Zarządzanie ryzykiem IT

Wielkość: px

Rozpocząć pokaz od strony:

Download "Zarządzanie ryzykiem IT"

Aneta Domańska
7 lat temu
Przeglądów:

Komunikacja kluczem do skutecznego zarządzania ryzykiem Jakub Syta, CISA, CISSP Warszawa, 6 lipca 2010 1 Zarządzanie ryzykiem IT Zarządzanie tożsamością Bezpieczeństwo

1 Komunikacja kluczem do skutecznego zarządzania ryzykiem Jakub Syta, CISA, CISSP Warszawa, 6 lipca Zarządzanie ryzykiem IT Zarządzanie tożsamością Bezpieczeństwo informacji Ciągłość działania Przeciwdziałanie wyciekom informacji Ochrona fizyczna Ochrona baz danych Przeciwdziałanie defraudacjom Audyty Zarządzanie incydentami 2 1

2 Rodzaje ryzyka TheRiskIT Framework, ISACA Zarządzanie ryzykiem IT TheRiskIT Framework, ISACA

3 Typowe problemy działów bezpieczeństwa Braki kadrowe w działach bezpieczeństwa Brak pieniędzy na bezpieczeństwo Zła współpraca z pracownikami działów biznesowych Brak zrozumienia dla zagadnień bezpieczeństwa i tym samym inne priorytety działów biznesowych 5 Rozwiązanie zmiana zachowań pracowników ISACA, Security Awareness Best Practices to Secure Your Enterprise,

4 Dlaczego? Pracownicy na co dzień korzystająz rozwiązań dostarczanych przez IT Znają całe procesy więc widzą IT w szerszym kontekście Są wszędzie, gdzie przetwarzane są informacje Często są naprawdę chętni do pomocy 7 Cel strategiczny Zapewnić by wszyscy pracownicy, na co dzień: przestrzegali zasad bezpieczeństwa rozumieli je aktywnie uczestniczyli w minimalizacji ryzyk IT 8 4

5 Jak to osiągnąć? Komunikacja (i idące za nią czyny) Rola komunikacji Zawartość Powiedz zapomnę Stała obecność Pokaż zapamiętam Różnorodność form Rzeczywiste przykłady Zaangażuj-zrozumiem Kultura organizacyjna Kultura sprawiedliwości Nauka na błędach 9 Rola komunikacji: Komunikacja Dostarczać pracownikom wiedzyz zakresu zarządzania ryzykiem IT: Co? Jak? Dlaczego? przedstawianej biznesowym językiem 10 5

6 Zawartość TheRiskIT Framework, ISACA Akcje uświadamiające Stała obecność Umiejscowienie zasad bezpieczeństwa w procedurach operacyjnych Łatwy dostęp do niezbędnej dokumentacji Testy bezpieczeństwa Reagowanie na zgłaszane incydenty 12 6

7 Różnorodność form Krótkie e Intranet Gazetka zakładowa Plakaty Filmy Szkolenia Keep I t Straight & Simple Podstawowa zasada: krótko i kolorowo 13 Realne scenariusze ryzyka TheRiskIT Framework, ISACA

8 Kultura organizacyjna TheRiskIT Framework, ISACA Kultura sprawiedliwości Prof. James Reason zauważył, że ludzkie błędy są w znacznej mierze konsekwencją a nie przyczyną. Czynniki organizacyjne kształtują zachowania pracowników i dlatego głównym celem analizy incydentów powinno być zrozumienie kompletnego kontekstu błędu, nie tylko skoncentrowanie się na szukaniu winnych Kultura sprawiedliwości polega na dogłębnej analizie incydentówbez koncentrowania się na konkretnym pracowniku oraz wyciąganiu konsekwencji wyłącznie w stosunku do osób, które celowo zachowały się niewłaściwie oraz tych, których zachowanie cechowało się wyjątkową bezmyślnością. Reason J. Human Error,

9 Nauka na błędach Nauka dotyczy widzenia porażek jako części systemu Nauka powinna prowadzić do zabezpieczeń, które zapewnią, że wyeliminowane zostaną czynniki generujące błędy, tak by nie powtórzyły się one w przyszłości Nauka powinna skutkować zwiększeniem przepływu informacji dotyczącej bezpieczeństwa Nauka polega na ciągłym doskonaleniu Reason J. Human Error, Zalety Mniejsze opory podczas przeprowadzanych weryfikacji: Samoocena Audyt wewnętrzny Audyt zewnętrzny Testy (ciągłości działania, penetracyjne, czystego biurka ) Szybsza identyfikacja potencjalnie niebezpiecznych miejsc (proaktywność) Sprawniejsze zarządzanie incydentami 18 9

10 Kontakt: IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza Warszawa-Wilanów Tel Fax biuro@immusec.com 19 10

Podobne dokumenty

Audyt systemów informatycznych w świetle standardów ISACA

Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy