Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń Grzegorz Długajczyk Head of Technology Risk Team ING Bank Śląski ul. Sokolska 34, Katowice Warszawa, 20 września 2017r.
Dzisiejsza rzeczywistość Codziennie, w każdej 1 sekundzie atakowanych jest nawet kilka organizacji (firm) na całym świecie http://map.norsecorp.com/
Fakty
Wprowadzenie Ryzyko technologiczne prawdopodobna awaria technologii ICT będąca przyczyną zakłócenia codziennej działalności operacyjnej firmy, skutkująca wystąpieniem strat Działania Źródło:
Jak powinniśmy rozumieć i osiągać bezpieczeństwo? Ryzyko Technologiczne Użytkownicy
Kiedy uwzględniać aspekty bezpieczeństwa? Etap decyzyjny Zakres Budżet Czas RYZYKO (zapewnienie bezpieczeństwa) Etap realizacji
Czego się wystrzegać, myśląc o zapewnieniu bezpieczeństwa"? Zarząd firmy/ CEO (Sponsor) Mam dobry Zespół, on zapewni mi bezpieczeństwo Wykonawca to doświadczona firma Ten projekt kosztuje za dużo, jest zapewne bardzo bezpieczny Nigdy jeszcze nie padłem ofiarą przestępstwa hakera Kierujący zmianą (Project Manager) Zatrudniam doświadczonych Programistów i znanych Wykonawców usług na rynku Nie otrzymałem żadnych szczegółowych wytycznych bezpieczeństwa od Sponsora Z pewnością Wykonawca zaproponuje coś bezpiecznego Pewne ryzyko i tak trzeba zaakceptować w projekcie Po co pytać i szukać kłopotów Wykonawca (Programista) Bezpieczeństwo zapewnia framework i technologia Nie otrzymałem dokładnych wytycznych od kierującego zmianą czy Zlecającego pracę Zawsze wszystko tworzyłem bezpiecznie, a moja firma ma renomę Po co dokumentacja i testy ważne, że działa i zrobimy to na czas!
Jakie zadania z obszaru bezpieczeństwa i oceny ryzyka? Ocena biznesowa (BIA) Wymagania IT / Security do RFP Weryfikacja wymagań Definiowanie Projektowanie Architektura IT Analiza ryzyka całość (ITRA) Umowa i jej klauzule bezpieczeństwa Procedury / matryce dostępu Dokumenty Security Testy wydajnościowe Przegląd kodu źródłowego Przygotowanie SIEM Przygotowanie DRP / BCP Testy bezpieczeństwa - Etap realizacji Wykonywanie Wdrożenie Security review Weryfikacja podatności / luk Ocena przeglądu konfiguracji Ocena testów zapewnienia zgodności Przeprowadzenie szkoleń security Zdefiniowanie planu naprawczego Monitorowanie niezgodności
Etap realizacji definiowanie wymagań Business Impact Analysis (BIA) Wycena i określenie odpowiednich poziomów ochrony zasobów informacji (danych) w odniesieniu do związanych z nimi ryzyk. Reputacja Zagrożenia dla wizerunku / marki Oszustwo Zagrożenia związane z kradzieżą danych Dane osobowe Dane finansowe Dane strategiczne Archiwa/backupy Dokumentacje Dane informacyjne Dane transakcyjne Dokumenty sekretne Zgodność i prawo Zagrożenia związane z roszczeniami prawnymi Konkurencja Zagrożenia związane z twardą własnością intelektualną firmy (np. strategiczne plany, dane ksiąg finansowych, transakcje płatnicze, kontrahenci, itd.) Decyzje kierownictwa Nie wszystkie zasoby informacji (dane) mają taką samą wartość i krytyczność dla firmy Zagrożenia związane z miękką własnością intelektualną firmy (np. procesy, procedury, instrukcje) W zależności od przyjętej oceny ryzyka (BIA) inne będą koszty ich zabezpieczenia i ochrony
Etap realizacji projektowanie (1) Information Technology Risk Analysis (ITRA) Określone działanie nakierowane na obniżenie wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich środków przeciwdziałania i minimalizacji ryzyka 1. Wszystkie zasoby są dostępne w sposób bezpieczny, niezależnie od lokalizacji 2. Kontrola dostępu jest na zasadzie need-to-know oraz jest surowo egzekwowana 3. Sprawdzaj, zanim zaufasz 4. Kontroluj i loguj cały ruch (jeżeli to możliwe) 5. Zawsze projektuj sieć z wewnątrz na zewnątrz Integralność
Etap realizacji projektowanie (2) Kontrola spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna) Obszar organizacyjny: Polityki bezpieczeństwa Standardy/Dobre praktyki Ustawy/Rozporządzenia/Regulacje Procedury Normy Instrukcje/Wytyczne organizacji Umowy/porozumienia Obszar techniczny: Kontrola dostępu (autentykacja/autoryzacja) Ochrona danych (przesyłanie/przechowywanie) Konfiguracja infrastruktury/systemów/db Monitoring i logowanie zdarzeń Role systemowe/stanowiskowe Technologia/architektura Hosting/Cloud Computing Zdalne wsparcie Ocena zagrożeń, podatności, wycena ryzyka i zdefiniowanie działań ograniczających 1. Określenie zagrożeń i potencjalnych podatności 2. Określenie prawdopodobieństwa wystąpienia zdarzenia 3. Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny 4. Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub jego akceptacji
Etap realizacji wykonywanie Procedury / matryce dostępu Parametry bezpieczeństwa (OSG) Testy bezpieczeństwa (OWASP, ASVS, VS) Testy wydajnościowe (SDLC) Przegląd kodu źródłowego (Static, Dynamic) Przygotowanie SIEM / TCSM Przygotowanie DRP / BCP -
Etap realizacji ocena ryzyka przed wdrożeniem Weryfikacja wykrytych podatności / luk Security review (kontrole i działania mitygujące zagrożenia) Przeprowadzenie szkoleń security Zdefiniowanie planu naprawczego Monitorowanie niezgodności Niedopuszczalny poziom ryzyka ryzyko wymaga natychmiastowych działań naprawczych wejście na produkcje stanowi krytyczne lub duże ryzyko Dopuszczalny poziom ryzyka ryzyko powinno być zmitygowane tak szybko, jak to możliwe Zasadniczo akceptowalny poziom ryzyka ryzyko może być monitorowane i mitygowane w miarę możliwości firmy
Jak można szacować ryzyko i planować obronę przed i w trakcie ataku? Prewencja Detekcja Reakcja Ludzie Procesy Technologia
Rola (IT Risk Management) - według COBIT 5
Kluczowe zasady zarządzania ryzykiem technologicznym Koncentracja na najważniejszym Pomiar i raportowanie Kompletność Zgodność z prawem Alokacja akceptacji Integracja z planowaniem biznesowym
Podsumowanie Sprawdzaj, zanim zaufasz Nie ograniczaj się tylko do wzorców, standardów lub framework, a spójrz na rzeczywiste zagrożenia i kontrole, istotne dla Twojej organizacji/firmy Koncentruj się na efektywności kontroli, a nie tylko na tym, że kontrola istnieje lub jest procedura czy instrukcja Pamiętaj, że kiedyś w interesie hakera było pokazanie swoich umiejętności. Dziś w interesie hakera jest, aby przestępstwo nigdy nie zostało wykryte
DZIĘKUJĘ