Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle

Transkrypt

1 <Insert Picture Here> Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle Krzysztof Grabczak Identity Management & Enterprise Security

2 Agenda Ewolucja zagrożeń w świecie wirtualnym Co na to wszystko technologia? mechanizmy kontrolne Bezpieczeństwo projekt kompletny podejście firmy Oracle Pytania i odpowiedzi

3 Ewolucja zagrożeń w świecie wirtualnym <Insert Picture Here>

4 Ile urządzeń ma obecnie dostęp do sieci Internetowej?

5 Rozwój technologii IT Dostęp do sieci Internetowej Liczba komuterów podłączonych do Internetu w mln sztuk Źródło: Policja.pl

6 Rozwój technologii IT Przyrost danych w systemach IT Rosnąca ilość danych w systemach IT złożoność w procesie ochrony informacji, kontroli dostępu do informacji oraz podejmowania decyzji biznesowych w obszarze IT Podwojenie ilości danych rocznie Source: IDC, ,800 Exabytes

7 Kradzież tożsamości wartość strat finansowych?

8 Zagrożenia 2010 Kradzież tożsamości Wartość strat finansowych w USA 37 mld USD Liczba skradzionych tożsamości 8,1 mln Wzrost średniej wielkość straty do1267 USD Badanie przeprowadzone przez Javelin Strategy & Research (2011), współfinansowane przez Fiserv, Intersections Inc., Wells Fargo

9 Zagrożenia 2010 Ochrona dostępu do informacji Wzrost złożoności szkodliwego oprogramowania Liczba incydentów przekroczyła 1,5 miliarda Pozyskanie informacji poufnych, danych osobowych, certyfikatów cyfrowych stanowi jeden z głównych celów ataków Źródło:

10 Ostatnie Incydenty Utrata informacji Kradzież tożsamości z facebooka Kradzież danych pacjentów szpitala NYC 1.7 mln osób Pozyskanie danych osobowych z Sony PlayStation Network Ujawnienie 700 tys. loginów i haseł portalu Filmweb.pl Utrata danych osobowych z serwera Neckermann (1,2 mln osób) Utrata informacji o rachunkach 360 tys. posiadaczy kart kredytowych Citibanku

11 Incydenty 2010 Wstrzymanie procesów przemysłowych Nowoczesna generacja zagrożeń zewnętrznych dla infrastruktury IT oraz sterowników urządzeń przemysłowych 11

12 <Insert Picture Here> Co na to wszystko technologia? Mechanizmy kontrolne

13 Cykl życia Informacji

14 Zarządzanie Informacją Informacja jest aktywem, które, podobnie jak inne ważne aktywa biznesowe, ma dla instytucji wartość i dlatego należy ją odpowiednio chronić Poufność (Confidentiality) Integralność (Integrity) Dostępność (Availability)

15 Zarządzanie tożsamością w przedsiębiorstwie 15

16 Zarządzanie Informacją w przedsiębiorstwie Ochrona informacji i kontrola dostępu

17 Zarządzanie ryzykiem analiza i ocena Risk Management Risk Analysis (RA) identyfikuje aktywa, identyfikuje zagrożenia, określa prawdopodobieństwa wystąpienia zagrożeń określa ryzyko związane ze zmaterializowaniem się zagrożeń RA pomaga zarządzającym skonstruować budżet i stworzyć odpowiednie polityki określające kierunki działań w aspektach bezpieczeństwa 17

18 GRC, polityka bezpieczeństwa czy koszty? Cele do osiągnięcia: ISO (np. osobny proces certyfikacji uprawnień i audytu) Zmniejszenie kosztów - bezpieczeństwo funkcjonalne (kontrola uprawnień wraz z automatyzacją, efektywność zarządzania poprzez role), architektura usługowa IT, rozliczanie kosztów usług Zarządzanie ryzykiem Bezpieczeństwo stanowiska... 18

19 Bezpieczeństwo projekt kompletny podejście firmy Oracle <Insert Picture Here>

20 Bezpieczeństwo informacji wg. Oracle Bezpieczeństwo Informacji Szyfrowanie i maskowanie Kontrola uprzywilejowanych użytkowników Wieloelementowe uwierzytelnianie Audyt i monitorowanie Zarządzanie tożsamością Informacja Infrastruktura Bazy danych Aplikacje Dokumenty Prowizjonowanie kont Zarządzanie rolami Zarządzanie uprawnieniami Kontrola dostępu oparta o ryzyko Wirtualizacja katalogów Zabezpieczenie danych poza systemami Audyt i kontrola dostępu do dokumentów Nadawanie i odbieraniu uprawnień Bezpieczeństwo za i przed firewall Zcentralizowana administracja politykami

21 Repozytorium Informacji <Insert Picture Here>

22 Bezpieczeństwo Bazy Danych Nowy! Konsolidacja Audytu Procurement Sensitive Auditing Authorization Confidential HR Nieautoryzowana aktywność DBA Wieloelementowe uwierzytelnianie Aplikacje Authentication Rebates Public Konsolidacja zarządzania bezpieczeństwem DB Monitorowanie i Blokowanie sieciowego ruchu SQL Szyfrowanie danych Szyfrowany Backup Szyfrowany transfer Maskowanie danych 22

23 Zarządzanie cyklem życia tożsamości i Informacji <Insert Picture Here>

24 Zarządzanie dostępem P: W jaki sposób kontrolujesz dostęp do wrażliwych danych w aplikacjach? a Login i hasło b Uwierzytelnienie i autoryzacja uwzględniajaca kontekst c Token

25 Zarządzanie przydzielaniem zasobów P: Co determinuje dostęp pracowników do zasobów? a Daj Basi to co ma Henio b Decyduje o tym rola biznesowa c O cokolwiek poprosi manager

26 Zarządzanie bezpieczeństwem informacji P: Kto jest najbardziej uprzywilejowanym użytkownikiem w firmie? a CFO b Administrator bezpieczeństwa c Osoba już nie pracująca

27 Zarządzanie bezpieczeństwem informacji Q: Jak bezpieczne są informacje w firmie? a Istnieje 18 różnych repozytoriów informacji b Chronimy je hasłem administratora c Prywatność? Nie przechowujemy przecież numerów kart kredytowych

28 Oracle Identity Manager & Oracle Identity Analytics Oracle Identity Manager Oracle Identity Analytics Tworzenie Retencja Informacja Wykorzystanie

29 Dlaczego w taki sposób? Realizacja mechanizmów kontrolnych wskazanych w Analizie Ryzyka Wsparcie procesu czyszczenia uprawnień (np. dla późniejszego Role Miningu) Fundament do budowania zautomatyzowanego środowiska IAM (provisioning/analityka/kontrola dostępu) 29

30 Oracle Identity Analytics Oracle Identity Analytics Zarządzanie Rolami Monitorowanie Dashboard y Raportowanie Segregacja Uprawnień Certyfikacja Dostępu Oracle Identity Management Integracja Identity Warehouse ETL Other Sources of Identity Data

31 Oracle Identity Manager Architektura Funkcjonalna Administracja Użytkownikami Organizacjami, Rolami Delegowanie uprawnień zarządzania Wnioskowanie i silnik workflow Prowizjonowanie i Uzgadnianie Framework dla Narzędzia konektorów diagnostyczne, wdrożeniowe, i zarządzanie aplikacją Audyt & Raportowanie

32

33 Perspektywa firmy Oracle <Insert Picture Here>

34 Perspektywa firmy Oracle Przeciwdziałanie zagrożeniom Budowanie i rozwój pełnej oferty w zakresie obszarów bezpieczeństwa i szerokorozumianego Zarządzania Tożsamością Rozwój własnej oferty Przejecia firm w celu zapewnienia kompletności i jakości oferty Thor (Identity Management) Sun Microsystems (Identity Management, Role Management) Secerno (DB Firewall) Passlogix (Enterprise SSO) Integracja posiadanego portfolio produktów w celu ułatwienia procesu wdrożenia w kontekście rosnącego znaczenia chmury obliczeniowej - cloud computing

35 Kompletność oferty w obszarze ochrony Informacji Content INFORMATION RIGHTS MANAGEMENT Centralized Document Access Control Revocation (Digital Shredding) Document Activity Monitoring and Audit Applications IDENTITY AND ACCESS MANAGEMENT Identity Administration Directory Services Access Management DATABASE SECURITY Activity Monitoring Access Control and Authorization Encryption and Data Masking Databases

36 Perspektywa firmy Oracle Przeciwdziałanie zagrożeniom Bardzo dobra ocena oferty Oracle w obszarze Zarządzania Tożsamością i GRC przez niezależne firmy analityczne przez szereg ostatnich lat: Gartner Forrester Burton Group

37 Gartner Q3 2010

38 Forrester Q4 2009

39 Pytania