KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ V ROCE 2016 03/2016 Ing. Libor Kovář Chief Information Security Officer Skupina
AGENDA Kybernetické prostředí Motivace Hlavní pilíře Aktuální priority Náš přístup Závěr Podtitul: na cestě jsme dlouho, do cíle máme stále daleko 1
KYBERNETICKÉ PROSTŘEDÍ SKUPINY Struktura Desítky společností a majetkových účastí (tuzemsko / zahraničí) Procesy Široké portfolio core business a podpůrných procesů Umístění Rozmístění lokalit po celém území ČR a části Evropy ICT Stovky ICT systémů a aplikací, tisíce infrastrukturních prvků Uživatelé Desítky tisíc uživatelů Skupina je dynamickou organizací, která vyžaduje ICT služby s ohledem na požadavky portfolia core business, podpůrných procesů a legislativy. 2
MOTIVACE Proč bychom měli kybernetickou bezpečnost řešit? Legislativa Podpora business cílů organizace Legislativa v business oblastech (Obchod, Výroba, Distribuce) Průřezové oblasti Ochrana osobních údajů Krizové řízení Kybernetická bezpečnost Telekomunikační zákon Ochrana obchodních a vnitřních informací Zajištění činnosti klíčových systémů Eliminace reputačního rizika Plnění business regulací (unbundling, atd.) Kybernetická bezpečnost je podpůrný proces musí znát a aktivně podporovat business cíle organizace. 3
HLAVNÍ PILÍŘE E X T E R N Í I N T E R N Í VSTUPY Legislativa a regulace Trendy v oblasti ICT Osvědčená praxe ISO 27k, NIST, ITIL, COBIT Business strategie ICTS, SKČ Požadavky zákazníků a segmentové strategie Zpráva o stavu kybernetické bezpečnosti, kontrol shod a auditů Analýzy rizik a dopadů Strategie kybernetické bezpečnosti VÝSTUPY Strategické úkoly Akční plán Liniové úkoly PoC a implementační projekty I N T E R N Í 4
HLAVNÍ PILÍŘE Kybernetická bezpečnost si klade za cíl zabezpečit informační a komunikační technologie s ohledem na business požadavky Společnosti, legislativy a zákazníků. naplňuje požadavky interních i externích zákazníků vychází z business strategie Skupiny Strategie Kybernetické bezpečnosti reaguje na stávající kybernetické hrozby a sleduje trendy určuje vývoj kybernetické bezpečnosti zohledňuje finanční náročnost aktivit slouží pro tvorbu akčního plánu kybernetické bezpečnosti 5
AKTUÁLNÍ PRIORITY Zvyšování úrovně zabezpečení ICS&SCADA Adaptace společnosti na požadavky zákona o Kybernetické bezpečnosti Ověřování bezpečnosti nových konceptů (SaaS, ) Samozřejmě nezapomínáme na běžnou agendu ;-) zvládání bezpečnostních incidentů (CSIRT SkČ) prosazování bezpečnosti ve změnách (projekty, malé změny) řízení bezpečnostní infrastruktury a funkcí ověřování bezpečnosti, kontroly shody, vyhodnocování bezpečnostní vzdělávání kyb.týmu, administrátorů, uživatelů 6
NÁŠ PŘÍSTUP Aktivně podporujeme business cíle Efektivně zvládáme rizika Bezpečnost řídíme s ohledem na náklady Zajišťujeme soulad s legislativou Data patří organizaci a mají svého vlastníka Data jsou klasifikována a chráněna Bezpečnost zajišťují všichni zaměstnanci Zvládáme bezpečnostní incidenty Neustále bezpečnost zlepšujeme 7
ZÁVĚR Nejednejte dogmaticky, poznávejte svůj business budete vnímáni jak přínos, ne jako zátěž! Řiďte rizika, nevkládejte do rozhodování emoce zbavíte se tak frustrace z nikdy nekončící práce! Vzdělávejte sebe, svůj tým, ICT administrátory, uživatele toto je investice, která se vyplácí! 8
DĚKUJI ZA POZORNOST? Ing. Libor Kovář <libor.kovar@cez.cz> 9