Wyzwania i dobre praktyki zarządzania...
Transcript of Wyzwania i dobre praktyki zarządzania...
Grzegorz Długajczyk – Head of Technology Risk Team
ING Bank Śląski
ul. Sokolska 34, Katowice
Warszawa, 20 września 2017r.
Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń
Do not put content
on the brand
Dzisiejsza rzeczywistość
http://map.norsecorp.com/Codziennie, w każdej 1 sekundzieatakowanych jest nawet kilka organizacji(firm) na całym świecie
Do not put content
on the brand
Fakty
Do not put content
on the brand
Wprowadzenie
„prawdopodobna awaria technologii ICT będąca przyczyną zakłócenia codziennej działalności operacyjnej firmy, skutkująca wystąpieniem strat”
Ryzyko technologiczne
Działania
Źródło:
Do not put content
on the brand
Jak powinniśmy rozumieć i osiągać bezpieczeństwo?
Użytkownicy
Ryzyko Technologiczne
Do not put content
on the brand
Kiedy uwzględniać aspekty „bezpieczeństwa”?
Etap decyzyjny
Etap realizacji
RYZYKO(zapewnienie bezpieczeństwa)
Zakres Budżet Czas
Do not put content
on the brand
Czego się wystrzegać, myśląc o zapewnieniu „bezpieczeństwa"?
➢ Mam dobry Zespół, on zapewni mi bezpieczeństwo
➢ Wykonawca to doświadczona firma
➢ Ten projekt kosztuje za dużo, jest zapewne bardzo bezpieczny
➢ Nigdy jeszcze nie padłem ofiarą przestępstwa hakera
➢ Zatrudniam doświadczonych Programistów i znanych Wykonawców usług na rynku
➢ Nie otrzymałem żadnych szczegółowych wytycznych bezpieczeństwa od Sponsora
➢ Z pewnością Wykonawca „zaproponuje coś bezpiecznego”
➢ Pewne ryzyko i tak trzeba zaakceptować w projekcie
➢ Po co pytać i szukać kłopotów
➢ Bezpieczeństwo zapewnia „framework” i technologia
➢ Nie otrzymałem dokładnych wytycznych od kierującego zmianą czy Zlecającego pracę
➢ Zawsze wszystko tworzyłem bezpiecznie, a moja firma ma renomę
➢ Po co dokumentacja i testy – ważne, że działa i zrobimy to na czas!
Zarząd firmy/ CEO
(Sponsor)Kierujący zmianą (Project
Manager)
Wykonawca
(Programista)
Do not put content
on the brand
Jakie zadania z obszaru „bezpieczeństwa i oceny ryzyka”?
✓ Architektura IT
✓ Analiza ryzyka „całość” (ITRA)
✓ Umowa i jej klauzule bezpieczeństwa
✓ Ocena biznesowa (BIA)
✓ Wymagania IT / Security do RFP
✓ Weryfikacja wymagań
✓ Procedury / matryce dostępu
✓ Dokumenty Security
✓ Testy wydajnościowe
✓ Przegląd kodu źródłowego
✓ Przygotowanie SIEM
✓ Przygotowanie DRP / BCP
✓ Testy bezpieczeństwa
-
✓ Security review
✓ Weryfikacja podatności / luk
✓ Ocena przeglądu konfiguracji
✓ Ocena testów zapewnienia zgodności
✓ Przeprowadzenie szkoleń „security”
✓ Zdefiniowanie planu naprawczego✓ Monitorowanie niezgodności
Definiowanie Projektowanie
Wykonywanie Wdrożenie
Etap realizacji
Do not put content
on the brand
Etap realizacji – definiowanie wymagań
Business Impact Analysis (BIA)
Wycena i określenie odpowiednich poziomów ochrony zasobów informacji (danych)
w odniesieniu do związanych z nimi ryzyk.
Dane osobowe
Dane finansowe
Dane strategiczne
Dane informacyjne
Dane transakcyjne
Dokumentacje
Dokumenty sekretneArchiwa/backupy
Zagrożenia dla wizerunku / marki
Zagrożenia związane z kradzieżą danych
Reputacja
Oszustwo
Zagrożenia związane z roszczeniami prawnymi
Zgodność i prawo
Zagrożenia związane z „twardą” własnością intelektualną firmy (np. strategiczne plany, dane ksiągfinansowych, transakcje płatnicze, kontrahenci, itd.)
Konkurencja
Zagrożenia związane z „miękką” własnością intelektualną firmy (np. procesy, procedury, instrukcje)
Decyzje kierownictwa
Nie wszystkie zasoby informacji (dane) mają taką samą wartość i krytyczność dla firmy
W zależności od przyjętej oceny ryzyka (BIA) inne będą koszty ich zabezpieczenia i ochrony
Do not put content
on the brand
Etap realizacji – projektowanie (1)
Information Technology Risk Analysis (ITRA)
Określone działanie nakierowane na obniżenie wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie
odpowiednich środków przeciwdziałania i minimalizacji ryzyka
Integralność
1. Wszystkie zasoby są dostępne w sposób bezpieczny, niezależnie od lokalizacji
2. Kontrola dostępu jest na zasadzie „need-to-know” oraz jest surowo egzekwowana
3. Sprawdzaj, zanim zaufasz
4. Kontroluj i loguj cały ruch (jeżeli to możliwe)
5. Zawsze projektuj sieć z wewnątrz na zewnątrz
Do not put content
on the brand
Etap realizacji – projektowanie (2)
Obszar organizacyjny:
• Polityki bezpieczeństwa
• Standardy/Dobre praktyki
• Ustawy/Rozporządzenia/Regulacje
• Procedury
• Normy
• Instrukcje/Wytyczne organizacji
• Umowy/porozumienia
Obszar techniczny:
• Kontrola dostępu (autentykacja/autoryzacja)
• Ochrona danych (przesyłanie/przechowywanie)
• Konfiguracja infrastruktury/systemów/DB
• Monitoring i logowanie zdarzeń
• Role systemowe/stanowiskowe
• Technologia/architektura
• Hosting/Cloud Computing
• Zdalne wsparcie
„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)
„Ocena” zagrożeń, podatności, wycena ryzyka i zdefiniowanie działań ograniczających
1. Określenie zagrożeń i potencjalnych podatności
2. Określenie prawdopodobieństwa wystąpienia zdarzenia
3. Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny
4. Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub jego akceptacji
Do not put content
on the brand
Etap realizacji – wykonywanie
✓ Procedury / matryce dostępu
✓ Parametry bezpieczeństwa (OSG)
✓ Testy bezpieczeństwa (OWASP, ASVS, VS)
✓ Testy wydajnościowe (SDLC)
✓ Przegląd kodu źródłowego (Static, Dynamic)
✓ Przygotowanie SIEM / TCSM
✓ Przygotowanie DRP / BCP
-
Do not put content
on the brand
Etap realizacji – ocena ryzyka przed wdrożeniem
✓ Weryfikacja wykrytych podatności / luk
✓ Security review (kontrole i działania mitygujące zagrożenia)
✓ Przeprowadzenie szkoleń „security”
▪ Zdefiniowanie planu naprawczego▪ Monitorowanie niezgodności
Niedopuszczalny poziom ryzyka – ryzyko wymaga natychmiastowych działań naprawczych – wejście na produkcje stanowi krytyczne lub duże ryzyko
Dopuszczalny poziom ryzyka – ryzyko powinno być zmitygowane tak szybko, jak to możliwe
Zasadniczo akceptowalny poziom ryzyka – ryzyko może być monitorowane i mitygowane w miarę możliwości firmy
Do not put content
on the brand
Jak można szacować ryzyko i planować obronę przed i w trakcie ataku?
Prewencja Detekcja Reakcja
Ludzie
Procesy
Technologia
Do not put content
on the brand
Rola (IT Risk Management) - według COBIT 5
Do not put content
on the brand
Kluczowe zasady zarządzania ryzykiem technologicznym
➢ Koncentracja na najważniejszym
➢ Pomiar i raportowanie
➢ Kompletność
➢ Zgodność z prawem
➢ Alokacja akceptacji
➢ Integracja z planowaniem biznesowym
Do not put content
on the brand
Podsumowanie
➢ Sprawdzaj, zanim zaufasz
➢ Nie ograniczaj się tylko do wzorców, standardów lub „framework”, a spójrz na rzeczywiste zagrożenia i kontrole, istotne dla Twojej organizacji/firmy
➢ Koncentruj się na efektywności kontroli, a nie tylko na tym, że kontrola istnieje lub jest procedura czy instrukcja
➢ Pamiętaj, że kiedyś w interesie hakera było pokazanie swoich umiejętności. Dziś w interesie hakera jest, aby przestępstwo nigdy nie zostało wykryte
DZIĘKUJĘ