Bezpieczeństwo IT w środowisku uczelni

Podobne dokumenty
Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Nośniki a bezpieczeństwo danych:

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA E-BEZPIECZEŃSTWA

Bezpieczna infrastruktura zależna od świadomych zagrożeń pracowników.

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Ochrona biznesu w cyfrowej transformacji

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Podstawy bezpieczeństwa

Agenda. Quo vadis, security? Artur Maj, Prevenity

Kompleksowe Przygotowanie do Egzaminu CISMP

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Informatyka w kontroli i audycie

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Wykład I. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski

Bezpieczeostwo sieci.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Przedsięwzięcia realizowane w ramach III stopnia alarmowego CHARLIE - CRP

Wykrywanie i odpieranie ataków socjotechnicznych oraz cybernetycznych - jak zaatakować napastnika? Grzegorz Wróbel

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Metody zabezpieczania transmisji w sieci Ethernet

Polityka Bezpieczeństwa ochrony danych osobowych

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Sieci bezprzewodowe WiFi

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Bezpieczeństwo internetowych witryn informacyjnych administracji rządowej

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Bezpieczeństwo danych w sieciach elektroenergetycznych

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

OCHRONA PRZED RANSOMWARE

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

z testów penetracyjnych

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Toshiba EasyGuard w akcji: Toshiba EasyGuard lista kontrolna: Co zawiera Tecra A4?

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Bezpieczeństwo informatyczne w szkole.

ECDL / ICDL Moduł 12 - IT Security Syllabus Wersja 1.0

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Wstęp. osobniczo, takich jak odciski linii papilarnych, wygląd tęczówki oka, czy charakterystyczne cechy twarzy.

ISO w Banku Spółdzielczym - od decyzji do realizacji

ISO bezpieczeństwo informacji w organizacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

CYBER-BEZPIECZEŃSTWO ZAGROŻENIA - DETEKCJA - PROFILATKTYKA - ZABEZPIECZENIA - PREWENCJA

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Usługi przechowywania danych KMD/PLATON-U4 dla bibliotek cyfrowych. Maciej Brzeźniak, Norbert Meyer, Rafał Mikołajczak, Maciej Stroiński

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Zapewnienie dostępu do Chmury

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

KARTA PRZEDMIOTU. 1. Informacje ogólne. Technology practice. 2. Ogólna charakterystyka przedmiotu. Praktyka technologiczna, E2

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Promotor: dr inż. Krzysztof Różanowski

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

dr Beata Zbarachewicz

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Zapytanie ofertowe nr OR

Monitorowanie systemów IT

PRZEBIEG (KROK PO KROKU Z UWZGLĘDNIENIEM METOD I SZACUNKOWEGO CZASU) I FORMA REALIZACJI ZAJĘĆ

Audytowane obszary IT

ZAPROSZENIE DO SKŁADANIA OFERT

Kryteria oceny Systemu Kontroli Zarządczej

Transkrypt:

Bezpieczeństwo IT w środowisku uczelni Teleinformatica - Wide Area Networking & Security (Grupa SECURITY.PL) Warszawa, 25 kwietnia 2017

O czym będę mówił? Bezpieczeństwo IT specyfika środowiska akademickiego Bezpieczeństwo IT to temat... dość obszerny Podstawy BHP pracy z zaawansowanymi technologiami Profilaktyka czy leczenie? Dodatkowe źródła informacji...

Specyfika środowiska akademickiego...

Specyfika środowiska akademickiego... Najważniejsze cechy z naszego punktu widzenia, to: zdecydowanie większa otwartość niż w środowisku korporacyjnym (pracownicy naukowi, studenci, goście...) i jednocześnie mniej restrykcyjne zasady korzystania z nowoczesnych technologii, duża różnorodność wykorzystywanych urządzeń, systemów operacyjnych, aplikacji, narzędzi oraz dynamiczne zmiany w środowisku IT, częstokroć bardziej swobodne podejście do zagadnień bezpieczeństwa informacji.

Bezpieczeństwo IT to temat...... dość obszerny: bezpieczeństwo sieci i sieciowych systemów operacyjnych, bezpieczeństwo aplikacji/usług sieciowych i nie tylko, integralność i bezpieczeństwo danych, zachowanie ciągłości pracy infrastruktury i oprogramowania, bezpieczeństwo fizyczne.

Bezpieczeństwo IT to temat...... dość obszerny: bezpieczeństwo sieci i sieciowych systemów operacyjnych, bezpieczeństwo aplikacji/usług sieciowych i nie tylko, integralność i bezpieczeństwo danych, zachowanie ciągłości pracy infrastruktury i oprogramowania, bezpieczeństwo fizyczne. ( Dotyczy nie tylko komputerów i sieci!)

Bezpieczeństwo IT to temat dość obszerny Nasz wpływ na wiele czynników jest ograniczony: korzystanie z prywatnych urządzeń i aplikacji, należących do użytkowników, różnorodność i miniaturyzacja nośników danych, wszechobecna (i nie zawsze bezpieczna) poczta elektroniczna, dostępność rozmaitych rozwiązań klasy VPN, aby chmur nie rozwiał wiatr wygoda, dostępność, ale i nowe rodzaje zagrożeń. należy też pamiętać, że...

Bezpieczeństwo IT to temat dość obszerny Najsłabszym ogniwem jest człowiek!

Podstawy BHP pracy z zaawansowanymi technologiami Najsłabszym ogniwem jest człowiek! W miarę powstawania coraz lepszych rozwiązań technologicznych służących ochronie informacji, cyberprzestępcy coraz częściej zmieniają taktykę. Praktyka pokazuje, że coraz częściej, łatwiej jest zaatakować człowieka (użytkownika), aniżeli sieć, czy komputer. Atak taki posiada wiele zalet : bardzo trudno jest się bronić przed nim przy użyciu środków technologicznych, atakujący pozostaje anonimowy i jest prawie niemożliwy do wykrycia, proces profilowania ataku jest najczęściej niezwykle prosty, atak jest tani i szybki w przygotowaniu.

Podstawy BHP pracy z zaawansowanymi technologiami Ty: Socjotechnika: Atak tego rodzaju, to po prostu klasyczne oszustwo ma na celu przekonanie użytkownika, aby osobiście wykonał zadanie, które spowoduje skutek pożądany przez atakującego. Cyberprzestępca nawiązuje kontakt z ofiarą poprzez dowolne medium (e-mail, telefon, czat, serwis społecznościowy lub nawet... osobiście). Intruz wykorzystuje element zaskoczenia, stara się nastraszyć użytkownika.

Podstawy BHP pracy z zaawansowanymi technologiami Na litość boską... aktualizacje!!! Około 80% włamań/skutecznych naruszeń bezpieczeństwa informacji jest bezpośrednim skutkiem wykorzystywania nieaktualnych systemów operacyjnych i aplikacji. Jest to problem daleko większy, niż potencjalne błędy w konfiguracji systemów i usług sieciowych. Podatności wynikające z wykorzystywania zdezaktualizowanego oprogramowania są wykorzystywane zarówno przez crackerów, jak i w atakach automatycznych przez tzw. złośliwe oprogramowanie. Jednym z kryteriów doboru rozwiązań IT, powinno być jasne określenie dostępności wsparcia na poziomie aktualizacji/poprawek bezpieczeństwa. Jeśli oprogramowanie nie posiada już wsparcia twórców/producenta, należy starać się wymienić je na takie, które będzie objęte tego rodzaju wsparciem.

Podstawy BHP pracy z zaawansowanymi technologiami Kopie zapasowe tylko twardziele nie robią backupów! Tarcza: Regularnie wykonywane kopie zapasowe kluczowych danych, są w stanie zabezpieczyć nas przed wielorakimi kłopotami - od skutków fizycznych uszkodzeń nośników, aż po skutki naszych pomyłek, czy celowych ataków na integralność danych, będących efektem działania osób trzecich. Miecz: Niekiedy kopie zapasowe same mogą stać się zagrożeniem bezpieczeństwa informacji szczególnie wtedy, gdy dostęp do nich nie jest należycie zabezpieczony przed osobami niepowołanymi oraz, gdy kopie zapasowe nie są okresowo weryfikowane nie ma nic gorszego, niż fałszywe poczucie bezpieczeństwa.

Podstawy BHP pracy z zaawansowanymi technologiami Właściwa polityka haseł: tak, tu długość ma znaczenie, złożoność... również (ale przesada jest złym doradcą), możliwość zapamiętania hasła też jest nie do przecenienia ( proste mnemotechniki). Hasła, czy może...

Podstawy BHP pracy z zaawansowanymi technologiami Właściwa polityka haseł: tak, tu długość ma znaczenie, złożoność... również (ale przesada jest złym doradcą), możliwość zapamiętania hasła też jest nie do przecenienia ( proste mnemotechniki). Hasła, czy może... jeszcze coś więcej: weryfikacja dwuetapowa, karty/tokeny, zabezpieczenia biometryczne itd.

Podstawy BHP pracy z zaawansowanymi technologiami Gdy jest to konieczne (korzystamy z systemów podatnych na tego rodzaju ataki), należy zadbać o zapewnienie należytej ochrony przed tzw. złośliwym oprogramowaniem, poprzez: stosowanie sprawdzonych/renomowanych, w danym momencie, pakietów oprogramowania chroniącego przed złośliwym oprogramowaniem, dbanie o aktualizację oprogramowania zabezpieczającego oraz jego baz sygnatur, rozważenie wyboru takiego rozwiązania, które umożliwia centralne zarządzanie całością systemu ochrony przed złośliwym oprogramowaniem, wraz z opcją kontroli dostępności aktualizacji dla systemów operacyjnych i aplikacji, gotowość do wymiany używanego rozwiązania na takie, które w danym momencie okaże się skuteczniejsze życie w zmianie jest dobre. :-)

Profilaktyka czy leczenie?

Profilaktyka czy leczenie? Jak skutecznie zapobiegać incydentom bezpieczeństwa? Oprócz tego, co już mówiłem: dbanie o aktualizację systemów i aplikacji, kopie zapasowe, utrzymanie właściwej polityki haseł, zapewnienie bezpieczeństwa fizycznego (czujki, kamery, odpowiednia kontrola dostępu do kluczowych pomieszczeń - np. serwerowni)

Profilaktyka czy leczenie? Jak skutecznie zapobiegać incydentom bezpieczeństwa? Oprócz tego, co już mówiłem: dbanie o aktualizację systemów i aplikacji, kopie zapasowe, utrzymanie właściwej polityki haseł, zapewnienie bezpieczeństwa fizycznego (czujki, kamery, odpowiednia kontrola dostępu do kluczowych pomieszczeń - np. serwerowni) istnieją jeszcze inne, bardzo skuteczne narzędzia: automatyczne monitorowanie dostępności, integralności i bezpieczeństwa, okresowe audyty bezpieczeństwa testy podatności, testy penetracyjne, a może również testy socjotechniczne?

Profilaktyka czy leczenie? A niezależnie od wcześniej wymienionych metod, nie do przecenienia okazują się być szkolenia z zakresu tzw. świadomości bezpieczeństwa (ang. security awareness) dla wytypowanych grup użytkowników.

Dodatkowe źródła informacji w sieci Oto lista witryn internetowych, zawierających użyteczne informacje związane z tematyką niniejszej prezentacji: [1] WWW.SECURITY.PL [2] WMSP 2017 - serwer poczty elektronicznej spełniający aktualne wymogi bezpieczeństwa [3] CERT Polska [4] OUCH! Newsletter - oryginał (jęz. angielski) [5] Audyty Bezpieczeństwa / testy podatności i penetracyjne [6] Monitoring bezpieczeństwa i dostępności

Dziękuję Państwu! Serdecznie dziękuję Państwu za uwagę i zapraszam do zadawania pytań! Q&A e-mail: gsm: +48 601 22 08 59

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres