ROLA SECURITY OFFICERA

Podobne dokumenty
ZAGROŻENIA BEZPIECZEŃSTWA DANYCH

RODO zmiana podejścia do ochrony danych osobowych

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Zdrowe podejście do informacji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Bezpieczeństwo danych w sieciach elektroenergetycznych

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Marcin Soczko. Agenda

ISO w Banku Spółdzielczym - od decyzji do realizacji

POLITYKA E-BEZPIECZEŃSTWA

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

OGRANICZENIE RYZYKA POPRAWA BEZPIECZEŃSTWA ODPORNOŚĆ NA ZAGROŻENIA SEKA S.A. ZARZĄDZANIE BEZPIECZEŃSTWEM. seka.pl

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

SOC/NOC Efektywne zarządzanie organizacją

XXIII Forum Teleinformatyki

Zarządzanie Ciągłością Działania

Kompleksowe Przygotowanie do Egzaminu CISMP

Robert Meller, Nowoczesny audyt wewnętrzny

SZCZEGÓŁOWY HARMONOGRAM KURSU

Certified IT Manager Training (CITM ) Dni: 3. Opis:

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

OFERTA ABONAMENTOWA OBSŁUGI INFORMATYCZNEJ

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Bezpieczeństwo IT w środowisku uczelni

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Oferta Obsługi Informatycznej

Utrzymanie epuap. Raportt Q1 2014

Systemy bezpieczeństwa i ochrony zaprojektowane dla obiektów logistycznych.

Usługa Outsourcing u IT

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Outsourcing usług informatycznych dla firm

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Bezpieczeństwo informatyczne w szkole.

Ochrona biznesu w cyfrowej transformacji

Krzysztof Świtała WPiA UKSW

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Deklaracja stosowania

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

4 WEBINARIA tematyczne, gdzie każde przedstawia co innego związanego z naszym oprogramowaniem.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Prelegent : Krzysztof Struk Stanowisko: Analityk

Polityka Bezpieczeństwa ochrony danych osobowych

RODO zmiana podejścia do ochrony danych osobowych

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

SecureVisio. Funkcje i zastosowania

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES

Szkolenie otwarte 2016 r.

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Launch. przygotowanie i wprowadzanie nowych produktów na rynek

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Tomasz Zawicki CISSP Passus SA

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Symantec Enterprise Security. Andrzej Kontkiewicz

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

INFORMACJA O REALIZACJI ZADAŃ Z ZAKRESU AUDYTU WEWNĘTRZNEGO W ROKU 2016

Na podstawie 6 ust. 1 oraz 10 ust. 1 Regulaminu Organizacyjnego ACK Cyfronet AGH z dnia 28 kwietnia 2005 roku zarządzam co następuje:

Narzędzia mobilne w służbie IT

Deklaracja stosowania

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

SIŁA PROSTOTY. Business Suite

Zarządzanie relacjami z dostawcami

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Jarosław Żeliński analityk biznesowy, projektant systemów

Jak uchronić Twój biznes przed cyberprzestępczością

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Zarządzanie ryzykiem operacyjnym

TESTER OPROGRAMOWANIA STUDIA PODYPLOMOWE

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Transkrypt:

ROLA SECURITY OFFICERA Źródła zagrożeń Odpowiedzialność Zadania security officera Polityki bezpieczeństwa Jak być bezpiecznym Na co uczulać użytkowników Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.

ŹRÓDŁA ZAGROŻEŃ Hackerzy Dla pieniędzy, dla rozgłosu, bo mogą, bo umieją, z głupoty, z nudy. Pracownicy Z zemsty, na złość koledze, na pożegnanie Konkurencja Dla pozyskania tajnych informacji, w celu zniesławienia, w celu przebicia oferty, w celu pozbycia się konkurencji Dostawcy Wyścig wersji, krótkie okresy rozwoju i testowania oprogramowania, niska jakość kodu Błędy obsługi Pośpiech, nadmiar obowiązków, nieuwaga, brak procedur Awarie, zdarzenia losowe Jeżeli coś się może zepsuć to się zepsuje w najmniej oczekiwanym momencie i z najgorszym możliwym skutkiem 3

MOŻLIWOŚĆ WPŁYWU NA ŹRÓDŁA ZAGROŻEŃ Hackerzy, konkurencja źródła zewnętrzne Brak bezpośredniego wpływu na źródło. Konieczność poznawania, analizowania, szacowania ryzyka i minimalizacji zagrożeń. Dostawcy źródła zewnętrzne Możliwość przeniesienia odpowiedzialności lub podniesienia poziomu obsługi i jakości produktów poprzez zapisy w umowach SLA. Pracownicy, obsługa techniczna źródła wewnętrzne. Możliwość ograniczenia uprawnień, opracowania procedur, egzekwowania ich zapisów, edukowania. Awarie, zdarzenia losowe Możliwość przewidywania i zapobiegania przez stosowanie mechanizmów zabezpieczających i eliminowanie pojedynczych punktów awarii 4

OK. ALE KTO? Pracownik szeregowy? Nie widzi potrzeby, nie chce być ograniczany, to nie jego problem. Jak coś nie działa może iść na papierosa. Administratorzy systemów? Uważają, że ich systemy są bezpieczne, nie mają czasu i środków by myśleć za głupich userów.. Kierownictwo? Nie zna się na bezpieczeństwie i nie zna zagrożeń. Ich zmartwienia to procesy biznesowe i wykonanie planu. Nie będą sobie zaprzątać głowy zmianą haseł. Zarząd? Ma środki i możliwości wpływu na zmianę dotychczasowych praktyk. Nie zna się na bezpieczeństwie i zagrożeniach. 5

POTRZEBNE WSPARCIE Pracownik szeregowy W zakresie szkolenia, uświadamiania i ciągłej ochrony przed zagrożeniami. Administratorzy systemów? W zakresie doradztwa, wiedzy eksperckiej, świeżego spojrzenia z innej perspektywy Kierownictwo? W zakresie utrzymania ciągłości procesów biznesowych, minimalizacji przestojów i ich negatywnych skutków Zarząd? W zakresie budowy polityki bezpieczeństwa, doboru środków, definiowania regulaminów, procedur, minimalizacji strat związanych z zagrożeniami, spełnienia wymogów prawnych dotyczących bezpieczeństwa. 6

PTAK? SAMOLOT?. SECURITY OFICER CISO Chief Information Security Officer Główny funkcjonariusz bezpieczeństwa informacji Niezależne stanowisko podlegające zarządowi lub kierownictwu wyższego szczebla Niezależność, brak możliwości wywierania wpływu przez osoby, dla których stosowanie procedur może być niewygodne Brak innych obowiązków mogących wpłynąć na podejmowane decyzje Łączenie funkcji z zadaniami np. administratora IT pozbawia firmę kontroli nad zabezpieczeniami systemów przez niego zarządzanych. 7

OBSZARY DZIAŁANIA SECURIY OFFICERA Bezpieczeństwo fizyczne Kontrola dostępu, zabezpieczenia, alarmy, zamki, klucze, dostęp do budynków, ochrona sprzętu Bezpieczeństwo pracowników Pracownicy, kontraktorzy, partnerzy, firmy zewnętrzne, goście Bezpieczeństwo danych Kontrola dostępu, uprawnienia, ochrona danych osobowych i krytycznych danych poufnych Bezpieczeństwo infrastruktury IT Sieci, serwery, urządzenia końcowe, zdalny dostęp, strony internetowe, łącza, monitoring, reagowanie Disaster Recovery & Business Continuity Plany backupów, plany odtwarzania, dokumentacja, reagowanie na zdarzenia nagłe, analiza i szacowanie ryzyk 8

ZADANIA SECURITY OFFICERA Inwentaryzacja zasobów Infrastruktura IT serwery, storage, sieci, UPS-y, klimatyzatory, urządzenia końcowe, urządzenia mobilne, oprogramowanie systemowe i użytkowe Zarządzanie incydentami bezpieczeństwa Gromadzenie informacji o incydentach, analiza, reagowanie. Nowe wirusy, nowe wektory ataków, zgłaszane dziury w oprogramowaniu, ataki ukierunkowane Dobór i utrzymanie środków technicznych współpraca z działem IT, firewalle, antywirusy, bramki filtrujące pocztę i ruch www, polisy active directory, praca zdalna, VPN Tworzenie procedur i regulaminów Instrukcje administracyjne związane z kontrolą uprawnień, kontrolą dostępu, planem backupów, tworzeniem i usuwaniem kont użytkowników. Regulaminy pracy z systemem IT na poszczególnych stanowiskach. Zarządzanie aktualizacjami Przygotowywanie i nadzorowanie planu aktualizacji, opracowanie zasad instalacji krytycznych poprawek bezpieczeństwa, reagowanie na zagrożenia nagłe Wdrażanie polityki bezpieczeństwa Budowa polityki bezpieczeństwa dopasowanej do organizacji. Wdrażanie i kontrola przestrzega jej zapisów. Szkolenie użytkowników. Audytowanie. 9

SECURITY OFFICER MOŻE OUTSOURCING? Problem z zatrudnieniem Brak specjalistów na rynku. Wysokie koszty zatrudnienia. Niepełny wymiar czasu pracy. Problem z utrzymaniem Ryzyko znalezienia lepszej pracy. Tracimy eksperta z dużą wiedzą o naszej firmie, którego trudno będzie zastąpić Problem z dostarczeniem narzędzi Drogie we wdrożeniu i utrzymaniu systemy wymagane do realizacji zadań związanych z bezpieczeństwem Zalety outsourcingu Niepełny wymiar pracy niższe koszty. Większe zaplecze kadrowe. Własne narzędzia. Świeże spojrzenie, większa perspektywa. Budowa polityk, wdrożenie i audyt w kosztach. 10

POLITYKA BEZPIECZEŃSTWA - KORZYŚCI Z POSIADANIA Procedury dostosowane do danej organizacji Stosowanie zasad uniwersalnych, działanie na czuja, gaszenie pożarów to nie jest dobre podejście Działania proaktywne przewidywanie zagrożeń W chwili wystąpienia incydentu bezpieczeństwa nie ma czasu na opracowywanie planów. Działamy pod wpływem stresu i czasu. Musimy być przygotowani Odpowiedzialność i świadomość pracowników Nikt nie powie bo ja nie wiedziałem, ja się na tym nie znam. Spełnienie wymogów prawnych Ochrona danych osobowych, ustawa o KRI, rekomendacja D Utrzymanie procesu zarządzania bezpieczeństwem Konieczność stałego monitorowania, reagowania, dostosowywania. (Cykl Deminga Plan, Do, Check, Act) 11

JAK BYĆ BEZPIECZNYM? Security Officer, polityka bezpieczeństwa co jeśli nie mamy? Konieczność oceny faktycznego stanu bezpieczeństwa przez niezależnego audytora. Monitorowanie IDS/IPS, sondy sieciowe, monitoring sieci, monitoring środowiskowy, monitoring bezpieczeństwa stacji AV, HIDS, bramki skanujące ruch smtp i http/https Zarządzanie logami Centralne gromadzenie, archiwizacja i indeksacja, kompresja. Korelacja zdarzeń z logów i ich ocena pod kątem zagrożeń systemy typu SIEM 12

JAK BYĆ BEZPIECZNYM? Zarządzanie aktualizacjami Konieczność natychmiastowej reakcji i instalacji krytycznych poprawek bezpieczeństwa. Inwentaryzacja i dokumentacja Konieczność utrzymywania aktualnej wiedzy o stanie środowiska IT. Szkolenie użytkowników Konieczność ciągłego przypominania i podnoszenia świadomości o istniejących zagrożeniach. Informowanie o konsekwencjach. Dostarczania narzędzi i procedur. 13

NA CO UCZULIĆ UŻYTKOWNIKÓW? Ograniczone zaufanie Nie uruchamiamy, nie klikamy, nie wpisujemy żadnych komend, które nie zostały nam udostępnione przez dział IT. Nie ważne od kogo jest załącznik i jak się on nazywa. Czym mniej podejrzeń budzi, tym większe jest ryzyko. Weryfikacja tożsamości. Hasła Sztywna polityka, wymuszona okresowa zmiana i odpowiednia siła hasła. Nie ma wyjątków. Poufność Nie udzielamy informacji, co do której nie jesteśmy w 100% pewni, że jest przeznaczona dla danego odbiorcy. Zgłaszanie incydentów Jeżeli dzieje się coś podejrzanego nie ignorujemy. Dział IT musi o tym wiedzieć. Przypominamy o politykach Okresowo wysyłamy informację o obowiązujących procedurach i regulaminach. 14

KWESTIE BEZPIECZEŃSTWA - NIEZMIENNE OD LAT Co się zmienia? Technologie, standardy, wydajność. Czy zasady bezpieczeństwa z lat 70 dalej są aktualne? Podstawowe zasady zarządzania bezpieczeństwem są niezmienne. 15

Dziękuję za uwagę http://www.upgreat.pl/blog http://www.facebok.com/upgreat.poznan Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.

Dziękuję za uwagę Jakub Staśkiewicz tel.: 667 768 452 mail: jakub.staskiewicz@upgreat.pl UpGreat Systemy Komputerowe Sp. z o.o. 60-122 Poznań, ul. Ostrobramska 22 http://www.upgreat.com.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres