Grzegorz Długajczyk – Head of Technology Risk Team

ING Bank Śląski

ul. Sokolska 34, Katowice

Warszawa, 20 września 2017r.

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Do not put content

on the brand

Dzisiejsza rzeczywistość

http://map.norsecorp.com/Codziennie, w każdej 1 sekundzieatakowanych jest nawet kilka organizacji(firm) na całym świecie

Do not put content

on the brand

Fakty

Do not put content

on the brand

Wprowadzenie

„prawdopodobna awaria technologii ICT będąca przyczyną zakłócenia codziennej działalności operacyjnej firmy, skutkująca wystąpieniem strat”

Ryzyko technologiczne

Działania

Źródło:

Do not put content

on the brand

Jak powinniśmy rozumieć i osiągać bezpieczeństwo?

Użytkownicy

Ryzyko Technologiczne

Do not put content

on the brand

Kiedy uwzględniać aspekty „bezpieczeństwa”?

Etap decyzyjny

Etap realizacji

RYZYKO(zapewnienie bezpieczeństwa)

Zakres Budżet Czas

Do not put content

on the brand

Czego się wystrzegać, myśląc o zapewnieniu „bezpieczeństwa"?

➢ Mam dobry Zespół, on zapewni mi bezpieczeństwo

➢ Wykonawca to doświadczona firma

➢ Ten projekt kosztuje za dużo, jest zapewne bardzo bezpieczny

➢ Nigdy jeszcze nie padłem ofiarą przestępstwa hakera

➢ Zatrudniam doświadczonych Programistów i znanych Wykonawców usług na rynku

➢ Nie otrzymałem żadnych szczegółowych wytycznych bezpieczeństwa od Sponsora

➢ Z pewnością Wykonawca „zaproponuje coś bezpiecznego”

➢ Pewne ryzyko i tak trzeba zaakceptować w projekcie

➢ Po co pytać i szukać kłopotów

➢ Bezpieczeństwo zapewnia „framework” i technologia

➢ Nie otrzymałem dokładnych wytycznych od kierującego zmianą czy Zlecającego pracę

➢ Zawsze wszystko tworzyłem bezpiecznie, a moja firma ma renomę

➢ Po co dokumentacja i testy – ważne, że działa i zrobimy to na czas!

Zarząd firmy/ CEO

(Sponsor)Kierujący zmianą (Project

Manager)

Wykonawca

(Programista)

Do not put content

on the brand

Jakie zadania z obszaru „bezpieczeństwa i oceny ryzyka”?

✓ Architektura IT

✓ Analiza ryzyka „całość” (ITRA)

✓ Umowa i jej klauzule bezpieczeństwa

✓ Ocena biznesowa (BIA)

✓ Wymagania IT / Security do RFP

✓ Weryfikacja wymagań

✓ Procedury / matryce dostępu

✓ Dokumenty Security

✓ Testy wydajnościowe

✓ Przegląd kodu źródłowego

✓ Przygotowanie SIEM

✓ Przygotowanie DRP / BCP

✓ Testy bezpieczeństwa

-

✓ Security review

✓ Weryfikacja podatności / luk

✓ Ocena przeglądu konfiguracji

✓ Ocena testów zapewnienia zgodności

✓ Przeprowadzenie szkoleń „security”

✓ Zdefiniowanie planu naprawczego✓ Monitorowanie niezgodności

Definiowanie Projektowanie

Wykonywanie Wdrożenie

Etap realizacji

Do not put content

on the brand

Etap realizacji – definiowanie wymagań

Business Impact Analysis (BIA)

Wycena i określenie odpowiednich poziomów ochrony zasobów informacji (danych)

w odniesieniu do związanych z nimi ryzyk.

Dane osobowe

Dane finansowe

Dane strategiczne

Dane informacyjne

Dane transakcyjne

Dokumentacje

Dokumenty sekretneArchiwa/backupy

Zagrożenia dla wizerunku / marki

Zagrożenia związane z kradzieżą danych

Reputacja

Oszustwo

Zagrożenia związane z roszczeniami prawnymi

Zgodność i prawo

Zagrożenia związane z „twardą” własnością intelektualną firmy (np. strategiczne plany, dane ksiągfinansowych, transakcje płatnicze, kontrahenci, itd.)

Konkurencja

Zagrożenia związane z „miękką” własnością intelektualną firmy (np. procesy, procedury, instrukcje)

Decyzje kierownictwa

Nie wszystkie zasoby informacji (dane) mają taką samą wartość i krytyczność dla firmy

W zależności od przyjętej oceny ryzyka (BIA) inne będą koszty ich zabezpieczenia i ochrony

Do not put content

on the brand

Etap realizacji – projektowanie (1)

Information Technology Risk Analysis (ITRA)

Określone działanie nakierowane na obniżenie wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie

odpowiednich środków przeciwdziałania i minimalizacji ryzyka

Integralność

1. Wszystkie zasoby są dostępne w sposób bezpieczny, niezależnie od lokalizacji

2. Kontrola dostępu jest na zasadzie „need-to-know” oraz jest surowo egzekwowana

3. Sprawdzaj, zanim zaufasz

4. Kontroluj i loguj cały ruch (jeżeli to możliwe)

5. Zawsze projektuj sieć z wewnątrz na zewnątrz

Do not put content

on the brand

Etap realizacji – projektowanie (2)

Obszar organizacyjny:

• Polityki bezpieczeństwa

• Standardy/Dobre praktyki

• Ustawy/Rozporządzenia/Regulacje

• Procedury

• Normy

• Instrukcje/Wytyczne organizacji

• Umowy/porozumienia

Obszar techniczny:

• Kontrola dostępu (autentykacja/autoryzacja)

• Ochrona danych (przesyłanie/przechowywanie)

• Konfiguracja infrastruktury/systemów/DB

• Monitoring i logowanie zdarzeń

• Role systemowe/stanowiskowe

• Technologia/architektura

• Hosting/Cloud Computing

• Zdalne wsparcie

„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)

„Ocena” zagrożeń, podatności, wycena ryzyka i zdefiniowanie działań ograniczających

1. Określenie zagrożeń i potencjalnych podatności

2. Określenie prawdopodobieństwa wystąpienia zdarzenia

3. Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny

4. Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub jego akceptacji

Do not put content

on the brand

Etap realizacji – wykonywanie

✓ Procedury / matryce dostępu

✓ Parametry bezpieczeństwa (OSG)

✓ Testy bezpieczeństwa (OWASP, ASVS, VS)

✓ Testy wydajnościowe (SDLC)

✓ Przegląd kodu źródłowego (Static, Dynamic)

✓ Przygotowanie SIEM / TCSM

✓ Przygotowanie DRP / BCP

-

Do not put content

on the brand

Etap realizacji – ocena ryzyka przed wdrożeniem

✓ Weryfikacja wykrytych podatności / luk

✓ Security review (kontrole i działania mitygujące zagrożenia)

✓ Przeprowadzenie szkoleń „security”

▪ Zdefiniowanie planu naprawczego▪ Monitorowanie niezgodności

Niedopuszczalny poziom ryzyka – ryzyko wymaga natychmiastowych działań naprawczych – wejście na produkcje stanowi krytyczne lub duże ryzyko

Dopuszczalny poziom ryzyka – ryzyko powinno być zmitygowane tak szybko, jak to możliwe

Zasadniczo akceptowalny poziom ryzyka – ryzyko może być monitorowane i mitygowane w miarę możliwości firmy

Do not put content

on the brand

Jak można szacować ryzyko i planować obronę przed i w trakcie ataku?

Prewencja Detekcja Reakcja

Ludzie

Procesy

Technologia

Do not put content

on the brand

Rola (IT Risk Management) - według COBIT 5

Do not put content

on the brand

Kluczowe zasady zarządzania ryzykiem technologicznym

➢ Koncentracja na najważniejszym

➢ Pomiar i raportowanie

➢ Kompletność

➢ Zgodność z prawem

➢ Alokacja akceptacji

➢ Integracja z planowaniem biznesowym

Do not put content

on the brand

Podsumowanie

➢ Sprawdzaj, zanim zaufasz

➢ Nie ograniczaj się tylko do wzorców, standardów lub „framework”, a spójrz na rzeczywiste zagrożenia i kontrole, istotne dla Twojej organizacji/firmy

➢ Koncentruj się na efektywności kontroli, a nie tylko na tym, że kontrola istnieje lub jest procedura czy instrukcja

➢ Pamiętaj, że kiedyś w interesie hakera było pokazanie swoich umiejętności. Dziś w interesie hakera jest, aby przestępstwo nigdy nie zostało wykryte

DZIĘKUJĘ