ROLA SECURITY OFFICERA Źródła zagrożeń Odpowiedzialność Zadania security officera Polityki bezpieczeństwa Jak być bezpiecznym Na co uczulać użytkowników Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.
ŹRÓDŁA ZAGROŻEŃ Hackerzy Dla pieniędzy, dla rozgłosu, bo mogą, bo umieją, z głupoty, z nudy. Pracownicy Z zemsty, na złość koledze, na pożegnanie Konkurencja Dla pozyskania tajnych informacji, w celu zniesławienia, w celu przebicia oferty, w celu pozbycia się konkurencji Dostawcy Wyścig wersji, krótkie okresy rozwoju i testowania oprogramowania, niska jakość kodu Błędy obsługi Pośpiech, nadmiar obowiązków, nieuwaga, brak procedur Awarie, zdarzenia losowe Jeżeli coś się może zepsuć to się zepsuje w najmniej oczekiwanym momencie i z najgorszym możliwym skutkiem 3
MOŻLIWOŚĆ WPŁYWU NA ŹRÓDŁA ZAGROŻEŃ Hackerzy, konkurencja źródła zewnętrzne Brak bezpośredniego wpływu na źródło. Konieczność poznawania, analizowania, szacowania ryzyka i minimalizacji zagrożeń. Dostawcy źródła zewnętrzne Możliwość przeniesienia odpowiedzialności lub podniesienia poziomu obsługi i jakości produktów poprzez zapisy w umowach SLA. Pracownicy, obsługa techniczna źródła wewnętrzne. Możliwość ograniczenia uprawnień, opracowania procedur, egzekwowania ich zapisów, edukowania. Awarie, zdarzenia losowe Możliwość przewidywania i zapobiegania przez stosowanie mechanizmów zabezpieczających i eliminowanie pojedynczych punktów awarii 4
OK. ALE KTO? Pracownik szeregowy? Nie widzi potrzeby, nie chce być ograniczany, to nie jego problem. Jak coś nie działa może iść na papierosa. Administratorzy systemów? Uważają, że ich systemy są bezpieczne, nie mają czasu i środków by myśleć za głupich userów.. Kierownictwo? Nie zna się na bezpieczeństwie i nie zna zagrożeń. Ich zmartwienia to procesy biznesowe i wykonanie planu. Nie będą sobie zaprzątać głowy zmianą haseł. Zarząd? Ma środki i możliwości wpływu na zmianę dotychczasowych praktyk. Nie zna się na bezpieczeństwie i zagrożeniach. 5
POTRZEBNE WSPARCIE Pracownik szeregowy W zakresie szkolenia, uświadamiania i ciągłej ochrony przed zagrożeniami. Administratorzy systemów? W zakresie doradztwa, wiedzy eksperckiej, świeżego spojrzenia z innej perspektywy Kierownictwo? W zakresie utrzymania ciągłości procesów biznesowych, minimalizacji przestojów i ich negatywnych skutków Zarząd? W zakresie budowy polityki bezpieczeństwa, doboru środków, definiowania regulaminów, procedur, minimalizacji strat związanych z zagrożeniami, spełnienia wymogów prawnych dotyczących bezpieczeństwa. 6
PTAK? SAMOLOT?. SECURITY OFICER CISO Chief Information Security Officer Główny funkcjonariusz bezpieczeństwa informacji Niezależne stanowisko podlegające zarządowi lub kierownictwu wyższego szczebla Niezależność, brak możliwości wywierania wpływu przez osoby, dla których stosowanie procedur może być niewygodne Brak innych obowiązków mogących wpłynąć na podejmowane decyzje Łączenie funkcji z zadaniami np. administratora IT pozbawia firmę kontroli nad zabezpieczeniami systemów przez niego zarządzanych. 7
OBSZARY DZIAŁANIA SECURIY OFFICERA Bezpieczeństwo fizyczne Kontrola dostępu, zabezpieczenia, alarmy, zamki, klucze, dostęp do budynków, ochrona sprzętu Bezpieczeństwo pracowników Pracownicy, kontraktorzy, partnerzy, firmy zewnętrzne, goście Bezpieczeństwo danych Kontrola dostępu, uprawnienia, ochrona danych osobowych i krytycznych danych poufnych Bezpieczeństwo infrastruktury IT Sieci, serwery, urządzenia końcowe, zdalny dostęp, strony internetowe, łącza, monitoring, reagowanie Disaster Recovery & Business Continuity Plany backupów, plany odtwarzania, dokumentacja, reagowanie na zdarzenia nagłe, analiza i szacowanie ryzyk 8
ZADANIA SECURITY OFFICERA Inwentaryzacja zasobów Infrastruktura IT serwery, storage, sieci, UPS-y, klimatyzatory, urządzenia końcowe, urządzenia mobilne, oprogramowanie systemowe i użytkowe Zarządzanie incydentami bezpieczeństwa Gromadzenie informacji o incydentach, analiza, reagowanie. Nowe wirusy, nowe wektory ataków, zgłaszane dziury w oprogramowaniu, ataki ukierunkowane Dobór i utrzymanie środków technicznych współpraca z działem IT, firewalle, antywirusy, bramki filtrujące pocztę i ruch www, polisy active directory, praca zdalna, VPN Tworzenie procedur i regulaminów Instrukcje administracyjne związane z kontrolą uprawnień, kontrolą dostępu, planem backupów, tworzeniem i usuwaniem kont użytkowników. Regulaminy pracy z systemem IT na poszczególnych stanowiskach. Zarządzanie aktualizacjami Przygotowywanie i nadzorowanie planu aktualizacji, opracowanie zasad instalacji krytycznych poprawek bezpieczeństwa, reagowanie na zagrożenia nagłe Wdrażanie polityki bezpieczeństwa Budowa polityki bezpieczeństwa dopasowanej do organizacji. Wdrażanie i kontrola przestrzega jej zapisów. Szkolenie użytkowników. Audytowanie. 9
SECURITY OFFICER MOŻE OUTSOURCING? Problem z zatrudnieniem Brak specjalistów na rynku. Wysokie koszty zatrudnienia. Niepełny wymiar czasu pracy. Problem z utrzymaniem Ryzyko znalezienia lepszej pracy. Tracimy eksperta z dużą wiedzą o naszej firmie, którego trudno będzie zastąpić Problem z dostarczeniem narzędzi Drogie we wdrożeniu i utrzymaniu systemy wymagane do realizacji zadań związanych z bezpieczeństwem Zalety outsourcingu Niepełny wymiar pracy niższe koszty. Większe zaplecze kadrowe. Własne narzędzia. Świeże spojrzenie, większa perspektywa. Budowa polityk, wdrożenie i audyt w kosztach. 10
POLITYKA BEZPIECZEŃSTWA - KORZYŚCI Z POSIADANIA Procedury dostosowane do danej organizacji Stosowanie zasad uniwersalnych, działanie na czuja, gaszenie pożarów to nie jest dobre podejście Działania proaktywne przewidywanie zagrożeń W chwili wystąpienia incydentu bezpieczeństwa nie ma czasu na opracowywanie planów. Działamy pod wpływem stresu i czasu. Musimy być przygotowani Odpowiedzialność i świadomość pracowników Nikt nie powie bo ja nie wiedziałem, ja się na tym nie znam. Spełnienie wymogów prawnych Ochrona danych osobowych, ustawa o KRI, rekomendacja D Utrzymanie procesu zarządzania bezpieczeństwem Konieczność stałego monitorowania, reagowania, dostosowywania. (Cykl Deminga Plan, Do, Check, Act) 11
JAK BYĆ BEZPIECZNYM? Security Officer, polityka bezpieczeństwa co jeśli nie mamy? Konieczność oceny faktycznego stanu bezpieczeństwa przez niezależnego audytora. Monitorowanie IDS/IPS, sondy sieciowe, monitoring sieci, monitoring środowiskowy, monitoring bezpieczeństwa stacji AV, HIDS, bramki skanujące ruch smtp i http/https Zarządzanie logami Centralne gromadzenie, archiwizacja i indeksacja, kompresja. Korelacja zdarzeń z logów i ich ocena pod kątem zagrożeń systemy typu SIEM 12
JAK BYĆ BEZPIECZNYM? Zarządzanie aktualizacjami Konieczność natychmiastowej reakcji i instalacji krytycznych poprawek bezpieczeństwa. Inwentaryzacja i dokumentacja Konieczność utrzymywania aktualnej wiedzy o stanie środowiska IT. Szkolenie użytkowników Konieczność ciągłego przypominania i podnoszenia świadomości o istniejących zagrożeniach. Informowanie o konsekwencjach. Dostarczania narzędzi i procedur. 13
NA CO UCZULIĆ UŻYTKOWNIKÓW? Ograniczone zaufanie Nie uruchamiamy, nie klikamy, nie wpisujemy żadnych komend, które nie zostały nam udostępnione przez dział IT. Nie ważne od kogo jest załącznik i jak się on nazywa. Czym mniej podejrzeń budzi, tym większe jest ryzyko. Weryfikacja tożsamości. Hasła Sztywna polityka, wymuszona okresowa zmiana i odpowiednia siła hasła. Nie ma wyjątków. Poufność Nie udzielamy informacji, co do której nie jesteśmy w 100% pewni, że jest przeznaczona dla danego odbiorcy. Zgłaszanie incydentów Jeżeli dzieje się coś podejrzanego nie ignorujemy. Dział IT musi o tym wiedzieć. Przypominamy o politykach Okresowo wysyłamy informację o obowiązujących procedurach i regulaminach. 14
KWESTIE BEZPIECZEŃSTWA - NIEZMIENNE OD LAT Co się zmienia? Technologie, standardy, wydajność. Czy zasady bezpieczeństwa z lat 70 dalej są aktualne? Podstawowe zasady zarządzania bezpieczeństwem są niezmienne. 15
Dziękuję za uwagę http://www.upgreat.pl/blog http://www.facebok.com/upgreat.poznan Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.
Dziękuję za uwagę Jakub Staśkiewicz tel.: 667 768 452 mail: jakub.staskiewicz@upgreat.pl UpGreat Systemy Komputerowe Sp. z o.o. 60-122 Poznań, ul. Ostrobramska 22 http://www.upgreat.com.pl