Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych

Transkrypt

1 Stowarzyszenie ds. bezpieczeństwa systemów informacyjnych Minikompendium bezpieczeństwa dla firm z sektora MSP Kongres Bezpieczeństwa Sieci Kraków,

2 Agenda l Co to jest ISSA? l Projekty ISSA Rekomendacje dla MSP l Informatyka czy chodzi o komputery? l Codzienne życie MSP l ISM socjotechnika a procedury l Podstawowe środki bezpieczeństwa l (użytkownik, mikro - przedsiębiorca) l Zdefiniowane wymogi bezpieczeństwa l Zarządzany system bezpieczeństwa l Pytania? 2

3 Co to jest ISSA? Information Systems Security Association l Międzynarodowa organizacja typu not-for-profit l Zrzesza ponad osób z ponad 70 krajów zawodowo zajmujących się bezpieczeństwem Systemów Informatycznych l Obecna w 30 krajach ( ponad 130 oddziałów) l Oferuje edukację, fora dyskusyjne i możliwość wymiany informacji i doświadczeń l Pozwala swoim członkom na poszerzenie umiejętności, wiedzy i doświadczenia l Aktywnie współpracuje z ISC2, OWASP i ISACA w celu zapewnienia pełnej ochrony aktywów informacyjnych 3

4 Projekty ISSA l Rekomendacje dla MSP l Ochrona prywatności (PRA) l ISSA dla Rodziców l Konferencje SEMAFOR l Konferencje InfoTRAMS l Warsztaty edukacyjne z OWASP l Warsztaty edukacyjne ISSA / ISACA l Podsumowanie 4

5 Informatyka w MSP l Komputery i pendrive y, płyty CD/DVD, nośniki magnetyczne l Drukarki sieciowe z dyskami l Najtańsze routery Wifi (nigdy nie aktualizowane) l Koncentratory - nie zarządzalne (tańsze), brak separacji sieci l Pamięci NAS mamy tam swoje dane (uprawnienia?) l Rejestratory TV przemysłowej (kamery, dyski) l Urządzenia mobilne (smartfony, tablety, notebooki) l Chmura (Hosting serwisu www) l Chmura (poczta ) l Chmura (programy księgowe, sprzedażowe) l Chmury (wymiana plików: Dropbox, Dysk Google, SkyDrive, itp.) l Infrastruktura PKI - a co to jest? l Czy tylko komputery? 5

6 Codzienność MSP l Procedury? - a po co nam papiery! l Szkolenia dla pracowników przecież są po studiach! l IT Asset Management - zarządzanie infrastrukturą IT a co to jest? l Współpraca z firmami IT = zakup komputerów :-) l Konsulting IT po co? - Mój syn wie lepiej (2-gi rok studiów AE) l Strona www mamy a jakże (przygotował sąsiad, kupił domenę) l Facebook portal dla młodzieży:-) U nas nikt nie korzysta... l Wymiana danych z klientami? - ? Pendrive? Dysk USB? l Dane osobowe my nie przetwarzamy! l Programy biurowe mamy MS Office (3 licencje wersja Home) l Obróbka zdjęć aaa - mamy Photoshopa (skąd?) l Standardy? - kupujemy najtańsze komputery składaki l Bezpieczeństwo mamy darmowy program antywirusowy:-) 6

7 ISM Procedury (ISM - Information Security Management) l Biurokracja nie mamy na to czasu... l Komputery najtańsze, najładniejsze, najdroższe,... (a OS?) l Programy kupujemy z komputerem (Office 97/2000/2003/2007) l Uprawnienia do Windows a po co to nam potrzebne? l Białe listy oprogramowania a co to jest? l Czarne listy aaa Janek jest na czarnej liście u szefa:-) l Internet mamy, a co w razie awarii? l Kopie zapasowe danych dyski USB, pen (co, kto, na co i kiedy?) l Bezpieczeństwo fizyczne? - mamy identyfikatory (rejestr?) l Domena firmowa mamy (kto odpowiada za przedłużenie?) l Ile mamy komputerów -mamy chyba 12 (jest 30) l Znaleziony pendrive mam szczęście, przyda się:-) l Potrzebny program dla Pani Krysi? Piotrek ściągnie z Internetu

8 ISM - Socjotechnika l Przychodzące rozmowy telefoniczne (kto? kolega z oddziału?) l Wychodzące rozmowy telefoniczne (nry premium, zagraniczne) l Uprzejmość? (wpuszczamy obcą osobę do biura?) l Uśmiechnięty przystojniak w garniturze? (prezes? dyrektor?) l Tradycyjna poczta (wpis do rejestru domen za 300EUR/rok) l Poczta elektroniczna (niebezpieczne linki) l Urlop za granicą (publiczne Wifi, brak szyfrowania) l Delegacje służbowe (nieszyfrowane dyski notebooków) l Miła koleżanka (dam jej swoje hasło:-)) l Nieświadomość decydentów (decydują kto ma jakie hasło) l Zasada czystego biurka? (nie dostanę premii) l Chora mama czy mogę zadzwonić z Twojego telefonu? l Ważna umowa przyjedzie kurier:-) l Przystanek MPK czego się można dowiedzieć o firmie po 16.00? 8

9 Podstawowe środki bezpieczeństwa l Zainteresowanie, zaangażowanie zarządu firmy l Zrozumienie wymogów (interes firmy, prawo) l Zrozumienie ryzyka (BI) l Podstawowe zabezpieczenia (regulamin zakładowy, wytyczne IT) 9

10 Podstawowe środki Bezpieczeństwa 2 l Podział obszarów zabezpieczeń wg osób odpowiedzialnych l Właściciel l Użytkownik l Administrator 10

11 Podstawowe środki Bezpieczeństwa 3 l Podział działań organizacji na Mikro, Małe, Średnie firmy l Kontekst działalności - klasy: l 1.Dane wspierające działania organizacji lub przedsiębiorcy l 2.Dane organizacji niepodlegające osobnym regulacjom prawnym l 3.Dane podlegające regulacjom (osobowe, ubezpieczeniowe, finansowe, medyczne, wymiaru sprawiedliwości l 4.Dane służb (Policja, Wojsko, inne) l Zdefiniowanie klas działań przetwarzania danych dla organizacji l Na podstawie klas minimalne zestawy zabezpieczeń informacji 11

12 Podstawowe środki bezpieczeństwa 4 l Inwentaryzacja aktywów firmy (co chronić?) l Wprowadź białe listy (www, oprogramowanie, sprzęt) l Wykonuj kopie bezpieczeństwa (dane, routery, telefony) l Ustaw niestandardowe hasła (urządzenia sieciowe) l Ustaw hasło do komputera, smartfona (w czasie nieaktywności) l Nie pracuj na profilu administratora systemu Windows l Prowadź rejestr telefonów (IMEI) l Uaktywnij opcję umożliwiającą zdalne usuwanie danych z telefonu l Nie kopiuj wrażliwych danych na nieszyfrowane nośniki informacji l Szyfrowanie poczty , dysków, pendrive l Niszczenie wrażliwych dokumentów (niszczarka) l Bezpieczne kasowanie dysków starych komputerów l Nie otwieraj załączników od nieznanych nadawców l Bierz udział w szkoleniach i konferencjach 12

13 Podstawowe środki bezpieczeństwa 5 l Zgłaszaj podejrzane incydenty do działu IT l Dbaj o codzienną aktualizację systemów Windows l Aktualizuj codziennie program antywirusowy l Używaj filtra antyspamowego do poczty l Ustaw silne hasło (min. 12 znaków?) l Nie podawaj hasła koleżance l Nie używaj maila służbowego do celów prywatnych l Nie podawaj nieznanym osobom informacji o infrastrukturze IT l Unikaj korzystania z publicznych komputerów l Sprawdź ustawienia prywatności w FB, Linkedin, itp. l Sprawdzaj każdy załącznik programem antywirusowym l Przechowuj kopie zapasowe poza biurem l Prowadź rejestr nośników USB (monitoruj) l Regularnie testuj odtwarzanie danych z kopii (DR) 13

14 Zdefiniowane wymogi BI l Zasady bezpieczeństwa (wytyczne, regulamin, procedury) l Odpowiedzialność (kto? za co?) l Plan przetrwania (ciągłość działania biznesu, BCP, DR) l Ciągłe monitorowanie zabezpieczeń aktywów firmy 14

15 Zarządzany system bezpieczeństwa l Polityki i procedury l System zarządzania l Technologia bezpieczeństwa l Edukacja w zakresie bezpieczeństwa informacji 15

16 Dołącz do ISSA - Szukamy! l Liderów którzy chcą poprowadzić organizację w swoich miastach l Osób które chcą aktywnie włączyć się w działanie stowarzyszenia I ty możesz zostać Dyrektorem Firm które chcą razem z nami budować rynek bezpieczeństwa IT w Polsce l l Osób które chcą podnieść poziom l bezpieczeństwa informacji w sektorze MSP 16

17 Korzyści l Publikacje ISSA Journal l Punkty edukacyjne - CPE l Udział w konferencjach l Ciekawi ludzie l Bezpłatne wejściówki na wybrane konferencje l Webcasty na temat bezpieczeństwa l Zniżki na konferencje krajowe i zagraniczne (Semafor 50%, Atak i Obrona 40%) l Dostęp do materiałów i prezentacji ze spotkań merytorycznych l Udział w projektach związanych z BI 17

18 Członkowie wspierający l Aktualnie działania ISSA Polska wspierają : SourceFire, Imperva, Clico, Ernst & Young, CCNS, SecuRing, Apius, Passus. 18

19 Dziękuję za uwagę Kontakt: Projekt Rekomendacje dla MSP Lider: dr Piotr Dzwonkowski Prezentacja: Andrzej Kasprzyk 19