Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Podobne dokumenty
Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

POLITYKA ZARZĄDZANIA RYZYKIEM

Regulamin zarządzania ryzykiem. Założenia ogólne

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Bezpieczeństwo dziś i jutro Security InsideOut

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Wartość audytu wewnętrznego dla organizacji. Warszawa,

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŻORACH

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Sieci bezprzewodowe WiFi

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o.

Reforma regulacyjna sektora bankowego

Tomasz Chlebowski ComCERT SA

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Kompleksowe Przygotowanie do Egzaminu CISMP

Zarządzanie Ciągłością Działania

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Etyczne działanie może zapewnić sukces na rynku!

Reforma regulacyjna sektora bankowego

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

System Kontroli Wewnętrznej

Zarządzanie relacjami z dostawcami

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Wstęp do zarządzania projektami

OPIS SYSTENU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W USTRONIU. I. Cele systemu kontroli wewnętrznej

Strategia zarządzania ryzykiem w DB Securities S.A.

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

BAKER TILLY POLAND CONSULTING

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych

System zarządzania ryzykiem a system kontroli wewnętrznej

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Informacja o strategii i celach zarządzania ryzykiem

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

P O L I T E C H N I K A K O S Z A L I Ń S K A. Zarządzanie Ryzykiem

Zarządzanie bezpieczeństwem informacji w urzędach pracy

System kontroli wewnętrznej w Banku Millennium S.A.

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Meandry komunikacji Biznes-IT

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Zarządzanie projektami a zarządzanie ryzykiem

Jak skutecznie przeprowadzić zmianę z wykorzystaniem Interim Managera?

Rozdział 1 Postanowienia ogólne

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

ISO bezpieczeństwo informacji w organizacji

Zarządzenie nr 85/2011 BURMISTRZA WYSZKOWA z dnia 20 maja 2011r.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

REKOMENDACJA D Rok PO Rok PRZED

Cele systemu kontroli wewnętrznej. Zasady funkcjonowania systemu kontroli wewnętrznej

! Retina. Wyłączny dystrybutor w Polsce

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

Wstęp do zarządzania projektami

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

ZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

PROCEDURY ZARZĄDZANIA RYZYKIEM WEWNĘTRZNYM w Starostwie Powiatowym w Piasecznie.

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

System kontroli wewnętrznej w Banku Spółdzielczym w Staroźrebach

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

ZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne

Instrukcja zarządzania ryzykiem

Audyt systemów informatycznych w świetle standardów ISACA

Wstęp do zarządzania projektami

Robert Meller, Nowoczesny audyt wewnętrzny

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Outsourcing procesów. dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Interim Management czym jest i jak wycisnąć z niego 110% dla własnej firmy

POLITYKA ZARZĄDZANIA RYZYKIEM

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Transkrypt:

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń Grzegorz Długajczyk Head of Technology Risk Team ING Bank Śląski ul. Sokolska 34, Katowice Warszawa, 20 września 2017r.

Dzisiejsza rzeczywistość Codziennie, w każdej 1 sekundzie atakowanych jest nawet kilka organizacji (firm) na całym świecie http://map.norsecorp.com/

Fakty

Wprowadzenie Ryzyko technologiczne prawdopodobna awaria technologii ICT będąca przyczyną zakłócenia codziennej działalności operacyjnej firmy, skutkująca wystąpieniem strat Działania Źródło:

Jak powinniśmy rozumieć i osiągać bezpieczeństwo? Ryzyko Technologiczne Użytkownicy

Kiedy uwzględniać aspekty bezpieczeństwa? Etap decyzyjny Zakres Budżet Czas RYZYKO (zapewnienie bezpieczeństwa) Etap realizacji

Czego się wystrzegać, myśląc o zapewnieniu bezpieczeństwa"? Zarząd firmy/ CEO (Sponsor) Mam dobry Zespół, on zapewni mi bezpieczeństwo Wykonawca to doświadczona firma Ten projekt kosztuje za dużo, jest zapewne bardzo bezpieczny Nigdy jeszcze nie padłem ofiarą przestępstwa hakera Kierujący zmianą (Project Manager) Zatrudniam doświadczonych Programistów i znanych Wykonawców usług na rynku Nie otrzymałem żadnych szczegółowych wytycznych bezpieczeństwa od Sponsora Z pewnością Wykonawca zaproponuje coś bezpiecznego Pewne ryzyko i tak trzeba zaakceptować w projekcie Po co pytać i szukać kłopotów Wykonawca (Programista) Bezpieczeństwo zapewnia framework i technologia Nie otrzymałem dokładnych wytycznych od kierującego zmianą czy Zlecającego pracę Zawsze wszystko tworzyłem bezpiecznie, a moja firma ma renomę Po co dokumentacja i testy ważne, że działa i zrobimy to na czas!

Jakie zadania z obszaru bezpieczeństwa i oceny ryzyka? Ocena biznesowa (BIA) Wymagania IT / Security do RFP Weryfikacja wymagań Definiowanie Projektowanie Architektura IT Analiza ryzyka całość (ITRA) Umowa i jej klauzule bezpieczeństwa Procedury / matryce dostępu Dokumenty Security Testy wydajnościowe Przegląd kodu źródłowego Przygotowanie SIEM Przygotowanie DRP / BCP Testy bezpieczeństwa - Etap realizacji Wykonywanie Wdrożenie Security review Weryfikacja podatności / luk Ocena przeglądu konfiguracji Ocena testów zapewnienia zgodności Przeprowadzenie szkoleń security Zdefiniowanie planu naprawczego Monitorowanie niezgodności

Etap realizacji definiowanie wymagań Business Impact Analysis (BIA) Wycena i określenie odpowiednich poziomów ochrony zasobów informacji (danych) w odniesieniu do związanych z nimi ryzyk. Reputacja Zagrożenia dla wizerunku / marki Oszustwo Zagrożenia związane z kradzieżą danych Dane osobowe Dane finansowe Dane strategiczne Archiwa/backupy Dokumentacje Dane informacyjne Dane transakcyjne Dokumenty sekretne Zgodność i prawo Zagrożenia związane z roszczeniami prawnymi Konkurencja Zagrożenia związane z twardą własnością intelektualną firmy (np. strategiczne plany, dane ksiąg finansowych, transakcje płatnicze, kontrahenci, itd.) Decyzje kierownictwa Nie wszystkie zasoby informacji (dane) mają taką samą wartość i krytyczność dla firmy Zagrożenia związane z miękką własnością intelektualną firmy (np. procesy, procedury, instrukcje) W zależności od przyjętej oceny ryzyka (BIA) inne będą koszty ich zabezpieczenia i ochrony

Etap realizacji projektowanie (1) Information Technology Risk Analysis (ITRA) Określone działanie nakierowane na obniżenie wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich środków przeciwdziałania i minimalizacji ryzyka 1. Wszystkie zasoby są dostępne w sposób bezpieczny, niezależnie od lokalizacji 2. Kontrola dostępu jest na zasadzie need-to-know oraz jest surowo egzekwowana 3. Sprawdzaj, zanim zaufasz 4. Kontroluj i loguj cały ruch (jeżeli to możliwe) 5. Zawsze projektuj sieć z wewnątrz na zewnątrz Integralność

Etap realizacji projektowanie (2) Kontrola spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna) Obszar organizacyjny: Polityki bezpieczeństwa Standardy/Dobre praktyki Ustawy/Rozporządzenia/Regulacje Procedury Normy Instrukcje/Wytyczne organizacji Umowy/porozumienia Obszar techniczny: Kontrola dostępu (autentykacja/autoryzacja) Ochrona danych (przesyłanie/przechowywanie) Konfiguracja infrastruktury/systemów/db Monitoring i logowanie zdarzeń Role systemowe/stanowiskowe Technologia/architektura Hosting/Cloud Computing Zdalne wsparcie Ocena zagrożeń, podatności, wycena ryzyka i zdefiniowanie działań ograniczających 1. Określenie zagrożeń i potencjalnych podatności 2. Określenie prawdopodobieństwa wystąpienia zdarzenia 3. Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny 4. Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub jego akceptacji

Etap realizacji wykonywanie Procedury / matryce dostępu Parametry bezpieczeństwa (OSG) Testy bezpieczeństwa (OWASP, ASVS, VS) Testy wydajnościowe (SDLC) Przegląd kodu źródłowego (Static, Dynamic) Przygotowanie SIEM / TCSM Przygotowanie DRP / BCP -

Etap realizacji ocena ryzyka przed wdrożeniem Weryfikacja wykrytych podatności / luk Security review (kontrole i działania mitygujące zagrożenia) Przeprowadzenie szkoleń security Zdefiniowanie planu naprawczego Monitorowanie niezgodności Niedopuszczalny poziom ryzyka ryzyko wymaga natychmiastowych działań naprawczych wejście na produkcje stanowi krytyczne lub duże ryzyko Dopuszczalny poziom ryzyka ryzyko powinno być zmitygowane tak szybko, jak to możliwe Zasadniczo akceptowalny poziom ryzyka ryzyko może być monitorowane i mitygowane w miarę możliwości firmy

Jak można szacować ryzyko i planować obronę przed i w trakcie ataku? Prewencja Detekcja Reakcja Ludzie Procesy Technologia

Rola (IT Risk Management) - według COBIT 5

Kluczowe zasady zarządzania ryzykiem technologicznym Koncentracja na najważniejszym Pomiar i raportowanie Kompletność Zgodność z prawem Alokacja akceptacji Integracja z planowaniem biznesowym

Podsumowanie Sprawdzaj, zanim zaufasz Nie ograniczaj się tylko do wzorców, standardów lub framework, a spójrz na rzeczywiste zagrożenia i kontrole, istotne dla Twojej organizacji/firmy Koncentruj się na efektywności kontroli, a nie tylko na tym, że kontrola istnieje lub jest procedura czy instrukcja Pamiętaj, że kiedyś w interesie hakera było pokazanie swoich umiejętności. Dziś w interesie hakera jest, aby przestępstwo nigdy nie zostało wykryte

DZIĘKUJĘ

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres