[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
Zarządzanie bezpieczeństwem informacji w firmie
1. Zarządzanie
bezpieczeństwem
informacji w firmie
Jak skutecznie zarządzać obszarem zabezpieczeń,
chroniąc firmę przed wyciekiem informacji i karami
regulacyjnymi
Karol Chwastowski
chwastowski.karol@gmail.com
@Karol Chwastowski
2. Agenda
• Czynniki kształtujące wymagania dla zabezpieczeń
• Struktura Systemu Bezpieczeństwa Informacji (SBI)
• Powszechnie popełniane błędy
• Rekomendacje
2
3. Częstotliwość ataków gwałtownie rośnie, działalność przestępcza
ulega profesjonalizacji
3
Globalne koszty cyberprzestępczości (MLD USD)
Źródło: „Bezpieczeństwo poprzez innowacje”, Instytut Kościuszki 2017
Obecna charakterystyka zagrożeń:
• Całkowite straty wynikające z cyberprzestępczości
wynoszą około 1% światowego PKB.
• Poziom złożoności narzędzi stosowanych przez
grupy cyber-przestępcze dorównuje rozwiązaniom
stosowanym przez wywiady państwowe
• Eksperci audytujący firmy często przyjmują, że
ataki socjotechniczne zawsze skutkują
powodzeniem, niezależnie od klienta
4. Ilość włamań wzrasta a ich skutki będą potęgowane karami
regulacyjnymi
4
Przewidywany rozwój sytuacji (do 2020r):
• Programy bezpieczeństwa planowane przez IT
doprowadzą do trzykrotnie większej liczby
krytycznych incydentów niż inicjatywy planowane
przez biznes
• 80% managerów OT będzie musiało
zrestrukturyzować SBI wskutek wystąpienia
poważnego incydentu naruszającego zdrowie
pracownika
• Ogólne kwestionariusze i metody oceny poziomu
bezpieczeństwa zostaną zastąpione narzędziami
specyficznymi dla danej branży
Średni koszt włamania (MLN USD)
Źródło: Statista.com 2017Źródło: „Information Security, Worldwide, 2014-2020, 3Q16 Update”, Gartner, 2017
6. Agenda
Czynniki kształtujące wymagania dla zabezpieczeń
• Struktura Systemu Bezpieczeństwa Informacji (SBI)
• Powszechnie popełniane błędy
• Rekomendacje
6
Podsumowując:
• Zagrożenie ze strony cyberataków jest wysokie
i z czasem będzie narastało. Widać wyraźną
profesjonalizację tego obszaru.
• UODO będzie karać firmy niedostatecznie chroniące
dane osobowe swoich klientów. Klienci mają
możliwość dochodzenia odszkodowań.
• Zapewnienie podstawowej ochrony w obszarze
technologii jest kosztowne, ale relatywnie szybkie do
wdrożenia. Wypracowanie bezpiecznych procesów i
budowanie nawyków jest długotrwałym zadaniem.
7. Na poziom bezpieczeństwa informacji mają wpływ trzy czynniki
7
• Infrastruktura sieciowa
• Stacje robocze + mobile
• Bezpieczeństwo aplikacji
• Kontrola dostępu
• Bezpieczeństwo danych
• Monitorowanie operacyjne
Technologia
• Ochrona
• Identyfikacja zagrożeń
• Detekcja zagrożeń
• Obsługa wykrytych incydentów
• Zapewnienie ciągłości działania
Procesy
• Świadomość zagrożeń
• Znajomość polityk
• Przestrzeganie wymagań
• Zgłaszanie incydentów
• Odpowiednie nawyki
Ludzie
Aby zapewnić skuteczną ochronę, wszystkie te obszary muszą ze sobą współpracować. Żaden z nich w
pojedynkę nie zapewnia odpowiedniego poziomu ochrony.
8. Określenie indywidualnych wymagań firmy jest pierwszym i
najważniejszym etapem budowania SBI
8
Strategia bezpieczeństwa informacji
Więcej informacji: NIST Cybersecurity Framework
• Inwentaryzacja i klasyfikacja informacji
• Opracowanie mapy procesów i komponentów IT
• Określenie lokalnych podatności
Krok pierwszy
• Określenie wymagań regulacyjnych
• Określenie wymagań specyficznych dla danej
branży
Krok drugi
!
Podsumowane wymagania dla SBI
9. Nierzetelna analiza wymagań, prowadzi do niewłaściwych
inwestycji i ograniczenia wydajności operacyjnej biznesu
9
Strategia bezpieczeństwa informacji
Przewidywanie przyszłych zagrożeń, implementacja
rozwiązań „szytych na miarę”
Bezpieczeństwo integralną częścią biznesu, iteracyjna
optymalizacja rozwiązań
Skupienie na głównych zagrożeniach, zarządzanie ryzykiem
Wymagania regulacyjne jedynym punktem odniesienia
Reagowanie ad hoc ( dlaczego to zły pomysł? )
Projektując model zabezpieczeń skup
się na znalezieniu najprostszego,
skutecznego sposobu rozwiązania
najważniejszych problemów.
Przeważnie implementowane
w mało praktyczny sposób
(skuteczność / cena = )
POZIOMDOJRZAŁOŚCI
10. Zakres wdrożenia powinien wynikać z listy jasno określonych
priorytetów
10
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
• Identyfikacja zagrożeń i prawdopodobieństwa
ich wystąpienia
• Ocena skutków wystąpienia zagrożeń
• Ustalenie priorytetów
• Odniesienie wymagań do możliwości
finansowych firmy
• Wybór rozwiązań (klas rozwiązań)
• Sformułowanie celów strategicznych
Inicjalizacja procesu
Roadmapa inicjatyw w obszarze bezp.
11. Zarządzanie ryzykiem stanowi pomost pomiędzy biznesem a
obszarem zabezpieczeń
11
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
• Weryfikacja skuteczności wybranych rozwiązań
• Określanie kierunków rozwoju SBI
• Integralna część nowych projektów i zmian
Cykliczne działania
• Pozwala dostrzec oszczędności finansowe
wynikające z utrzymywania SBI
• Pomaga przy wyborze KPI dla procesów w
obszarze bezpieczeństwa
• Pozwala określić wysokość budżetu
przeznaczonego na zabezpieczenia
Korzyści
12. „Zaufanie jest dobre, ale kontrola lepsza” – wypracowanie
odpowiednich nawyków wymaga uwagi
12
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
Nadzór
Operacje
Pomiar
Planowanie
Wdrożenia Nadzór
INICJATYWY
STRATEGICZNE
BUSINESS
AS USUAL
• Czy procesy są właściwie utrzymywane
• Czy pracownicy i managerowie przestrzegają wytycznych
• Czy w miarę rozwoju, firma nie utraciła „zdolności”
Więcej informacji: ISACA COBIT5
13. Operacje w obszarze bezpieczeństwa informacji można podzielić
na 4 nadrzędne kategorie
13
Operacje
IDENTYFIKACJA
• Zarządzanie komponentami
• Zarządzanie podatnościami
• Analizy ryzyka
• Raportowanie
OCHRONA
• Zarządzanie dostępami
• Polityki bezpieczeństwa
• Testowanie zabezpieczeń
• Edukacja i uświadamianie
DETEKCJA
• Monitorowanie aktywności
• Kontrola dostępu
• Zarządzanie zgłoszeniami
• Wykrywanie incydentów
PRZECIWDZIAŁANIE
• Zarządzanie incydentami
• Zarządzanie ciągłością dz.
• Zarządzanie backupami
• Analiza przyczyn zdarzenia
Technologia Procesy Ludzie
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
Nadzór
Więcej informacji: NIST Cybersecurity Framework
14. Podsumowanie
Czynniki kształtujące wymagania dla zabezpieczeń
Struktura Systemu Bezpieczeństwa Informacji (SBI)
• Powszechnie popełniane błędy
• Rekomendacje
14
Najwięcej problemów generują:
• Bezczynność. Brak podejmowania inicjatyw w
obszarze bezpieczeństwa, statystycznie jest bardziej
kosztowny niż nieumiejętnie przeprowadzone
wdrożenie
• Brak decyzyjności. Delegowanie obowiązków i
odpowiedzialności na pracowników niższego
szczebla. CISO powinien być umocowany pod
zarządem.
• Brak odpowiedzialności. Pozwalanie managerom
na zrzucanie całej odpowiedzialności w zakresie
oceny ryzyka na kilku „ekspertów”. CISO jest
doradcą, nie wykonawcą.
• „Zamykanie” bezpieczeństwa w obszarze IT.
Przeświadczenie, że popularne, drogie systemy
informatyczne = bezpieczne informacje.
15. Podsumowanie
Czynniki kształtujące wymagania dla zabezpieczeń
Struktura Systemu Bezpieczeństwa Informacji (SBI)
Powszechnie popełniane błędy
• Rekomendacje
15
Planowanie:
• Projektując model zabezpieczeń skup się na
znalezieniu najprostszego, skutecznego sposobu
rozwiązania najważniejszych problemów.
• Nie wszystko musisz zlecać na zewnątrz. Postaw na
zaufanych doradców. Doświadczenie zdobyte w
ramach pracy własnej zaowocuje w przyszłości.
• Umiejętność zarządzania bezpieczeństwem
informacji wchodzi do kanonu podstawowej wiedzy
managerskiej.
16. Podsumowanie
Czynniki kształtujące wymagania dla zabezpieczeń
Struktura Systemu Bezpieczeństwa Informacji (SBI)
Powszechnie popełniane błędy
• Rekomendacje
16
Zalecane kryteria doboru doradców:
• Duża szczegółowość i zakres wstępnej analizy
potrzeb – kierowanie się jedynie zaleceniami
regulatora jest niewystarczające.
• Zakres ekspertyzy – wybierz dostawcę łączącego
kompetencje prawne, organizacyjne i technologiczne.
• „Lekkość rozwiązania” – niskie koszty utrzymania,
niewielkie obciążenie istniejących procesów i
kierowanie się wyraźnymi priorytetami