Přístupy prosazování bezpečnosti v organizaci. Petr Nádeníček AEC, spol. s r.o.

Podobné dokumenty
Uživatel jako zdroj rizik a přístupy k jejich zvládání. Petr Nádeníček

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

O2 a jeho komplexní řešení pro nařízení GDPR

Zákon o kybernetické bezpečnosti

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Zástupce ředitele a personální práce

Státní pokladna. Centrum sdílených služeb

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Bezpečnostní politika společnosti synlab czech s.r.o.

Přínosy ITIL a potíže s implementací. Ing. Štěpán Macura

Systém řízení informační bezpečnosti (ISMS)

Zkušenosti z nasazení a provozu systémů SIEM

Přednáška č.13. Organizace firmy při zahraniční činnosti

Hodnocení rizik v resortu Ministerstva obrany

General Data Protection Regulation (GDPR) Jak na to?

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

ZÁVĚREČNÁ MONITOROVACÍ ZPRÁVA SHRNUTÍ

Kybernetická bezpečnost resortu MV

Co je riziko? Řízení rizik v MHMP

DETAILNÍ VYMEZENÍ PŘEDMĚTU ZAKÁZKY ČÁST B- MĚKKÉ, MANAŽERSKÉ DOVEDNOSTI

Z K B V P R O S T Ř E D Í

Řízení rizik ICT účelně a prakticky?

ZABEZPEČENÍ PROTIKORUPČNÍCH OPATŘENÍ VE FNKV, VYTVÁŘENÍ A POSILOVÁNÍ PROTIKORUPČNÍHO PROSTŘEDÍ VE FNKV

Risk management a Interní audit

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

XXXXXXXXXXXXXX NADPIS. PODNADPIS Text text text. Bod KURZY A SEMINÁŘE. naše edukační aktivity

Kybernetická bezpečnost

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Platná od Bezpečnostní politika. Deklarace

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zavádění projektového řízení ve společnosti

Zákon o kybernetické bezpečnosti

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

1. Politika integrovaného systému řízení

Úvod - Podniková informační bezpečnost PS1-1

S 2-017, verze 1 Strana 1/7

Informační bezpečnost v praxi. Jak začít? Security

Úvod. Projektový záměr

Politika bezpečnosti informací

Prezentace na téma projektového řízení Projektový manažer pro dnešek i zítřek

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice

Kulatý stůl l expertů. Jihlava 20.června 2007

Příloha 4 Oblasti hodnocení stanovené v ŠVP

Vzdělávání pro bezpečnostní systém státu

ENVIRONMENTÁLNÍ BEZPEČNOST

Kybernetická bezpečnost ve státní správě

Zápis z přezkoumání QMS za období 9/2009 8/2010

V Brně dne a

V Brně dne 10. a

Ochrana osobních údajů v hotelech, lázních a nemocnicích

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Řízení informační bezpečnosti a veřejná správa

BEZPEČNOST IT A OT SYSTÉMŮ V ENERGETICE

PSYCHOLOGICKO SOCIÁLNÍ DOVEDNOSTI

Úvod do projektu. Standardizace provozních funkcí ÚSC. Součást projektu Korporátní styl řízení ve veřejné správě

MO-ME-N-T MOderní MEtody s Novými Technologiemi

To vše odděleně! Přitom mají stejný cíl: spokojeného zákazníka.

Funkční studium DOTO

Zápis z přezkoumání QMS vedením škol SČMSD za období od 6/2009 do 9/2010

Interní audit v OKD. Petr Hanzlík října 2009 Brno. OKD, a.s. Prokešovo náměstí 6/ Ostrava

HR controlling. Ing. Jan Duba HRDA

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Kybernetická bezpečnost MV

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Příloha č. 4 ANALÝZA RIZIK BŘEZEN 2016

Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti

7. Setkání interních auditorů z oblasti průmyslu, obchodu a služeb

Je skutečně nutné kybernetické riziko nést ve vlastní bilanci

Ivona Krejsová Milan Chmura

vztahů ČVUT; činnosti z hlediska nákladů a přĺnosů s vazbou na strategické cíle ČVUT; výsledků vědecké, výzkumné a tvůrčí činnosti.

Výtisk č. : Platnost od: Schválil: Podpis:

VIZE INFORMATIKY V PRAZE

Vytváření důvěry manažerů byznysu a IT

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Psycholog práce a organizace

Inovace bakalářského studijního oboru Aplikovaná chemie

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

PLÁNY GENDEROVÉ ROVNOSTI 1. WORKSHOP PRACOVNÍ SKUPINY PRO ZMĚNU KLUB NKC

Sylabus modulu: F Řízení lidských zdrojů

VNITŘNÍ SMĚRNICE č. SM-020/2014

Manažerská ekonomika

Bezpečnostní politika a dokumentace

Protikorupční opatření ve skupině AGROFERT

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Informační systémy veřejné správy (ISVS)

Zpráva o výsledcích finančních kontrol za rok 2010 Úřadu pro ochranu hospodářské soutěže

Aktuár a řízení rizik

2. Podnik a jeho řízení

Safety Leadership Ostrava

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Řízení kybernetické a informační bezpečnosti

Závěrečná technická monitorovací zpráva

Transkript:

Přístupy prosazování bezpečnosti v organizaci Petr Nádeníček AEC, spol. s r.o.

Obsah Vymezení tématu Faktory působící na prosazování bezpečnosti Prosazování bezpečnosti z různých úrovní Prosazování opatření v některých oblastech Shrnutí, závěr

Vymezení tématu Co rozumět pod pojmem prosazování bezpečnosti? Soubor metod jak implementovat bezpečnostní pravidla, procesy a procedury (bezpečnostní opatření) do každodenní praxe organizace. Tyto metody se mohou pohybovat v různých rovinách: vysvětlování významu bezpečnosti firemní politiky nátlaku na různé skupiny zastrašování příklady důsledků

Faktory Jaké faktory v organizaci působí na to, jakým způsobem je bezpečnost prosazována? Odkud je bezpečnost prosazována Vedení organizace Bezpečnostní manažer Bezpečnostní správce IT oddělení Další faktory Velikost a typ organizace Firemní kultura Rozpočty Závislost organizace na bezpečnosti

Kým je bezpečnost prosazována?

Prosazování z úrovně vedení Osvícené vedení málokdy dosažitelný ideál Pouze deklarativní podpora bezpečnosti nestačí Negativní i pozitivní vliv vedení na bezpečnost Ne všude vedení bezpečnost prosazuje Důsledky autoritativního (arogantního) vedení Nevděčná pozice bezpečnostního manažera/správce Potřeba vysvětlení si vzájemných pozic/potřeb (ne vždy možné) Pohled vedení versus pohled bezpečnosti Prosazování potřeb bezpečnosti Prosazování potřeb businessu

Prosazování z úrovně bezp. manažera Úroveň působení bezpečnostního manažera Člen vrcholového vedení, středního managementu nebo jiná úroveň Prosazení odpovědností a pravomocí do bezpečnostních politik, směrnic a další interní dokumentace organizace Nejen formální, ale i v praxi Důsledné prosazování bezpečnosti v každodenní praxi Šetření incidentů, provádění kontrol nepřivírat oči

Prosazování z úrovně bezp. správce Pozice bezpečnostního správce v organizaci Správce podléhající bezpečnostnímu manažerovi Pouze bezpečnostní správce bez nadřízeného bezp. manažera Často velmi omezené možnosti prosadit bezpečnost z této pozice Nemá k dispozici přímé pravomoci tzn. nutnost prosazovat vše přes nadřízeného Zaměření správce spíše na operativu možnost zkresleného pohledu na jiné úrovně řízení bezpečnosti

Prosazování z úrovně IT oddělení Častá situace v mnoha (zejména malých a středních) organizacích bezpečnostní správce součástí IT oddělení Rozporuplné reakce zbytku organizace na snahy IT o zabezpečení IS Despekt zbytku organizace vůči IT, nepochopení potřeb Provozní slepota IT pracovníků, nepochopení požadavků businessu

Několik tipů k prosazování bezpečnosti v některých konkrétních oblastech Přístup k prosazování některých bezpečnostních opatření/oblastí S čím se potkáváme v praxi Co se dá použít

Bezpečnostní politika Jen stoh popsaného papíru nebo opravdu používaný soubor pravidel? Jak přiblížit bezpečnostní politiku celému spektru zaměstnanců organizace? Vhodný rozsah, jazyk a struktura samotné politiky Může mít dopad na použitelnost politiky jako takové Vytvoření specializované dokumentace, která bezp. politiku zprostředkuje i běžným uživatelům v organizaci Uživatelské příručky jen to, co se uživatelů přímo týká, s čím se setkávají, co se po nich chce

Řízení aktiv Identifikace aktiv Často obtížně uchopitelné Do jaké míry podrobnosti zajít? Přístup k fyzickým X informačním aktivům Stanovení vlastníků aktiv U některých aktiv se vlastnictví stanovuje obtížně Odpovědnost ale kde jsou pravomoci? To, za co odpovídám, mohu i fakticky ovlivnit?

Personální bezpečnost Budování bezpečnostního povědomí Vhodná forma vzdělávání uživatelů Prezenční - školení, samostudium - elearning, průběžná např. bulletiny a novinky Přenesení vzdělávání do praxe Ověření úrovně bezpečnostního povědomí Průběžné testy uživatelů (metody sociálního inženýrství) vhodný způsob popularizace bezpečnosti virálním způsobem Průběžné kontroly dodržování pravidel

Zvládání bezpečnostních incidentů Formální X faktické fungování procesu řízení bezpečnostních incidentů Neochota lidí hlásit incidenty Neradi na někoho ukazují, psychologie Neochota vedení vyvozovat důsledky incidentů Neradi by někomu uškodili Diferenciovaný přístup k různým zaměstnancům Před bezpečností jsme si všichni rovni, ale někteří jsou si rovnější Simulované případy (testy) jsou lepší, než nutnost opravdového trestání.

Prosazování - shrnutí Co potřebujeme, abychom mohli bezpečnost účinně prosadit? Jak na to? Opravdová podpora vedení Deklarativní i praktická Vhodná struktura bezpečnostních rolí Pozice bezpečnostního manažera/správce Návrh bezpečnosti v souladu s businessem Respektování a sladění s potřebami businessu Kultura organizace přátelská k bezpečnosti Reakce na bezpečnostní opatření, ochota přijímat nové věci

Závěrem Prosazování bezpečnosti v organizaci je málokdy jednoduché Jen málo firem má takové prostředí, které absorbuje zavedení bezpečnosti bez zádrhelů Musíme se zamyslet nad tím, jaký způsob prosazování bude pro danou organizaci ten nejvhodnější Schopnost vykouknout ze své jeskyně není jen bezpečnost Nutnost vypořádat se s širokým spektrem vlivů Vyváženost opatření na úrovni organizační bezpečnosti a technické bezpečnosti Všechno má svá pro a proti

Děkujeme za pozornost. Petr Nádeníček AEC, spol. s r.o. petr.nadenicek@aec.cz? PROSTOR PRO OTÁZKY

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář