AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

Podobné dokumenty
GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

AEC, spol. s r. o. Bezpečnostní incidenty v IT v ČR příklady z praxe firem. Tomáš Strýček Internet & Komunikace Modrá

ICT bezpečnost a její praktická implementace v moderním prostředí

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ANECT, SOCA a bezpečnost aplikací

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Security. v českých firmách

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Zákon o kybernetické bezpečnosti: kdo je připraven?

Monitorování datových sítí: Dnes

IXPERTA BEZPEČNÝ INTERNET

Flow monitoring a NBA

Aby vaše data dorazila kam mají. Bezpečně a včas.

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Security. v českých firmách

FlowMon Vaše síť pod kontrolou

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

ANECT & SOCA ANECT Security Day

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Flow Monitoring & NBA. Pavel Minařík

O2 a jeho komplexní řešení pro nařízení GDPR

V Brně dne a

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Kybernetické hrozby - existuje komplexní řešení?

Síťová visibilita a integrovaná správa sítě - nezbytná součást SOC strategie. AddNet a BVS. Jindřich Šavel NOVICOM s.r.o

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

ČESKÁ TECHNICKÁ NORMA

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Bezpečná a efektivní IT infrastruktura

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Bezpečnostní politika a dokumentace

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Flow monitoring a NBA

Co se skrývá v datovém provozu?

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Státní pokladna. Centrum sdílených služeb

Obecné nařízení o ochraně osobních údajů

Aktivní bezpečnost sítě

Ministerstvo vnitra připravuje. jednotné řešení pro státní správu

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Kybernetická bezpečnost

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Technická opatření pro plnění požadavků GDPR

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Posuzování na základě rizika

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Technické aspekty zákona o kybernetické bezpečnosti

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Bezpečnostní politika společnosti synlab czech s.r.o.

Jarní setkání

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Zákon o kybernetické bezpečnosti

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Bezepečnost IS v organizaci

Kybernetická bezpečnost

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P


Informační bezpečnost. Dana Pochmanová, Boris Šimák

Standardy a definice pojmů bezpečnosti informací

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Bezpečnostní aspekty informačních a komunikačních systémů KS2

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Transkript:

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti Tomáš Strýček Internet & Komunikace Modrá 4.6.2015

AEC Services

Situace IT Security v menší firmě a) Bezpečnost je neřešena. MGMT předpokládá, že to řeší IT, ale IT si nechce komplikovat život. b) Bezpečnost řeší IT jako jednu z mnoha aktivit c) Bezpečnost IT má na starosti CSM, je sám proti všem a je považován za blázna d) IT Security řeší IT dle nejlepšího vědomí e) Bezpečnost je outsourcována stejným dodavatelem jako IT f) Bezpečnost je outsourcována nezávislým dodavatelem

Časté problémy v IT Security IT Security je oddělený svět od firmy Reaktivní mód. (Kde začlo hořet, pokusím se to uhasit a pak do toho objektu nainstaluji požární hlásiče po 1m, MGMT v tomto případě bude svolný) IT je třeba mít na své straně, protože jinak mě odstřihnou. Je třeba respektovat jejich zájmy. Business vnímá IT Security jako záškodníka, komplikátora, který prodražuje vše, kam ho pustí

Vnější vlivy Kybernetický zákon ZoKB 181/2014 Sb ISO 27 000 Information Security Management System ISO 22 301- Business Continuity Management System ISO 20 000 IT Service Management Odběratelé a zákazníci Vlastníci společnosti, věřitelé

Analýzy Kdy se vyplatilo dělat Analýzu rizik? Co odpověděla? Jaký byl zpětně efekt? Náklady na ochranu aktiva Riziko=hodnota aktiva X míra zranitelnosti X míra hrozby

Co je cílem analýzy Zjistit, kde je třeba zaměřit úsilí na ochranu Nesnažit se nikdy aplikovat vše Tento proces se neustále opakuje (analýzu provádět opakovaně) Vždy zohledňovat Business dopad Proto zapojit Business vlastníky

Jaký je business dopad jednotlivých zranitelností?

XX Disabled YY Disabled Keylogging protection bypassed DNS Hijacking protection bypassed MiTB protection bypassed MiTM protection bypassed Screenshot protection bypassed Phishing protection bypassed XX Admin YES YES YES YES YES YES YES YES XX User NO YES YES YES YES YES YES YES YY User N/A YES N/A N/A N/A N/A N/A YES YY Admin N/A YES N/A N/A N/A N/A N/A YES Tab. 2: Results of the XX and YY protection bypass attempts

XX Disabled YY Disabled Keylogging protection bypassed DNS Hijacking protection bypassed MiTB protection bypassed MiTM protection bypassed Screenshot protection bypassed Phishing protection bypassed XX Admin YES YES YES YES YES YES YES YES Jaký je business dopad jednotlivých zranitelností? XX User NO YES YES YES YES YES YES YES YY User N/A YES N/A N/A N/A N/A N/A YES YY Admin N/A YES N/A N/A N/A N/A N/A YES Tab. 2: Results of the XX and YY protection bypass attempts

Výsledky monitoringu uniku dat pomocí Network DLP za 1 měsíc

Jaký je business dopad jednotlivých zranitelností?

Jak zjistit As Is? Výhody a nevýhody Co odpoví Kdy provést Kolik co stojí

Výsledky Zpráva pro management Diskuse s business vlastníky Pohled IT, spolupráce s IT Jednou prezentací výsledků pro management se moc nevyřeší

Metriky Příklad: ochrana proti malware Účel konceptu měření Cíl opatření Opatření Objekt měření Atribut Interpretace indikátoru Formy hlášení Ohodnotit účinnost ochrany systémů proti útokům škodlivých programů. Cíl opatření A.10.4 Chránit integritu programového vybavení a dat. proti škodlivým programům. Na ochranu proti škodlivým programům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšování odpovídajícího bezpečnostního povědomí uživatelů. 1 Hlášení incidentů 2 Logy antivirových programů Incident způsobený škodlivým kódem Vzrůstající trend ukazuje zhoršující se shodu, klesající trend indikuje zlepšující se shodu. Pokud trend nápadně vzrůstá, bylo by potřebné prozkoumat příčinu a zavést další opatření proti malware. Spojnice trendu, která popisuje poměr detekce a prevence škodlivých programů, překrytá spojnicemi trendu vytvořených v předcházejících periodách hlášení. Cílová hodnota indikátoru: 1% Měsíc Incidenty Blokace Indikátor Leden 12 2621 0,46% Únor 14 3524 0,40% Březen 10 4122 0,24% Duben 8 1830 0,44% Květen 16 1989 0,80% Červen 18 2459 0,73% Červenec 22 3859 0,57% Srpen 156 4257 3,66% Září 25 6852 0,36% Říjen 36 2569 1,40% Listopad 42 4036 1,04% Prosinec 29 3012 0,96%

Cíle bezpečnosti Cíle Bezpečnosti IS: Ochrana investic akcionářů Ochrana dat zákazníků Soulad s legislativou Snížení nákladů (efektivní a rovnovážná investice do prevence a nápravy škod) Specifika: Konkurenční prostředí Postavení na trhu Charakter podnikání Osobní údaje

Současný stav IT Security Risk mgmt: + Známe současný stav, identifikovány IT rizika - Rizika nejsou přiřazeny vlastníkům a nepracuje se s nimi Incident mgmt + Dokážeme je identifikovat a odstranit - Proces není automatizovaný a je náročný na lidské zdroje Compliance mgmt + Známe současný stav - Není automatizován Ochrana dat + Ošetřeny některá významná rizika technologickými opatřeními - Není zatím kontinuita rozvoje technologií v IT Security

Jak uchopit To Be Výhody a nevýhody

Technologie bezpečnosti - Úniky dat skrze zaměstnance Cílený i nevědomý únik: Mail, média, internet --> DLP, mobilní bezpečnost Cílený únik z DB, zneužití přístupu, IT správa --> SIEM, segregace vlan, architektura,3.strany, šifrování Útoky zevnitř i zvenčí, využití slabin v IT -->VMS, IdM, B2B rozhraní, Cílené motivované pokročilé útoky zvenčí APT --> NBA

Koncepce bezpečnosti IT Projekty rozděleny dle priority pro dlouhodobý plán P1: definice rizik, řešení akutních vysokých zranitelností (DLP, SIEM, architektura ) P2: procesní a organizační opatření (klasifikace dat, dokumentace) P3: technologie a opatření bezpečnosti řešící středně závažné zranitelnosti (B2B, 3. strany, vlany) P4: Složitější technologie bezpečnosti pro středně závažné zranitelnosti (IdM, mobilní bezpečnost, tokenizace ) P5 a P6: technologie pro dlouhodobý výhled (DoS, Web security, IEEE 802.1X)

Z praxe Používat zdravý selský rozum Metodika vs. Praxe Úpravy ve stávajícím vs. Nákup nového Nepodlehnout marketingovým slideshow a má to opravdu pro nás tu hodnotu? Priority a business cíle společnosti Komunikovat s vedením Myslet u toho na lidi (nevytvářet bič) Myslet na reálný přínos(nekoupit si další hračku)

Stavební materiál IT Security (paperwork) Bezpečnostní politika Bezpečnostní směrnice pro uživatele Školení bezpečnosti pro uživatele Testy sociálním inženýrstvím Implementace ISMS Havarijní plány a plány obnovy po havárii

Stavební materiál IT Security (technology) SIEM Security monitoring Data Loss Prevention Intrussion Prevention System Endpoint Security WebGateway, Web Filtering Device Control Mail Security NAC Vulnerability Management System Mobile Device Management Web Application Firewall Network Behavior Analysis Priviledged Identity Management

Shrnutí Setkáváme se většinou s plýtváním prostředky v nákupech Security technologií, v řešení marginálních problémů oproti řešení aktuálních reálných hrozeb, Vytvořit komunikační matici pro Security otázky (nevytvářet ostrov) IT Security řízeno potřebami businessu je běh na dlouhou trať Používat zdravý selský rozum

Děkuji za pozornost Tomáš Strýček Executive Director AEC, spol. s r. o. Tomas.strycek@aec.cz www.aec.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář