Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Transkript

1 Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz

2 Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices Implementaní standardy...

3 Legislativa Sarbanes-Oxley SOX Patriotic Act Zákon o ochran osobních údaj Zákon o utajovaných skutenostech Zákon o svobodném pístupu k informacím

4 Normy a standardy SN ISO/IEC 27001: BS 7799 SN ISO/IEC 20000: ITIL SN ISO/IEC 15408: CC COBIT (Control Objectives for Information and related Technology) ITIL (Information Technology Infrastructure Library) Bezpenostní standardy výrobc (MS)

5 IT Governance Úkolem IT Governance je ídit aktivity IT v rámci organizace tak, aby byly zajištny následující cíle: Propojení a sjednocení business a IT strategie v rámci spolenosti tak, aby byly oboustrann splnny pedem definované požadavky a oekávání (tj. odvození IT strategie z jednotlivých cíl definovaných v business strategii) Maximální a ízené využitípíležitostí, které IT businessu nabízí Zodpovdné využívání IT zdroj ízení rizik spojených s vývojem / poízením / provozováním IT

6 IT Governance CobIT (ISACA): IT Governance je definovaná struktura vztah a proces, pomocí kterých lze ídit a kontrolovat organizaci tak, aby IT v maximální míe umoovalo a podporovalo dosažení podnikatelských cíl. Pidanou hodnotou je redukce a ízení rizik nad procesy v IS. It Governance ovlivuje zvýšení efektivity organizace pomocí: Zajištní a zabezpeení integrity, bezpenosti a spolehlivosti strategických a jiných citlivých informací. Ochrany investic do IT a komunikací Nastavení odpovídajícího vedení a ízení informaních aktiv, na nichž pímo závisí úspch nebo pežití organizace Zvyšování hodnoty podnikatelských proces pomocí IT (vazba IT na podnikatelské procesy) ITIL: IT Governance se zabývá kooperací businessu a IT managementu. Tato kooperace je stžejní pro podnikové cíle a procesy, které jsou závislé na správném fungování IT. Oblasti zájmu IT Governance Sjednocení strategií (podniková versus IT strategie) ízení zmn (change management) Business Continuity IT Asset Management ízení zdroj ízení znalostí

7 CobIT IT procesy - základní IT procesy jsou: Plánování a organizace Akvizice a implementace Poskytování a podpora Monitorování IT zdroje Aplikace Informace Infrastruktura Lidské zdroje Informaní kritéria Úelnost Hospodárnost Dvryhodnost Integrita Dostupnost Souhlasnost/Shoda Spolehlivost

8 Cobit

9 CobIT Plánování a organizace Pokrývá úrove strategického a taktického plánování a organizování IT vetn ízenípidané hodnoty IT pro business. V této ásti naleznete odpovdi na otázky typu: Jsou business a IT strategie ve vzájemném souladu? Využívá naše organizace své IT zdroje optimáln? Jsou zmapována a ízena všechna rizika spojená s IT? Jsou jasn definované cíle IT projekt a jsou tyto cíle všeobecn známé? Poízení a implementace Identifikace IT ešení vhodného pro realizaci zvolené IT strategie. ešení mže být vyvíjeno vlastními silami nebo poízeno z vnjších zdroj, následn musí být implementováno a integrováno se stávajícími systémy a procesy. V této domén je také zahrnuto potebné ízení zmn v nových i stávajících systémech. V této ásti naleznete odpovdi na otázky typu: Splní plánovaný IT projekt oekávání a požadavky businessu? Bude nový projekt dokonen v plánovaném ase, bude dodržen rozpoet projektu? Bude nový systém pracovat po implementaci správn? Neohrozí plánované zmny fungování souasných podnikových proces?

10 CobIT Dodávka služeb a podpora Tato doména je zamená na ízení IT služeb, což zahrnuje poskytování služeb, ízení bezpenosti a kontinuity služeb, podporu služeb, správu dat a potebné infrastruktury. V této ásti naleznete odpovdi na otázky typu: Jsou služby IT poskytovány v souladu s prioritami a potebami businessu? Jsou služby IT nákladov optimální? Jsou splnny všechny požadavky na dvryhodnost, integritu a dostupnost IT služeb? Monitorování a hodnocení Všechny IT procesy musí být pravideln monitorovány a vyhodnocovány tzn. kontrolovat, zda jejich výstupy jsou v požadované kvalit a zda splují definovaná kontrolní kritéria. Tato doména pokrývá oblasti ízení výkonnosti, monitorování, interní kontroly a správy IT. V této ásti naleznete odpovdi na otázky typu: Dochází k mení výkonnosti IT, tak aby byly pípadné problémy ešeny dív než skuten nastanou? Je systém interních kontrol efektivní a úplný? Jsou všechna rizika, kontroly a výkonnost meny a reportovány?

11 ITIL Vydefinování proces potebných pro zajištní ITSM: Stanovení cíl, vstup, výstup a aktivit každého procesu Stanovení rolí a jejich odpovdností v daném procesu Zpsob mení kvality poskytovaných IT služeb a úinnosti ITSM proces (Key Performance Indicators + metriky) Vzájemné vazby mezi jednotlivými procesy Postupy auditu a zásady reportingu pro každý proces Zásady pro implementaci proces ITSM: Pínosy každého procesu Critical Success Factors, možné problémy a vhodná protiopatení Náklady na implementaci a následný provoz Zásady pro ízení podprné ICT infrastruktury Zásady bezpenosti ICT infrastruktury

12 ITIL

13 ITIL Service Strategy Ústední publikace poskytující praktický rámec k návrhu, vývoji a implementaci ízení služeb nejen z pohledu organizaního, ale i jako zdroje strategické výhody.publikace obsahuje definice služeb, strategii ITSM a plánování pidané hodnoty, IT governance, definice typ poskytovatel služeb a obchodních strategií, potažmo strategií služeb. Service Design Tato publikace poskytuje rámec pro návrh a vývoj služeb a proces jejich ízení. Zahrnuje principy a metody pro pevod strategických cíl do portfolia služeb. Nesoustedí se pouze na nové služby, ale obsahuje i procesy zmny a prbžného zlepšování stávajících služeb, potebné pro udržení nebo zvýšení úrovn služeb, jejich pidané hodnoty pro zákazníka a v neposlední ad i jejich soulad s právními normami a standardy.

14 ITIL Service Transition Publikace obsahuje postup, jakým zpsobem požadavky definované v rámci Service Strategy efektivn realizovat v prbhu Service Operation (reálné prostedí) za souasného ízení rizik poruch a výpadk služeb. Poskytuje rámec pro ízení komplexní problematiky spojené se zmnami ve službách a v procesech jejich ízení. Kombinuje postupy Release Managementu, Programme Managementu a Risk Managementu a pevádí je do praktického kontextu ízení služeb jako celku. Service Operation Tato publikace obsahuje postupy pro ízení služeb v produkním prostedí, dosažení výkonnosti a úinnosti v dodávce služeb a jejich podpoe tak, aby byla vyprodukována hodnota jak pro zákazníka tak pro poskytovatele služby. Tato ást ITIL V3 v nejvtším rozsahu pebírá knihy Service Strategy a Service Delivery ITIL V2, ale také Application management a ICT infrastructure management.

15 ITIL Continual Service Improvement Tato kniha obsahuje prostedky pro vytváení a udržování pidané hodnoty služby pro zákazníka prostednictvím zvyšující se kvality služeb a efektivity jejich provozu. Kombinuje pitom principy, praktiky a metody ízení kvality a Change Managementu.

16 ITIL Nejdležitjšími pínosy implementace ITIL jsou: úspora náklad na provoz IT služeb lepší kvalita a spolehlivost IT služeb (=spokojenjší zákazníci) lepší využívání drahých ICT zdroj menší poet výpadk ICT systém vyšší úrove komunikace (= lepší porozumní) mezi pracovníky úsek ICT a zákazníky/uživateli

17 ITIL

18 Sociotechnický útok Vnjší útoky Cílené - hackerské útoky Necílené viry, ervy,spamy Sociální útoky Kombinované metody Kriminální innost Vnitní útoky Demotivovaní zamstnanci Nedvryhodní dodavatelé Vysoká hodnota aktiv

19 Souasný trend Kombinace sociálních a technických metod a využití všech moderních možností internetu Phising + Pharming Hlavní nebezpeí spoívá na statistických pedpokladech pi vysoké etnosti útok

20 Sociotechnické metody Nevinná informace Staí se zeptat Odvracení pozornosti Budování dvry Žádost o pomoc Soucit, vina, zastrašení Obrácený podraz

21 Cena informace I informace zdánliv bez významu mají pro útoníka cenu, pokud ví jak jich využít Znalost žargonu otvírá dvee k informacím Skládání informací bez kontextu umouje vidt do organizace zevnit

22 Žádost o pomoc Velmi úinná metoda ve velkých spolenostech. Míí primárn na odborné pracovníky IT Vysoké nebezpeí spoívá ve významu poskytnutých dat

23 Obrácený podraz Sofistikovaný zpsob prniku do organizace Po vyvolání bezpenostního incidentu zvnjšku je útoník požádán o pomoc pi odstraování incidentu Oteve se tím cesta k prniku dovnit organizace

24 Varovné píznaky Odmítnutí sdlit zpátení íslo Neobvyklá žádost Chránní se autoritou Zdrazování naléhavosti záležitosti Hrozba dsledky nevyhovní Neochota odpovídat na otázky Zmiování mnoha jmen Komplimenty a pochlebování Flirtování

25 Sociotechnický cyklus Przkum (volné, veejné informace, žargon, internetové stránky, odborný tisk) Budování vztah a dvry (používání vnitních informací, vydávání se za nkoho jiného, používání odborných výraz a autority) Využitídvry (žádost o informaci nebo o innost, zmanipulování obti) Využití získaných informací (pokud je získaná informace pouze dalším krokem, vrací se k pedchozím bodm cyklu)

26 Dkuji za pozornost