Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Już piąty rok z rzędu prezentujemy praktyki polskich firm w obszarze cyberbezpieczeństwa:
- jedynie 8% przebadanych firm można zaliczyć do organizacji -
- dojrzałych pod względem cyberbezpieczeństwa
- 21% firm padło ofiarą zaszyfrowania dysku (ransomware)
- 44% poniosło straty finansowe na skutek ataków
- 1/2 oceniła swój stan przygotowania do RODO na 30% lub mniej
- budżet na bezpieczeństwo stanowił średnio 3% całego budżetu IT
Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście? Pełen raport dostępny na https://pwc.to/2BYtrtm
Prezentacja z konferencji ISSA InfoTRAMS Holistic Application Security
Od kilku lat na świecie jest promowane podejście polegające na wpisaniu bezpieczeństwa w cały cykl rozwojowy oprogramowania. W polskiej praktyce, nadal kwestie związane z bezpieczeństwem najczęściej poruszane są na dopiero na końcu projektu, tuż przed wdrożeniem gdy wykonywane są testy bezpieczeństwa. Bardzo często takie podejście skutkuje znacznymi kosztami usuwania błędów i sporym "zamieszaniem" w projekcie, ale o tym firma przekonuje się dopiero "za 5 dwunasta", po wykonaniu testów bezpieczeństwa. Z reguły, usuwanie podatności na tym etapie projektu polega na "gaszeniu pożarów" i przyklejaniu kolejnych łatek zamiast wprowadzenia systemowych zmian. W rezultacie, w dalszym cyklu życia, po wprowadzeniu zmian funkcjonalnych wypływają nowe przypadki wystąpienia starych błędów.
Jak to zmienić? Czy zastosowanie podstawowych zasad tworzenia bezpiecznego oprogramowania jest faktycznie takie skomplikowane jak by mogło się wydawać?
W trakcie prezentacji zostaną przedstawione metodyki wprowadzania bezpieczeństwa do całego cyklu rozwojowego oprogramowania (na przykładzie OWASP SAMM), również z uwzględnieniem sytuacji, gdy stworzenie aplikacji zlecane jest dla firmy zewnętrznej. Krótko omówiona zostanie skuteczność i potencjalne problemy tych metodyk w naszych, polskich realiach. Przedstawione zostanie także kilka prostych sposobów, które zdaniem autora pozwolą na skuteczniejsze osiągnięcie zamierzonego efektu - czyli aplikacji nieobarczonej podatnościami.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.
http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey
Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL o tym, jak w praktyce działa centrum cyberbezpieczeństwa (Security Operations Center). Prezentacja miała miejsce podczas październikowych warsztatów EXATEL InTECH Day.
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
opis kolorowych zespolow cybersecurity z naciskiem na purple team
rainbow security concept (blue, red, purple, white, etc.) with focus on purple vs red teaming
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
Marek Karczewski - Radware
Language: Polish
2014 był rokiem przełomowym w dziedzinie bezpieczeństwa. Ataki cybernetyczne osiągnęły punkt krytyczny pod względem ilości, złożoności oraz celów ataków. Sytuacja zaskoczyła nawet firmy, które posiadały “wzorcowe” systemy i mechanizmy ochrony.
Raport firmy Radware „Bezpieczeństwo Aplikacji i Sieci 2014” prezentuje kompleksowy i obiektywny przegląd ataków cybernetycznych w 2014 r. z perspektywy biznesowej i technicznej oraz określa zestaw najlepszych praktyk dla organizacji planujących ochronę przed atakami w 2015 r.
Zarejestruj się na kolejną edycję PLNOG już teraz: krakow.plnog.pl
Wszystkie najważniejsze zagadnienia związane z bezpieczeństwem sieci
* Opracowanie i wdrożenie polityki bezpieczeństwa w korporacyjnych systemach informatycznych
* Ochrona aplikacji i serwerów przed atakami z sieci
* Testowanie bezpieczeństwa systemów i interpretacja wyników badań
W czasach gdy dane kluczowe dla każdej firmy i organizacji są przechowywane w bazach danych na serwerach sieciowych, bezpieczeństwo systemów informatycznych jest sprawą niezwykle istotną. W wielu firmach pokutuje pogląd, że atak może nastąpić jedynie z zewnątrz -- takie firmy posiadają zwykle doskonałe zabezpieczenia w postaci firewalli, skutecznie odstraszające potencjalnych włamywaczy. Jednakże ochrona danych to nie tylko zabezpieczenie ich przed atakiem z sieci -- to także odpowiednia polityka postępowania wewnątrz firmy. Wielu spośród najgłośniejszych ataków hakerskich dokonano z wewnątrz korporacyjnej sieci. Dlatego też o wiele ważniejsza od urządzeń jest świadomość użytkowników sieci. Dopiero ona, w połączeniu z odpowiednim sprzętem i oprogramowaniem, gwarantuje bezpieczeństwo systemu informatycznego.
"Bezpieczeństwo sieci. Biblia" to książka szczegółowo wyjaśniająca wszystkie kwestie związane z zabezpieczaniem firmowych sieci przed intruzami. Opisuje zasady i zalecane praktyki zabezpieczania sieci, przedstawia różne środki bezpieczeństwa przeznaczone dla różnych systemów oraz uczy, jak identyfikować zagrożenia i reagować na nie. Dzięki zawartym w niej wiadomościom będziesz w stanie oszacować poziom bezpieczeństwa sieci i wybrać najlepsze mechanizmy jej zabezpieczenia.
* Strategia zarządzania bezpieczeństwem systemu informatycznego
* Mechanizmy kontroli dostępu
* Zabezpieczanie systemów operacyjnych i aplikacji
* Bezpieczeństwo systemów Windows, Linux i Unix
* Rodzaje ataków
* Ochrona serwerów WWW i serwerów pocztowych
* Bezpieczeństwo protokołów sieciowych
* Kryptografia i steganografia
* Wykrywanie ataków i reagowanie na nie
* Ocena jakości zabezpieczeń systemów informatycznych
Informacja jest dziś najcenniejszym towarem.Naucz się ją ochraniać.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Już piąty rok z rzędu prezentujemy praktyki polskich firm w obszarze cyberbezpieczeństwa:
- jedynie 8% przebadanych firm można zaliczyć do organizacji -
- dojrzałych pod względem cyberbezpieczeństwa
- 21% firm padło ofiarą zaszyfrowania dysku (ransomware)
- 44% poniosło straty finansowe na skutek ataków
- 1/2 oceniła swój stan przygotowania do RODO na 30% lub mniej
- budżet na bezpieczeństwo stanowił średnio 3% całego budżetu IT
Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście? Pełen raport dostępny na https://pwc.to/2BYtrtm
Prezentacja z konferencji ISSA InfoTRAMS Holistic Application Security
Od kilku lat na świecie jest promowane podejście polegające na wpisaniu bezpieczeństwa w cały cykl rozwojowy oprogramowania. W polskiej praktyce, nadal kwestie związane z bezpieczeństwem najczęściej poruszane są na dopiero na końcu projektu, tuż przed wdrożeniem gdy wykonywane są testy bezpieczeństwa. Bardzo często takie podejście skutkuje znacznymi kosztami usuwania błędów i sporym "zamieszaniem" w projekcie, ale o tym firma przekonuje się dopiero "za 5 dwunasta", po wykonaniu testów bezpieczeństwa. Z reguły, usuwanie podatności na tym etapie projektu polega na "gaszeniu pożarów" i przyklejaniu kolejnych łatek zamiast wprowadzenia systemowych zmian. W rezultacie, w dalszym cyklu życia, po wprowadzeniu zmian funkcjonalnych wypływają nowe przypadki wystąpienia starych błędów.
Jak to zmienić? Czy zastosowanie podstawowych zasad tworzenia bezpiecznego oprogramowania jest faktycznie takie skomplikowane jak by mogło się wydawać?
W trakcie prezentacji zostaną przedstawione metodyki wprowadzania bezpieczeństwa do całego cyklu rozwojowego oprogramowania (na przykładzie OWASP SAMM), również z uwzględnieniem sytuacji, gdy stworzenie aplikacji zlecane jest dla firmy zewnętrznej. Krótko omówiona zostanie skuteczność i potencjalne problemy tych metodyk w naszych, polskich realiach. Przedstawione zostanie także kilka prostych sposobów, które zdaniem autora pozwolą na skuteczniejsze osiągnięcie zamierzonego efektu - czyli aplikacji nieobarczonej podatnościami.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.
http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey
Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL o tym, jak w praktyce działa centrum cyberbezpieczeństwa (Security Operations Center). Prezentacja miała miejsce podczas październikowych warsztatów EXATEL InTECH Day.
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
opis kolorowych zespolow cybersecurity z naciskiem na purple team
rainbow security concept (blue, red, purple, white, etc.) with focus on purple vs red teaming
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
Marek Karczewski - Radware
Language: Polish
2014 był rokiem przełomowym w dziedzinie bezpieczeństwa. Ataki cybernetyczne osiągnęły punkt krytyczny pod względem ilości, złożoności oraz celów ataków. Sytuacja zaskoczyła nawet firmy, które posiadały “wzorcowe” systemy i mechanizmy ochrony.
Raport firmy Radware „Bezpieczeństwo Aplikacji i Sieci 2014” prezentuje kompleksowy i obiektywny przegląd ataków cybernetycznych w 2014 r. z perspektywy biznesowej i technicznej oraz określa zestaw najlepszych praktyk dla organizacji planujących ochronę przed atakami w 2015 r.
Zarejestruj się na kolejną edycję PLNOG już teraz: krakow.plnog.pl
Wszystkie najważniejsze zagadnienia związane z bezpieczeństwem sieci
* Opracowanie i wdrożenie polityki bezpieczeństwa w korporacyjnych systemach informatycznych
* Ochrona aplikacji i serwerów przed atakami z sieci
* Testowanie bezpieczeństwa systemów i interpretacja wyników badań
W czasach gdy dane kluczowe dla każdej firmy i organizacji są przechowywane w bazach danych na serwerach sieciowych, bezpieczeństwo systemów informatycznych jest sprawą niezwykle istotną. W wielu firmach pokutuje pogląd, że atak może nastąpić jedynie z zewnątrz -- takie firmy posiadają zwykle doskonałe zabezpieczenia w postaci firewalli, skutecznie odstraszające potencjalnych włamywaczy. Jednakże ochrona danych to nie tylko zabezpieczenie ich przed atakiem z sieci -- to także odpowiednia polityka postępowania wewnątrz firmy. Wielu spośród najgłośniejszych ataków hakerskich dokonano z wewnątrz korporacyjnej sieci. Dlatego też o wiele ważniejsza od urządzeń jest świadomość użytkowników sieci. Dopiero ona, w połączeniu z odpowiednim sprzętem i oprogramowaniem, gwarantuje bezpieczeństwo systemu informatycznego.
"Bezpieczeństwo sieci. Biblia" to książka szczegółowo wyjaśniająca wszystkie kwestie związane z zabezpieczaniem firmowych sieci przed intruzami. Opisuje zasady i zalecane praktyki zabezpieczania sieci, przedstawia różne środki bezpieczeństwa przeznaczone dla różnych systemów oraz uczy, jak identyfikować zagrożenia i reagować na nie. Dzięki zawartym w niej wiadomościom będziesz w stanie oszacować poziom bezpieczeństwa sieci i wybrać najlepsze mechanizmy jej zabezpieczenia.
* Strategia zarządzania bezpieczeństwem systemu informatycznego
* Mechanizmy kontroli dostępu
* Zabezpieczanie systemów operacyjnych i aplikacji
* Bezpieczeństwo systemów Windows, Linux i Unix
* Rodzaje ataków
* Ochrona serwerów WWW i serwerów pocztowych
* Bezpieczeństwo protokołów sieciowych
* Kryptografia i steganografia
* Wykrywanie ataków i reagowanie na nie
* Ocena jakości zabezpieczeń systemów informatycznych
Informacja jest dziś najcenniejszym towarem.Naucz się ją ochraniać.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczneArtur Marek Maciąg
Czas jest dominującym czynnikiem. 12 składowych błędów ludzkich - pechowa dwunastka. Pętla OODA u podstaw zarządzania ryzkiem technologicznym, a to wszystko w kontekście prawdziwych incydentów, na które warto spojrzeć z innej perspektywy i wyciągnąć wnioski. Tylko kto się odważy zmienić swoje uporządkowane życie w chaos?
Similar to Zarządzanie bezpieczeństwem informacji w firmie (20)
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
Zarządzanie bezpieczeństwem informacji w firmie
1. Zarządzanie
bezpieczeństwem
informacji w firmie
Jak skutecznie zarządzać obszarem zabezpieczeń,
chroniąc firmę przed wyciekiem informacji i karami
regulacyjnymi
Karol Chwastowski
chwastowski.karol@gmail.com
@Karol Chwastowski
2. Agenda
• Czynniki kształtujące wymagania dla zabezpieczeń
• Struktura Systemu Bezpieczeństwa Informacji (SBI)
• Powszechnie popełniane błędy
• Rekomendacje
2
3. Częstotliwość ataków gwałtownie rośnie, działalność przestępcza
ulega profesjonalizacji
3
Globalne koszty cyberprzestępczości (MLD USD)
Źródło: „Bezpieczeństwo poprzez innowacje”, Instytut Kościuszki 2017
Obecna charakterystyka zagrożeń:
• Całkowite straty wynikające z cyberprzestępczości
wynoszą około 1% światowego PKB.
• Poziom złożoności narzędzi stosowanych przez
grupy cyber-przestępcze dorównuje rozwiązaniom
stosowanym przez wywiady państwowe
• Eksperci audytujący firmy często przyjmują, że
ataki socjotechniczne zawsze skutkują
powodzeniem, niezależnie od klienta
4. Ilość włamań wzrasta a ich skutki będą potęgowane karami
regulacyjnymi
4
Przewidywany rozwój sytuacji (do 2020r):
• Programy bezpieczeństwa planowane przez IT
doprowadzą do trzykrotnie większej liczby
krytycznych incydentów niż inicjatywy planowane
przez biznes
• 80% managerów OT będzie musiało
zrestrukturyzować SBI wskutek wystąpienia
poważnego incydentu naruszającego zdrowie
pracownika
• Ogólne kwestionariusze i metody oceny poziomu
bezpieczeństwa zostaną zastąpione narzędziami
specyficznymi dla danej branży
Średni koszt włamania (MLN USD)
Źródło: Statista.com 2017Źródło: „Information Security, Worldwide, 2014-2020, 3Q16 Update”, Gartner, 2017
6. Agenda
Czynniki kształtujące wymagania dla zabezpieczeń
• Struktura Systemu Bezpieczeństwa Informacji (SBI)
• Powszechnie popełniane błędy
• Rekomendacje
6
Podsumowując:
• Zagrożenie ze strony cyberataków jest wysokie
i z czasem będzie narastało. Widać wyraźną
profesjonalizację tego obszaru.
• UODO będzie karać firmy niedostatecznie chroniące
dane osobowe swoich klientów. Klienci mają
możliwość dochodzenia odszkodowań.
• Zapewnienie podstawowej ochrony w obszarze
technologii jest kosztowne, ale relatywnie szybkie do
wdrożenia. Wypracowanie bezpiecznych procesów i
budowanie nawyków jest długotrwałym zadaniem.
7. Na poziom bezpieczeństwa informacji mają wpływ trzy czynniki
7
• Infrastruktura sieciowa
• Stacje robocze + mobile
• Bezpieczeństwo aplikacji
• Kontrola dostępu
• Bezpieczeństwo danych
• Monitorowanie operacyjne
Technologia
• Ochrona
• Identyfikacja zagrożeń
• Detekcja zagrożeń
• Obsługa wykrytych incydentów
• Zapewnienie ciągłości działania
Procesy
• Świadomość zagrożeń
• Znajomość polityk
• Przestrzeganie wymagań
• Zgłaszanie incydentów
• Odpowiednie nawyki
Ludzie
Aby zapewnić skuteczną ochronę, wszystkie te obszary muszą ze sobą współpracować. Żaden z nich w
pojedynkę nie zapewnia odpowiedniego poziomu ochrony.
8. Określenie indywidualnych wymagań firmy jest pierwszym i
najważniejszym etapem budowania SBI
8
Strategia bezpieczeństwa informacji
Więcej informacji: NIST Cybersecurity Framework
• Inwentaryzacja i klasyfikacja informacji
• Opracowanie mapy procesów i komponentów IT
• Określenie lokalnych podatności
Krok pierwszy
• Określenie wymagań regulacyjnych
• Określenie wymagań specyficznych dla danej
branży
Krok drugi
!
Podsumowane wymagania dla SBI
9. Nierzetelna analiza wymagań, prowadzi do niewłaściwych
inwestycji i ograniczenia wydajności operacyjnej biznesu
9
Strategia bezpieczeństwa informacji
Przewidywanie przyszłych zagrożeń, implementacja
rozwiązań „szytych na miarę”
Bezpieczeństwo integralną częścią biznesu, iteracyjna
optymalizacja rozwiązań
Skupienie na głównych zagrożeniach, zarządzanie ryzykiem
Wymagania regulacyjne jedynym punktem odniesienia
Reagowanie ad hoc ( dlaczego to zły pomysł? )
Projektując model zabezpieczeń skup
się na znalezieniu najprostszego,
skutecznego sposobu rozwiązania
najważniejszych problemów.
Przeważnie implementowane
w mało praktyczny sposób
(skuteczność / cena = )
POZIOMDOJRZAŁOŚCI
10. Zakres wdrożenia powinien wynikać z listy jasno określonych
priorytetów
10
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
• Identyfikacja zagrożeń i prawdopodobieństwa
ich wystąpienia
• Ocena skutków wystąpienia zagrożeń
• Ustalenie priorytetów
• Odniesienie wymagań do możliwości
finansowych firmy
• Wybór rozwiązań (klas rozwiązań)
• Sformułowanie celów strategicznych
Inicjalizacja procesu
Roadmapa inicjatyw w obszarze bezp.
11. Zarządzanie ryzykiem stanowi pomost pomiędzy biznesem a
obszarem zabezpieczeń
11
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
• Weryfikacja skuteczności wybranych rozwiązań
• Określanie kierunków rozwoju SBI
• Integralna część nowych projektów i zmian
Cykliczne działania
• Pozwala dostrzec oszczędności finansowe
wynikające z utrzymywania SBI
• Pomaga przy wyborze KPI dla procesów w
obszarze bezpieczeństwa
• Pozwala określić wysokość budżetu
przeznaczonego na zabezpieczenia
Korzyści
12. „Zaufanie jest dobre, ale kontrola lepsza” – wypracowanie
odpowiednich nawyków wymaga uwagi
12
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
Nadzór
Operacje
Pomiar
Planowanie
Wdrożenia Nadzór
INICJATYWY
STRATEGICZNE
BUSINESS
AS USUAL
• Czy procesy są właściwie utrzymywane
• Czy pracownicy i managerowie przestrzegają wytycznych
• Czy w miarę rozwoju, firma nie utraciła „zdolności”
Więcej informacji: ISACA COBIT5
13. Operacje w obszarze bezpieczeństwa informacji można podzielić
na 4 nadrzędne kategorie
13
Operacje
IDENTYFIKACJA
• Zarządzanie komponentami
• Zarządzanie podatnościami
• Analizy ryzyka
• Raportowanie
OCHRONA
• Zarządzanie dostępami
• Polityki bezpieczeństwa
• Testowanie zabezpieczeń
• Edukacja i uświadamianie
DETEKCJA
• Monitorowanie aktywności
• Kontrola dostępu
• Zarządzanie zgłoszeniami
• Wykrywanie incydentów
PRZECIWDZIAŁANIE
• Zarządzanie incydentami
• Zarządzanie ciągłością dz.
• Zarządzanie backupami
• Analiza przyczyn zdarzenia
Technologia Procesy Ludzie
Strategia bezpieczeństwa informacji
Zarządzanie ryzykiem
Nadzór
Więcej informacji: NIST Cybersecurity Framework
14. Podsumowanie
Czynniki kształtujące wymagania dla zabezpieczeń
Struktura Systemu Bezpieczeństwa Informacji (SBI)
• Powszechnie popełniane błędy
• Rekomendacje
14
Najwięcej problemów generują:
• Bezczynność. Brak podejmowania inicjatyw w
obszarze bezpieczeństwa, statystycznie jest bardziej
kosztowny niż nieumiejętnie przeprowadzone
wdrożenie
• Brak decyzyjności. Delegowanie obowiązków i
odpowiedzialności na pracowników niższego
szczebla. CISO powinien być umocowany pod
zarządem.
• Brak odpowiedzialności. Pozwalanie managerom
na zrzucanie całej odpowiedzialności w zakresie
oceny ryzyka na kilku „ekspertów”. CISO jest
doradcą, nie wykonawcą.
• „Zamykanie” bezpieczeństwa w obszarze IT.
Przeświadczenie, że popularne, drogie systemy
informatyczne = bezpieczne informacje.
15. Podsumowanie
Czynniki kształtujące wymagania dla zabezpieczeń
Struktura Systemu Bezpieczeństwa Informacji (SBI)
Powszechnie popełniane błędy
• Rekomendacje
15
Planowanie:
• Projektując model zabezpieczeń skup się na
znalezieniu najprostszego, skutecznego sposobu
rozwiązania najważniejszych problemów.
• Nie wszystko musisz zlecać na zewnątrz. Postaw na
zaufanych doradców. Doświadczenie zdobyte w
ramach pracy własnej zaowocuje w przyszłości.
• Umiejętność zarządzania bezpieczeństwem
informacji wchodzi do kanonu podstawowej wiedzy
managerskiej.
16. Podsumowanie
Czynniki kształtujące wymagania dla zabezpieczeń
Struktura Systemu Bezpieczeństwa Informacji (SBI)
Powszechnie popełniane błędy
• Rekomendacje
16
Zalecane kryteria doboru doradców:
• Duża szczegółowość i zakres wstępnej analizy
potrzeb – kierowanie się jedynie zaleceniami
regulatora jest niewystarczające.
• Zakres ekspertyzy – wybierz dostawcę łączącego
kompetencje prawne, organizacyjne i technologiczne.
• „Lekkość rozwiązania” – niskie koszty utrzymania,
niewielkie obciążenie istniejących procesów i
kierowanie się wyraźnymi priorytetami