Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle

Podobne dokumenty
<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

Zarządzanie relacjami z dostawcami

Kontrola dostępu do informacji w administracji publicznej

epolska XX lat później Daniel Grabski Paweł Walczak

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Enterprise Mobility urządzenia mobilne w infrastrukturze przedsiębiorstwa# Grażyna Dadej, Andrzej Urbanowicz"

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie tożsamością i uprawnieniami

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

17-18 listopada, Warszawa

Warstwa ozonowa bezpieczeństwo ponad chmurami

Rok po RODO. Cyberbezpieczeństwo w sferze ochrony danych

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Serwery LDAP w środowisku produktów w Oracle

Bezpieczeństwo chmury obliczeniowej dr inż. Piotr Boryło

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Bezpieczeństwo danych w sieciach elektroenergetycznych

Webroot SecureAnywhere ROZWIĄZANIA DLA UŻYTKOWNIKÓW DOMOWYCH

Bezpieczeństwo dziś i jutro Security InsideOut

9:45 Powitanie. 12:30 13:00 Lunch

Ochrona biznesu w cyfrowej transformacji

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Kompleksowe Przygotowanie do Egzaminu CISMP

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Sieci bezprzewodowe WiFi

Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor) KONSPEKT SZKOLENIA część 1.

Kalendarium szkoleo Kwiecieo - Czerwiec 2010

CSA STAR czy można ufać dostawcy

Wartośćrozwiązań Identity&Access Governance dla sektora bankowego

Archiwum Cyfrowe jako usługa w modelu Cloud Computing

Adam Dolega Architekt Rozwiązań Biznesowych Microsoft

Aktywny monitoring bezpieczeństwa baz danych Zbigniew Szmigiero, IBM IBM Corporation

Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO.

! Retina. Wyłączny dystrybutor w Polsce

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

CompFort Meridian Nowe kierunki, nowe wyzwania. Dariusz Bocheńczak, CompFort Meridian

NetIQ Change Guardian: monitorowanie bezpieczeństwa IT. Dariusz Leonarski Starszy konsultant

Usługi i rozwiązania IT dla biznesu

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Promotor: dr inż. Krzysztof Różanowski

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Joanna Baranowska. Chmura obliczeniowa w samorządach korzyści i wyzwania

Symantec Enterprise Security. Andrzej Kontkiewicz

Marcin Soczko. Agenda

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Jak uzyskać zgodność z RODO. Kodeks dobrych praktyk

Co to jest Business Intelligence?

Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

SZCZEGÓŁOWY HARMONOGRAM KURSU

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Reforma ochrony danych osobowych RODO/GDPR

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Zabezpieczanie systemu Windows Server 2016

Identity and Access Governance na przykładzie rozwiązań SailPoint. Maciej Bukowski, CompFort Meridian

BEZPIECZEŃSTWO W DOBIE RODO Czy zarządzanie oprogramowaniem uchroni nas przed wyciekiem danych?

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Jak efektywnie i bezpiecznie zarządzać toŝsamością uŝytkowników przy jednoczesnym ułatwieniu korzystania z systemów i aplikacji IBM Corporation

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Quest Software, now a part of Dell

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Przewodnik technologii ActivCard

Zarządzanie bezpieczeństwem informacji w urzędach pracy

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

RODO co oznacza dla zespołów IT?

Quest Software, now a part of Dell

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

Metody ochrony przed zaawansowanymi cyberatakami

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

Jesteśmy gotowi oferta firm szkoleniowo-doradczych z zakresu RODO

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Agenda. Quo vadis, security? Artur Maj, Prevenity

System statlook nowoczesne zarządzanie IT w praktyce SPRZĘT * OPROGRAMOWANIE * INTERNET * UŻYTKOWNICY

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

Tomasz Zawicki CISSP Passus SA

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Szkolenie otwarte 2016 r.

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Digital WorkPlace według Aruba Networks. Robert Miros Network Solution Architect

Ryzyko systemów informatycznych Fakty

Jarosław Żeliński analityk biznesowy, projektant systemów

Transkrypt:

<Insert Picture Here> Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle Krzysztof Grabczak Identity Management & Enterprise Security

Agenda Ewolucja zagrożeń w świecie wirtualnym Co na to wszystko technologia? mechanizmy kontrolne Bezpieczeństwo projekt kompletny podejście firmy Oracle Pytania i odpowiedzi

Ewolucja zagrożeń w świecie wirtualnym <Insert Picture Here>

Ile urządzeń ma obecnie dostęp do sieci Internetowej? http://dilbert.com/strips/comic/2009-08-30/

Rozwój technologii IT Dostęp do sieci Internetowej 2000 1500 1000 500 Liczba komuterów podłączonych do Internetu w mln sztuk 0 1992 1995 2000 2003 2009 Źródło: Policja.pl

Rozwój technologii IT Przyrost danych w systemach IT Rosnąca ilość danych w systemach IT złożoność w procesie ochrony informacji, kontroli dostępu do informacji oraz podejmowania decyzji biznesowych w obszarze IT Podwojenie ilości danych rocznie 2006 2011 Source: IDC, 2008 1,800 Exabytes

Kradzież tożsamości wartość strat finansowych? http://dilbert.com/strips/comic/2010-11-24/

Zagrożenia 2010 Kradzież tożsamości Wartość strat finansowych w USA 37 mld USD Liczba skradzionych tożsamości 8,1 mln Wzrost średniej wielkość straty do1267 USD https://www.javelinstrategy.com/news/1170/92/1 Badanie przeprowadzone przez Javelin Strategy & Research (2011), współfinansowane przez Fiserv, Intersections Inc., Wells Fargo

Zagrożenia 2010 Ochrona dostępu do informacji Wzrost złożoności szkodliwego oprogramowania Liczba incydentów przekroczyła 1,5 miliarda Pozyskanie informacji poufnych, danych osobowych, certyfikatów cyfrowych stanowi jeden z głównych celów ataków Źródło: http://www.viruslist.pl/analysis.html?newsid=653

Ostatnie Incydenty Utrata informacji Kradzież tożsamości z facebooka Kradzież danych pacjentów szpitala NYC 1.7 mln osób Pozyskanie danych osobowych z Sony PlayStation Network Ujawnienie 700 tys. loginów i haseł portalu Filmweb.pl Utrata danych osobowych z serwera Neckermann (1,2 mln osób) Utrata informacji o rachunkach 360 tys. posiadaczy kart kredytowych Citibanku

Incydenty 2010 Wstrzymanie procesów przemysłowych Nowoczesna generacja zagrożeń zewnętrznych dla infrastruktury IT oraz sterowników urządzeń przemysłowych 11

<Insert Picture Here> Co na to wszystko technologia? Mechanizmy kontrolne

Cykl życia Informacji

Zarządzanie Informacją Informacja jest aktywem, które, podobnie jak inne ważne aktywa biznesowe, ma dla instytucji wartość i dlatego należy ją odpowiednio chronić Poufność (Confidentiality) Integralność (Integrity) Dostępność (Availability)

Zarządzanie tożsamością w przedsiębiorstwie 15

Zarządzanie Informacją w przedsiębiorstwie Ochrona informacji i kontrola dostępu

Zarządzanie ryzykiem analiza i ocena Risk Management Risk Analysis (RA) identyfikuje aktywa, identyfikuje zagrożenia, określa prawdopodobieństwa wystąpienia zagrożeń określa ryzyko związane ze zmaterializowaniem się zagrożeń RA pomaga zarządzającym skonstruować budżet i stworzyć odpowiednie polityki określające kierunki działań w aspektach bezpieczeństwa 17

GRC, polityka bezpieczeństwa czy koszty? Cele do osiągnięcia: ISO 27001 (np. osobny proces certyfikacji uprawnień i audytu) Zmniejszenie kosztów - bezpieczeństwo funkcjonalne (kontrola uprawnień wraz z automatyzacją, efektywność zarządzania poprzez role), architektura usługowa IT, rozliczanie kosztów usług Zarządzanie ryzykiem Bezpieczeństwo stanowiska... 18

Bezpieczeństwo projekt kompletny podejście firmy Oracle <Insert Picture Here>

Bezpieczeństwo informacji wg. Oracle Bezpieczeństwo Informacji Szyfrowanie i maskowanie Kontrola uprzywilejowanych użytkowników Wieloelementowe uwierzytelnianie Audyt i monitorowanie Zarządzanie tożsamością Informacja Infrastruktura Bazy danych Aplikacje Dokumenty Prowizjonowanie kont Zarządzanie rolami Zarządzanie uprawnieniami Kontrola dostępu oparta o ryzyko Wirtualizacja katalogów Zabezpieczenie danych poza systemami Audyt i kontrola dostępu do dokumentów Nadawanie i odbieraniu uprawnień Bezpieczeństwo za i przed firewall Zcentralizowana administracja politykami

Repozytorium Informacji <Insert Picture Here>

Bezpieczeństwo Bazy Danych Nowy! Konsolidacja Audytu Procurement Sensitive Auditing Authorization Confidential HR Nieautoryzowana aktywność DBA Wieloelementowe uwierzytelnianie Aplikacje Authentication Rebates Public Konsolidacja zarządzania bezpieczeństwem DB Monitorowanie i Blokowanie sieciowego ruchu SQL Szyfrowanie danych Szyfrowany Backup Szyfrowany transfer Maskowanie danych 22

Zarządzanie cyklem życia tożsamości i Informacji <Insert Picture Here>

Zarządzanie dostępem P: W jaki sposób kontrolujesz dostęp do wrażliwych danych w aplikacjach? a Login i hasło b Uwierzytelnienie i autoryzacja uwzględniajaca kontekst c Token

Zarządzanie przydzielaniem zasobów P: Co determinuje dostęp pracowników do zasobów? a Daj Basi to co ma Henio b Decyduje o tym rola biznesowa c O cokolwiek poprosi manager

Zarządzanie bezpieczeństwem informacji P: Kto jest najbardziej uprzywilejowanym użytkownikiem w firmie? a CFO b Administrator bezpieczeństwa c Osoba już nie pracująca

Zarządzanie bezpieczeństwem informacji Q: Jak bezpieczne są informacje w firmie? a Istnieje 18 różnych repozytoriów informacji b Chronimy je hasłem administratora c Prywatność? Nie przechowujemy przecież numerów kart kredytowych

Oracle Identity Manager & Oracle Identity Analytics Oracle Identity Manager Oracle Identity Analytics Tworzenie Retencja Informacja Wykorzystanie

Dlaczego w taki sposób? Realizacja mechanizmów kontrolnych wskazanych w Analizie Ryzyka Wsparcie procesu czyszczenia uprawnień (np. dla późniejszego Role Miningu) Fundament do budowania zautomatyzowanego środowiska IAM (provisioning/analityka/kontrola dostępu) 29

Oracle Identity Analytics Oracle Identity Analytics Zarządzanie Rolami Monitorowanie Dashboard y Raportowanie Segregacja Uprawnień Certyfikacja Dostępu Oracle Identity Management Integracja Identity Warehouse ETL Other Sources of Identity Data

Oracle Identity Manager Architektura Funkcjonalna Administracja Użytkownikami Organizacjami, Rolami Delegowanie uprawnień zarządzania Wnioskowanie i silnik workflow Prowizjonowanie i Uzgadnianie Framework dla Narzędzia konektorów diagnostyczne, wdrożeniowe, i zarządzanie aplikacją Audyt & Raportowanie

Perspektywa firmy Oracle <Insert Picture Here>

Perspektywa firmy Oracle Przeciwdziałanie zagrożeniom Budowanie i rozwój pełnej oferty w zakresie obszarów bezpieczeństwa i szerokorozumianego Zarządzania Tożsamością Rozwój własnej oferty Przejecia firm w celu zapewnienia kompletności i jakości oferty Thor (Identity Management) Sun Microsystems (Identity Management, Role Management) Secerno (DB Firewall) Passlogix (Enterprise SSO) Integracja posiadanego portfolio produktów w celu ułatwienia procesu wdrożenia w kontekście rosnącego znaczenia chmury obliczeniowej - cloud computing

Kompletność oferty w obszarze ochrony Informacji Content INFORMATION RIGHTS MANAGEMENT Centralized Document Access Control Revocation (Digital Shredding) Document Activity Monitoring and Audit Applications IDENTITY AND ACCESS MANAGEMENT Identity Administration Directory Services Access Management DATABASE SECURITY Activity Monitoring Access Control and Authorization Encryption and Data Masking Databases

Perspektywa firmy Oracle Przeciwdziałanie zagrożeniom Bardzo dobra ocena oferty Oracle w obszarze Zarządzania Tożsamością i GRC przez niezależne firmy analityczne przez szereg ostatnich lat: Gartner Forrester Burton Group

Gartner Q3 2010

Forrester Q4 2009

Pytania

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres