В докладе рассказывается о риск-ориентированном подходе к стратегическому управлению информационной безопасностью на примере крупной горно-металлургической компании
Доклад на конференции Fintech PLUS Forum 2023 в Алматы (Казахстан), посвященный неочевидным вопросам применения Agile в сфере информационной безопасности
С широко закрытыми глазами - риск-ориентированный подход к миграции в облакаVsevolod Shabad
Миграция в облака давно перестала быть хайпом - агитировать в пользу такой миграции уже незачем, почти все аргументы повторялись уже много раз.
Похоже, что на фоне множества аргументов в пользу миграции почти потерялись аргументы против нее. Зачастую, миграцией в облака движет мода, а отказом от миграции движут страхи и предубеждения.
Риск-ориентированный подход позволяет на основе трезвых оценок принять решение, мигрировать ли в публичное облако, строить частное и мигрировать в него, или отказаться от миграции и сосредоточиться на других задачах.
Доклад на конференции Fintech PLUS Forum 2023 в Алматы (Казахстан), посвященный неочевидным вопросам применения Agile в сфере информационной безопасности
С широко закрытыми глазами - риск-ориентированный подход к миграции в облакаVsevolod Shabad
Миграция в облака давно перестала быть хайпом - агитировать в пользу такой миграции уже незачем, почти все аргументы повторялись уже много раз.
Похоже, что на фоне множества аргументов в пользу миграции почти потерялись аргументы против нее. Зачастую, миграцией в облака движет мода, а отказом от миграции движут страхи и предубеждения.
Риск-ориентированный подход позволяет на основе трезвых оценок принять решение, мигрировать ли в публичное облако, строить частное и мигрировать в него, или отказаться от миграции и сосредоточиться на других задачах.
Infrastructure optimization for seismic processing (eng)
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в крупной ГМК
1. Всеволод Шабад
+7 777 726 4790
vsevolod.shabad@erg.kz
Опыт разработки стратегии ИБ
и киберзащиты производственной
инфраструктуры в крупной ГМК
2. 2
ERG сегодня: одна из крупнейших международных горно-металлургических компаний полного
цикла с диверсифицированным продуктовым портфелем
§ Представлена более 75 000 человек в 15 странах
Азии, Европы, Африки и Латинской Америки – один
из основных работодателей в мировом горно-
металлургическом комплексе
§ Продукция Группы поставляется в более чем 40
стран
Ферросплавы Железная руда
Глинозем и алюминий Энергетика
Логистика
Прочие цветные металлы (медь и кобальт –
профильные активы)
§ ERG (Евразийская Группа) является ведущей
диверсифицированной компанией в сфере
добычи и переработки природных ресурсов с
интегрированными энергетическими,
транспортными и маркетинговыми операциями
§ Головной офис расположен в Великом
Герцогстве Люксембург. Правительство
Республики Казахстан является основным
акционером ERG (доля 40%)
Китай
Россия
Европа
Африка
Бразилия
Казахстан
Люксембург
§ Одна из наиболее диверсифицированных горно-
металлургических компаний со сбалансированным
продуктовым портфелем, который включает в себя
черные и цветные металлы и энергетический бизнес
§ Конкурентоспособность по издержкам: самый
низкозатратный производитель высокоуглеродистого
феррохрома в мире; в нижнем квартиле мировой
кривой издержек по производству алюминия; один из
наиболее низкозатратных производителей меди и
кобальта в мире
3. 3
3
ERG в Казахстане
Основные производственные активы ERG
находятся в Казахстане. ERG сегодня это:
§ Около 60 тыс. сотрудников в РК
§ 16 предприятий
§ Треть ГМК страны.
§ Один из крупнейших производителей
электроэнергии (занимает 17% рынка страны)
4. 4
Коротко обо мне: международный осьминог
IT OT Security
Cloud
Technologies
Risk
Management
Compliance
Data Science
& ML
Project
Management
Culture
Changes
Fraud
Prevention
🇷🇸 🇧🇬
🇸🇬
🇹🇷
Cybersecurity
🇬🇧 🇮🇱
🇷🇺 🇰🇿
6. 6
Нынешние неспокойные времена
• Нестабильность экономики
• Пандемия COVID-19
• «Горячий» конфликт России с Украиной
• «Холодный» конфликт США с Китаем
• Технологические инновации
• Взлет хайпа ChatGPT
• Падение хайпа криптовалют
• Переход биткойна на Proof-of-Stake
• Организационные изменения
7. 7
Зачем вообще нужна стратегия?
Фиксация ожиданий
Выбор приоритетов
Согласованность действий
8. 8
Выбор приоритетов: активы
Ключевой показатель – ALE (Annual Loss Exposure)
Первая итерация:
•SLE – максимальный возможный ущерб по данным сюрвейерских отчетов
•ARO – единица (выбран произвольно)
Вторая и последующие итерации:
•SLE – пентест АСУТП + сценарное моделирование
•ARO – кол-во срабатываний незадублированных контролей ИБ
ALE = SLE * ARO
9. 9
Выбор приоритетов: контроли ИБ
Инвентаризация улучшений – мозговой штурм
Приоритизация улучшений – кумулятивное голосование
экспертной группы
Для реализации выбираются улучшения с максимальным
приоритетом:
•квартальный цикл – одно большое улучшение
•месячный цикл – три малых улучшения параллельно
(девять за квартал)
Оценка результатов улучшений экспертной группой
10. 10
Кто входит в экспертную группу?
ИБ
АСУТП / КИПиА
ИТ
СБ
Рисковики
Производственники
11. 11
Как добиваться результатов без власти?
Находить win-win решения
Слушать и слышать стейкхолдеров
Вовлекать стейкхолдеров
в соавторство
12. 12
Практический пример: внедрение PAM
Проблема:
•полная изоляция АСУТП невозможна, когда внедряется MES-система
•устаревшие хосты АСУТП не поддерживают MFA
•инженеры АСУТП записывают длинные пароли на бумажках
Решение:
•…
•внедрение бастион-хоста с Privileged Access Management software и MFA
•…
Win-win:
•повышение безопасности
•упрощение администрирования
•сокращение производственных издержек