SECURITY &COMPLIANCEJaké jsou hlavní výzvy při zaváděníefektivních strategií Informačníbezpečnosti a související shodyFS-T...
Agenda• Současná situace a zní vyplývající rizika k řešení• Efektivní principy řešení umožňující docílení opakující secomp...
Současná situace a z ní vyplývající rizika• Požadavky na regulaci a prosazení shody generují vysoké nároky načas a pracovn...
Současná situace a z ní vyplývající rizika• Častá „obnova“ pracovní síly za „levnější“ => nárůst rizik a souvisléoperativy...
Principy řešení                                  Org               Role             Legislativa,      struktura         Ma...
Principy řešení – řízení rolíSECURITY & COMPLIANCE           duben 2012Pavel Marťák                             6
Principy řešení – ochrana informacíŘízení Rolí                          Řízení Přístupů                           SoD     ...
Principy řešení – SIEM a testování compliance                                                                             ...
Jak lze změřit bezpečnostPwC
Jak lze změřit bezpečnost• Výchozí veličiny Bezpečnosti = Důvěrnost, Dostupnost, Integrita ajejich VYVÁŽENÁ hodnota.• Vstu...
Jak lze měřit bezpečnost                                             Vstupy                                             • ...
ROI na bezpečnost?                      Cena nic                      nedělání              ROI                           ...
Dotazy?SECURITY & COMPLIANCE             duben 2012PwC                                       13
Upcoming SlideShare
Loading in …5
×

Pavel Marťák: Security & compliance: jaké jsou pro it managery při zavádění efektivních strategií security a compliance hlavní výzvy

738 views

Published on

Výzvy řízení informační bezpečnosti a shody s bezpečnostní politikou
Investice vs. rizika
Lze lépe a efektivněji realizovat bezpečností strategii?
Je možné docilovat opakované shody s požadavky na řízení
a budování systému informační bezpečnosti?

Published in: Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
738
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Pavel Marťák: Security & compliance: jaké jsou pro it managery při zavádění efektivních strategií security a compliance hlavní výzvy

  1. 1. SECURITY &COMPLIANCEJaké jsou hlavní výzvy při zaváděníefektivních strategií Informačníbezpečnosti a související shodyFS-TECH duben 2012Pavel Marťák, CISSP
  2. 2. Agenda• Současná situace a zní vyplývající rizika k řešení• Efektivní principy řešení umožňující docílení opakující secompliance/shody v informační bezpečnosti• Náklady na řešení versus rizika, měření bezpečnostiSECURITY & COMPLIANCE duben 2012Pavel Marťák 2
  3. 3. Současná situace a z ní vyplývající rizika• Požadavky na regulaci a prosazení shody generují vysoké nároky načas a pracovní sílu – snížení produktivity a nárůst nákladů• „Krize“ se stala realitou a za všelék se považuje snižování nákladů –redukce pracovní síly, minimální vůle investovat, ROI je základ všechinvestic• Instituce z důvodů „krize“minimalizují zaměstnanecké programy aredukují pracovní sílu. Vytváří se tím velmi nízká míra loajality anegativní motivace zaměstnanců (únik intelektuálního vlastnictví)• Tlak na cenu práce => Otázka kvality náboru zaměstnanců• Obecný přístup: Řešení má vést k úspoře (automatizace) – Modelovýpříklad na ROI je velké plus, zjištění základních parametrů organizace arámcový příklad kolik získá/ušetří je zpráva která se těžko ignorujeSECURITY & COMPLIANCE duben 2012Pavel Marťák 3
  4. 4. Současná situace a z ní vyplývající rizika• Častá „obnova“ pracovní síly za „levnější“ => nárůst rizik a souvisléoperativy (vytváření a rušení uživatelských účtů, změna přístupovýchpráv …)• Málokdy je rolím CSO nebo Security Manager apod. k dispozicidedikovaný rozpočet na bezpečnost a je nutné žádat o každou investicizvláště• Na CEE trhu neexistuje jednoznačná a vynucovaná regulace plněpodporující aspekty informační bezpečnosti. Ve finančních institucíchjsou k dispozici vyhlášky regulátora trhu (ČR - ČNB – vyhláška123/07, §13,16,32,33,34).SECURITY & COMPLIANCE duben 2012Pavel Marťák 4
  5. 5. Principy řešení Org Role Legislativa, struktura Management Předpisy, Pol Model Rolí itiky SoD IAM, OS/DB/Appl hardening Organizace Řízení Přístupu Network bezpečnosti access control Information Ochrana Procesy, Proc loss Informací edury prevention systems Identifikování a zpracování Infrastruktura bezpečnostních SIEM událostí Prostředí Compliance Opatření požadavkySECURITY & COMPLIANCE duben 2012Pavel Marťák 5
  6. 6. Principy řešení – řízení rolíSECURITY & COMPLIANCE duben 2012Pavel Marťák 6
  7. 7. Principy řešení – ochrana informacíŘízení Rolí Řízení Přístupů SoD compliance Politiky, worflow, prev BPR, SoD entivní kontrolySECURITY & COMPLIANCE duben 2012Pavel Marťák 7
  8. 8. Principy řešení – SIEM a testování compliance OchranaŘízení Rolí Řízení Přístupů SoD informací compliance Řízení toku – preventivní Politiky, worflow, prev opatření, monitorování, s BPR, SoD entivní kontroly chvalování Compliance kampaně Reporty aplikací, OS, databází a privilegovaných účtů •Bezpečnostní Infrastruktura vzdělávání síťových prvků Monitorování Monitorování •Certifikační kampaně Incident Management •Revize přístupu Systémy, Aplikace, Datab uživatelů áze, Síťové prvky Complince reportingSECURITY & COMPLIANCE duben 2012Pavel Marťák 8
  9. 9. Jak lze změřit bezpečnostPwC
  10. 10. Jak lze změřit bezpečnost• Výchozí veličiny Bezpečnosti = Důvěrnost, Dostupnost, Integrita ajejich VYVÁŽENÁ hodnota.• Vstupy Reporty z IAM , Risk managementu, SIM, Počty odstáveksystémů a souvisejících incidentů …• Implementace vnitřních procesních metrik => SLA• Výstupy z Penetračních testů, Auditu, Analýz Rizik PwC
  11. 11. Jak lze měřit bezpečnost Vstupy • Plnění SLA • Výsledky Auditu, Pen testů, AR • Počet zachycených/zaznamenaných hrozeb • Výstupy z reportů SIM, RM, IAM, CM • % úspěšnosti bezpečnostního vzdělávání Definované váhy SLA 10 30 Audit, AR ... 15 15 Hrozby 30 Reporty bezpečnostní vzdělávání • % Dostupnost C • % Důvěrnost I • % Integrity APwC
  12. 12. ROI na bezpečnost? Cena nic nedělání ROI Xxxx $$ Kvantitativní Cena  Analýza rizik investicPwC
  13. 13. Dotazy?SECURITY & COMPLIANCE duben 2012PwC 13

×