Kwiecień Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
|
|
- Kazimierz Szewczyk
- 8 lat temu
- Przeglądów:
Transkrypt
1 Kwiecień 2013 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
2 Obserwując skalę oraz tempo zmian cyberzagrożeń można założyć, że każda organizacja została lub zostanie zaatakowana. Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań w skali całej organizacji, opartych na fundamentach dobrego zrozumienia apetytu na ryzyko oraz profilu zagrożeń, dopasowania strategii działania do celów biznesowych organizacji, dobrego przygotowania do szybkiej reakcji na incydenty, współdziałania z partnerami w zwalczaniu cyberataków oraz ciągłej edukacji, doskonalenia i ćwiczeń. 2 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
3 Spis treści 7 Wprowadzenie 9 Ewolucja zagrożeń 17 Droga do odporności 23 Rola odpowiedzialnego partnerstwa 26 5 zasad bezpieczeństwa 27 Kontakt 28 Przypisy Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 3
4 4 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
5 Świat nowoczesnych technologii ulega gwałtownym przemianom. Wynikają one przede wszystkim z powszechnego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich systemami informatycznymi oraz popularyzacji technologii mobilnych. Granice między organizacjami w szybkim tempie ulegają zatarciu. Za dynamicznymi zmianami technologicznymi niezwłocznie podążają zorganizowane grupy przestępcze, które zachęcone pozorną anonimowością sieci, ograniczoną skutecznością organów ścigania oraz niskim kosztem podejmowanych działań atakują regularnie organizacje oraz ich klientów tam, gdzie są oni najbardziej podatni w cyberprzestrzeni. Stosowane od lat podejście do ochrony kluczowych aktywów oparte na wykrywaniu i neutralizowaniu cyberzagrożeń już po ich wystąpieniu oraz doskonaleniu procesów ochrony w oparciu o wnioski wynikłe z analizy zagrożeń, przestało obecnie być skuteczne. Skala potencjalnych strat w organizacjach silnie uzależnionych od technologii może być tak znaczna, że nie będą one miały szans wyciągnąć wniosków z własnych błędów przestaną istnieć w wyniku skutecznego cyberataku. Droga do uzyskania cyberodporności wymaga skutecznych, zorganizowanych działań opartych na następujących fundamentach: założeniu, że każda organizacja została lub zostanie zaatakowana przez cyberprzestepców, skutecznym przygotowaniu do szybkiej reakcji na incydenty pozwalającym organizacji przetrwać nieuchronny atak, ciągłej edukacji, doskonaleniu i ćwiczeniach budujących stan gotowości organizacji do zmierzenia się z nadchodzącym atakiem, współdziałaniu z partnerami biznesowymi, ułatwiającym pozyskiwanie informacji oraz czerpanie wiedzy z doświadczeń innych organizacji. Raport podsumowuje aktualne i możliwe zagrożenia związane z aktywnością przedsiębiorstw w sieci. W opracowaniu znajdują się informacje o kluczowych wyzwaniach związanych z integracją sieci w procesach biznesowych oraz świadczonych usługach, ze szczególnym ukierunkowaniem na zagadnienia partnerstwa i kooperacji. Liderami na rynku staną się te instytucje, które nie tylko w sposób proaktywny będą potrafiły reagować na zagrożenia, ale te, które będą potrafiły je przewidzieć i im zapobiec. Jakub Bojanowski Partner Dział Zarządzania Ryzykiem Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 5
6 6 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
7 Wprowadzenie Rzeczywistość wymiany informacji ulega głębokim przemianom, które odbywają się niemal niezauważalnie, lecz w sposób ciągły. Przemiany te powodują, że na zagadnienia takie jak prywatność, ochrona danych czy bezpieczeństwo, będziemy musieli spojrzeć w zupełnie nowy, świeży sposób i dostosować naszą działalność do nowej cyberrzeczywistości. Przemiany te oznaczają również dogłębną zmianę sposobu, w jaki chronimy nasze tajemnice, zmianę zasad zaufania między pracownikami, a pracodawcą, usługodawcą, a usługobiorcą, zmianę metod wykorzystania technologii czy nawet zmianę procesów biznesowych lub relacji z klientami. Przemiany te wynikają przede wszystkim z powszechnego dostępu do informacji, gwałtownie rosnącej liczby połączeń i współzależności pomiędzy organizacjami i ich strukturami danych oraz popularyzacji urządzeń i aplikacji mobilnych. Nie bez znaczenia pozostaje profesjonalizacja grup przestępczych wykorzystujących powszechny rozwój technologii, globalny przepływ informacji czy rosnące zaangażowanie aktywnych społecznie hakerów (np. Anonymous). Dynamika tych zmian powoduje, że organizacje, chcąc zachować ciągłość działalności biznesowej, potrzebują nowego spojrzenia na kwestię ochrony przed cyberzagrożeniami. Zarówno skala, jak i charakter ataków świadczą o tym, że atakujący, świadomie i z rozmysłem, wykorzystują fakt olbrzymiej współzależności między organizacjami oraz dostępność nowych technologii, a także brak skutecznej kontroli nad ich wykorzystaniem. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. To, kto lub co jest celem, wyznaczane jest przez interes polityczny oraz finansowy lub ideologię. Stosowane od lat podejście defensywne, polegające na wykrywaniu i neutralizowaniu zagrożeń, przestało być skuteczne. Każda organizacja we własnym zakresie musi odpowiedzieć sobie na pytania, na ile działania podejmowane w obszarze cyberprzestrzeni są skuteczne, czy zarządza ryzykiem we właściwy sposób i co się stanie, gdy zostanie zaatakowana. Nie podlega dyskusji, czy dana organizacja zostanie zaatakowana, tylko kiedy i w jaki sposób. Raport zawiera wiele danych oraz odniesień dotyczących sektora finansowego, który zarówno w wymiarze technologicznym, jak i zarządczym, pełni rolę wskaźnika wyprzedzającego dla zagadnień związanych z bezpieczeństwem informacji w innych sektorach gospodarki. Z tego powodu doświadczenia z sektora finansowego stanowią dobrą podstawę do dyskusji nad przyszłymi zmianami w obszarze ochrony informacji w całym otoczeniu biznesowym. Zatarcie granic Stale postępujący rozwój technologii, czy powszechny outsourcing, to niektóre z przyczyn zacierania się granic technologicznych. Przedsiębiorstwa szukają oszczędności, a outsourcing jest sposobem na to, by przenosząc procesy poza organizację, potencjalnie obniżyć koszty z nimi związane. Sprzyja temu olbrzymia konkurencja, a także budowanie centrów kompetencyjnych w różnych regionach świata, w tym w Polsce. Outsourcing jest już na tyle powszechną formą realizacji usług, że sieć powiązań organizacyjno-technicznych między firmami zaczyna być bardzo skomplikowana. Dodatkowo, współzależność infrastruktury oraz procesów sprawia, że granice między organizacjami są trudne do określenia. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 7
8 Przez lata systemy informatyczne funkcjonowały jako rozwiązania odseparowane od sieci publicznej, a połączenie z Internetem stanowiło dla nich jedyne okno na świat. Dynamiczny rozwój technologii informatycznych, a przede wszystkim uzasadniona potrzeba integracji między organizacjami, spowodowały, że pojawiło się więcej możliwości. Współzależność wielu organizacji postępowała wraz z implementacją nowych technologii. Poza pozytywnymi rezultatami, takimi jak oszczędności, większa elastyczność, szybszy i bardziej efektywny przepływ informacji, pojawiły się również zagrożenia. Firmy, które decydują się na ten model działania (zarówno usługodawcy jak i usługobiorcy) muszą być przygotowane na to, że szeroki dostęp do ich środowisk teleinformatycznych i przetwarzanych w nich danych, wymaga spełnienia bardzo wysokich standardów, a przede wszystkim równoważenia rozważnymi mechanizmami ochrony. Za postępującymi zmianami nie nadążały procesy zarządzania bezpieczeństwem informacji oraz przepisy prawa. W efekcie, z jednej strony widoczny był od lat szybki postęp technologiczny, a z drugiej, usiłujące go dogonić działy bezpieczeństwa, prawnicy i regulatorzy. Na wiele zmian jest już za późno, a wdrożenie innych (zwłaszcza na gruncie prawnym np. w obszarze cloud-computingu) wiązać się będzie ze znacznymi wyzwaniami i nakładami. Zachodzącym zmianom i zacierającym się granicom bacznie przyglądają się regulatorzy, zwłaszcza rynków finansowych i telekomunikacyjnych. Przyglądają im się także cyberprzestępcy, którzy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami. W bardziej elastyczny sposób dostosowują się do zachodzących zmian i często sami jej wywołują. Mając na uwadze znaczny skok technologiczny, który nastąpił w ciągu ostatnich trzech dekad, można stwierdzić, że dzisiejsze ataki są bardziej zaawansowane, co w połączeniu z rosnącą współzależnością środowisk IT wywołuje coraz większe straty. Cyberprzestępcy w obliczu braku krępującej ich biurokracji oraz łatwości, a zarazem niskiego kosztu przeprowadzania ataków, są z reguły jeden krok do przodu przed usiłującymi się bronić organizacjami. 8 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
9 Ewolucja zagrożeń Zatarcie granic pomiędzy organizacjami nie dzieje się w oderwaniu od rzeczywistości, zwłaszcza tej wirtualnej. Bezpośrednio wiąże się ono z rozwojem technologii, a także powstawaniem nowych trendów oraz ewolucją następujących, kluczowych zjawisk: Większe zaangażowanie technologii w fundamenty procesów biznesowych oraz coraz większa trudność w nakreśleniu jasnych granic pomiędzy środowiskami czy procesami zarządzanymi przez poszczególne organizacje. Profesjonalizacja ataków polegająca na stosowaniu wzorców wypracowanych przez tradycyjne organizacje przestępcze do działań w cyberprzestrzeni. Istotna zmiana technologiczna wynikająca głównie z popularyzacji przetwarzania mobilnego i powszechnej dostępności serwisów społecznościowych. Ograniczona skuteczność tradycyjnych metod ochrony infrastruktury informatycznej, takich jak systemy antywirusowe, zapory sieciowe czy aktywne i pasywne systemy wykrywania intruzów. Coraz większa presja na racjonalne i oszczędne alokowanie środków przeznaczanych na ochronę informacji, a przez to konieczność rozważania nakładów na ochronę informacji w tradycyjnym modelu zwrotu z nakładów inwestycyjnych. Połączenie powyższych czynników stawia osoby zarządzające organizacjami, które są w istotny sposób oparte o skuteczną wymianę informacji, pod wielką presją znalezienia optymalnych rozwiązań bezpieczeństwa przy jednoczesnym zapewnieniu ich efektywności finansowej. Wykres 1. Ewolucja zagrożeń Atak kontrolowany Sfrustrowany ex-it administrator Zorganizowana przestępczość Wyrafinowanie ataku Hobbysta Konkurencja Zrzeszenie hackerów Złośliwe oprogramowanie Partner biznesowy Sfrustrowany klient Cyberterroryzm Przypadkowe odkrycie Insider Script kiddy Sfrustrowany ex-pracownik Hacktivism Determinacja atakującego Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 9
10 80% Ponad 80% dokonywanych przestępstw jest przeprowadzanych przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci Profesjonalizacja ataków Działania przestępcze w cyberprzestrzeni stały się atrakcyjnym źródłem korzyści materialnych dla kryminalistów, których w niewirtualnej rzeczywistości coraz skuteczniej osaczają organy ścigania. Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę. Atrakcyjność cyberrzeczywistości, jako platformy przeznaczonej do nielegalnych działań, wynika z kilku czynników: pozornej (a w niektórych warunkach rzeczywistej) anonimowości cyberprzestępców, braku gotowości organów ścigania i wymiaru sprawiedliwości do sprawnego reagowania na zagrożenia i braku efektywnej współpracy w tym zakresie z sektorem prywatnym, bardzo ograniczonego ryzyka kary za działalność przestępczą, niskiego wstępnego kosztu inwestycji w działania przestępcze w sieci, znacznego potencjału wzrostu przychodów z tej platformy działań przestępczych w nadchodzących latach. Cyberrzeczywistość okazuje się nową przestrzenią, w której zorganizowane grupy przestępcze i pojedynczy malwersanci walczą o pieniądze, przewagę nad konkurencją oraz władzę. Efektem powyższych zachęt jest dynamicznie postępująca profesjonalizacja cyberprzestępców, w wyniku której powstają wyspecjalizowane struktury oferujące usługi na rzecz środowiska cyberprzestępców, takie jak przechowywanie danych, dzierżawa sieci typu bot-net, wysyłka spamu, dostosowywanie narzędzi technologicznych do wymagań poszczególnych ataków czy usługi typu escrow. Wyspecjalizowane struktury cyberprzestępcze tworzą klasyczny system przepływu informacji oraz pieniędzy ukierunkowany na maksymalizację korzyści, a także ograniczenie ryzyka związanego z prowadzeniem działalności przestępczej. Typowy schemat działań cyberprzestępców można podzielić na następujące bloki (Wykres 2): Wyciek informacji, do którego dochodzi w wyniku ataku na indywidualną organizację, ich grupę lub użytkowników końcowych. Do zdarzenia tego dochodzi często w wyniku skoordynowanych działań wielu grup przestępczych udzielających sobie wsparcia. Sprzedaż lub dystrybucja danych w ramach podziemnych struktur komunikacyjnych. Działanie to jest ukierunkowane na możliwie szybkie spieniężenie pozyskanych danych jeżeli przestępca, który dane pozyskał nie jest w stanie spieniężyć ich przy pomocy bardziej zaawansowanego ataku. Wzbogacanie i weryfikacja danych oparta o korelację informacji pochodzących z różnych źródeł. W ramach tego działania dane są katalogowane oraz przeznaczane do konkretnego typu ataku (np. phishing, wyłudzenie kredytów lub świadczeń, itp.). Przetworzone i wzbogacone dane są sprzedawane grupom specjalizującym się w konkretnych rodzajach przestępstw. Spieniężenie oraz legalizacja środków. W ramach tej działalności pozyskane dane są wykorzystywane w sposób zależny od ich przydatności do konkretnych rodzajów przestępstw. Uzyskiwane w ten sposób środki są wielokrotnie przetwarzane, często z wykorzystaniem tak zwanych wirtualnych walut (np. Bitcoin), w celu ukrycia źródła oraz sposobu ich zdobycia. 10 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
11 Wykres 2. Profesjonalizacja zagrożeń Wyciek informacji Zakup informacji Wzbogacenie i weryfikacja danych Sprzedaż Realizacja zysków Twórcy złośliwego oprogramowania Kolekcjonerzy tożsamości Kasjerzy Cyberprzestępcy Usługi rozprzestrzeniające złośliwe oprogramowanie Usługi zakupu danych Eksploatacja i wzbogacanie danych Sprzedaż danych Spieniężenie Spamerzy Twórcy Botnet-u Usługa walidacji danych Fora carderów Sprzedawcy usług i towarów Adres dostawy chroniący anonimowość Botnet Bramki płatnicze Komunikatory Instytucje finansowe Przelewy Phishing Keylogger-y Strony e-commerce Pieniądz elektroniczny Hazard on-line Miejsca przerzutu skradzionych danych Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 11
12 Najistotniejsze zagrożenia dla organizacji działających w cyberrzeczywistości 78% Dane przekazywane stronom trzecim 74% Wykorzystanie urządzeń mobilnych Omówiona profesjonalizacja jest wysoce zaawansowana i powszechna. Badanie obszaru cyberprzestepczości 1 wskazuje, że ponad 80% dokonywanych przestępstw jest przeprowadzane przez lub przy udziale i wsparciu zorganizowanych grup przestępczych działających w sieci. To samo badanie sugeruje, że cyberprzestępczość jest czwartą generacją rozwoju zorganizowanych grup przestępczych, zaraz po generacji pierwszej opartej o hazard oraz nielegalne wytwarzanie alkoholu, generacji drugiej opartej o rozwój czarnego rynku po drugiej wojnie światowej oraz generacji trzeciej skoncentrowanej na rozwoju rynku handlu narkotykami w latach osiemdziesiątych oraz dziewięćdziesiątych XX wieku. Niezależnie od toczących się dyskusji o metodykach i wiarygodności badań prowadzonych w obszarze wyceny cyberzagrożeń należy zauważyć, że nawet najbardziej sceptyczne opracowania wskazują na gwałtowny wzrost ich skali oraz złożoności. Z uwagi na pozbawiony granic charakter sieci, polskie przedsiębiorstwa są w podobnym zakresie narażone na cyberzagrożenia, jak ich konkurenci na rynku regionalnym i globalnym. Działalność przestępców to jednak tylko jedno z wielu źródeł współczesnych zagrożeń dla organizacji działających w cyberrzeczywistości. Organizacje uczestniczące w globalnym badaniu Deloitte TMT Security Survey wskazały, że dostrzegają istotne zagrożenia związane: z ilością oraz rodzajem danych przekazywanych stronom trzecim (78% respondentów), Wpływ technologii Określenia takie jak cloud-computing i wirtualizacja, big data, BYOD, technologie mobilne czy social-media, na stałe wpisały się do słowników zarówno przedsiębiorstw, jak i użytkowników końcowych. Powszechna dostępność, łatwość obsługi i stosunkowo niewielki koszt wdrożenia oraz obsługi tych technologii i usług sprawia, że tradycyjnie rozumiany dział IT stoi przed nowymi wyzwaniami. Wyzwania te dotyczą także osób odpowiedzialnych w firmach za bezpieczeństwo informacji. Cloud computing Technologią, która na wielu frontach rewolucjonizuje podejście do kwestii prywatności i ochrony danych jest wirtualizacja. Przetwarzanie w chmurze nie jest jedynie sposobem na szukanie oszczędności. W praktyce zwiększa ono dostępność usług i stwarza nowe możliwości ich rozwoju, dając zarówno działom biznesowym jak i IT większą elastyczność w doborze rozwiązań. Przedsiębiorstwa, z początku nieufne, coraz częściej przekonują się do tej technologii. W branży TMT 40% badanych firm przyznaje, że korzysta z chmury obliczeniowej. Należy przy tym zwrócić uwagę na fakt, że łatwa dostępność i niski koszt sprawiają, iż działy biznesowe mogą korzystać z usług typu SaaS (Software as a Service) bez wiedzy i wsparcia działów IT. Powoduje to ryzyko funkcjonowania w firmach tzw. dzikiego IT (ang. rogue IT). Jest to zjawisko o tyle niepożądane, że, jak wskazują wyniki badania w branży finansowej, najczęściej zgłaszane przez audytorów zastrzeżenia w obszarze IT dotyczą nadmiarowych praw przyznanych użytkownikom i developerom w tego typu środowiskach. 70% Brak odpowiedniej świadomości wśród pracowników coraz szerszym wykorzystaniem urządzeń mobilnych (74%) oraz brakiem odpowiedniej świadomości wśród pracowników (70%). Powoduje to sytuację, w której z jednej strony organizacje stoją przed wyzwaniami związanymi z cyberprzestępczością, a trendami w dziedzinie wykorzystania technologii z drugiej. Budowanie mechanizmów ochronnych, które skutecznie zaadresują ryzyka w obu obszarach, jest zadaniem wymagającym nowego spojrzenia na rzeczywistość, którą kształtują dynamicznie postępujące zmiany technologiczne. Stanowi to kolejny czynnik sprzyjający szerzeniu się znanych wcześniej niebezpieczeństw i powstawaniu nowych zagrożeń. Prawie 50% badanych organizacji z sektora finansowego nie zdecydowało się jeszcze na przetwarzanie w chmurze, właśnie z powodu obaw o bezpieczeństwo danych, niedojrzałość samej technologii czy też braku jej dostosowania do potrzeb organizacji. Jednak wśród tych, którzy się na to zdecydowali, prawie wszyscy potwierdzili, że na różne sposoby, organizacyjne i techniczne, dbają o bezpieczeństwo danych przetwarzanych w chmurze. Od strony organizacyjnej firmy zabezpieczają się poprzez odpowiednie klauzule w umowach z dostawcami usług, wymuszające stosowanie określonych mechanizmów bezpieczeństwa oraz definiujące kryteria dotyczące m.in. dostępności tych usług. Rozwiązania techniczne dotyczą głównie kontroli dostępu do zasobów, należytej priorytetyzacji ruchu sieciowego względem poszczególnych usług w chmurze oraz testowania procedur związanych z zapewnieniem 12 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
13 ciągłości działania. Częściowym rozwiązaniem z obu obszarów jest zapis umowny zezwalający na prawo do audytu infrastruktury wirtualnej dostawcy tego typu usług, a także późniejsze kontrolowanie sposobu, w jaki dostawca wywiązuje się ze swoich zobowiązań związanych z ochroną danych. Bring Your Own Device Kolejnym trendem nadającym kształt cyberzagrożeniom jest BYOD (ang. Bring Your Own Device). W czasach, gdy telefon komórkowy lub tablet potrafią zastąpić komputer, mobilność pracowników bywa krytycznym aspektem funkcjonowania przedsiębiorstwa, a granica między tym, co służbowe i prywatne często jest niedostrzegalna, rozsądne wydaje się szukanie oszczędności właśnie w kieszeni pracownika. Przyczyny takiego stanu rzeczy wykraczają jednak poza zwykłe ograniczanie kosztów. Nosząc więcej niż jeden telefon pracownicy mogą chcieć dążyć do optymalizacji warunków, w których funkcjonują. Przejawem tego będzie współdzielenie danych pomiędzy ich urządzeniami, korzystanie z aplikacji mobilnych integrujących się z serwisami internetowymi (np. społecznościowymi), a w efekcie rezygnacja z dwóch urządzeń na rzecz jednego. Stąd krok do sytuacji, w której pracownik przychodzi do firmy z własnym urządzeniem, na którym przetwarza kluczowe dane firmowe. Połowa firm badanych w ramach Deloitte TMT Security Survey 2013 stwierdziła, że posiada uregulowania dotyczące BYOD, a trzy czwarte badanych widzi w wykorzystaniu technologii mobilnych poważne zagrożenie. Stosowanie tradycyjnych mechanizmów ochronnych nie wystarczy, gdy pracownicy korzystają ze sprzętu (telefonu, tabletu, laptopa itp.) znajdującego się poza kontrolą pracodawców. W celu zapewnienia bezpiecznego funkcjonowania sprzętu pracownika, większość z firm stosuje tylko najprostsze środki organizacyjne, takie jak polityka dozwolonego użytku, programy security awareness, czy techniczne np. hasło lub PIN, szyfrowanie, czyszczenie urządzenia w przypadku jego oddania lub kilkukrotnego podania błędnego hasła. Może być to podyktowane obawami związanymi z kwestiami regulacyjnymi, gdyż telefon należy do pracownika i przechowuje on w nim także swoje prywatne dane (takie jak zdjęcia, notatki czy wiadomości SMS). Wydawać się może, że rozwiązania typu MDM (ang. Mobile Device Management) stanowią panaceum na piętrzące się problemy związane z BYOD oraz technologiami mobilnymi. Jednak bez właściwych regulacji i skutecznego zakomunikowania zainteresowanym pracownikom celowości ich wprowadzania, żadna technologia nie rozwiąże problemów. Media społecznościowe Firmy i ich pracownicy mają potrzebę obecności w mediach społecznościowych. Jest to skuteczne i tanie narzędzie marketingowe, a także sposób na pozostanie w kontakcie z klientami. Należy jednak przemyśleć, w jaki sposób można pozwolić pracownikom na korzystanie z serwisów społecznościowych dbając jednocześnie o bezpieczeństwo przetwarzanych przez nich danych firmowych (a niekiedy prywatnych). 37% organizacji z branży finansowej dokonuje w związku z tym przeglądu istniejących regulacji, a 31% uświadamia swoich pracowników, mówiąc o zagrożeniach, które wiążą się z obecnością w serwisach społecznościowych. Złożoność tych zagrożeń sprawia, że tradycyjne mechanizmy obrony przestają być skuteczne, choć nadal większość organizacji postrzega rozwiązania takie jak firewall, webfilter czy antywirus jako wystarczające. W przypadku mediów społecznościowych te zabezpieczenia nie sprawdzają się. Cyberprzestępcy swoje działania kierują tam, gdzie znajdują się ich potencjalne ofiary. Dlatego oprócz zabezpieczeń technologicznych, należy przede wszystkim budować świadomość pracowników. Olbrzymia popularność serwisów społecznościowych jest zatem czynnikiem ryzyka, którego nie można pomijać w procesie zarządzania bezpieczeństwem informacji. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 13
14 31% Organizacje, które uświadamiają pracowników o zagrożeniach, wiążących się z obecnością w serwisach społecznościowych Big data Innym trendem, który istotnie wpływa na sposób postrzegania bezpieczeństwa informacji jest big data. Olbrzymia ilość danych w połączeniu z możliwościami, jakie daje technologia, stanowi odpowiedź na coraz śmielsze pomysły dotyczące ich wykorzystania. Rozpatrując kwestie bezpieczeństwa informacji w kontekście big data należy skupić się na koncepcji Four V : Volume - ilość danych wpływa na ich dostępność, gdyż przekłada się na wydajność rozwiązań służących do ich przetwarzania. Oznacza także, że każdy, nawet najmniejszy wyciek informacji, może stanowić duży problem. Variety - olbrzymia różnorodność danych wymaga dogłębnej analizy dopuszczalności ich przetwarzania. Rygorystyczne przepisy prawa mogą zabraniać przetwarzania danych po określonym czasie, a nieprzestrzeganie tego zakazu rodzi ryzyka natury regulacyjnej. Velocity - potrzeba zapewnienia szybkości generowania i przetwarzania danych, a w efekcie dostarczania wyników analiz sprawia, że upraszczając architekturę systemów IT, pominięte mogą zostać, zbędne w opinii ekspertów od data miningu, elementy bezpieczeństwa. Value - wartość danych składających się na big data jest trudna do oszacowania, jednak, jak argumentują zwolennicy tej koncepcji, jest znacząca. Tym samym analiza ryzyka i dobór właściwych rozwiązań w obszarze bezpieczeństwa tych danych nie jest zadaniem prostym. Rozwiązania zapobiegające wyciekom danych (ang. Data Leak/Loss Prevention - DLP) w najbliższej przyszłości będą musiały zostać dostosowane do nowych wymagań bezpieczeństwa, co w obliczu wskazanych powyżej czynników będzie stanowić szczególne wyzwanie. Stawić czoła temu wyzwaniu może pomóc właśnie big data. Popularne systemy SIEM (ang. Security Information and Event Management) czy threat intelligence, opierają się na analizie w czasie rzeczywistym dużych woluminów różnorodnych danych. Ich wartość w kontekście bezpieczeństwa informacji jest nieoceniona. Nieskuteczność tradycyjnych metod ochrony danych W czasach, w których informacja jest dla przedsiębiorstw najcenniejsza, stosowane od lat tradycyjne systemy realizujące funkcje bezpieczeństwa przestają być wystarczające. Stanowią one wprawdzie jedną z pierwszych linii obrony przed atakami, jednak widoczne tendencje podpowiadają, że aby chronić informacje, trzeba zacząć samemu je zdobywać. Przykładem aktywnego działania na tym polu jest wykorzystywanie systemów typu SIEM. Systemy takie są niezbędnymi narzędziami w rękach zespołów SOC (ang. Security Operations Centre), lecz nawet najlepszy system będzie bezużyteczny, jeśli dane, które przetwarza będą niskiej jakości. W obliczu zagrożeń typu APT (ang. Advanced Persistent Threats) najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja. Możliwość jak najszybszego reagowania może zapewnić korelowanie danych z systemów klasy SIEM, z informacjami pochodzącymi od innego rodzaju rozwiązań, tj. threat intelligence gathering. Tradycyjne metody oparte na kontroli dostępu, rozliczalności czy zapobieganiu zdarzeniom, okazują się nieadekwatne do stopnia złożoności i szkodliwości aktualnych zagrożeń. Funkcjonując w świecie biznesu opartego o technologie należy liczyć się z tym, że prawdopodobieństwo skutecznego ataku na sieć przedsiębiorstwa jest bliskie 100%. Skrajnym przypadkiem jest założenie, że infrastruktura teleinformatyczna została spenetrowana (taki model działania przyjęła Narodowa Agencja Bezpieczeństwa w Stanach Zjednoczonych). Informacja, że spośród badanych firm z sektora finansowego, 98% korzysta z programu antywirusowego, niekoniecznie jest wyznacznikiem poziomu bezpieczeństwa ich systemów. Wątpliwości co do bezpieczeństwa danych budzi 2% firm niekorzystających z takiego rozwiązania. Niezależnie od wykorzystywanych rozwiązań technologicznych należy pamiętać, że tradycyjne metody oparte na analizie sygnatur, detekcji anomalii, czy też heurystyce przestają być skuteczne. Proaktywne podejście do zarządzania bezpieczeństwem, oparte na zdobywaniu informacji (tj. threat intelligence) zarówno z wnętrza sieci, jak i spoza niej, pomaga kształtować linię obrony i podejmować właściwe decyzje we właściwym czasie. Im szybciej naruszenie bezpieczeństwa zostanie zidentyfikowane, tym szybciej podjęte zostaną działania mające na celu minimalizację skutków, wykrycie sprawców i zabezpieczenie materiałów mogących stanowić dowód w postępowaniu. 14 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
15 Dla osiągniecia proponowanego stanu gotowości należy wypracować struktury oraz procedury funkcjonowania na wypadek cyberataku, bazujące na zespołach typu SOC. Ich sprawne funkcjonowanie oparte jest na narzędziach i procedurach, lecz przede wszystkim wynika z dogłębnego zrozumienia procesów zachodzących w firmie, a nie tylko w infrastrukturze IT przedsiębiorstwa. Tym samym inicjatywy typu BYOD, cloud-computing, big data czy też współpraca z partnerami zewnętrznymi, nie mogą pozostać bez wpływu na poziom ochrony danych w firmie. Wzrost kosztów i presja optymalizacji budżetu Można przypuszczać, że wraz z istotnymi zmianami technologicznymi zmianie ulegnie także poczucie istotności bezpieczeństwa informacji. Z badania Deloitte 3 wynika jednak, że mimo rosnącej skali oraz złożoności zagrożeń, budżety przeznaczane na ochronę kluczowych informacji oraz obronę przed cybezagrożeniami pozostają niemal bez zmian od 3 lat. Blisko połowa firm z sektora bankowego i technologicznego zwraca uwagę, że kolejny rok z rzędu ograniczenia budżetowe stanowią poważną przeszkodę na drodze do budowania efektywnego programu bezpieczeństwa informacji w organizacji. Wydatki na bezpieczeństwo, w tym na dedykowane urządzenia i platformy, a także usługi, mogą przynieść wymierną wartość finansową większości organizacji, gdy przyjmie się odpowiednie założenia i właściwy model funkcjonowania bezpieczeństwa w firmie i poza nią. W obliczu zagrożeń typu APT najważniejszym czynnikiem, który minimalizuje skutki ataku jest niezwłoczna reakcja. Stopień skomplikowania technologii i opartych o nią procesów biznesowych wymaga znacznych nakładów na jej utrzymanie i inwestycje z nią związane. Z obserwacji rynku wynika, że tradycyjne pojmowanie bezpieczeństwa jako problemu IT lub kwestii zgodności z wymogami regulacyjnymi powoli staje się nieaktualne. Bezpieczeństwo informacji coraz częściej jest elementem biznesu, należałoby więc oczekiwać, że planowanie wydatków związanych z ochroną danych oparte będzie o znane mechanizmy bazujące na wskaźniku zwrotu nakładu na inwestycje (ang. Return on Investment - ROI). Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 15
16 16 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
17 Droga do odporności Dynamicznie postępująca ewolucja zagrożeń wymaga zastosowania nowego podejścia do zarządzania bezpieczeństwem informacji. We wcześniejszej części raportu opisane zostały przyczyny, dla których zmiana postrzegania jest niezbędna i uzasadniona. Dalsza część skupia się na możliwych do podjęcia działaniach mających na celu osiągnięcie takiego poziomu odporności, który pozwoli odeprzeć pierwsze uderzenie cyberataku i w szybki oraz elastyczny sposób zareagować i dostosować się do stale zmieniających się reguł gry. Najbardziej korzystne rezultaty zostaną osiągnięte, gdy działania będą podejmowane wielotorowo, we wszystkich wskazanych obszarach. Osiągnięty dzięki temu efekt synergii pozwoli na sprawne funkcjonowanie organizacji odpornej na cyberzagrożenia. Stosuj metody wywiadowcze Zasadnicza zmiana, jaka nastąpiła w podejściu do ochrony tajemnic przedsiębiorstwa dotyczy spojrzenia, które coraz częściej koncentruje się na tym, co dzieje się poza przedsiębiorstwem. Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz. Hacktywizm, cyberkonflikty między narodami czy szpiegostwo przemysłowe na stałe wpisały się na listę tych zagrożeń. Mechanizmy obrony przed nimi powinny mieć charakter wyprzedzający i muszą funkcjonować niczym sprawny wywiad (threat intelligence) dostarczający informacji na czas. Informacje te są niezbędne, by móc uniknąć niepożądanych zdarzeń lub wręcz kształtować wydarzenia w cyberrzeczywistości, a nierzadko i poza nią. Właściwe podejście zakłada, że do skutecznego ataku może dojść z prawdopodobieństwem graniczącym z pewnością. Dlatego jednym z głównych filarów cyberodporności jest zbieranie i analiza informacji zarówno z wnętrza organizacji jak i spoza niej. Sprzyja temu organizowanie się w branżowe organizacje i dzielenie się wiedzą i doświadczeniem, zwłaszcza że koszt takiej inicjatywy jest stosunkowo niewielki. Podstawowe informacje, które będą miały wartość dla naszej organizacji możemy uzyskać: Śledząc informacje pojawiające się na branżowych forach internetowych zawierające dane o zagrożeniach, które dotknęły organizacje podobne do naszej. Podobieństwo to dotyczy zarówno wymiaru technologicznego jak i profilu ryzyka. Poszukując aktywnie informacji o zagrożeniach w sieciach anonimowych (takich jak sieć TOR) będących zwyczajową płaszczyzną komunikacji dla początkujących cyberprzestępców. Starannie obserwując własną infrastrukturę oraz gromadząc i korelując informacje o zdarzeniach bezpieczeństwa w infrastrukturze technologicznej. Istniejące na rynku wyspecjalizowane firmy, gromadzące i analizujące informacje o zagrożeniach w cyberprzestrzeni, niejednokrotnie schodzą do tzw. podziemia, by jeszcze szybciej i skuteczniej informować swoich klientów o przygotowywanych na nich atakach. Popyt na tego typu usługi będzie rósł wraz ze zwiększającą się skalą i powagą zagrożeń. Odpowiednio poinformowane organizacje będą w stanie z wyprzedzeniem zareagować na cyberatak np. usuwając nieznaną wcześniej lukę w swoich systemach IT lub czasowo zwiększając zasoby dostępne dla atakowanego serwisu. Stosowanie tradycyjnych mechanizmów zabezpieczeń może być wystarczające na wewnętrzne potrzeby organizacji, ale w niewielkim stopniu adresuje ryzyka, które powodują zagrożenia pochodzące z zewnątrz. Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 17
18 Zarządzaj incydentami Tradycyjny model zarządzania incydentami bezpieczeństwa informacji (oparty o monitorowanie zdarzeń, reakcję na incydent, analizę, wyciąganie wniosków i działanie) przestaje wystarczać. Zarówno skala jak i charakter niepożądanych zdarzeń coraz częściej przerastają możliwości ich obsługi przez zaatakowane podmioty. W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%. W zmianie podejścia pomaga przyjęcie założenia, że skuteczność ataku bliska jest 100%. Należy szukać odpowiedzi na pytanie jakie działania zostaną podjęte, gdy moja organizacja zostanie zaatakowana, a nie czy jest bezpieczna. Niezbędna jest proaktywna postawa, mająca na celu przygotowanie się na cyberatak. Czynności te mogą mieć charakter zarówno organizacyjny jak i techniczny: Analizuj starannie informacje uzyskane w ramach białego wywiadu. Poszukuj w nich sygnałów świadczących o możliwym ataku lub przygotowaniach do niego. Zapewnij gotowość narzędzi do zbierania materiału mogącego stanowić dowód w postępowaniu; środków komunikacji na wypadek uszkodzenia tych podstawowych; grupy ekspertów, którzy niezwłocznie podejmą działania eliminujące podatności wykorzystane przez atakujących. Prawidłowe reagowanie na powstałe lub powstające zagrożenia wymaga od osób na szczeblu zarządczym zrozumienia istoty tych negatywnych zdarzeń. Przedyskutuj z kluczowymi członkami kadry kierowniczej potencjalny wpływ oraz metody reagowania na cyberzagrożenia. Opracowanie założeń do modelu proaktywnego reagowania na incydenty wymaga doskonałej znajomości procesów w organizacji, właściwych struktur i środków. Są to elementy niezbędne do zbudowania efektywnego systemu odpornościowego przedsiębiorstwa. Funkcjonowanie w tradycyjnym modelu (monitorowanie - incydent - postępowanie - wnioski - działanie - monitorowanie) z czasem przestanie być skuteczne i opłacalne. Dbaj o świadomość swoich pracowników oraz stron trzecich W ocenie badanych organizacji z sektorów telekomunikacyjnego i finansowego, podnoszenie świadomości użytkowników jest na czołowym miejscu wśród inicjatyw, mających na celu dbanie o bezpieczeństwo informacji w firmie. Dla 70% respondentów ze świata technologii, brak wiedzy z zakresu ochrony danych wśród personelu stanowi poważne zagrożenie. Jednak niecała połowa z nich organizuje dla swoich pracowników szkolenia na ten temat, a wśród dużych organizacji tylko 8% uważa to za sprawę priorytetową. Właściwe podejście do zarządzania cyberbezpieczeństwem wymaga spełnienia trzech warunków w obszarze budowania świadomości pracowników przedsiębiorstwa: Wymagany jest jasny i spójny system regulacji wewnętrznych dotyczących ochrony przed cyberzagrożeniami. System, który będzie przystępny i dostępny dla pracowników, od których wymaga się przy zatrudnieniu podpisania oświadczenia o zapoznaniu z wewnętrznymi przepisami. Warto, aby personel miał świadomość, gdzie znajdzie poszukiwane dokumenty i że są one aktualne oraz pozostające w mocy. Tę wiedzę najłatwiej przekazać za pomocą stron intranetowych. Organizacja, poprzez formę i treść swoich procedur i zasad, nie może zniechęcać pracowników do ich stosowania. Wśród personelu musi panować przekonanie, że regulacje pozostają w racjonalnym związku z tym, czego dotyczą. Właściwy przykład w stosowaniu wewnętrznych regulacji, płynący od samego kierownictwa. Należy dbać o to, aby promować postępowanie właściwe i w umiejętny sposób wskazywać i eliminować przejawy negatywnego postępowania. 18 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
19 Wykres 3. Radar cyberzagrożeń Zapobieganie Wdrożenie nowej technologii o znacznym stopniu złożoności Poziom obaw Niski Średni Wysoki Sankcje z powodu naruszeń dotyczących międzynarodowego przetwarzania i przepływu danych Utrata danych z powodu naruszenia bezpieczeństwa urządzeń mobilnych Zakłocenie działalności operacyjnej jako skutek celowego działania osoby wewnątrz organizacji Utrata danych z powodu zastosowania metod socjotechnicznych Zablokowanie dostępności kanału klienckiego Utrata reputacji poprzez podmianę treści na stronie internetowej Sponsorowane przez konkurencje celowe działania zorganizowanych grup przestępczych Utrata danych z powodu celowej działalności osoby wewnątrz organizacji Utrata danych w wyniku wykorzystania podatności technicznych Utrata reputacji marki poprzez media społecznościowe Sponsorowana przez państwo cyber wojna Utrata danych z powodu zaawansowanego ataku (użycie wielu technik i wektorów ataku jednocześnie) Wykrywanie i reagowanie Przyszłe zagrożenia Nowo powstające zagrożenia Obecne zagrożenia Znane i rozumiałe Znane, ale niezrozumiałe Nieznane i niezrozumiałe Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji 19
20 Wykres 4. Mapa dojrzałości cyberbezpieczeństwa Zarządzanie Szkolenia i budowanie świadomości Zapobieganie Monitorowanie i ochrona danych Identyfikacja i klasyfikacja informacji Zarządzanie tożsamością Zarządzanie rolami i uprawnieniami Usługi kryptograficzne Archiwizacja i utylizacja danych Uwierzytelnienie klientów i pracowników Bezpieczny rozwój oprogramowania Ochrona aplikacji Kontrola dostępu Zapewnienie integralności aplikacji Polityki i standardy Ochrona informacji Ochrona aplikacji Dostęp zdalny Ochrona przed złosliwym oprogramowaniem Architektura i plany Zarządzanie bezpieczeństwem Cyber Security Ochrona infrastruktury Ochrona platform Zarządzanie ryzykiem i zgodnością Zarządzanie zagrożeniami Ochrona sieci Zarządzanie Zarządzanie płatnościami zachowania incydentami Analiza Identyfikacja zagrożeń Ochrona marki Tworzenie profilu zachowania pracowników/klientów Monitorowanie zdarzeń bezpieczeństwa Reagowanie na incydenty i podtrzymywanie ciągłosci usług E-discovery i informatyka śledcza Tworzenie profilu aktywności sieci i systemów Tworzenie modeli zagrożeń Przygotowanie na cyber ataki Wykrywanie 20 Cyberodporność w świecie ewoluujących zagrożeń Nowe drogi w bezpieczeństwie informacji
Ochrona biznesu w cyfrowej transformacji
www.pwc.pl/badaniebezpieczenstwa Ochrona biznesu w cyfrowej transformacji Prezentacja wyników 4. edycji badania Stan bezpieczeństwa informacji w Polsce 16 maja 2017 r. Stan cyberbezpieczeństwa w Polsce
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoMiejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa
Juliusz Brzostek Dyrektor NC Cyber w NASK Październik 2016 r. Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa Powody powołania NC Cyber luty 2013 Strategia bezpieczeństwa cybernetycznego
Bardziej szczegółowoNowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele
Nowa Strategia Cyberbezpieczeństwa RP na lata 2017-2022 główne założenia i cele Dariusz Deptała Serock, 29-31 maja 2017 r. Strategia Cyberbezpieczeństwa RP- Krajowe Ramy Polityki Cyberbezpieczeństwa Ustawa
Bardziej szczegółowoepolska XX lat później Daniel Grabski Paweł Walczak
epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe
Bardziej szczegółowoPrezentacja raportu z badania nadużyć w sektorze finansowym
Prezentacja raportu z badania nadużyć w sektorze finansowym Edycja 2017 24 października 2017 Agenda 1 Problem badawczy Zakres badania, zależności między zmiennymi 2 Grupa respondentów Udział poszczególnych
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoPrawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska
Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Michał Kluska Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej Łopuszna, 6-7 lutego 2012 r. Agenda:
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoJak uchronić Twój biznes przed cyberprzestępczością
www.pwc.com Jak uchronić Twój biznes przed cyberprzestępczością Nigdy nie zostałem zhakowany Roman Skrzypczyński Marcin Klimczak 03 listopada 2015 2 3 Tu i teraz nasza firma? 4 20 symulacji zintegrowanych
Bardziej szczegółowo2016 Proget MDM jest częścią PROGET Sp. z o.o.
Proget MDM to rozwiązanie umożliwiające administrację urządzeniami mobilnymi w firmie takimi jak tablet czy telefon. Nasza platforma to także bezpieczeństwo danych firmowych i prywatnych: poczty email,
Bardziej szczegółowoLaunch. przygotowanie i wprowadzanie nowych produktów na rynek
Z przyjemnością odpowiemy na wszystkie pytania. Prosimy o kontakt: e-mail: kontakt@mr-db.pl tel. +48 606 356 999 www.mr-db.pl MRDB Szkolenie otwarte: Launch przygotowanie i wprowadzanie nowych produktów
Bardziej szczegółowoDwie szkoły oceny 360 stopni. Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem
Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem Czy stosowanie tradycyjnego podejścia do metody 360 stopni jest jedynym rozwiązaniem? Poznaj dwa podejścia do przeprowadzania procesu oceny
Bardziej szczegółowoKto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?
Polsko-Amerykańskie Centrum Zarządzania Polish-American Management Center dr Joanna Kulesza Katedra prawa międzynarodowego i stosunków międzynarodowych WPiA UŁ Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?
Bardziej szczegółowoZasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach
Załącznik nr 3 do Regulaminu systemu kontroli wewnętrznej B S w Łubnianach Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Łubnianach Rozdział 1. Postanowienia ogólne 1 Zasady systemu kontroli
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoZarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian
Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.
Bardziej szczegółowoInformacja Banku Spółdzielczego w Chojnowie
BANK SPÓŁDZIELCZY W CHOJNOWIE Grupa BPS Informacja Banku Spółdzielczego w Chojnowie wynikająca z art. 111a ustawy Prawo Bankowe według stanu na dzień 31.12.2016 r. 1. Informacja o działalności Banku Spółdzielczego
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoInformatyka w kontroli i audycie
Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15
Bardziej szczegółowoModel dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie
Tab. 1. Opis poziomów dojrzałości procesów dla obszaru nadzór. Formalne strategiczne planowanie biznesowe Formalne strategiczne planowanie Struktura organizacyjna Zależności organizacyjne Kontrola budżetowania
Bardziej szczegółowoRZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI
Warszawa, dnia 17 września 2015 r. RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI BM-WP.072.315.2015 Pani Małgorzata Kidawa-Błońska Marszałek Sejmu RP Szanowna Pani Marszałek, w nawiązaniu do
Bardziej szczegółowoCzy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?
Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku? Badanie Cyberbezpieczeństwo Firm Warszawa, 2 marca 2017 The better the question. The better the answer. The better the world works.
Bardziej szczegółowoOpis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym
Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym SPIS TREŚCI 1. Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej...3 1.1. Informacje o systemie
Bardziej szczegółowoProgram ochrony cyberprzestrzeni RP założenia
Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoSzukanie wspólnej wartości (korzyści) w klastrze
Szukanie wspólnej wartości (korzyści) w klastrze Struktura klastrowa M. Porter - klastry to geograficzne koncentracje wzajemnie powiązanych przedsiębiorstw, wyspecjalizowanych dostawców (w tym dostawców
Bardziej szczegółowo2016 CONSULTING DLA MŚP. Badanie zapotrzebowania na usługi doradcze
2016 CONSULTING DLA MŚP Badanie zapotrzebowania na usługi doradcze 1 O raporcie Wraz ze wzrostem świadomości polskich przedsiębiorców rośnie zapotrzebowanie na różnego rodzaju usługi doradcze. Jednakże
Bardziej szczegółowoPrzedszkole Nr 30 - Śródmieście
RAPORT OCENA KONTROLI ZARZĄDCZEJ Przedszkole Nr 30 - Śródmieście raport za rok: 2016 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoDopasowanie IT/biznes
Dopasowanie IT/biznes Dlaczego trzeba mówić o dopasowaniu IT-biznes HARVARD BUSINESS REVIEW, 2008-11-01 Dlaczego trzeba mówić o dopasowaniu IT-biznes http://ceo.cxo.pl/artykuly/51237_2/zarzadzanie.it.a.wzrost.wartosci.html
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoZagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.
Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od
Bardziej szczegółowoDLA SEKTORA INFORMATYCZNEGO W POLSCE
DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej
Bardziej szczegółowoBezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Bardziej szczegółowoRozwiązania SCM i Portal dla handlu i przemysłu
POŁĄCZ WSZYSTKICH UCZESTNIKÓW PROCESU Jedna platforma IT wszystko pod kontrolą Rozwiązania SCM i Portal dla handlu i przemysłu Jedna platforma IT wszystko pod kontrolą Rozwiązania SCM i Portal Świat kręci
Bardziej szczegółowoWłaściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.
Samoocena może dotyczyć zarówno procesów zachodzących w jednostce, jak i poszczególnych elementów systemu jakie uwzględnia kontrola zarządcza. W procesie samooceny biorą udział pracownicy jednostki bezpośrednio
Bardziej szczegółowodr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo
dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo RODO a cyberbezpieczeństo ROZPORZĄDZENIE RODO Projekt ustawy o krajowym systemie cyberbezpieczeństwa 25 maja
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoTECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO
TECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO 2019-2022 Technologiczny okrągły stół EKF jest inicjatywą zainaugurowaną podczas ubiegłorocznego Europejskiego Kongresu Finansowego, z
Bardziej szczegółowoPrelegent : Krzysztof Struk Stanowisko: Analityk
Prelegent : Krzysztof Struk (BDO@KAMSOFT.PL) Stanowisko: Analityk Nowe wyzwania Największa zmiana prawna (w historii) w obszarze ochrony i przetwarzania danych osobowych, wrażliwych Przeniesienie odpowiedzialności
Bardziej szczegółowoStrategia dla Klastra IT. Styczeń 2015
Strategia dla Klastra IT Styczeń 2015 Sytuacja wyjściowa Leszczyńskie Klaster firm branży Informatycznej został utworzony w 4 kwartale 2014 r. z inicjatywy 12 firm działających w branży IT i posiadających
Bardziej szczegółowoWartość audytu wewnętrznego dla organizacji. Warszawa, 11.03.2013
Wartość audytu wewnętrznego dla organizacji Warszawa, 11.03.2013 Informacje o Grupie MDDP Kim jesteśmy Jedna z największych polskich firm świadczących kompleksowe usługi doradcze 6 wyspecjalizowanych linii
Bardziej szczegółowoSIŁA PROSTOTY. Business Suite
SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty
Bardziej szczegółowo9481/19 dh/aga/mk 1 JAI.1
Rada Unii Europejskiej Bruksela, 22 maja 2019 r. (OR. en) 9481/19 NOTA Od: Do: Prezydencja Nr poprz. dok.: 9035/19 Dotyczy: Komitet Stałych Przedstawicieli / Rada COSI 117 JAI 555 ENFOPOL 261 ENFOCUSTOM
Bardziej szczegółowoCSA STAR czy można ufać dostawcy
CSA STAR czy można ufać dostawcy Agenda CSA i OKTAWAVE Wprowadzenie do modelu cloud computing wg NIST Ryzyka, zagrożenia oraz aspekty prawne w modelu cloud computing. Program certyfikacyjny STAR (Security
Bardziej szczegółowoJak budować markę? Zestaw praktycznych porad
Budowa marki 2018 Jak budować markę? Zestaw praktycznych porad Kto jest kim w markowym zespole? Wybrany członek zarządu: pełni rolę sponsora projektu, ułatwia promocję projektu w organizacji i nadaje mu
Bardziej szczegółowoCzy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?
Warszawa, 9 października 2014r. Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Grzegorz Długajczyk ING Bank Śląski Które strony popełniały najwięcej naruszeń w ostatnich 10 latach?
Bardziej szczegółowoSzanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości
Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Jakub Syta, CISA, CISSP Warszawa, 14 czerwca 2010 1 Zastrzeżenie
Bardziej szczegółowotrendów, które zmieniają IT (technologię informatyczną)
trendów, które zmieniają IT (technologię informatyczną) Powszechnie wiadomo, że technologia informatyczna ewoluuje. Ludzie wykorzystują technologię w większym stopniu niż dotychczas. A ponieważ nasi użytkownicy
Bardziej szczegółowoSzkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów
RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi
Bardziej szczegółowoSystem kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie
System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie I. CELE I ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ 1 Cele systemu kontroli wewnętrznej W Banku Spółdzielczym w Gogolinie funkcjonuje system
Bardziej szczegółowoSzczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych
Szczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych Samoocena podstawowe informacje Samoocena kontroli zarządczej, zwana dalej samooceną, to proces,
Bardziej szczegółowoDopasowanie IT/biznes
Dopasowanie IT/biznes Dlaczego trzeba mówić o dopasowaniu IT-biznes HARVARD BUSINESS REVIEW, 2008-11-01 Dlaczego trzeba mówić o dopasowaniu IT-biznes http://ceo.cxo.pl/artykuly/51237_2/zarzadzanie.it.a.wzrost.wartosci.html
Bardziej szczegółowoZARZĄDZANIE MARKĄ. Doradztwo i outsourcing
ZARZĄDZANIE MARKĄ Doradztwo i outsourcing Pomagamy zwiększać wartość marek i maksymalizować zysk. Prowadzimy projekty w zakresie szeroko rozumianego doskonalenia organizacji i wzmacniania wartości marki:
Bardziej szczegółowoOpis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.
Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A. Jednym z elementów zarządzania Bankiem jest system kontroli wewnętrznej (SKW), którego podstawy, zasady i cele wynikają
Bardziej szczegółowoKomisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów
PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
Bardziej szczegółowoCyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa
Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa Tomasz Łużak Paweł Krawczyk Informacja chroniona w Exatel 1 Czym jest Cyber Threat Intelligence? Cyber Threat Intelligence (CTI)
Bardziej szczegółowoI. Cele systemu kontroli wewnętrznej.
Opis systemu kontroli wewnętrznej Międzypowiatowego Banku Spółdzielczego w Myszkowie stanowiący wypełnienie zapisów Rekomendacji H KNF dotyczącej systemu kontroli wewnętrznej w bankach. I. Cele systemu
Bardziej szczegółowoEuropejska inicjatywa dotycząca przetwarzania w chmurze. budowanie w Europie konkurencyjnej gospodarki opartej na danych i wiedzy
Cyberpolicy http://cyberpolicy.nask.pl/cp/dokumenty-strategiczne/komunikaty-komis ji-euro/66,europejska-inicjatywa-dotyczaca-przetwarzania-w-chmurze-b udowanie-w-europie-konk.html 2019-01-15, 14:37 Europejska
Bardziej szczegółowoe-administracja: nowe technologie w służbie obywatelowi
e-administracja: nowe technologie w służbie obywatelowi Co niesie administracji chmura obliczeniowa? dr inż. Dariusz Bogucki Centrum Projektów Informatycznych Wrocław, 3 października 2012 r. Paradoks wykorzystania
Bardziej szczegółowoFirmowe media społecznościowe dla pracowników
Firmowe media społecznościowe dla pracowników Raport z badania Maciej Dymalski, Szymon Góralski Wrocław, 2012 ul. Więzienna 21c/8, 50-118 Wrocław, tel. 71 343 70 15, fax: 71 343 70 13, e-mail: biuro@rrcc.pl,
Bardziej szczegółowoPolityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich
Załącznik do Uchwały Zarządu Nr 11/XLI/14 z dnia 30 grudnia 2014r. Załącznik do uchwały Rady Nadzorczej Nr 8/IX/14 z dnia 30 grudnia 2014r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym
Bardziej szczegółowoKrajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania
Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 znaczenie i najbliższe działania Departament Cyberbezpieczeństwa AGENDA 1. Cele Krajowych Ram Cyberbezpieczeństwa RP
Bardziej szczegółowoPlan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP
Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Dokument przyjęty przez Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet
Bardziej szczegółowoBezpieczeństwo cybernetyczne
Bezpieczeństwo cybernetyczne Aby zapewnić bezpieczeństwo cybernetyczne, potrzebny jest nowy plan walki. Efektywniejszy plan, który obejmie wszystkie aspekty bezpieczeństwa cybernetycznego w Państwa firmie
Bardziej szczegółowoCZYNNIKI SUKCESU PPG
CZYNNIKI SUKCESU PPG STOSOWANIE UMIEJĘTNOŚCI ZAWODOWYCH Wiedza o biznesie Wiedza specjalistyczna Wiedza o produktach i usługach Wiedza przemysłowa ZARZĄDZANIE REALIZACJĄ ZADAŃ Działanie w perspektywie
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w urzędach pracy
Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,
Bardziej szczegółowoBUDOWANIE POZYCJI FIRMY NA KONKURENCYJNYM GLOBALNYM RYNKU
GRY STRATEGICZNE BUDOWANIE POZYCJI FIRMY NA KONKURENCYJNYM GLOBALNYM RYNKU Warsztaty z wykorzystaniem symulacyjnych gier decyzyjnych TERMIN od: TERMIN do: CZAS TRWANIA:2-3 dni MIEJSCE: CENA: Symulacyjne
Bardziej szczegółowoenxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości
enxoo properto Kompleksowy system do zarządzania sprzedażą i wynajmem nieruchomości Szybka i trafna ocena potrzeb nabywców nieruchomości Pełen obraz procesu sprzedaży oraz umiejętność kontroli całego procesu
Bardziej szczegółowoZmień taktykę przejdź do ofensywy! Staw czoła cyfrowej transformacji!
Zmień taktykę- przejdź do ofensywy. Staw czoła cyfrowej transformacji. Zmień taktykę przejdź do ofensywy! Staw czoła cyfrowej transformacji! Prezentacja wyników badania IDC w Polsce na tle badań globalnych
Bardziej szczegółowoCybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu
Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Domaoski Zakrzewski Palinka sp. k. Marzec 2016 Czy sami dbamy o nasze bezpieczeostwo?
Bardziej szczegółowoSMART OFFICE - NOWOCZESNE PODEJŚCIE DO FUNKCJONOWANIA FIRMY
SMART OFFICE - NOWOCZESNE PODEJŚCIE DO FUNKCJONOWANIA FIRMY CYFROWA TRANSFORMACJA CZYNNIKI WYMUSZAJĄCE ZMIANĘ Rosnący udział cyfrowych kanałów komunikacji w rozwijaniu relacji z klientami Środowisko cyfrowe
Bardziej szczegółowoWarszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.
DZIENNIK URZĘDOWY Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE z dnia 21 czerwca 2013 r. w sprawie ogłoszenia jednolitego tekstu uchwały Nr 384/2008 Komisji Nadzoru Finansowego w sprawie wymagań
Bardziej szczegółowoBezpieczeństwo IT w środowisku uczelni
Bezpieczeństwo IT w środowisku uczelni Teleinformatica - Wide Area Networking & Security (Grupa SECURITY.PL) Warszawa, 25 kwietnia 2017 O czym będę mówił? Bezpieczeństwo IT specyfika środowiska akademickiego
Bardziej szczegółowoKontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów
Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Monika Kos, radca ministra Departament Polityki Wydatkowej Warszawa, 13 stycznia 2015 r. Program prezentacji
Bardziej szczegółowoRozdział 1 Postanowienia ogólne
Polityka zgodności Spis treści Rozdział 1 Postanowienia ogólne... 2 Rozdział 2 Cel i podstawowe zasady zapewnienia zgodności... 2 Rozdział 3 Zasady zapewnienia zgodności w ramach funkcji kontroli... 4
Bardziej szczegółowoKatalog rozwiązań informatycznych dla firm produkcyjnych
Katalog rozwiązań informatycznych dla firm produkcyjnych www.streamsoft.pl Obserwować, poszukiwać, zmieniać produkcję w celu uzyskania największej efektywności. Jednym słowem być jak Taiichi Ohno, dyrektor
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoArchitektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze
Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze Prof. SGH, dr hab. Andrzej Sobczak, Kierownik Zakładu Systemów Informacyjnych, Katedra Informatyki Gospodarczej SGH
Bardziej szczegółowoWykorzystanie potencjału internetu
Wykorzystanie potencjału internetu Blok 11 Internet a przedsiębiorczość podejście holistyczne Internet właściwie ICT information and telecommunication technologies połączenie technologii informacyjnych
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowoRegulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu
Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia
Bardziej szczegółowoTechnologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018
Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018 Wdrożenie przepisów RODO w praktyce Wyzwania Techniczne i Prawne Tomasz Pleśniak Adam Wódz Wdrożenie przepisów RODO w praktyce Wyzwania
Bardziej szczegółowoZespół do spraw Transformacji Przemysłowej Departament Innowacji
Zespół do spraw Transformacji Przemysłowej 26.07.2016 Departament Innowacji Kierunki transformacji polskiej gospodarki 5 Filarów rozwoju gospodarczego Polski Reindustrializacja Rozwój innowacyjnych firm
Bardziej szczegółowoKierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej
Kierunek cyfryzacji w Polsce praktyczne konsekwencje zmian dla obywateli oraz przestrzeni publicznej Prof. nadzw. dr hab. Andrzej Sobczak Dyrektor Ośrodka Studiów nad Cyfrowym Państwem Agenda wystąpienia
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoOPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA
OPRACOWANIE ZINTEGROWANEGO PROGRAMU AKTYWIZACJI I PARTYCYPACJI SPOŁECZNEJ NA TERENIE OBSZARU FUNKCJONALNEGO BLISKO KRAKOWA - w ramach projektu Razem Blisko Krakowa zintegrowany rozwój podkrakowskiego obszaru
Bardziej szczegółowoOpis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.
Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach
Bardziej szczegółowoBADANIE JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII LIFE IS FOR SHARING.
ROLA ICT W BUDOWANIU PRZEWAGI KONKURENCYJNEJ PRZEDSIĘBIORSTW CZĘŚĆ VII JAK POLSKIE FIRMY WYKORZYSTUJĄ NOWE TECHNOLOGIE Badanie wykonane przez THINKTANK - ośrodek dialogu i analiz. Czerwiec 2015 BADANIE
Bardziej szczegółowoz kapitałem polskim Zatrudnienie 1 10 osób osób 2,27% osób 11,36% osób osób powyżej osób 20,45% 50,00% 13,64%
Profil uczestników badania Firma 6,8% 9,1% sektor publiczny służby mundurowe z kapitałem zagranicznym 5 z kapitałem polskim 5 13,6% banki 9,1% instytucje finansowe 4, telekomunikacja Zatrudnienie 2,2 2,2
Bardziej szczegółowoZarządzanie łańcuchem dostaw
Społeczna Wyższa Szkoła Przedsiębiorczości i Zarządzania kierunek: Zarządzanie i Marketing Zarządzanie łańcuchem dostaw Wykład 1 Opracowanie: dr Joanna Krygier 1 Zagadnienia Wprowadzenie do tematyki zarządzania
Bardziej szczegółowoCyfrowa administracja Jak zaoszczędzić dzięki nowoczesnym IT?
Cyfrowa administracja Jak zaoszczędzić dzięki nowoczesnym IT? Cloud computing? The interesting thing about cloud computing is that we've redefined cloud computing to include everything that we already
Bardziej szczegółowoZałącznik do Uchwały Nr 61 z dnia 16 grudnia 2016 roku
Załącznik do Uchwały Nr 61 z dnia 16 grudnia 2016 roku STRATEGIA ZARZĄDZANIA ZASOBAMI LUDZKIMI Uniwersytetu Warmińsko-Mazurskiego w Olsztynie Rozdział 1 Założenia ogólne 1 1. Uniwersytet Warmińsko-Mazurski
Bardziej szczegółowo