Jak osiągnąć bezpieczeństwo systemów informatycznych w laboratoriach?

Transkrypt

1 Jak osiągnąć bezpieczeństwo systemów informatycznych w laboratoriach? Ostatnie ataki hackerów były skierowane na organizacje rządowe, banki i firmy farmaceutyczne. Co należy zrobić, aby utrzymać swoje systemy na odpowiednim poziomie bezpieczeństwa?

2 Kilka słów o mnie Wiceprezes ds. Organizacyjnych Robert Strzelecki COO/CISO Związany z branżą IT od ponad 15 lat. Doświadczenie zdobył wdrażając ponad 100 projektów IT w dużych firmach, zarówno w Polce, jak i za granicą (Primark, ialbatros, Commerzbank, DIMO Gestion) oraz dla firm tworzących rozwiązanie technologiczne. Koordynował projekty IT zarówno w publicznym, jak i prywatnym sektorze, zarządzał zespołem 250 osób. Osiągnięcia zawodowe: Portale internetowe i strony e-commerce dla NC+, SKOK, XTB, wdrożenie zaawansowanych informatycznie lojalnościowych platform dla Fabryki Mebli Konal należącej do Mazurskich Składów Budowlanych. Rozwój systemu SCM dla DUKA Polska, Grupy GRASS, Ravanson, Liveno i Procurence. Projekty dla banków i innych instytucji finansowych takich jak: system do zarządzania długami dla Grupy Credit Agricole, system do automatyzacji procesów leasingu dla BRE Leasing (obecnie mleasing), Raiffeisen-Leasing Polska i De Lage Landen Leasing Polska. Projekty dla sektora publicznego: projekt Konsolidacji i Centralizacji Systemu Odpraw Celnych i Podatków w Ministerstwie Finansów w Polsce (ZISAR Ministerstwo Finansów), platformy e-usług dla Urzędu Komunikacji Elektronicznej w Polsce, zintegrowany z LIMS system do zarządzania dla Wrocławskiego Centrum Badań EIT +, Pomorski Uniwersytet Medyczny

3 Agenda 1. Bezpieczeństwo co to? 2. Kilka przykładów 3. Jakie mogą być skutki ataku hackerskiego? 4. Zalecenia 5. RODO / GDPR

4 B E Z P I E C Z E Ń S T W O C O T O? Bezpieczeństwo w organizacji Bezpieczeństwo infrastruktury Procesy archiwizacji danych oraz BCP Cyberbezpieczeństwo Bezpieczeństwo danych osobowych Bezpieczeństwo aplikacji

5 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I Bezpieczeństwo infrastruktury Redundancja sprzętu Ochrona fizyczna budynku/powierzchni Procedury bezpieczeństwa Systemy zasilania awaryjnego Monitoring infrastruktury Co powinniśmy zrobić? Jasno określić role i procedury w organizacji Zastanowić się czy na pewno potrzebujemy lokalnej infrastruktury?

6 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I Procesy archiwizacji danych i BCP Procesy archiwizacji danych Procesy przechowywania danych zarchiwizowanych Business Continuity Plan O czym trzeba myśleć? Co zrobić? Kiedy ostatnio testowaliśmy, że jesteśmy w stanie odtworzyć system? Ile czasu możemy czekać na odtworzenie się systemu? Procedury archiwizacji i ODTWORZENIA systemów informatycznych

7 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I Cyberbezpieczeństwo Strategia bezpieczeństwa IT Inspekcja ruchu internetowego Monitoring usług i systemów IT publicznie dostępnych Co ważnego powinniśmy rozważyć? CISO wymóg dzisiejszych czasów Ochrona informatyczna zasobów przez dedykowany zespół Dokumentacja wszystkich systemów teleinformatycznych

8 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I Bezpieczeństwo danych osobowych Zarządzanie użytkownikami (hasła, dostępy) Centralne rejestrowanie zdarzeń w systemach IT O czym trzeba myśleć? Polityka bezpieczeństwa oraz szkolenia w celu jej zrozumienia przez pracowników Procedury zarządzania uprawnieniami użytkowników

9 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I Bezpieczeństwo aplikacji Rekomendacje i dobre praktyki OWASP Rekomendacje CBA, ABW Chemical Facilities Anti-Terrorism Standards (CFATS) Chemical-terrorism Vulnerability Information (CVI) Centers for Disease Control and Prevention (CDC) Animal and Plant Health Inspection Service (APHIS) Co trzeba zrobić? Bezpieczeństwo już na etapie planowania systemów IT Security Vulnerability Assessment (SVA)

10 P R Z Y K Ł A D 1 Laboratorium Analiz Lekarskich

11 P R Z Y K Ł A D 2 Szpital w Kole

12 P R Z Y K Ł A D 3 T-Mobile Polska

13 P R Z Y K Ł A D 4 Accenture

14 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I Jakie mogą być skutki ataku hackerskiego? To nie tylko problem IT Skutki ataku hackerskiego mogą być o dużo większe Prawne (w tym karne) Wizerunkowe (PR, IR) Biznesowe (utrata klientów, )

15 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I Zalecenia ogólne Konta do systemów dla każdej osoby (brak kont współdzielonych, przekazywania haseł, etc.) Oprogramowanie antywirusowe podstawa Szkolenia dla użytkowników w dużej liczbie ataków są one zawinione błędem ludzkim Procedury związane z bezpieczeństwem pisane dla ludzi, nie na półkę Monitoring i weryfikacja procedur co najmniej raz na kwartał

16 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I RODO / GDPR GDPR, zwane także RODO lub Ogólnym Rozporządzeniem o Ochronie Danych to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie to jest kompleksową regulacją, która zrewolucjonizuje zakres obowiązków podmiotów przetwarzających dane osobowe i stworzy nową panoramę dla ochrony danych osobowych.

17 B E Z P I E C Z E Ń S T W O W O R G A N I Z A C J I RODO / GDPR Dlaczego warto zainteresować się treścią Rozporządzenia już teraz? Proces dostosowania działalności do wymogów GDPR jest procesem długotrwałym. Aby dobrze się do niego przygotować przedsiębiorca powinien podjąć następujące kroki: zorganizować szkolenie dla pracowników, na działalność których przepisy Rozporządzenia będą miały wpływ (a więc przede wszystkim pracowników działów compliance, marketingu, sprzedaży oraz HR); przygotować mapę wdrożenia GDPR, a następnie implementować poszczególne rozwiązania o naturze organizacyjnej i technicznej do swojej struktury. Aby zdążyć przed 25 maja 2018 r. przygotowania do wdrożenia GDPR należałoby rozpocząć już teraz.

18 Dziękuję