SlideShare a Scribd company logo

Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

Download as PPTX, PDF
Adam Mizerski
Adam Mizerski

Czy w dobie nowych zagrożeń „zapewniający” model audytu skoncentrowany na zgodności z compliance jest wystarczający ? A może czas na „zwinny audyt” ? W trakcie wystąpienia zostaną poruszone kwestie: - oceny opublikowanych przez Ministerstwo Cyfryzacji w styczniu br. wytycznych do audytowania systemów informatycznych - analizy ryzka jako podstawowego „narzędzia” audytora - nowych wyzwań w zakresie bezpieczeństwa (np. „shadow IT”, „łańcuchy podwykonawców” outsourcingu IT oraz modelu Cloud Computing, ocena skuteczności szkoleń dot. phishingu ) na jakie muszą być przygotowani audytorzy

Technology
1 of 42
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa adam.mizerski@isaca.katowice.pl Adam Mizerski –ksiądz -architekt
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Agenda:  klasyka gatunku/audytu  wyzwania audytu w sektorze public  wyzwania audytu w sektorze finansowym  nowe / stare wyzwania w dobie współczesnych zagrożeń
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa klasyka gatunku/audytu Roczny plan audytu Planowanie audytu w ramach tematów zaakceptowanych w rocznym planie audytów + audyty zlecone  Dobór zespołu audytowego  Ustalenie terminu audytu  Zapoznanie się z audytowanym obszarem  Ustalenie celu, zakresu i typu audytu  Ustalenie warunków audytu
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa klasyka gatunku/audytu Analiza procesów biznesowych  Analiza obszaru audytu  Identyfikacja ryzyk i oszacowanie ich poziomu Przeprowadzenie testów mechanizmów kontrolnych  Identyfikacja mechanizmów kontrolnych  Testy mechanizmów kontrolnych  Ocena adekwatności mechanizmów kontrolnych do zidentyfikowanych ryzyk Zakończenie audytu  Opracowanie raportu oraz nadzór nad realizacją zaleceń
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa klasyka gatunku/audytu - narzędzia PN-ISO/IEC 27001:2014-12 wersja polska
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa wyzwania audytu w sektorze public Zgodność z systemem prawnym § § §
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa https://openclipart.org/detail/18269/crow-flying-down https://openclipart.org/detail/192510/2-fliegende-kraehen K R I K r A K r A
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa http://www.itsecurity24.info
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa http://www.itsecurity24.info
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji: http://www.itsecurity24.info
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa NIK objął kontrolą 24 urzędy, a badanie PTI realizowane w postaci ankiety w formie wniosku o udostępnienie informacji publicznej objęło 339 urzędów.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wytyczne dla audytu działania systemów teleinformatycznych używanych do realizacji zadań publicznych
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa 4. Obszary kontroli Kontrola powinna objąć następujące główne obszary: Wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną. Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych. Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:  nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);  nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);  nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki Ilość organizacji bez wdrożonej procedury Wdrażanie aktywów Eksploatacja aktywów Testowanie aktywów Wycofanie aktywów Tabela 9. Procedury wdrożone w badanych urzędach Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:  nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);  nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§ 20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);  nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);  nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);  nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:  nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);  nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);  nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);  nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa (…) pozytywną ocenę BI może uzyskać system posiadający mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzający dane powszechnie dostępne). Jednocześnie ocenę negatywną może uzyskać system posiadający znaczną liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych całkowity ich brak.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa wyzwania audytu w sektorze finansowym Zgodność z systemem prawnym – tak, ale przede wszystkim: Zarządzanie ryzykiem
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa wyzwania audytu w sektorze finansowym Zgodność z systemem prawnym – tak, ale przede wszystkim: Zarządzanie ryzykiem Współczesne bezpieczeństwo opera się na zarządzaniu ryzykiem czyli na adekwatnym doborze zabezpieczeń do zidentyfikowanych i ocenionych ryzyk uwzględniających ich prawdopodobieństwo i skutek
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Czy wasz dział IT świadczy usługi IT na ustalonym poziomie OLA/SLA ?
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Czy wasz dział IT świadczy usługi IT na ustalonym poziomie OLA/SLA ? świadomie i udokumentowanie zarządza ryzykiem ?
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń „Shadow IT” – nieautoryzowane IT w organizacji  Cloud Computing  outsourcing IT  „łańcuchy podwykonawców”  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń monitoring IP (shodan.io)  w październiku 2015 r. eksperci odnotowali ogromną liczbę żądań HTTP (do 20 000 żądań na sekundę) pochodzących z kamer telewizji przemysłowej. Badacze zidentyfikowali około 900 kamer na świecie, które tworzyły botnet wykorzystywany do ataków DDoS. http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence _dla_iv_kwartalu_2015_roku.html  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Malware  Od 8 lat liczba malware wzrasta o 100%  0-day  skuteczność AV https://www.av-test.org/en/statistics/malware/  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Malvertising  http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i- zaserwowal-zlosliwa-reklame-54144  http://sekurak.pl/popularne-serwisy-internetowe- infekowaly-wirusami-ransomware/ msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Phishing - > APT  Jak chronić „najwyższe kierownictwo” ?  Jak ocenić szkolenia z zakresu bezpieczeństwa ?  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń BYOD Internet of Things  ???  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Materializacja ryzyka związanego z malware po stronie klienta w kontekście ryzyka prawnego Banku:  Sygn. akt I C 1908/14 - http://orzeczenia.ms.gov.pl/content/$N/15251000000050 3_I_C_001908_2014_Uz_2016-02-08_001  Sygn. akt I C 307/15 - http://orzeczenia.ms.gov.pl/content/$N/15251000000050 3_I_C_000307_2015_Uz_2016-01-15_001
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa 1908/14 Powód logował się na stronę banku ze służbowego laptopa marki A., na którym zainstalowany był legalny system operacyjny oraz oprogramowanie antywirusowe ArcaVir dostarczane przez pracodawcę powoda. Powód czytał komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku. (…) Przed zdarzeniami z dnia 19 listopada 2013 r. powód zainstalował na telefonie program antywirusowy o nazwie „M. antywirus”, do którego instalacji zachęcał komunikat pojawiający się podczas logowania do serwisu internetowego banku. Bank nie wysyłał takich komunikatów do klientów. Podczas wyświetlania się komunikatu w tle widoczna była rzeczywista strona banku, ale komunikat wyświetlany był z innej strony. Komunikat zachęcający do zainstalowania programu antywirusowego nie wymagał wpisania identyfikatora i hasła, wymagał wpisania numeru telefonu klienta, na który przychodził sms-em link aktywacyjny. Oprogramowanie instalowane na telefonie klienta służyło przekierowaniu wszystkich wiadomości kierowanych na telefon klienta na inny numer. W takim przypadku przychodzący z banku sms z kodem transakcyjnym nie jest widoczny dla klienta, jest od razu przekierowywany na inny numer. Powód nie podawał nikomu loginu i hasła do swojego konta w Banku Przed zdarzeniami z dnia 19 listopada 2013 r. Bank nie informował powoda o zagrożeniach związanych z komunikatem dotyczącym instalacji rzekomego oprogramowania antywirusowego.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa 307/15 We wrześniu 2013 r. powódka miała problem z zalogowaniem się drogą elektroniczną do swojego rachunku bankowego w mBanku. Powiedziała swojemu mężowi Z. J., że podczas logowania pojawia się jakaś inna strona. Mąż powódki stwierdził, że na stronie wyglądającej jak strona Banku jest wyświetlany komunikat, że Bank zmienia system zabezpieczeń i w celu uzyskania lepszych zabezpieczeń prosi o podanie numeru telefonu i systemu operacyjnego telefonu. Mąż powódki wpisał numer telefonu i zaznaczył system operacyjny Android. Komunikat nie wymagał podania loginu i hasła. Po chwili w telefonie pojawiła się informacja, że aplikacja (...) została pobrana. W tamtym czasie Bank zmieniał szatę graficzną stron internetowych, był możliwy dostęp do konta ze starej wersji strony i nowej. Powódka korzystała ze starej wersji strony. Po pobraniu aplikacji problem z zalogowaniem się do rachunku bankowego ustąpił. Komunikat mówiący o potrzebie pobrania dodatkowego oprogramowania zabezpieczającego pojawiał się po wpisaniu adresu prawdziwej strony mBanku i pojawieniu się tej strony. Komunikat zajmował część strony. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Możliwe było ominięcie tego komunikatu i normalne korzystanie ze strony banku. W rzeczywistości program (...), który mąż powódki zainstalował na jej telefonie został przesłany przez nieustaloną osobę i jego zadaniem było automatyczne (bez wiedzy właściciela telefonu) przekierowywanie przychodzących wiadomości sms wysyłanych z banku, zawierających jednorazowy kod służący do autoryzacji zlecenia przelewu. Dla właściciela telefonu nie były widoczne smsy z kodami do potwierdzenia transakcji. Przekierowanie dokonywane przez program (...) dotyczyło wszystkich sms-ów przychodzących na dany telefon, nie tylko sms-ów z kodami. Powódka logowała się do banku z laptopa marki D., na którym zainstalowany był program W. (...). Było na nim zainstalowane oprogramowanie antywirusowe firmy (...), które było aktualizowane. Było to darmowe oprogramowanie dla użytkowników legalnych systemów operacyjnych M.. Telefon powódki miał wgrane oprogramowanie antywirusowe przez operatora – firmę (...). Powódka czytała komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Jest RYZYKO Jest ZABAWA PN-ISO/IEC 27005:2014-01 - wersja polska PN-ISO 31000:2012 - wersja polska COBIT 5 for Risk Polski (Polish)
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Administracja publiczna <-> sektor finansowy A gdzie w tym wszystkim są „MISIE” ?
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Pytania ??? NIE DYSKUSJA !!!
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Dziękuje za poświęcony czas isaca.katowice.pl adam.mizerski@isaca.katowice.pl
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

Recommended

COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
Adam Mizerski
 
2017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v22017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v2
Adam Mizerski
 
Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...
Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...
Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...
Adam Mizerski
 
nik-p-14-043-bezpieczenstwo-cyberprzestrzeni
nik-p-14-043-bezpieczenstwo-cyberprzestrzeninik-p-14-043-bezpieczenstwo-cyberprzestrzeni
nik-p-14-043-bezpieczenstwo-cyberprzestrzeniAdam Zakrzewski
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwa
PwC Polska
 
CASE study 2014 v7
CASE study 2014 v7CASE study 2014 v7
CASE study 2014 v7Adam Zakrzewski
 
2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad
2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad
2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad
Adam Mizerski
 
Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?
Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?
Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?
Adam Mizerski
 

Recommended

COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
Adam Mizerski
 
2017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v22017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v2
Adam Mizerski
 
Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...
Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...
Wdrażanie PN-ISO/IEC 27001 w warunkach urzędu - XIII Samorządowe Forum Kapi...
Adam Mizerski
 
nik-p-14-043-bezpieczenstwo-cyberprzestrzeni
nik-p-14-043-bezpieczenstwo-cyberprzestrzeninik-p-14-043-bezpieczenstwo-cyberprzestrzeni
nik-p-14-043-bezpieczenstwo-cyberprzestrzeniAdam Zakrzewski
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwa
PwC Polska
 
CASE study 2014 v7
CASE study 2014 v7CASE study 2014 v7
CASE study 2014 v7Adam Zakrzewski
 
2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad
2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad
2016 04-21 forum-kierowników_wytyczne_mc_ver_wyklad
Adam Mizerski
 
Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?
Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?
Okiem szefa IT: certyfikaty czy osobowość ? łowca certyfikatów czy praktyk ?
Adam Mizerski
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
EYPoland
 
CSA STAR i OCF
CSA STAR i OCFCSA STAR i OCF
CSA STAR i OCF
Marcin Fronczak
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PROIDEA
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Antoni Orfin
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania
QualityIn.IT
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
SecuRing
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
Jerzy Łabuda
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
SecuRing
 
Usługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODOUsługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODO
PwC Polska
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PROIDEA
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
Karol Chwastowski
 
ŁódQA - Michał Szybalski - Security strategy
ŁódQA - Michał Szybalski - Security strategyŁódQA - Michał Szybalski - Security strategy
ŁódQA - Michał Szybalski - Security strategyLodQA
 
2023-03-13_SEMAFOR_DORA_v2.pdf
2023-03-13_SEMAFOR_DORA_v2.pdf2023-03-13_SEMAFOR_DORA_v2.pdf
2023-03-13_SEMAFOR_DORA_v2.pdf
Adam Mizerski
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP
IT-factory
 

More Related Content

Similar to Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
EYPoland
 
CSA STAR i OCF
CSA STAR i OCFCSA STAR i OCF
CSA STAR i OCF
Marcin Fronczak
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PROIDEA
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Antoni Orfin
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania
QualityIn.IT
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
SecuRing
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
Jerzy Łabuda
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
SecuRing
 
Usługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODOUsługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODO
PwC Polska
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PROIDEA
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
Karol Chwastowski
 
ŁódQA - Michał Szybalski - Security strategy
ŁódQA - Michał Szybalski - Security strategyŁódQA - Michał Szybalski - Security strategy
ŁódQA - Michał Szybalski - Security strategyLodQA
 
2023-03-13_SEMAFOR_DORA_v2.pdf
2023-03-13_SEMAFOR_DORA_v2.pdf2023-03-13_SEMAFOR_DORA_v2.pdf
2023-03-13_SEMAFOR_DORA_v2.pdf
Adam Mizerski
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP
IT-factory
 

Similar to Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa (20)

Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
 
CSA STAR i OCF
CSA STAR i OCFCSA STAR i OCF
CSA STAR i OCF
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowych
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
Usługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODOUsługi RODO PwC | Utrzymanie zgodności z RODO
Usługi RODO PwC | Utrzymanie zgodności z RODO
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
ŁódQA - Michał Szybalski - Security strategy
ŁódQA - Michał Szybalski - Security strategyŁódQA - Michał Szybalski - Security strategy
ŁódQA - Michał Szybalski - Security strategy
 
2023-03-13_SEMAFOR_DORA_v2.pdf
2023-03-13_SEMAFOR_DORA_v2.pdf2023-03-13_SEMAFOR_DORA_v2.pdf
2023-03-13_SEMAFOR_DORA_v2.pdf
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP
 

Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

  • 1. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa adam.mizerski@isaca.katowice.pl Adam Mizerski –ksiądz -architekt
  • 2. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Agenda:  klasyka gatunku/audytu  wyzwania audytu w sektorze public  wyzwania audytu w sektorze finansowym  nowe / stare wyzwania w dobie współczesnych zagrożeń
  • 3. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa klasyka gatunku/audytu Roczny plan audytu Planowanie audytu w ramach tematów zaakceptowanych w rocznym planie audytów + audyty zlecone  Dobór zespołu audytowego  Ustalenie terminu audytu  Zapoznanie się z audytowanym obszarem  Ustalenie celu, zakresu i typu audytu  Ustalenie warunków audytu
  • 4. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa klasyka gatunku/audytu Analiza procesów biznesowych  Analiza obszaru audytu  Identyfikacja ryzyk i oszacowanie ich poziomu Przeprowadzenie testów mechanizmów kontrolnych  Identyfikacja mechanizmów kontrolnych  Testy mechanizmów kontrolnych  Ocena adekwatności mechanizmów kontrolnych do zidentyfikowanych ryzyk Zakończenie audytu  Opracowanie raportu oraz nadzór nad realizacją zaleceń
  • 5. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa klasyka gatunku/audytu - narzędzia PN-ISO/IEC 27001:2014-12 wersja polska
  • 6. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa wyzwania audytu w sektorze public Zgodność z systemem prawnym § § §
  • 7. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa https://openclipart.org/detail/18269/crow-flying-down https://openclipart.org/detail/192510/2-fliegende-kraehen K R I K r A K r A
  • 8. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa http://www.itsecurity24.info
  • 9. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa http://www.itsecurity24.info
  • 10. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji: http://www.itsecurity24.info
  • 11. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
  • 12. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa NIK objął kontrolą 24 urzędy, a badanie PTI realizowane w postaci ankiety w formie wniosku o udostępnienie informacji publicznej objęło 339 urzędów.
  • 13. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
  • 14. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
  • 15. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych
  • 16. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych
  • 17. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wytyczne dla audytu działania systemów teleinformatycznych używanych do realizacji zadań publicznych
  • 18. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa 4. Obszary kontroli Kontrola powinna objąć następujące główne obszary: Wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną. Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych. Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.
  • 19. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy:  nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);  nie zarządza się usługami realizowanymi przez systemy teleinformatyczne na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);  nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki Ilość organizacji bez wdrożonej procedury Wdrażanie aktywów Eksploatacja aktywów Testowanie aktywów Wycofanie aktywów Tabela 9. Procedury wdrożone w badanych urzędach Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl
  • 20. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:  nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);  nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§ 20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);  nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);  nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);  nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);
  • 21. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy:  nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);  nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);  nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);  nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).
  • 22. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa (…) pozytywną ocenę BI może uzyskać system posiadający mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzający dane powszechnie dostępne). Jednocześnie ocenę negatywną może uzyskać system posiadający znaczną liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych całkowity ich brak.
  • 23. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa wyzwania audytu w sektorze finansowym Zgodność z systemem prawnym – tak, ale przede wszystkim: Zarządzanie ryzykiem
  • 24. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa wyzwania audytu w sektorze finansowym Zgodność z systemem prawnym – tak, ale przede wszystkim: Zarządzanie ryzykiem Współczesne bezpieczeństwo opera się na zarządzaniu ryzykiem czyli na adekwatnym doborze zabezpieczeń do zidentyfikowanych i ocenionych ryzyk uwzględniających ich prawdopodobieństwo i skutek
  • 25. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Czy wasz dział IT świadczy usługi IT na ustalonym poziomie OLA/SLA ?
  • 26. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Czy wasz dział IT świadczy usługi IT na ustalonym poziomie OLA/SLA ? świadomie i udokumentowanie zarządza ryzykiem ?
  • 27. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń „Shadow IT” – nieautoryzowane IT w organizacji  Cloud Computing  outsourcing IT  „łańcuchy podwykonawców”  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
  • 28. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń monitoring IP (shodan.io)  w październiku 2015 r. eksperci odnotowali ogromną liczbę żądań HTTP (do 20 000 żądań na sekundę) pochodzących z kamer telewizji przemysłowej. Badacze zidentyfikowali około 900 kamer na świecie, które tworzyły botnet wykorzystywany do ataków DDoS. http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence _dla_iv_kwartalu_2015_roku.html  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
  • 29. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Malware  Od 8 lat liczba malware wzrasta o 100%  0-day  skuteczność AV https://www.av-test.org/en/statistics/malware/  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
  • 30. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Malvertising  http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i- zaserwowal-zlosliwa-reklame-54144  http://sekurak.pl/popularne-serwisy-internetowe- infekowaly-wirusami-ransomware/ msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
  • 31. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Phishing - > APT  Jak chronić „najwyższe kierownictwo” ?  Jak ocenić szkolenia z zakresu bezpieczeństwa ?  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
  • 32. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń BYOD Internet of Things  ???  Ryzyko utraty poufności  Ryzyko utraty reputacji  Ryzyko utraty dostępności
  • 33. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa nowe / stare wyzwania w dobie współczesnych zagrożeń Materializacja ryzyka związanego z malware po stronie klienta w kontekście ryzyka prawnego Banku:  Sygn. akt I C 1908/14 - http://orzeczenia.ms.gov.pl/content/$N/15251000000050 3_I_C_001908_2014_Uz_2016-02-08_001  Sygn. akt I C 307/15 - http://orzeczenia.ms.gov.pl/content/$N/15251000000050 3_I_C_000307_2015_Uz_2016-01-15_001
  • 34. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa 1908/14 Powód logował się na stronę banku ze służbowego laptopa marki A., na którym zainstalowany był legalny system operacyjny oraz oprogramowanie antywirusowe ArcaVir dostarczane przez pracodawcę powoda. Powód czytał komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku. (…) Przed zdarzeniami z dnia 19 listopada 2013 r. powód zainstalował na telefonie program antywirusowy o nazwie „M. antywirus”, do którego instalacji zachęcał komunikat pojawiający się podczas logowania do serwisu internetowego banku. Bank nie wysyłał takich komunikatów do klientów. Podczas wyświetlania się komunikatu w tle widoczna była rzeczywista strona banku, ale komunikat wyświetlany był z innej strony. Komunikat zachęcający do zainstalowania programu antywirusowego nie wymagał wpisania identyfikatora i hasła, wymagał wpisania numeru telefonu klienta, na który przychodził sms-em link aktywacyjny. Oprogramowanie instalowane na telefonie klienta służyło przekierowaniu wszystkich wiadomości kierowanych na telefon klienta na inny numer. W takim przypadku przychodzący z banku sms z kodem transakcyjnym nie jest widoczny dla klienta, jest od razu przekierowywany na inny numer. Powód nie podawał nikomu loginu i hasła do swojego konta w Banku Przed zdarzeniami z dnia 19 listopada 2013 r. Bank nie informował powoda o zagrożeniach związanych z komunikatem dotyczącym instalacji rzekomego oprogramowania antywirusowego.
  • 35. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa 307/15 We wrześniu 2013 r. powódka miała problem z zalogowaniem się drogą elektroniczną do swojego rachunku bankowego w mBanku. Powiedziała swojemu mężowi Z. J., że podczas logowania pojawia się jakaś inna strona. Mąż powódki stwierdził, że na stronie wyglądającej jak strona Banku jest wyświetlany komunikat, że Bank zmienia system zabezpieczeń i w celu uzyskania lepszych zabezpieczeń prosi o podanie numeru telefonu i systemu operacyjnego telefonu. Mąż powódki wpisał numer telefonu i zaznaczył system operacyjny Android. Komunikat nie wymagał podania loginu i hasła. Po chwili w telefonie pojawiła się informacja, że aplikacja (...) została pobrana. W tamtym czasie Bank zmieniał szatę graficzną stron internetowych, był możliwy dostęp do konta ze starej wersji strony i nowej. Powódka korzystała ze starej wersji strony. Po pobraniu aplikacji problem z zalogowaniem się do rachunku bankowego ustąpił. Komunikat mówiący o potrzebie pobrania dodatkowego oprogramowania zabezpieczającego pojawiał się po wpisaniu adresu prawdziwej strony mBanku i pojawieniu się tej strony. Komunikat zajmował część strony. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Możliwe było ominięcie tego komunikatu i normalne korzystanie ze strony banku. W rzeczywistości program (...), który mąż powódki zainstalował na jej telefonie został przesłany przez nieustaloną osobę i jego zadaniem było automatyczne (bez wiedzy właściciela telefonu) przekierowywanie przychodzących wiadomości sms wysyłanych z banku, zawierających jednorazowy kod służący do autoryzacji zlecenia przelewu. Dla właściciela telefonu nie były widoczne smsy z kodami do potwierdzenia transakcji. Przekierowanie dokonywane przez program (...) dotyczyło wszystkich sms-ów przychodzących na dany telefon, nie tylko sms-ów z kodami. Powódka logowała się do banku z laptopa marki D., na którym zainstalowany był program W. (...). Było na nim zainstalowane oprogramowanie antywirusowe firmy (...), które było aktualizowane. Było to darmowe oprogramowanie dla użytkowników legalnych systemów operacyjnych M.. Telefon powódki miał wgrane oprogramowanie antywirusowe przez operatora – firmę (...). Powódka czytała komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku.
  • 36. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Jest RYZYKO Jest ZABAWA PN-ISO/IEC 27005:2014-01 - wersja polska PN-ISO 31000:2012 - wersja polska COBIT 5 for Risk Polski (Polish)
  • 37. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
  • 38. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
  • 39. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Administracja publiczna <-> sektor finansowy A gdzie w tym wszystkim są „MISIE” ?
  • 40. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Pytania ??? NIE DYSKUSJA !!!
  • 41. Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Dziękuje za poświęcony czas isaca.katowice.pl adam.mizerski@isaca.katowice.pl