Wyższy poziom bezpieczeństwa 1

Podobne dokumenty
Ochrona biznesu w cyfrowej transformacji

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo cybernetyczne

Jak uchronić Twój biznes przed cyberprzestępczością

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Prelegent : Krzysztof Struk Stanowisko: Analityk

Reforma ochrony danych osobowych RODO/GDPR

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Fujitsu World Tour 2018

Tomasz Chlebowski ComCERT SA

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Kompleksowe Przygotowanie do Egzaminu CISMP

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Bezpieczeństwo IT w środowisku uczelni

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ISO bezpieczeństwo informacji w organizacji

Bezpieczeństwo dziś i jutro Security InsideOut

72% 50% 42% Czy Twoje przedsiębiorstwo spełnia nowe wymagania w zakresie Ochrony Danych Osobowych - GDPR?

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

BAKER TILLY POLAND CONSULTING

SIŁA PROSTOTY. Business Suite

Wyższy poziom bezpieczeństwa

Promotor: dr inż. Krzysztof Różanowski

BEZPIECZEŃSTWO DANYCH W ŚWIETLE RODO JAK PRZYGOTOWAĆ SIĘ NA NIEUNIKNIONE

CYBER GUARD PRZEWODNIK PO PRODUKCIE

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Dropbox a RODO Zgodność Wdrażanie RODO

Ogólne rozporządzenie o ochronie danych (RODO)

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

Wprowadzenie do Kaspersky Value Added Services for xsps

Leszek Sikorski Warszawa

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Maciej Byczkowski ENSI 2017 ENSI 2017

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Szkolenie otwarte 2016 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

FIRMA BEZPIECZNA W SIECI RANSOMWARE JAK ZABEZPIECZYĆ SIĘ PRZED CYBERATAKAMI?

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

ANALITYK BEZPIECZEŃSTWA IT

Complete Patch Management

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

KONFERENCJA CYFRYZACJA BIZNES SAMORZĄD - FUNDUSZE EUROPEJSKIE

SmartReactor szczepionka nie tylko na kryzys

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W KURPIOWSKIM BANKU SPÓŁDZIELCZYM W MYSZYŃCU

SZCZEGÓŁOWY HARMONOGRAM KURSU

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

OCHRONA PRZED RANSOMWARE

GDPR Zmiany w prawie o ochronie danych osobowych

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

BEZPIECZEŃSTWO W DOBIE RODO Czy zarządzanie oprogramowaniem uchroni nas przed wyciekiem danych?

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Informacja dotycząca ochrony prywatności klientów i użytkowników firmy Stokvis Tapes Polska Sp. z o.o. [ostatnia aktualizacja

Transkrypt:

1

Największy cyberatak ransomware zwany WannaCry zainfekował 300 000 urządzeń w ponad 150 krajach. Zaatakowane zostały szpitale, uniwersytety, firmy produkujące, transport i agencje rządowe w takich krajach jak Wielka Brytania, Chiny, Rosja, Niemcy, USA i Hiszpanii. Atakujący blokując zainfekowane komputery żądali okupu wysokości 300$ - 600$ w Bitcoinach. Zapewne w najbliższym czasie możemy spodziewać się coraz częstszych i bardziej wyrafinowanych ataków na podobną skalę. Paradoksalnie nowa ustawa GDPR (General Data Protection Regulation), mająca chronić dane osobowe obywateli UE spowoduje uaktywnienie cyberprzestępców, ponieważ dane te stają się dla nich bardziej wartościowe. Kary za łamanie GDPR są odstraszające i znaczące, jest to do czterech procent globalnego, rocznego obrotu lub 20 mln euro, w zależności co jest większe. W 2016 r. było 4149 incydentów naruszeń danych osobowych obejmujących ponad 4,2 mld rekordów. Biorąc pod uwagę ten fakt, cyberprzestępcy będą atakować słabo zabezpieczone organizacje, by skraść dane osobowe oraz by szantażować firmę lub zgłosić ją do odpowiednich organów zajmujących się przestrzeganiem zapisów GDPR. Pokusa, by zapłacić okup i nie zgłaszać incydentu do UODO (Urząd Ochrony Danych Osobowych) będzie bardzo duża, z drugiej strony firma łamiąc prawo nie ma gwarancji, że cyberprzestępca nie zgłosi niedostatecznego zabezpieczenia danych osobowych odpowiednim służbom. Można także spodziewać się, że cyberprzestępcy w ciągu najbliższych miesięcy będą infiltrować organizacje, by po wejściu w życie przepisów GDPR ujawnić lub zgłosić niedostateczne zabezpieczenie i wypływ danych osobowych. Wystarczy w tym kontekście uświadomić sobie, że wg. Raportu Risk Based Security w 2016 r. było 4149 incy- 2

dentów naruszeń danych osobowych obejmujących ponad 4,2 mld rekordów. Powstaje pytanie: Co można zrobić, by zminimalizować ryzyko skutecznego ataku? Odpowiedzi można udzielić idąc w dwóch uzupełniających się kierunkach: zabezpieczeń technicznych i aktywnego zarządzania polityką ryzyka w firmie. Najlepiej, by obydwa kierunki spotykały się w jednym kompleksowym rozwiązaniu. Rozwiązania techniczne Wdrożenie polityki GRC w najwyższym z możliwych stopniu przygotowuje organizację na obronę przed zagrożeniami. Rozwiązanie RSA Archer pozwala kompleksowo i szybko połączyć incydenty bezpieczeństwa, takie jak ransomware z kontekstem biznesowym. Rozwiązanie to pozwala nam ocenić wpływ incydentu na ciągłość biznesową, bezpieczeństwo bazy danych osobowych czy własności intelektualnej. Wdrożenie polityki GRC (Governance Risk and Compliance) w najwyższym z możliwych stopniu przygotowuje organizację na obronę przed zagrożeniami. GRC opisuje zestaw najlepszych praktyk i narzędzi służących do zarządzania przedsiębiorstwem w trzech wymiarach biznesowych: zarządzanie organizacją (normy i procedury), ryzykiem (w szczególności operacyjnym) i zgodnością (z obowiązującym prawem). Punktem wyjścia jest włączenie do GRC wszystkich elementów architektury bezpieczeństwa, takich jak: sprzęt, 3

sieć, oprogramowanie systemowe, aplikacje, bazy danych, itd. i powiązanie ich z normami i procedurami związanymi z kluczowymi procesami biznesowymi oraz przetwarzaną informacją. Projektując architekturę bezpieczeństwa IT, z uwzględnieniem podejścia GRC, należy mieć na uwadze: PREWENCJA DETEKCJA ASEKURACJA REMEDIACJA 1. Prewencję. Infrastruktura IT powinna w najlepszy możliwy sposób zapobiegać atakom cybernetycznym. Warto zauważyć, że same programy antywirusowe nie spełniają tej roli ponieważ wykrywają one tylko niewielką (ok. 20%) część złośliwego oprogramowania. Zalecanym rozwiązaniem są narzędzia pracujące w oparciu o tzw. whitelisting takie, jak Carbon Black Protection oraz Carbon Black Defense (NGAV+EDR). 2. Asekurację, którą rozumiemy jako ograniczanie podatności na ataki komputerowe, dzięki wdrożeniu odpowiednich procedur oraz rozwiązań informatycznych zarządzających nimi np. RSA Archer 3. Detekcję, czyli jak najszybsze rozpoznanie ataku. Punkt ten jest szczególnie ważny w przypadku ataków celowych skierowanych na wybraną firmę. Zaleca się tu wykorzystywanie narzędzi analizujących nietypowe zachowanie użytkownika lub oprogramowania przykładem może być Carbon Black Response czy RSA Netwitness for Endpoints. 4. Remediację. Minimalizowanie szkód i czasu jaki upływa od ataków cybernetycznych, które mogą faktycznie pojawić się, aż do reakcji służb IT. Zalecanym rozwiązaniem jest oprogramowanie EnCase Endpoint Security. 4

Co możesz zrobić już dzisiaj? Wzrost roli służb bezpieczeństwa IT w organizacjach. Zysk generowany przez dział bezpieczeństwa wynikaj z zapobieżenia kradzieży bazy danych. Regulacja GDPR wprowadza dział bezpieczeństwa IT w firmach na nowy poziom zarządzania biznesu. Osoby odpowiedzialne za bezpieczeństwo organizacji stają się pełnoprawnym partnerem biznesu umożliwiającym bezpieczne jego funkcjonowanie w przyszłości. Co więcej, wchodzące w maju 2018 roku prawo pozwala oszacować zysk generowany przez dział bezpieczeństwa wynikający z zapobieżenia kradzieży bazy danych. Problem bezpieczeństwa i ochrony bazy danych został zauważony przez zarządy i rady nadzorcze wielu firm. Odpowiednie, umiejętne zarządzanie tematem pozwoli zwiększyć świadomość pracowników także na poziomie wykonawczym. Aby tak się stało należy uwzględnić i uświadomić współpracownikom wpływ ryzyka technologicznego wynikającego z zaniedbań lub niedofinansowania działu IT w ujęciu wartościowym. Dzięki temu kierownictwo będzie mogło podejmować świadome decyzje dotyczące kierunków działania biznesu. Wzmocnienie czynnika ludzkiego. Ludzie zazwyczaj są najsłabszym punktem w obronie przed zagrożeniami sieciowymi, takimi jak ransomware. Nie zmieniają swoich haseł, bezmyślnie otwierają odnośnik email zawierający złośliwe oprogramowanie. Wyspecjalizowane firmy takie jak Mediarecovery oferują audyty pomiaru podatności oraz szkolenia podnoszące 5

świadomość użytkownika w kwestii bezpieczeństwa. Pomagają także w wypracowaniu najbardziej bezpiecznych, najlepszych praktyk. Koncentracja na tym, co jest krytyczne. Jednym z najbardziej skutecznych sposobów identyfikacji krytycznych procesów biznesowych firmy są regularnie przeprowadzane analizy wpływu (BIA). Najbardziej krytyczne procesy biznesowe, systemy, urządzenia i zasoby informacyjne powinny otrzymać odpowiednio wysokie priorytety. Utrzymanie ciągłości działania systemów. Organizacje muszą regularnie modernizować i aktualizować oprogramowania w celu zmniejszenia ich podatności na atak. Zaniedbania związane z aktualizacją programów mogą już dzisiaj - nieodwracalnie zaszkodzić reputacji danej organizacji, lub - w przyszłości narazić ją na znaczne straty finansowe. Oszczędzanie na bezpieczeństwie jest chodzeniem po cienkiej linie i zachęcaniem cyberprzestępców do ataku. Regularne tworzenie kopii zapasowych. Dane osobowe są dla firmy informacjami krytycznymi, stanowią przecież pełną bazę naszych pracowników, dostawców i klientów. Nie będąc w stanie odzyskać utraconych danych w wyniku cyberataku działalność organizacji może zostać skutecznie sparaliżowana. Podczas analizy wpływu incydentu na firmę, należy określić jakie krytyczne zasoby informacyjne zostały utracone oraz jak daleko z przeszłości można rozsądnie odtworzyć te dane? GDPR wymusza na organizacjach mechanizmy zapewniające ochronę danych na najwyższym poziomie. 6

Przygotuj plan kryzysowy. Nie wystarczy tylko przygo- tować plan kryzysowy, trzeba go jeszcze przetestować. Zakładanie, że skoro dotąd nie mieliśmy poważnych cyberataków (będąc bardziej precyzyjnym nie wykryliśmy ich) to nie padniemy ich ofiarą w przyszłości jest myśleniem życzeniowym. Co by się stało, gdyby nagle kluczowy w Twojej firmie system komputerowy przestał działać? Jeśli nie działasz w branży lotniczej, energetycznej, bankowej lub medycznej, być może możesz sobie pozwolić na chwilowy przestój, ale jak długo? Krytycznym etapem budowania ciągłości biznesowej, choć nie w optymalnym stanie, jest przygotowanie planu kryzysowego przewidującego nieuniknione zakłócenia procesów biznesowych, systemów lub urządzeń. Plany kryzysowe powinny być udokumentowane dla (co najmniej) wszystkich krytycznych procesów biznesowych oraz wspierających ich systemów. Jednak nie wystarczy tylko przygotować plan kryzysowy, trzeba go jeszcze przetestować. Co jeszcze można zrobić? Przede wszystkim należy budować świadomość pracowników, nie tylko w oczywistych działach (HR, marketing, sprzedaż, zakupy) gdzie są przetwarzane dane osobowe. Wiele także można zrobić samemu już teraz. 1. Przejrzyj ponownie wszelkie EULA, zakresy i warunki korzystania z usług, umowy o pracę i zasady użytkowania komputera w kontekście zabezpieczenia danych osobowych. Uzyskaj opinię prawną. 2. Zidentyfikuj miejsce przechowywania danych po- 7

trzebnych do prowadzenia działalności gospodarczej z klientami i zarządzania pracownikami. 3. Upewnij się, że masz zgodę klienta i pracownika do wszelkich zmian w przetwarzaniu, kontroli, przekazywania i przechowywania ich danych osobowych. Konieczna jest wyraźna zgoda klienta i pracownika. 4. Dokumentuj przetwarzanie, kontrolę, przekazywanie i przechowywanie zabezpieczeń danych osobowych. Posumowanie Najlepszym sposobem, aby zniwelować możliwość ataku i odpowiednio zareagować na niego jest wdrożenie polityki zarządzania ryzykiem biznesowym opartym na GRC. Pracę nad wdrażaniem polityki bezpieczeństwa w firmie najlepiej połączyć z budową systemu do zarządzania informacją i zdarzeniami bezpieczeństwa ( SIEM Security Information and Event Management). By skrócić czas reakcji na wykryte zagrożenie warto rozbudować SIEM do Centrum Bezpieczeństwa Operacyjnego (Security Operations Center). Kontakt z nami: Media Sp. z o.o. ul. Piotrowicka 61, 40-723 Katowice tel: +48 32 782 95 95 e-mail: biuro@mediarecovery.pl 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres