Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle 9 lutego Security 2011 Summit r. 2011 Warszawa 9 lutego 2011 r. 1
Zawartość prezentacji GRC - Governance, Risk management and Compliance Mity dotyczące GRC Korzyści jakie przynosi GRC Podejście do wdrożenia GRC Przykłady Modele i standardy 2
Governance, Risk management and Compliance GRCto system na który składają się ludzie, procesy i technologie, które pozwalają na Zrozumienie i nadanie odpowiednich priorytetów oczekiwaniom interesariuszy Ustanowienie celów z uwzględnieniem ryzyka Działanie w określonych granicach wewnętrznych, społecznych, etycznych, prawnych i kontraktowych Dostarczać interesariuszomwłaściwych, wiarygodnych, przejrzystych informacji w odpowiednim czasie Pomiar skuteczności, efektywności i zgodności 3
Mity dotyczące GRC GRC nie ma nic wspólnego z bieżącą działalnością i tylko przeszkadza w pracy GRC jest tylko dla dużych firm GRC jest dla firm notowanych na giełdzie GRC to papierologia i biurokracja GRC przeszkadza w robieniu biznesu 4
Korzyści jakie przynosi GRC Ograniczenie ryzyka Ujednolicenie procesów biznesowych Poprawa efektywności Uwolnienie zasobów Usprawnienie zarządzania zmianami 5
Podejście do wdrożenia GRC Zapewnienie zgodności Ochrona aktywów Failure Mode and Effects Analysis (FMEA) The Operationally CriticalThreat, Asset, and Vulnerability Evaluation(OCTAVE), ISO/IEC 27001 ISO/IEC 27005 Zarządzanie incydentami BaselII System zarządzania 6
Zapewnienie zgodności Jakie są cele procesu Jak te cele są powiązane z celami organizacji? Jakie są źródła danych dla procesu? Czy dane są wiarygodne? Jak powstają dane dla procesu? Jak są weryfikowane te dane? Jakie mechanizmy kontrolne są wbudowane w proces? Jakie są ich cele? Czy mechanizmy kontrolne są prawidłowo zaprojektowane żeby cele były osiągnięte? Jakie role w procesie posiadają uprawnienia do wprowadzania i modyfikacji danych? Czy role te są uprawnione do wykonywania tych czynności? Jakie mogą być skutki błędów we wprowadzani danych 7
Ochrona aktywów Identyfikacja aktywów Wycena aktywów Aktywa i ich wartość Identyfikacja podatności Identyfikacja zagrożeń Ryzyko Mechanizmy kontrolne Ryzyko szczątkowe Metody zapobiegania - Mechanizmy prewencyjne - Mechanizmy detekcyjne - Mechanizmy korekcyjne 8
Proces zarządzania Mapa procesu Role występujące w procesie / Aktorzy Obiekty występujące w procesie Systemy wspierające proces Dane występujące w procesie Dokumenty wykorzystywane w procesie (powiązane z innymi procesami) Dokumenty i zapisy powstające w procesie Mechanizmy kontrolne w procesie 9
Zarządzanie ryzykiem w procesie Cel Ryzyko Procesy Ludzie Systemy Mechanizmy kontrolne Kontrolowane warunki zarządzania Strategie postępowania z ryzykiem Akceptacja ryzyka Unikanie ryzyka Kontrolowanie / ograniczanie ryzyka Transfer / dzielenie się ryzykiem 10
Kontrola procesu według COBIT 4.1 PC1 PC2 PC3 PC4 PC5 PC6 Cel procesu Właściciel procesu Powtarzalność procesu Role i odpowiedzialności Polityka, plany i procedury Doskonalenie procesu 11
GRC w zarządzaniu informatyką Model ładu i nadzoru (IT governance) w oparciu o COBIT 4.1 Cele biznesowe wymagania dla informatyki Cele IT Procesy IT informacja działanie kontrola pomiar audyt Kluczowe działania Rezultaty testów kontroli Cele kontroli wykonywane przez wydajność wynik dojrzałość audytowane poprzez wdrażane z użyciem Struktura odpowiedzialności Wskaźniki wydajności Mierniki wyników Modele dojrzałości Ocena kontroli wewnętrznej Praktyki kontroli wewnętrznej 12
Wytyczne zarządzania COBIT 4.1 13
Poziomy dojrzałości procesów Uniwersalny miernik stopnia kontroli procesu Uniwersalna skala ocen (0-5) 0 Nie istniejący 1 Początkujący / Ad hoc 2 Powtarzalny ale intuicyjny 3 Zdefiniowany 4 Zarządzany i mierzalny 5 Optymalny Możliwość wykonywania analiz porównawczych Możliwość śledzenia trendów Łatwe określenie kierunku usprawnień procesów 14
Poziomy dojrzałości 15
36 scenariuszy ryzyk Risk IT Practitioners Guide 1. Wybór programu IT 2. Nowe technologie 3. Wybór technologii 4. Podejmowanie decyzji inwestycyjnych dotyczących IT 5. Odpowiedzialność za IT 6. Integracja IT z procesami biznesowymi 7. Stan technologii infrastrukturalnych 8. Starzenie się systemów aplikacyjnych 9. Łatwość wprowadzania zmian i elastyczność architektury 10. Zgodność 11. Wdrożenie systemów 12. Przerwanie projektu IT 13. Ekonomika projektu 14. Realizacja projektu 15. Jakość projektu 16. Wybór lub poziom usług dostawców zewnętrznych 17. Kradzież elementów infrastruktury 18. Zniszczenie elementów infrastruktury 19. Zespół IT 20. Doświadczenie i umiejętności informatyczne 21. Integralność oprogramowania 22. Infrastruktura (sprzęt) 23. Wydajność oprogramowania 24. Wydajność systemów (moc) 25. Starzenie się oprogramowania infrastrukturalnego 26. Niebezpieczne oprogramowanie 27. Ataki logiczne 28. Nośniki danych 29. Wydajność mediów 30. Akcje protestacyjne 31. Integralność (baz)danych 32. Nadużycie praw dostępu 33. Błędy operacyjne IT 34. Zgodność z kontraktami 35. Ochrona środowiska 36. Siły natury 16
Dostępne modele i standardy Biblioteka COBIT 4.1 i RiskIT ISO 27001/2/5 ISO 15408 ISO 31000 AS/NZS 4360 COSO NIST SAS70 ITIL v3 ISO 20000 17
Q&A Radosław Kaczorek, CISSP, CISA, CIA Tel. +48 223797470 Kom. +48 501433303 E-mail rkaczorek@immusec.com 18