SlideShare una empresa de Scribd logo

Zarządzanie bezpieczeństwem informacji w firmie

K
Karol Chwastowski

Jak skutecznie zarządzać obszarem zabezpieczeń, chroniąc firmę przed wyciekiem informacji i karami regulacyjnymi

Empresariales
1 de 17
Descargar para leer sin conexión
Zarządzanie bezpieczeństwem informacji w firmie Jak skutecznie zarządzać obszarem zabezpieczeń, chroniąc firmę przed wyciekiem informacji i karami regulacyjnymi Karol Chwastowski chwastowski.karol@gmail.com @Karol Chwastowski
Agenda • Czynniki kształtujące wymagania dla zabezpieczeń • Struktura Systemu Bezpieczeństwa Informacji (SBI) • Powszechnie popełniane błędy • Rekomendacje 2
Częstotliwość ataków gwałtownie rośnie, działalność przestępcza ulega profesjonalizacji 3 Globalne koszty cyberprzestępczości (MLD USD) Źródło: „Bezpieczeństwo poprzez innowacje”, Instytut Kościuszki 2017 Obecna charakterystyka zagrożeń: • Całkowite straty wynikające z cyberprzestępczości wynoszą około 1% światowego PKB. • Poziom złożoności narzędzi stosowanych przez grupy cyber-przestępcze dorównuje rozwiązaniom stosowanym przez wywiady państwowe • Eksperci audytujący firmy często przyjmują, że ataki socjotechniczne zawsze skutkują powodzeniem, niezależnie od klienta
Ilość włamań wzrasta a ich skutki będą potęgowane karami regulacyjnymi 4 Przewidywany rozwój sytuacji (do 2020r): • Programy bezpieczeństwa planowane przez IT doprowadzą do trzykrotnie większej liczby krytycznych incydentów niż inicjatywy planowane przez biznes • 80% managerów OT będzie musiało zrestrukturyzować SBI wskutek wystąpienia poważnego incydentu naruszającego zdrowie pracownika • Ogólne kwestionariusze i metody oceny poziomu bezpieczeństwa zostaną zastąpione narzędziami specyficznymi dla danej branży Średni koszt włamania (MLN USD) Źródło: Statista.com 2017Źródło: „Information Security, Worldwide, 2014-2020, 3Q16 Update”, Gartner, 2017
Rozporządzenie o Ochronie Danych Osobowych wprowadza wysokie kary i wymusza transparentność 5
Agenda  Czynniki kształtujące wymagania dla zabezpieczeń • Struktura Systemu Bezpieczeństwa Informacji (SBI) • Powszechnie popełniane błędy • Rekomendacje 6 Podsumowując: • Zagrożenie ze strony cyberataków jest wysokie i z czasem będzie narastało. Widać wyraźną profesjonalizację tego obszaru. • UODO będzie karać firmy niedostatecznie chroniące dane osobowe swoich klientów. Klienci mają możliwość dochodzenia odszkodowań. • Zapewnienie podstawowej ochrony w obszarze technologii jest kosztowne, ale relatywnie szybkie do wdrożenia. Wypracowanie bezpiecznych procesów i budowanie nawyków jest długotrwałym zadaniem.
Na poziom bezpieczeństwa informacji mają wpływ trzy czynniki 7 • Infrastruktura sieciowa • Stacje robocze + mobile • Bezpieczeństwo aplikacji • Kontrola dostępu • Bezpieczeństwo danych • Monitorowanie operacyjne Technologia • Ochrona • Identyfikacja zagrożeń • Detekcja zagrożeń • Obsługa wykrytych incydentów • Zapewnienie ciągłości działania Procesy • Świadomość zagrożeń • Znajomość polityk • Przestrzeganie wymagań • Zgłaszanie incydentów • Odpowiednie nawyki Ludzie Aby zapewnić skuteczną ochronę, wszystkie te obszary muszą ze sobą współpracować. Żaden z nich w pojedynkę nie zapewnia odpowiedniego poziomu ochrony.
Określenie indywidualnych wymagań firmy jest pierwszym i najważniejszym etapem budowania SBI 8 Strategia bezpieczeństwa informacji Więcej informacji: NIST Cybersecurity Framework • Inwentaryzacja i klasyfikacja informacji • Opracowanie mapy procesów i komponentów IT • Określenie lokalnych podatności Krok pierwszy • Określenie wymagań regulacyjnych • Określenie wymagań specyficznych dla danej branży Krok drugi ! Podsumowane wymagania dla SBI
Nierzetelna analiza wymagań, prowadzi do niewłaściwych inwestycji i ograniczenia wydajności operacyjnej biznesu 9 Strategia bezpieczeństwa informacji Przewidywanie przyszłych zagrożeń, implementacja rozwiązań „szytych na miarę” Bezpieczeństwo integralną częścią biznesu, iteracyjna optymalizacja rozwiązań Skupienie na głównych zagrożeniach, zarządzanie ryzykiem Wymagania regulacyjne jedynym punktem odniesienia Reagowanie ad hoc ( dlaczego to zły pomysł? ) Projektując model zabezpieczeń skup się na znalezieniu najprostszego, skutecznego sposobu rozwiązania najważniejszych problemów. Przeważnie implementowane w mało praktyczny sposób (skuteczność / cena =  ) POZIOMDOJRZAŁOŚCI
Zakres wdrożenia powinien wynikać z listy jasno określonych priorytetów 10 Strategia bezpieczeństwa informacji Zarządzanie ryzykiem • Identyfikacja zagrożeń i prawdopodobieństwa ich wystąpienia • Ocena skutków wystąpienia zagrożeń • Ustalenie priorytetów • Odniesienie wymagań do możliwości finansowych firmy • Wybór rozwiązań (klas rozwiązań) • Sformułowanie celów strategicznych Inicjalizacja procesu Roadmapa inicjatyw w obszarze bezp.
Zarządzanie ryzykiem stanowi pomost pomiędzy biznesem a obszarem zabezpieczeń 11 Strategia bezpieczeństwa informacji Zarządzanie ryzykiem • Weryfikacja skuteczności wybranych rozwiązań • Określanie kierunków rozwoju SBI • Integralna część nowych projektów i zmian Cykliczne działania • Pozwala dostrzec oszczędności finansowe wynikające z utrzymywania SBI • Pomaga przy wyborze KPI dla procesów w obszarze bezpieczeństwa • Pozwala określić wysokość budżetu przeznaczonego na zabezpieczenia Korzyści
„Zaufanie jest dobre, ale kontrola lepsza” – wypracowanie odpowiednich nawyków wymaga uwagi 12 Strategia bezpieczeństwa informacji Zarządzanie ryzykiem Nadzór Operacje Pomiar Planowanie Wdrożenia Nadzór INICJATYWY STRATEGICZNE BUSINESS AS USUAL • Czy procesy są właściwie utrzymywane • Czy pracownicy i managerowie przestrzegają wytycznych • Czy w miarę rozwoju, firma nie utraciła „zdolności” Więcej informacji: ISACA COBIT5
Operacje w obszarze bezpieczeństwa informacji można podzielić na 4 nadrzędne kategorie 13 Operacje IDENTYFIKACJA • Zarządzanie komponentami • Zarządzanie podatnościami • Analizy ryzyka • Raportowanie OCHRONA • Zarządzanie dostępami • Polityki bezpieczeństwa • Testowanie zabezpieczeń • Edukacja i uświadamianie DETEKCJA • Monitorowanie aktywności • Kontrola dostępu • Zarządzanie zgłoszeniami • Wykrywanie incydentów PRZECIWDZIAŁANIE • Zarządzanie incydentami • Zarządzanie ciągłością dz. • Zarządzanie backupami • Analiza przyczyn zdarzenia Technologia Procesy Ludzie Strategia bezpieczeństwa informacji Zarządzanie ryzykiem Nadzór Więcej informacji: NIST Cybersecurity Framework
Podsumowanie  Czynniki kształtujące wymagania dla zabezpieczeń  Struktura Systemu Bezpieczeństwa Informacji (SBI) • Powszechnie popełniane błędy • Rekomendacje 14 Najwięcej problemów generują: • Bezczynność. Brak podejmowania inicjatyw w obszarze bezpieczeństwa, statystycznie jest bardziej kosztowny niż nieumiejętnie przeprowadzone wdrożenie • Brak decyzyjności. Delegowanie obowiązków i odpowiedzialności na pracowników niższego szczebla. CISO powinien być umocowany pod zarządem. • Brak odpowiedzialności. Pozwalanie managerom na zrzucanie całej odpowiedzialności w zakresie oceny ryzyka na kilku „ekspertów”. CISO jest doradcą, nie wykonawcą. • „Zamykanie” bezpieczeństwa w obszarze IT. Przeświadczenie, że popularne, drogie systemy informatyczne = bezpieczne informacje.
Podsumowanie  Czynniki kształtujące wymagania dla zabezpieczeń  Struktura Systemu Bezpieczeństwa Informacji (SBI)  Powszechnie popełniane błędy • Rekomendacje 15 Planowanie: • Projektując model zabezpieczeń skup się na znalezieniu najprostszego, skutecznego sposobu rozwiązania najważniejszych problemów. • Nie wszystko musisz zlecać na zewnątrz. Postaw na zaufanych doradców. Doświadczenie zdobyte w ramach pracy własnej zaowocuje w przyszłości. • Umiejętność zarządzania bezpieczeństwem informacji wchodzi do kanonu podstawowej wiedzy managerskiej.
Podsumowanie  Czynniki kształtujące wymagania dla zabezpieczeń  Struktura Systemu Bezpieczeństwa Informacji (SBI)  Powszechnie popełniane błędy • Rekomendacje 16 Zalecane kryteria doboru doradców: • Duża szczegółowość i zakres wstępnej analizy potrzeb – kierowanie się jedynie zaleceniami regulatora jest niewystarczające. • Zakres ekspertyzy – wybierz dostawcę łączącego kompetencje prawne, organizacyjne i technologiczne. • „Lekkość rozwiązania” – niskie koszty utrzymania, niewielkie obciążenie istniejących procesów i kierowanie się wyraźnymi priorytetami
Pytania? Karol Chwastowski chwastowski.karol@gmail.com @Karol Chwastowski

Recomendados

Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014EYPoland
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?PwC Polska
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”EYPoland
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 

Recomendados

Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014EYPoland
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?PwC Polska
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”EYPoland
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polskuPwC Polska
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych guest84f9115
 
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyceJerzy Łabuda
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Wojciech Boczoń
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuPwC Polska
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PROIDEA
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Bezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaBezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaWydawnictwo Helion
 

Más contenido relacionado

La actualidad más candente

Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polskuPwC Polska
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych guest84f9115
 

La actualidad más candente (8)

Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
 
Cyber ruletka po polsku
Cyber ruletka po polskuCyber ruletka po polsku
Cyber ruletka po polsku
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
SOC w praktyce
SOC w praktyceSOC w praktyce
SOC w praktyce
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 

Similar a Zarządzanie bezpieczeństwem informacji w firmie

Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Wojciech Boczoń
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuPwC Polska
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PROIDEA
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborMichał Tabor
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaPwC Polska
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Strategia Data First
Strategia Data FirstStrategia Data First
Strategia Data FirstPiotr Smialek
 
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczneArtur Marek Maciąg
 

Similar a Zarządzanie bezpieczeństwem informacji w firmie (20)

Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po kroku
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
Bezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaBezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. Biblia
 
Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtabor
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwa
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Strategia Data First
Strategia Data FirstStrategia Data First
Strategia Data First
 
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
 

Zarządzanie bezpieczeństwem informacji w firmie

  • 1. Zarządzanie bezpieczeństwem informacji w firmie Jak skutecznie zarządzać obszarem zabezpieczeń, chroniąc firmę przed wyciekiem informacji i karami regulacyjnymi Karol Chwastowski chwastowski.karol@gmail.com @Karol Chwastowski
  • 2. Agenda • Czynniki kształtujące wymagania dla zabezpieczeń • Struktura Systemu Bezpieczeństwa Informacji (SBI) • Powszechnie popełniane błędy • Rekomendacje 2
  • 3. Częstotliwość ataków gwałtownie rośnie, działalność przestępcza ulega profesjonalizacji 3 Globalne koszty cyberprzestępczości (MLD USD) Źródło: „Bezpieczeństwo poprzez innowacje”, Instytut Kościuszki 2017 Obecna charakterystyka zagrożeń: • Całkowite straty wynikające z cyberprzestępczości wynoszą około 1% światowego PKB. • Poziom złożoności narzędzi stosowanych przez grupy cyber-przestępcze dorównuje rozwiązaniom stosowanym przez wywiady państwowe • Eksperci audytujący firmy często przyjmują, że ataki socjotechniczne zawsze skutkują powodzeniem, niezależnie od klienta
  • 4. Ilość włamań wzrasta a ich skutki będą potęgowane karami regulacyjnymi 4 Przewidywany rozwój sytuacji (do 2020r): • Programy bezpieczeństwa planowane przez IT doprowadzą do trzykrotnie większej liczby krytycznych incydentów niż inicjatywy planowane przez biznes • 80% managerów OT będzie musiało zrestrukturyzować SBI wskutek wystąpienia poważnego incydentu naruszającego zdrowie pracownika • Ogólne kwestionariusze i metody oceny poziomu bezpieczeństwa zostaną zastąpione narzędziami specyficznymi dla danej branży Średni koszt włamania (MLN USD) Źródło: Statista.com 2017Źródło: „Information Security, Worldwide, 2014-2020, 3Q16 Update”, Gartner, 2017
  • 5. Rozporządzenie o Ochronie Danych Osobowych wprowadza wysokie kary i wymusza transparentność 5
  • 6. Agenda  Czynniki kształtujące wymagania dla zabezpieczeń • Struktura Systemu Bezpieczeństwa Informacji (SBI) • Powszechnie popełniane błędy • Rekomendacje 6 Podsumowując: • Zagrożenie ze strony cyberataków jest wysokie i z czasem będzie narastało. Widać wyraźną profesjonalizację tego obszaru. • UODO będzie karać firmy niedostatecznie chroniące dane osobowe swoich klientów. Klienci mają możliwość dochodzenia odszkodowań. • Zapewnienie podstawowej ochrony w obszarze technologii jest kosztowne, ale relatywnie szybkie do wdrożenia. Wypracowanie bezpiecznych procesów i budowanie nawyków jest długotrwałym zadaniem.
  • 7. Na poziom bezpieczeństwa informacji mają wpływ trzy czynniki 7 • Infrastruktura sieciowa • Stacje robocze + mobile • Bezpieczeństwo aplikacji • Kontrola dostępu • Bezpieczeństwo danych • Monitorowanie operacyjne Technologia • Ochrona • Identyfikacja zagrożeń • Detekcja zagrożeń • Obsługa wykrytych incydentów • Zapewnienie ciągłości działania Procesy • Świadomość zagrożeń • Znajomość polityk • Przestrzeganie wymagań • Zgłaszanie incydentów • Odpowiednie nawyki Ludzie Aby zapewnić skuteczną ochronę, wszystkie te obszary muszą ze sobą współpracować. Żaden z nich w pojedynkę nie zapewnia odpowiedniego poziomu ochrony.
  • 8. Określenie indywidualnych wymagań firmy jest pierwszym i najważniejszym etapem budowania SBI 8 Strategia bezpieczeństwa informacji Więcej informacji: NIST Cybersecurity Framework • Inwentaryzacja i klasyfikacja informacji • Opracowanie mapy procesów i komponentów IT • Określenie lokalnych podatności Krok pierwszy • Określenie wymagań regulacyjnych • Określenie wymagań specyficznych dla danej branży Krok drugi ! Podsumowane wymagania dla SBI
  • 9. Nierzetelna analiza wymagań, prowadzi do niewłaściwych inwestycji i ograniczenia wydajności operacyjnej biznesu 9 Strategia bezpieczeństwa informacji Przewidywanie przyszłych zagrożeń, implementacja rozwiązań „szytych na miarę” Bezpieczeństwo integralną częścią biznesu, iteracyjna optymalizacja rozwiązań Skupienie na głównych zagrożeniach, zarządzanie ryzykiem Wymagania regulacyjne jedynym punktem odniesienia Reagowanie ad hoc ( dlaczego to zły pomysł? ) Projektując model zabezpieczeń skup się na znalezieniu najprostszego, skutecznego sposobu rozwiązania najważniejszych problemów. Przeważnie implementowane w mało praktyczny sposób (skuteczność / cena =  ) POZIOMDOJRZAŁOŚCI
  • 10. Zakres wdrożenia powinien wynikać z listy jasno określonych priorytetów 10 Strategia bezpieczeństwa informacji Zarządzanie ryzykiem • Identyfikacja zagrożeń i prawdopodobieństwa ich wystąpienia • Ocena skutków wystąpienia zagrożeń • Ustalenie priorytetów • Odniesienie wymagań do możliwości finansowych firmy • Wybór rozwiązań (klas rozwiązań) • Sformułowanie celów strategicznych Inicjalizacja procesu Roadmapa inicjatyw w obszarze bezp.
  • 11. Zarządzanie ryzykiem stanowi pomost pomiędzy biznesem a obszarem zabezpieczeń 11 Strategia bezpieczeństwa informacji Zarządzanie ryzykiem • Weryfikacja skuteczności wybranych rozwiązań • Określanie kierunków rozwoju SBI • Integralna część nowych projektów i zmian Cykliczne działania • Pozwala dostrzec oszczędności finansowe wynikające z utrzymywania SBI • Pomaga przy wyborze KPI dla procesów w obszarze bezpieczeństwa • Pozwala określić wysokość budżetu przeznaczonego na zabezpieczenia Korzyści
  • 12. „Zaufanie jest dobre, ale kontrola lepsza” – wypracowanie odpowiednich nawyków wymaga uwagi 12 Strategia bezpieczeństwa informacji Zarządzanie ryzykiem Nadzór Operacje Pomiar Planowanie Wdrożenia Nadzór INICJATYWY STRATEGICZNE BUSINESS AS USUAL • Czy procesy są właściwie utrzymywane • Czy pracownicy i managerowie przestrzegają wytycznych • Czy w miarę rozwoju, firma nie utraciła „zdolności” Więcej informacji: ISACA COBIT5
  • 13. Operacje w obszarze bezpieczeństwa informacji można podzielić na 4 nadrzędne kategorie 13 Operacje IDENTYFIKACJA • Zarządzanie komponentami • Zarządzanie podatnościami • Analizy ryzyka • Raportowanie OCHRONA • Zarządzanie dostępami • Polityki bezpieczeństwa • Testowanie zabezpieczeń • Edukacja i uświadamianie DETEKCJA • Monitorowanie aktywności • Kontrola dostępu • Zarządzanie zgłoszeniami • Wykrywanie incydentów PRZECIWDZIAŁANIE • Zarządzanie incydentami • Zarządzanie ciągłością dz. • Zarządzanie backupami • Analiza przyczyn zdarzenia Technologia Procesy Ludzie Strategia bezpieczeństwa informacji Zarządzanie ryzykiem Nadzór Więcej informacji: NIST Cybersecurity Framework
  • 14. Podsumowanie  Czynniki kształtujące wymagania dla zabezpieczeń  Struktura Systemu Bezpieczeństwa Informacji (SBI) • Powszechnie popełniane błędy • Rekomendacje 14 Najwięcej problemów generują: • Bezczynność. Brak podejmowania inicjatyw w obszarze bezpieczeństwa, statystycznie jest bardziej kosztowny niż nieumiejętnie przeprowadzone wdrożenie • Brak decyzyjności. Delegowanie obowiązków i odpowiedzialności na pracowników niższego szczebla. CISO powinien być umocowany pod zarządem. • Brak odpowiedzialności. Pozwalanie managerom na zrzucanie całej odpowiedzialności w zakresie oceny ryzyka na kilku „ekspertów”. CISO jest doradcą, nie wykonawcą. • „Zamykanie” bezpieczeństwa w obszarze IT. Przeświadczenie, że popularne, drogie systemy informatyczne = bezpieczne informacje.
  • 15. Podsumowanie  Czynniki kształtujące wymagania dla zabezpieczeń  Struktura Systemu Bezpieczeństwa Informacji (SBI)  Powszechnie popełniane błędy • Rekomendacje 15 Planowanie: • Projektując model zabezpieczeń skup się na znalezieniu najprostszego, skutecznego sposobu rozwiązania najważniejszych problemów. • Nie wszystko musisz zlecać na zewnątrz. Postaw na zaufanych doradców. Doświadczenie zdobyte w ramach pracy własnej zaowocuje w przyszłości. • Umiejętność zarządzania bezpieczeństwem informacji wchodzi do kanonu podstawowej wiedzy managerskiej.
  • 16. Podsumowanie  Czynniki kształtujące wymagania dla zabezpieczeń  Struktura Systemu Bezpieczeństwa Informacji (SBI)  Powszechnie popełniane błędy • Rekomendacje 16 Zalecane kryteria doboru doradców: • Duża szczegółowość i zakres wstępnej analizy potrzeb – kierowanie się jedynie zaleceniami regulatora jest niewystarczające. • Zakres ekspertyzy – wybierz dostawcę łączącego kompetencje prawne, organizacyjne i technologiczne. • „Lekkość rozwiązania” – niskie koszty utrzymania, niewielkie obciążenie istniejących procesów i kierowanie się wyraźnymi priorytetami