Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Informacje na temat zagrożeń i możliwości rozwiązywania problemów z cyberbezpieczeństwem w chmurze. Zapraszamy do zapoznania się z ramami prawnymi i wyzwaniami związanymi z cyberbezpieczeństwem.
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PROIDEA
Sebastian Pasternacki – Inżynier sieciowy i systemowy z 15 letnim doświadczeniem na rynku IT. Od połowy 2011 pracuje w Cisco Systems Polska, początkowo w Technicznej Organizacji Partnerskiej zajmując się wsparciem, rozwojem i edukacją techniczną partnerów Cisco Systems z całej Polski, od połowy 2013 roku jako konsultant systemowy w dziale Enterprise Networks skupiający się na rozwiązaniach i usługach oferowanych przez routery, a od maja 2014 jako Architekt Rozwiązań Sieciowych. Poprzednio zdobywał doświadczenie w Polsce i Irlandii pracując jako inżynier i konsultant sieciowy dla firm integracyjnych takich jak British Telecom, PlanNet21 i NextiraOne. Specjalizuje się w rozwiązaniach Enterprise z zakresu Routing & Switching, Security oraz Mobility. Posiadacz wielu certyfikatów branżowych, w tym poczwórny CCIE #17541 R&S/SEC/SP/Wireless oraz CCDE #2012::9. Prywatnie entuzjasta rocka i metalu oraz pikantnej orientalnej kuchni, fan przerzucania żelastwa na siłowni oraz ostatnio miłośnik sztuki przemawiania publicznego.
Temat prezentacji: Standard 802.11e, a usługi multimedialne w sieciach bezprzewodowych
Język prezentacji: Polski
Abstrakt: Sieci bezprzewodowe są powszechnie używaną metodą dostępu do sieci, a wraz z mnogością używanych aplikacji i ich wymaganiami, rośnie nacisk na gwarancję jakości transmisji, zwłaszcza dla usług multimedialnych. Czy zastanawialiście się kiedyś w jaki sposób i jakimi mechanizmami można zapewnić oczekiwaną jakość usługi? Odpowiedź leży w standardzie 802.11e i mechanizmach, które wraz z tym standardem mogą, a często powinny być zaimplementowane. Ta sesja to wycieczka ścieżką wytyczoną poprzez mechanizmy kontroli dostępu do medium transmisyjnego, klasyfikację i oznaczanie różnych typów ruchu, zwieńczona istotną tematyką oszczędności energii.
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PROIDEA
Robert Ślaski – Chief network consultant at Atende S.A., with 15 years experience in ICT, responsible for most demanding and challenging company projects within operator networks and mobile technologies – i.e. for ATMAN, T-Mobile, Polkomtel, OST112. The Cisco Certified Internetwork Expert CCIE #10877 (Routing & Switching and Security).
Topic of Presentation: NFV, Virtualise networks or die – the voice of the realist
Language: Polish
Abstract: Currently we are on the leading edge of NFV (Network Function Virtualization) hype, but what does it entirely mean? Is the network element virtualization concept a quite new one? Does it mean the same as SDN? When it makes sense, when it is a salvation, and when it would probably fail? For the SP or for the enterprise? An introduction to the topic and a couple of unanswered questions.
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PROIDEA
Andrzej Karpiński – TBD
Temat prezentacji: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.
Język prezentacji: Polski
Abstrakt: Orange posiada największą ilość abonentów w Polsce, i w związku z tym największą infrastrukturę sieciową w kraju. Sieć Orange, podobnie jak sieci innych operatorów, jest obiektem ataków DDoS. W naszej prezentacji chcielibyśmy omówić problematykę związaną z atakami DDoS w skali takiego operatora w praktyce, oraz opowiedzieć o tym, jak próbujemy sobie z tym na co dzień radzić. Prezentacja byłaby podzielona na dwie części – w pierwszej zaprezentowalibyśmy przykładowe ataki i ich wpływ na usługi i klientów, z rozbiciem na kategorie: usługi mobilne, usługi szerokopasmowe kablowe i segment klientów premium (biznes, łącza międzyoperatorskie). Parę słów trzebaby także powiedzieć na temat wpływu ataków na samą infrastrukturę sieci (przeciążenia routerów, firewalli, łączy wewnątrz sieci Orange). W drugiej części pokazalibyśmy co operator może z tego typu atakami robić dziś, i jakie są pomysły i oczekiwania w zakresie przyszłości. Prezentacja nie będzie pokazywała żadnego konkretnie komercyjnego produktu sprzedawanego przez Orange, będą to raczej ogólnosieciowo-rynkowe rozważania na temat metod podejścia do takich problemów. Myślę, że ciekawe i ogólnorozwojowe dla dość szerokiego grona słuchaczy.
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PROIDEA
Piotr Kupisiewicz – Technical Expert in Krakow’s TAC VPN team. In IT for more than 10 years, out of which 5 years is mostly software engineering experience. Last 5 years spent mostly in networking area interested mostly in Network Security. His hobby are drums and very heavy music. CCIE Security 39762.
Olivier Pelerin – as a key member of the escalation team at Cisco’s Technical Assistance Center, he handles world-wide escalations on VPN technologies pertaining to IPSEC, DMVPN, EzVPN, GetVPN, FlexVPN, PKI. Olivier has spent years troubleshooting and diagnosing issues on some of largest, and most complex VPN deployments Olivier have a CCIE in security #20306
Topic of Presentation: Make IOS-XE Troubleshooting Easy – Packet-Tracer
Language: English
Abstract: “IOS-XE is operating system running on Service Provider devices like ASR series and ISR-4451. Aim of this session is to show how very complicated Service Provider’s configurations can be easily troubleshoted using packet-tracer tool.”
Analizując systemy chroniące przed utratą danych, wciąż można trafić na poważne luki. Tymczasem, istnieje kilka stosunkowo prostych sposobów pozwalających na podniesienie bezpieczeństwa informacji i dopełnienie wymogów formalnych.
Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL o tym, jak w praktyce działa centrum cyberbezpieczeństwa (Security Operations Center). Prezentacja miała miejsce podczas październikowych warsztatów EXATEL InTECH Day.
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiPawel Wawrzyniak
A presentation on data centre services management from "New Generation Data Centre" conference in Warsaw, March 30, 2015 (please note that the presentation is in Polish).
Informacje na temat zagrożeń i możliwości rozwiązywania problemów z cyberbezpieczeństwem w chmurze. Zapraszamy do zapoznania się z ramami prawnymi i wyzwaniami związanymi z cyberbezpieczeństwem.
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PROIDEA
Sebastian Pasternacki – Inżynier sieciowy i systemowy z 15 letnim doświadczeniem na rynku IT. Od połowy 2011 pracuje w Cisco Systems Polska, początkowo w Technicznej Organizacji Partnerskiej zajmując się wsparciem, rozwojem i edukacją techniczną partnerów Cisco Systems z całej Polski, od połowy 2013 roku jako konsultant systemowy w dziale Enterprise Networks skupiający się na rozwiązaniach i usługach oferowanych przez routery, a od maja 2014 jako Architekt Rozwiązań Sieciowych. Poprzednio zdobywał doświadczenie w Polsce i Irlandii pracując jako inżynier i konsultant sieciowy dla firm integracyjnych takich jak British Telecom, PlanNet21 i NextiraOne. Specjalizuje się w rozwiązaniach Enterprise z zakresu Routing & Switching, Security oraz Mobility. Posiadacz wielu certyfikatów branżowych, w tym poczwórny CCIE #17541 R&S/SEC/SP/Wireless oraz CCDE #2012::9. Prywatnie entuzjasta rocka i metalu oraz pikantnej orientalnej kuchni, fan przerzucania żelastwa na siłowni oraz ostatnio miłośnik sztuki przemawiania publicznego.
Temat prezentacji: Standard 802.11e, a usługi multimedialne w sieciach bezprzewodowych
Język prezentacji: Polski
Abstrakt: Sieci bezprzewodowe są powszechnie używaną metodą dostępu do sieci, a wraz z mnogością używanych aplikacji i ich wymaganiami, rośnie nacisk na gwarancję jakości transmisji, zwłaszcza dla usług multimedialnych. Czy zastanawialiście się kiedyś w jaki sposób i jakimi mechanizmami można zapewnić oczekiwaną jakość usługi? Odpowiedź leży w standardzie 802.11e i mechanizmach, które wraz z tym standardem mogą, a często powinny być zaimplementowane. Ta sesja to wycieczka ścieżką wytyczoną poprzez mechanizmy kontroli dostępu do medium transmisyjnego, klasyfikację i oznaczanie różnych typów ruchu, zwieńczona istotną tematyką oszczędności energii.
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PROIDEA
Robert Ślaski – Chief network consultant at Atende S.A., with 15 years experience in ICT, responsible for most demanding and challenging company projects within operator networks and mobile technologies – i.e. for ATMAN, T-Mobile, Polkomtel, OST112. The Cisco Certified Internetwork Expert CCIE #10877 (Routing & Switching and Security).
Topic of Presentation: NFV, Virtualise networks or die – the voice of the realist
Language: Polish
Abstract: Currently we are on the leading edge of NFV (Network Function Virtualization) hype, but what does it entirely mean? Is the network element virtualization concept a quite new one? Does it mean the same as SDN? When it makes sense, when it is a salvation, and when it would probably fail? For the SP or for the enterprise? An introduction to the topic and a couple of unanswered questions.
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PROIDEA
Andrzej Karpiński – TBD
Temat prezentacji: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.
Język prezentacji: Polski
Abstrakt: Orange posiada największą ilość abonentów w Polsce, i w związku z tym największą infrastrukturę sieciową w kraju. Sieć Orange, podobnie jak sieci innych operatorów, jest obiektem ataków DDoS. W naszej prezentacji chcielibyśmy omówić problematykę związaną z atakami DDoS w skali takiego operatora w praktyce, oraz opowiedzieć o tym, jak próbujemy sobie z tym na co dzień radzić. Prezentacja byłaby podzielona na dwie części – w pierwszej zaprezentowalibyśmy przykładowe ataki i ich wpływ na usługi i klientów, z rozbiciem na kategorie: usługi mobilne, usługi szerokopasmowe kablowe i segment klientów premium (biznes, łącza międzyoperatorskie). Parę słów trzebaby także powiedzieć na temat wpływu ataków na samą infrastrukturę sieci (przeciążenia routerów, firewalli, łączy wewnątrz sieci Orange). W drugiej części pokazalibyśmy co operator może z tego typu atakami robić dziś, i jakie są pomysły i oczekiwania w zakresie przyszłości. Prezentacja nie będzie pokazywała żadnego konkretnie komercyjnego produktu sprzedawanego przez Orange, będą to raczej ogólnosieciowo-rynkowe rozważania na temat metod podejścia do takich problemów. Myślę, że ciekawe i ogólnorozwojowe dla dość szerokiego grona słuchaczy.
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PROIDEA
Piotr Kupisiewicz – Technical Expert in Krakow’s TAC VPN team. In IT for more than 10 years, out of which 5 years is mostly software engineering experience. Last 5 years spent mostly in networking area interested mostly in Network Security. His hobby are drums and very heavy music. CCIE Security 39762.
Olivier Pelerin – as a key member of the escalation team at Cisco’s Technical Assistance Center, he handles world-wide escalations on VPN technologies pertaining to IPSEC, DMVPN, EzVPN, GetVPN, FlexVPN, PKI. Olivier has spent years troubleshooting and diagnosing issues on some of largest, and most complex VPN deployments Olivier have a CCIE in security #20306
Topic of Presentation: Make IOS-XE Troubleshooting Easy – Packet-Tracer
Language: English
Abstract: “IOS-XE is operating system running on Service Provider devices like ASR series and ISR-4451. Aim of this session is to show how very complicated Service Provider’s configurations can be easily troubleshoted using packet-tracer tool.”
Analizując systemy chroniące przed utratą danych, wciąż można trafić na poważne luki. Tymczasem, istnieje kilka stosunkowo prostych sposobów pozwalających na podniesienie bezpieczeństwa informacji i dopełnienie wymogów formalnych.
Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL o tym, jak w praktyce działa centrum cyberbezpieczeństwa (Security Operations Center). Prezentacja miała miejsce podczas październikowych warsztatów EXATEL InTECH Day.
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiPawel Wawrzyniak
A presentation on data centre services management from "New Generation Data Centre" conference in Warsaw, March 30, 2015 (please note that the presentation is in Polish).
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.
http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Deloitte Polska
Zmieniające się otoczenie prawne i zaostrzenie kar za naruszenia przepisów AML/CFT sprawia, że zapewnienie zgodności w tym obszarze staje się coraz większym wyzwaniem. Żeby mu sprostać, instytucje obowiązane, w tym m.in. banki, instytucje kredytowe, firmy ubezpieczeniowe i domy maklerskie powinny przygotować się na zmiany w sposobie zarządzania ryzykiem ML/TF. Deloitte oferuje kompleksowe wsparcie w procesie zapewnienia zgodności w obszarze AML/CFT, wykorzystując wieloletnie doświadczenie i wiedzę międzynarodowych ekspertów. Klientom dążącym do uzyskania przewagi konkurencyjnej przy jednoczesnym utrzymaniu najwyższego poziomu bezpieczeństwa, zapewniamy wsparcie we wdrożeniu innowacyjnych rozwiązań technologicznych. Zachęcamy do zapoznania się z prezentacją dotyczącą naszych usług i kontaktu.
Broszura powstała w listopadzie 2020.
Dowiedz się więcej: https://www2.deloitte.com/pl/pl/services/Forensics.html
Poznaj usługi z zakresu ochrony informacji organizacji oraz bezpieczeństwa i efektywnej pracy zdalnej. Microsoft Azure, Enterprise Mobility + Security, Operation Management Suite
Z prezentacji dowiesz się między innymi czym jest know-how, jak przebiega wycena pomysłu, co można zawrzeć w umowie o poufności (NDA) i jakie są inne mechanizmy ochrony Twojego know-how.
Fragment prezentacji firmy YetiForce dotyczącej OWASP ASVS 3.1 EA a w szczególności punktu pierwszego "1: Architektura, projektowanie i modelowanie zagrożeń".
Similar to PLNOG 13: Piotr Wojciechowski: Security and Control Policy (20)
2. ABOUT ME
¢ Senior Network Engineer MSO at VeriFone Inc.
¢ Previously Network Solutions Architect at one of top
polish IT integrators
¢ CCIE #25543 (Routing & Switching)
¢ Blogger – http://ccieplayground.wordpress.com
¢ Administrator of CCIE.PL board
— The biggest Cisco community in Europe
— Over 7500 users
— 3 admin, 5 moderators
— 58 polish CCIEs as members, 20 of them actively posting
— About 150 new topics per month
— About 1000 posts per month
— English section available
3. AGENDA
¢ Czym jest polityka bezpieczeństwa?
¢ Realizacja polityki bezpieczeństwa w IT
¢ Wdrażanie polityki bezpieczeństwa
¢ Audyty
¢ Jak stworzyć efektywną politykę bezpieczeństwa?
5. CZYM JEST POLITYKA BEZPIECZEŃSTWA?
¢ Polityka bezpieczeństwa jest:
— Zbiorem spójnych, precyzyjnych reguł i procedur wg
których dana organizacja buduje, zarządza oraz
udostępnia zasoby
— Określa chronione zasoby
— Dokumentem zgodnym z prawem
6. CZYM JEST POLITYKA BEZPIECZEŃSTWA?
¢ Co obejmuje polityka bezpieczeństwa:
— Całość zagadnień związanych z bezpieczeństwem danych
będących w dyspozycji firmy
— Nie ogranicza się jedynie do sieci komputerowej czy
systemów lecz obejmuje całość działania i procesów,
które następują w firmie
— Jest to dokument spisany
— Jest dokumentem specyficznym dla każdej korporacji –
nie ma ogólnego szablonu gotowego do zastosowania
— Musi być dokumentem znanym pracownikom
9. REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ 6 podstawowych polityk definiujących pracę działu
IT oraz osób korzystających z infrastruktury IT
¢ Odpowiedni podział obowiązków w szczególności
nadzoru i kontroli spełnienia wymogów opisanych w
polityce bezpieczeństwa
¢ Regularne audyty
10. REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ Polityka dostępu do Internetu
— Czy użytkownicy są uprawnieni do korzystania z
Internetu w celach prywatnych?
— Czy użytkownicy mogą sami ściągać i instalować
oprogramowanie?
— Jakie aplikacje są niezbędne do prawidłowego działania
korporacji i z jakich zasobów muszą korzystać?
— Jak mają być zabezpieczone komputery mające dostęp do
Internety?
— Etc…
11. REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ Polityka kontroli email i mediów społecznościowych
— Bardzo prosta metoda wycieku informacji poufnych
— Kontrola potencjalnego wycieku informacji
— Ochrona wizerunku firmy
— Pracownicy muszą być świadomi, że treść wiadomości
może być monitorowana
12. REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ Kontrola kluczy
— O fizycznych kluczach do drzwi i kłódek zapomina się
często w epoce dwustopniowego uwierzytelniania
— Kto ma klucze do szafy w serwerowni w chwili obecnej?
— Ile jest kompletów kluczy do każdego z pomieszczeń?
— Kto może pobrać klucze?
— W jaki sposób kontrolujemy czy klucze nie opuszczają
budynku celem wykonania kopi?
13. REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ Kontrola urządzeń mobilnych
— Nowoczesne urządzenia przechowują często więcej
wrażliwych informacji niż komputery pracowników
— Mobilne urządzenia są łatwym punktem, przez który
zagrożenie może przeniknąć do sieci
— Jakie urządzenia mobilne są dozwolone w naszej sieci?
— Jaką konfigurację na nich wymuszamy?
— Etc…
14. REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ Kontrola dostępu dla gości
— Polityka dotycząca postępowania z gośćmi w budynkach
biurowych i data center
¢ Punkt rejestracji gości
¢ Wymóg towarzyszenia gościom w wyznaczonych strefach
¢ Identyfikatory gościa
— Odseparowana sieć WLAN dla gości z limitowanym
dostępem do Internetu
15. REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ Non-Disclosure Agreement (NDA)
— Jasno zakomunikowana polityka pracownikom
— Jasne określenie, że ochrona informacji dotyczy zarówno
komunikacji werbalnej jak i emaili, narzędzi
społecznościowych czy komunikatorów
— Podpisanie NDA przez każdego z pracowników
17. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
¢ Scenariusz nierealny – polityka powstaje wraz z
uruchomieniem i rozwojem firmy
¢ Scenariusz prawdziwy – potrzeba biznesowa
wymusza stworzenie spójnej polityki
bezpieczeństwa
18. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
¢ Kluczowe elementy polityki bezpieczeństwa
— Bezpieczeństwo fizyczne budynków i urządzeń
— Bezpieczeństwo informacji
— Wykrywanie i przeciwdziałanie nadużyciom
— Wykrywanie oszustw
— Zarządzanie ryzykiem
— Business Continuity Planning (BCP)
— Zarządzanie w sytuacjach kryzysowych
19. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
¢ Chronione informacje i procesy najlepiej podzielić
na kategorie, które prościej będzie opisywać w
dokumentach, na przykład:
— Grupy użytkowników lub procesów – marketing, dział
sprzedaży, administracja, księgowość itp.
— Technologie – sieci, systemy, storage, backup
— Cykl życia produktu – deployment, QA, production,
support
— Elementy wewnętrzne i zewnętrzne – intranet, extranet,
WWW, VPN
20. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
¢ Gdy zidentyfikujemy obszary których ochronę
polityka bezpieczeństwa ma opisywać powinniśmy
określić grupy użytkowników, którzy wymagają
dostępu do informacji by wykonywać swoją pracę.
¢ Gdy określimy niezbędne zasoby przeprowadzamy
analizę ryzyka związaną z wykradzeniem,
uszkodzeniem lub zniszczeniem informacji
21. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
¢ Analiza ryzyka
— Skomplikowany proces zależny od formy prowadzonego
biznesu
— Powinien zawierać potencjalne scenariusze, które mogą
zagrozić prowadzonemu biznesowi i szacować koszty,
które firma poniesie, gdyby scenariusz się zrealizował
— Powinien zawierać szacunek trzech scenariuszy:
¢ Expected
¢ Worst-case
¢ Best-case
23. WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
¢ Polityka bezpieczeństwa, procedury czy wdrażane
technologie muszą być adekwatne do ryzyka,
prowadzonego biznesu oraz dostępnych środków na
ich wdrożenie i utrzymanie
¢ Analiza ROI pozwala określić, czy koszt wdrożenia
danego rozwiązania nie przekracza kosztu
scenariusza worst-case utraty danych
26. AUDYTY
¢ Czym jest audyt?
— Proces ocenienia czy przyjęta polityka bezpieczeństwa
odpowiednio chroni zasoby informacyjne korporacji
— Proces weryfikacji odpowiedniego wdrożenia i
przestrzegania przyjętej polityki
— Trzy główne obszary analizy:
¢ Audyt techniczny
¢ Ochrona fizyczna
¢ Proces zarządzania informacją
— Testy penetracyjne to nie audyt!
27. AUDYTY
¢ Audyty mogą być wewnętrzne lub zewnętrzne
¢ Audyty zewnętrzne najczęściej przeprowadzane na
potrzeby uzyskania certyfikacji produktu,
wdrożenia lub procesu.
¢ Ma na celu pokazanie słabości polityk
bezpieczeństwa i pozwolić poprawić znalezione
błędy
¢ Wykorzystywane są narzędzia automatyzujące
proces ale rola audytora jest bardzo ważna
¢ 4 etapy przeprowadzania audytu
28. AUDYTY
¢ Etap I – przygotowanie
— Wyspecyfikowanie obszarów audytu
— Zebranie dokumentacji o procesach
— Zebranie informacji o strukturze korporacji i
stanowiskach
— Zebranie informacji o zasobach sprzętowych i
programowych
— Zapoznanie się z politykami i procedurami
— Etc…
29. AUDYTY
¢ Etap II – ustalenie celów audytu
— Weryfikacja procedur związanych z krytycznymi
systemami
— Weryfikacja świadomości pracowników
— Weryfikacja procesu współpracy z podmiotami
zewnętrznymi
— Proces kontroli zmian
— Business continuity
— Etc…
30. AUDYTY
¢ Etap III – zbieranie danych do audytu
— Rozmowa z pracownikami
— Przegląd logów systemowych
— Weryfikacja wdrożenia procedur w życie
— Kontrola fizyczna obiektów czy sprzętu
— Kontrola procedur backupu i odzyskiwania danych
— Kontrola procesu niszczenia nośników
— Etc…
31. AUDYTY
¢ Etap IV – analiza danych i raport końcowy
— Podsumowanie zebranych danych
— Wyspecyfikowanie obszarów wymagających poprawy
— Wyspecyfikowanie zaleceń do poprawy
— Wykazanie obszarów niezgodności ze standardami pod
kątem których audyt był przeprowadzany
— Etc…
33. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Czym jest efektywna polityka bezpieczeństwa?
— Wiele kryteriów zależnych od charakteru prowadzonego
biznesu
— Szczegółowe wytyczne muszą uwzględniać strukturę
korporacji i podział obowiązków
— Nie może być oderwana od rzeczywistości
34. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Kryterium I
Polityka bezpieczeństwa odpowiednio definiuje cele
bezpieczeństwa przedsiębiorstwa minimalizując
ryzyko operacyjne
35. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Kryterium II
Polityka bezpieczeństwa odpowiednio zabezpiecza
przedsiębiorstwo przed naruszeniami polityki i
działaniami prawnymi osób trzecich
36. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Kryterium III
Polityka bezpieczeństwa została przedstawiona
pracownikom (także kontraktowym) pracującym na
różnych szczeblach hierarchii, jest przez nich
zrozumiała a stosowanie nadzorowane przez
przełożonych
37. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada1
— Wybierz i stosuj jedną prostą strukturę wszystkich
dokumentów definiujących politykę bezpieczeństwa
¢ Trzy typu dokumentów – polityka globalna, standardy,
procedury
¢ Jedna struktura – prościej pracować grupowo, prostszy w
odbiorze przekaz dla czytelnika
¢ Ułatwia audyt i wdrożenie narzędzi bezpieczeństwa
38. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 2
— Zapisz wszystko w dokumentach
¢ Nie zostawiaj miejsca na niedopowiedzenia czy interpretację
39. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 3
— Przypisz odpowiedzialność za poszczególne zadania z
zakresu bezpieczeństwa do konkretnych osób lub/i
stanowisk
¢ Jasność co do odpowiedzialności konkretnych osób także w
przypadku rotacji na stanowiskach
¢ Ułatwia zarządzanie dokumentem i jego aktualizację
¢ Wskazane osoby są także odpowiedzialne za egzekwowanie
przestrzegania polityki bezpieczeństwa od swoich podwładnych
¢ Audyty oparte o ISO17799 czy COBIT wymagają jasnego
przypisania ról
40. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 4
— Zastosuj jeden z dostępnych szablonów zgodnych z ISO
nieznacznie go modyfikując
¢ ISO-IEC 17799:2005 dostarcza podział na 10 domen
bezpieczeństwa możliwy do wdrożenia w każdej korporacji
¢ Podział na domeny bezpieczeństwa ułatwia przeprowadzanie
audytów spójności i kompletności stworzonych polityk
41. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 5
— Przeprowadzaj analizę ryzyka
¢ Polityka bezpieczeństwa powinna zawierać informację jak
często i w jaki sposób analiza ryzyka jest przeprowadzana
¢ Analiza ryzyka pozwala oszacować jaki poziom bezpieczeństwa
jest odpowiedni dla korporacji
¢ Dokument końcowy powinien zawierać informacje kto
akceptuje ryzyko, kto akceptuje wyjątki, jak długo one powinny
trwać, jakie narzędzia kontroli należy wdrożyć
42. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 6
— Komunikuj politykę bezpieczeństwa jasno i regularnie
¢ Często pięta achillesowa całego procesu J
¢ Pracownicy powinni nie tylko być informowani o zmianach ale
potwierdzić zapoznanie się z nimi
¢ Pracownicy i kontraktorzy muszą być świadomi i rozumieć
swoją rolę w przestrzeganiu polityki bezpieczeństwa
¢ Szkolenia z zakresu polityk bezpieczeństwa dla pracowników
43. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 7
— Zdefiniuj proces reakcji na naruszenie polityki
bezpieczeństwa i procedur
¢ Zdefiniuj czym jest naruszenie polityki
¢ Załącz procedurę raportowania naruszenia polityki oraz
postępowania w takim przypadku
¢ Powiadom pracowników o ścieżce postępowania i możliwych
konsekwencjach
44. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 8
— Przeprowadzaj audyty polityk bezpieczeństwa
¢ Regularny audyt jest wymogiem nie tylko standardów ale i
dobrej praktyki
¢ Dla standardów i procedur stwórz scenariusze testowe
pozwalające sprawdzić je w praktyce
¢ Audyt techniczny nie jest zadaniem skomplikowanym, audyt
ludzi może być nie lada wyzwaniem
45. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 9
— Automatyzuj procesy
¢ Ułatwia audyt i utrzymanie spójności polityki bezpieczeństwa
¢ Automatyzacja narzędzi dystrybucji procedur bezpieczeństwa
¢ Automatyzacja weryfikacji zapoznania się ze zmianami
¢ Automatyzacja weryfikacji wdrożenia szablonów
¢ Etc etc etc
46. JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?
¢ Zasada 10
— Czy wiesz gdzie jest najsłabsze ogniwo?