Promašaji u upravljanju IT sigurnosti Ratko Štibrić Direktor IT.inteligentne tehnologije www.it.hr
sponzori konferencije pokrovitelji konferencije medijski pokrovitelji organizatori konferencije
Što je vaš “core” business? <ul><li>Pitanje nije namijenjeno IT tvrtkama! </li></ul><ul><li>Što je “ CORE ” business banka...
Sadržaj <ul><li>Uvod </li></ul><ul><li>Ljudi </li></ul><ul><li>IT kultura  </li></ul><ul><li>Kritični problemi </li></ul><...
Uvod <ul><li>Informatika je dugo godina bila apsolutno  cool  posao (čak i za ljude koji se ne smatraju tehnološkim geekov...
Security Management? <ul><li>Procesi </li></ul><ul><li>Politike, standardi, procedure, upute </li></ul><ul><li>Upravljanje...
Upravljanje rizicima <ul><li>Osnovni alat za upravljanje sigurnosti </li></ul><ul><li>Nažalost često tek dolazi na kraju (...
Trendovi <ul><li>Slijepo praćenje trendova u IT-u </li></ul><ul><li>Više se vjeruje Gartneru nego vlastitom IT timu </li><...
Osnovni problemi Nemotiviranost Nedostatak vremena  nedovoljno znanja Premalo ljudi (ili loša organizacija IT-a) Loš manag...
Promjene <ul><li>Organizacijske promjene? </li></ul><ul><li>Moguća promjena <--> nemoguća promjena </li></ul><ul><li>Razlo...
IT zaposlenici <ul><li>Sistemaši </li></ul><ul><li>Programeri </li></ul><ul><li>Mrežaši </li></ul><ul><li>Služba za korisn...
Ulaganje u kvalitetne informatičare? <ul><li>Ili korištenje vanjskih usluga za svaku sitnicu? </li></ul><ul><li>Outsourcin...
IT manageri <ul><li>Background: </li></ul><ul><li>IT iskustvo =  izostanak  vještina potrebnih za upravljanje ljudima </li...
Korisnici <ul><li>Manjak edukacije </li></ul><ul><li>Nedostatak želje za učenjem (i nedostatak batine) </li></ul><ul><li>I...
Aplikacije i razvoj <ul><li>Mamuti (banke na prvom mjestu) </li></ul><ul><li>Totalno zastarjela tehnologija </li></ul><ul>...
Asset Management ( Configuration Management) <ul><li>Alati su dostupni već godinama na tržištu </li></ul><ul><li>Tvrtke ča...
Network Management <ul><li>Odvajanje mrežaša od sistemaša = najveća greška u organizaciji IT-a </li></ul><ul><li>Razdvajan...
Kontrola pristupa <ul><li>Najveća šarolikost rješenja (i ne rješenja) </li></ul><ul><li>Neovisni sustavi i imenici korisni...
Fizička sigurnost <ul><li>Jedan od najvećih problema! </li></ul><ul><li>Nevjerojatan broj izuzetaka (primjeri?) </li></ul>...
Osnovni problemi – neriješeni? <ul><li>Patch Management (Microsoft, a ostalo?) </li></ul><ul><li>Asset Management </li></u...
Jednostavna tehnološka rješenja <ul><li>Fizička sigurnost: </li></ul><ul><ul><li>NAP, IPSec </li></ul></ul><ul><li>Autenti...
IT Revizija <ul><li>Uloga revizije? </li></ul><ul><li>Previše juniora (bez ikakvog IT iskustva) </li></ul><ul><li>Audit Ch...
Zaključak <ul><li>Promjena IT kulture je dugotrajan proces </li></ul><ul><li>IT brza tehnološka rješenja- rješenje nekih k...
Pitanja? <ul><li>Kontakt: stibra@it.hr </li></ul><ul><li>Blog: http://blog.it.hr </li></ul>
Upcoming SlideShare
Loading in …5
×

Promašaji u Upravljanju IT Sigurnosti

1,914 views
1,812 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,914
On SlideShare
0
From Embeds
0
Number of Embeds
68
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Promašaji u Upravljanju IT Sigurnosti

  1. 1. Promašaji u upravljanju IT sigurnosti Ratko Štibrić Direktor IT.inteligentne tehnologije www.it.hr
  2. 2. sponzori konferencije pokrovitelji konferencije medijski pokrovitelji organizatori konferencije
  3. 3. Što je vaš “core” business? <ul><li>Pitanje nije namijenjeno IT tvrtkama! </li></ul><ul><li>Što je “ CORE ” business bankama? </li></ul><ul><li>Što je “core” business IT tvrtkama? </li></ul>
  4. 4. Sadržaj <ul><li>Uvod </li></ul><ul><li>Ljudi </li></ul><ul><li>IT kultura </li></ul><ul><li>Kritični problemi </li></ul><ul><li>Veliki sigurnosni projekti </li></ul><ul><li>Brza tehnička rješenja </li></ul><ul><li>Zaključak </li></ul>
  5. 5. Uvod <ul><li>Informatika je dugo godina bila apsolutno cool posao (čak i za ljude koji se ne smatraju tehnološkim geekovima) </li></ul><ul><li>Informatika je “prestala” biti cool posao za informatičare (i postala za one koji teško mogu naći posao u nekoj drugoj djelatnosti) </li></ul><ul><li>Informatikom se danas posredno i neposredno bave ljudi koji znaju jako malo o informatici </li></ul>
  6. 6. Security Management? <ul><li>Procesi </li></ul><ul><li>Politike, standardi, procedure, upute </li></ul><ul><li>Upravljanje rizicima </li></ul><ul><li>Kontrole </li></ul><ul><li>Tehnologija </li></ul><ul><li>Dokumentacija IT sustava </li></ul><ul><li>IT Kultura </li></ul><ul><li>Edukacija </li></ul>
  7. 7. Upravljanje rizicima <ul><li>Osnovni alat za upravljanje sigurnosti </li></ul><ul><li>Nažalost često tek dolazi na kraju (nakon implementacije IT sustava, sigurnosnih projekata i ulaganja) </li></ul><ul><li>Fokus na detalje, umjesto na kritične stvari </li></ul><ul><li>Fokus na proces, umjesto na rezultate </li></ul><ul><li>Teško zaživi kao uobičajena disciplina (ah, pa to smo već napravili) </li></ul><ul><li>Procjena vjerojatnosti:100% ili težnja prema 0% </li></ul>
  8. 8. Trendovi <ul><li>Slijepo praćenje trendova u IT-u </li></ul><ul><li>Više se vjeruje Gartneru nego vlastitom IT timu </li></ul><ul><li>Virtualizacija </li></ul><ul><ul><li>Zašto niste još virtualizirali sve servere? </li></ul></ul><ul><ul><li>Koliki je omjer godišnjeg rasta broja servera u virtualnoj okolini i rasta prije virtualizacije? </li></ul></ul>
  9. 9. Osnovni problemi Nemotiviranost Nedostatak vremena nedovoljno znanja Premalo ljudi (ili loša organizacija IT-a) Loš management
  10. 10. Promjene <ul><li>Organizacijske promjene? </li></ul><ul><li>Moguća promjena <--> nemoguća promjena </li></ul><ul><li>Razlozi: </li></ul><ul><ul><li>Nedostatak volje </li></ul></ul><ul><ul><li>Navike je teško mijenjati </li></ul></ul><ul><ul><li>Nema resursa (vremena i ljudi) </li></ul></ul><ul><ul><li>Nema entuzijazma </li></ul></ul><ul><li>Potrebno VRIJEME </li></ul>
  11. 11. IT zaposlenici <ul><li>Sistemaši </li></ul><ul><li>Programeri </li></ul><ul><li>Mrežaši </li></ul><ul><li>Služba za korisnike </li></ul><ul><li>Management </li></ul><ul><li>Timovi? </li></ul>
  12. 12. Ulaganje u kvalitetne informatičare? <ul><li>Ili korištenje vanjskih usluga za svaku sitnicu? </li></ul><ul><li>Outsourcing IT-a? </li></ul><ul><li>Nezainteresiranost mladih ljudi za učenje? </li></ul><ul><li>Nezainteresiranost starih informatičara za učenje? Promjene?  </li></ul>
  13. 13. IT manageri <ul><li>Background: </li></ul><ul><li>IT iskustvo = izostanak vještina potrebnih za upravljanje ljudima </li></ul><ul><li>Management iskustvo = nizak nivo znanja IT-a </li></ul><ul><li>Bez iskustva - možda i nije takva katastrofa </li></ul><ul><li>Što je bolje? </li></ul>
  14. 14. Korisnici <ul><li>Manjak edukacije </li></ul><ul><li>Nedostatak želje za učenjem (i nedostatak batine) </li></ul><ul><li>Izvlačenje na staru izreku “ja to ne moram znati” </li></ul><ul><li>Management općenito - nemogućnost komunikacije sa IT-om i usklađivanje poslovanja i IT-a ( nedostatak IT znanja ) </li></ul>
  15. 15. Aplikacije i razvoj <ul><li>Mamuti (banke na prvom mjestu) </li></ul><ul><li>Totalno zastarjela tehnologija </li></ul><ul><li>Migracija ili pisanje iz početka? </li></ul><ul><li>Ponos </li></ul><ul><li>Programeri - kritičan nedostatak sistemskih znanja </li></ul><ul><li>Da li ste svojim programerima kupili neku knjigu o pisanju sigurnog koda? </li></ul>
  16. 16. Asset Management ( Configuration Management) <ul><li>Alati su dostupni već godinama na tržištu </li></ul><ul><li>Tvrtke čak imaju i kupljenje licence (SCCM 2007 npr.) </li></ul><ul><li>Za implementaciju osnovnih alata na 2000 računala potrebno mjeseca dana u totalno nesređenoj okolini uz svakodnevni posao </li></ul><ul><li>Izuzeci, izuzeci, izuzeci, izuzeci … </li></ul>
  17. 17. Network Management <ul><li>Odvajanje mrežaša od sistemaša = najveća greška u organizaciji IT-a </li></ul><ul><li>Razdvajanje kritičnih funkcija koje se isprepleću u cijelom IT sustavu: </li></ul><ul><ul><li>Authentikacija </li></ul></ul><ul><ul><li>Nadzor i upravljanje </li></ul></ul><ul><ul><li>Kontrola pristupa </li></ul></ul><ul><ul><li>Enkripcija </li></ul></ul><ul><li>Nezainteresiranost izvan svoje specijalizacije </li></ul>
  18. 18. Kontrola pristupa <ul><li>Najveća šarolikost rješenja (i ne rješenja) </li></ul><ul><li>Neovisni sustavi i imenici korisnika </li></ul><ul><li>Ogroman broj lozinki </li></ul><ul><li>Izuzeci, izuzeci, izuzeci </li></ul>
  19. 19. Fizička sigurnost <ul><li>Jedan od najvećih problema! </li></ul><ul><li>Nevjerojatan broj izuzetaka (primjeri?) </li></ul><ul><li>Privid fizičke sigurnosti </li></ul><ul><li>Problemi u procesima, edukaciji zaposlenika </li></ul>
  20. 20. Osnovni problemi – neriješeni? <ul><li>Patch Management (Microsoft, a ostalo?) </li></ul><ul><li>Asset Management </li></ul><ul><li>Lozinke? </li></ul><ul><li>Desktop Management? </li></ul><ul><li>Fizička sigurnost? </li></ul><ul><li>Backup  ok, to se radi uglavnom, ali testiranje oporavka (skoro nikad?) </li></ul><ul><li>Edukacija korisnika </li></ul>
  21. 21. Jednostavna tehnološka rješenja <ul><li>Fizička sigurnost: </li></ul><ul><ul><li>NAP, IPSec </li></ul></ul><ul><li>Autentikacija: </li></ul><ul><ul><li>Certifikati </li></ul></ul><ul><li>Desktop problemi: </li></ul><ul><ul><li>Jedinstvena konfiguracija </li></ul></ul><ul><ul><li>AD Group Policy </li></ul></ul><ul><li>Alati za nadzor i assessment </li></ul>
  22. 22. IT Revizija <ul><li>Uloga revizije? </li></ul><ul><li>Previše juniora (bez ikakvog IT iskustva) </li></ul><ul><li>Audit Charter? Ako i postoji, samo formalno </li></ul><ul><li>Prekratko kod klijenta </li></ul><ul><li>Interna revizija - premalo znanja za reviziju IT-a, uglavnom fokus samo na elemente IT-a, npr. rad aplikacija </li></ul>
  23. 23. Zaključak <ul><li>Promjena IT kulture je dugotrajan proces </li></ul><ul><li>IT brza tehnološka rješenja- rješenje nekih kritičnih sigurnosnih rizika - potrebno samo malo znanja i volje </li></ul><ul><li>Mrkva i batina za IT (za kritične rizike) </li></ul><ul><li>Odnos ulaganja u velike sigurnosne projekte i mala tehnološka rješenja </li></ul>
  24. 24. Pitanja? <ul><li>Kontakt: stibra@it.hr </li></ul><ul><li>Blog: http://blog.it.hr </li></ul>

×