Zarządzania Środowiskowego został powołany 27.02.1997 r. w ramach Polskiego Komitetu Normalizacyjnego.

Bardziej szczegółowo

HUAWEI TECHNOLOGIES CO., LTD. BACKUPCUBE BUNDLE APPLIANCE

HUAWEI TECHNOLOGIES CO., LTD. BACKUPCUBE BUNDLE APPLIANCE HUAWEI TECHNOLOGIES CO., LTD. BACKUPCUBE BUNDLE APPLIANCE Dlaczego bundle CommVault i Huawei? CommVault jest światowym liderem w kategorii Enterprise Backup&Recovery, czego dowodem jest 19 000 zadowolonych

Bardziej szczegółowo

Rola i zadania polskiego CERTu wojskowego

Rola i zadania polskiego CERTu wojskowego Rola i zadania polskiego CERTu wojskowego Tomasz DĄBROWSKID Tomasz STRYCHAREK CENTRUM KOORDYNACYJNE SYSTEMU REAGOWANIA NA INCYDENTY KOMPUTEROWE RESORTU OBRONY NARODOWEJ 1 AGENDA 1. Podstawy funkcjonowania

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r. REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP Wstępne wyniki kontroli przeprowadzonej w 2014 r. Departament Porządku i Bezpieczeństwa Wewnętrznego NAJWYŻSZA IZBA KONTROLI

Bardziej szczegółowo

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Monika Kos, radca ministra Departament Polityki Wydatkowej Warszawa, 13 stycznia 2015 r. Program prezentacji

Bardziej szczegółowo

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi Prezentacja rozwiązania Co to jest ECM? ECM (enterprise content management) to strategia świadomego zarządzania

Bardziej szczegółowo

DOSKONALENIE PROCESÓW

DOSKONALENIE PROCESÓW KATALOG SZKOLEŃ DOSKONALENIE PROCESÓW - Tworzenie projektów ciągłego doskonalenia - Konsultacje z ekspertami - Poprawa jakości oraz produktywności - Eliminacja marnotrawstwa - Redukcja kosztów - Metody

Bardziej szczegółowo

Rozwiązania SCM i Portal dla operatorów logistycznych i przewoźników

Rozwiązania SCM i Portal dla operatorów logistycznych i przewoźników ZADOWOLENI KLIENCI Jedna platforma IT wiele możliwości Rozwiązania SCM i Portal dla operatorów logistycznych i przewoźników Jedna platforma IT wiele możliwości Rozwiązania SCM i Portal Rozwiązanie IT dla

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

CZYNNIKI SUKCESU PPG

CZYNNIKI SUKCESU PPG CZYNNIKI SUKCESU PPG STOSOWANIE UMIEJĘTNOŚCI ZAWODOWYCH Wiedza o biznesie Wiedza specjalistyczna Wiedza o produktach i usługach Wiedza przemysłowa ZARZĄDZANIE REALIZACJĄ ZADAŃ Działanie w perspektywie

Bardziej szczegółowo

System B2B jako element przewagi konkurencyjnej

System B2B jako element przewagi konkurencyjnej 2012 System B2B jako element przewagi konkurencyjnej dr inż. Janusz Dorożyński ZETO Bydgoszcz S.A. Analiza biznesowa integracji B2B Bydgoszcz, 26 września 2012 Kilka słów o sobie główny specjalista ds.

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

Kompleksowe rozwiązanie dla organizacji,

Kompleksowe rozwiązanie dla organizacji, Kompleksowe rozwiązanie dla organizacji, W KTÓRYCH REALIZOWANE SĄ PRZEDSIĘWZIĘCIA PROJEKTOWE 0 801 2727 24 (22 654 09 35) Kompleksowe wsparcie realizacji projektu Czy w Twojej organizacji realizowane są

Bardziej szczegółowo

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną) CENTRUM DOSKONALENIA NAUCZYCIELI W PILE Program szkolenia Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną) Opracowali: Roman Frąckowiak Piotr Halama Sławomir Kozłowski Piła, 2014

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

Katalog rozwiązań informatycznych dla firm produkcyjnych

Katalog rozwiązań informatycznych dla firm produkcyjnych Katalog rozwiązań informatycznych dla firm produkcyjnych www.streamsoft.pl Obserwować, poszukiwać, zmieniać produkcję w celu uzyskania największej efektywności. Jednym słowem być jak Taiichi Ohno, dyrektor

Bardziej szczegółowo

SKZ System Kontroli Zarządczej

SKZ System Kontroli Zarządczej SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z

Bardziej szczegółowo

Projekt: Szansa drzemie w zmianie nowoczesne ZZL

Projekt: Szansa drzemie w zmianie nowoczesne ZZL Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt: Szansa drzemie w zmianie nowoczesne ZZL Opis szkoleń planowanych do realizacji w ramach projektu

Bardziej szczegółowo

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r. Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r. w sprawie wprowadzenia i funkcjonowania w Uniwersytecie Kazimierza Wielkiego Systemu zarządzania ryzykiem

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015 Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im

Bardziej szczegółowo

Działania Rządu na rzecz CSR w Polsce. Zespół do spraw Społecznej Odpowiedzialności Przedsiębiorstw

Działania Rządu na rzecz CSR w Polsce. Zespół do spraw Społecznej Odpowiedzialności Przedsiębiorstw Działania Rządu na rzecz CSR w Polsce 2 Trendy yglobalne Globalizacja Zmiany demograficzne Zmiany klimatu WYZWANIE: Konieczność budowania trwałych podstaw wzrostu umożliwiających realizację aspiracji rozwojowych

Bardziej szczegółowo

Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz

Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz Warszawa, 17 grudnia 2012 r. Co to jest cloud computing? Cloud computing jest modelem umożliwiającym wygodny

Bardziej szczegółowo

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia XVII Forum Teleinformatyki Sesja Europejska droga do nowego ładu informacyjnego 22-23 września 2011 r. Miedzeszyn Nota:

Bardziej szczegółowo

Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami?

Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami? Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami? Trend CYBER EXERCISES Europejski i światowy trend organizacji Cyber Exercises Cyber Europe 2010/2012/2014

Bardziej szczegółowo