Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

ICON Számítástechnikai zrt. Velünk működik együtt Az auditálástól a rendszermenedzsmentig Keleti Arthur üzletág-igazgató, IT biztonság

Hasonló előadás


Az előadások a következő témára: "ICON Számítástechnikai zrt. Velünk működik együtt Az auditálástól a rendszermenedzsmentig Keleti Arthur üzletág-igazgató, IT biztonság"— Előadás másolata:

1 ICON Számítástechnikai zrt. Velünk működik együtt Az auditálástól a rendszermenedzsmentig Keleti Arthur üzletág-igazgató, IT biztonság

2 ICON Számítástechnikai zrt július Szándék van? - Felelős van? - Van miért felelősnek lenni? - Kockázatokat felmérték? - Foglalkoznak a kockázatok kezelésével? - A törvényt betartják? - Úgy élnek, ahogy a papírokban van? - Van visszacsatolás, értékelés, javítás? Mit várnak el a biztonságért felelős személytől?

3 ICON Számítástechnikai zrt július Kik a szereplők? Mi az érdekük? Hol konfrontálódnak? Szereplő A szereplő feladata, érdeke a rendszer…a funkció…a folyamatok…az ember… Üzemeltető Pl. CIO karbantartása, jó hatékonysága rendelkezésre állása, használhatósága betartása, gyorsítása, jelentése kiszolgálása Fejlesztő Pl. CDO változtatása, fejlesztése megvalósítása, kényelme beemelése az alkalmazásokba érdekei, lehetőségei Biztonsági terület Pl. CSO biztonsága, változatlansága korlátozása, ellenőrzése korlátozása, ellenőrzése hibáinak kivédése, korlátozása Vállalat és az üzlet érdekei, akarata és stratégiája

4 ICON Számítástechnikai zrt július Mi a folyamat? Hol vannak a kiszervezési lehetőségek? Felmérés Kockázatok elemzése Módszertanok pl. CobIT Eszközök pl. Carisma Követelmények pl. PSZÁF, törvények, vállalati direktívák Intézkedések Papírok Technológia Szabályzatok BCP, DRP Üzemeltetési dokumentáció … Szabályzatok BCP, DRP Üzemeltetési dokumentáció … Folyamatok Tűzfal, IPS, PKI, Vírusvédelem, Naplóelemzés … Tűzfal, IPS, PKI, Vírusvédelem, Naplóelemzés … Felügyelet Kontroll Jelentés Visszacsatolás Külsőssel elvégeztethető Kiszervezhető

5 ICON Számítástechnikai zrt július Biztonság és kiszervezés az üzlet igényeinek oldaláról szemlélve Üzleti igények IT Biztonsági réteg – ITB/CSO Funkció réteg – IT/CIO-CDO A teljes alkalmazás Kapcsolódási pontok azonosítása Szervezeti kérdések és felelősségi körök átgondolása

6 ICON Számítástechnikai zrt július Tipikus kérdések ? Kiszervezhető? Pont a biztonság? ! Igen, persze. A törvények is lehetővé teszik és ahogy a biztonsági őr sem saját alkalmazott, úgy az IT biztonságért felelős őr sem feltétlenül az. ? Biztos, hogy nem tudnak mindent felügyelni ! Persze, hogy nem tudnak. De annál biztosan többet tudnak tenni, mint mi saját magunk. És amit tesznek azért felelősséggel is tartoznak.

7 ICON Számítástechnikai zrt július Tipikus kérdések ? Nem hiszem el, hogy tőlem több ezer kilométerre vagy akár a szomszédban biztonságban vannak az adataim ! Pedig biztonságban vannak… - elásva a föld alá - páncélajtók mögött - profi szakemberek kezében - valószínűleg nagyobb biztonságban, mint a házon belül

8 ICON Számítástechnikai zrt július Változnak az idők! Biztonsági incidensek száma évente az ITBN 2005 résztvevői körében (200 válaszoló alapján): Alacsony incidens: db Közepes incidens: db Magas incidens: 105 db

9 ICON Számítástechnikai zrt július Változnak az idők! Az alkalmazások által készített naplóállományok gyűjtése az ITBN 2005 résztvevőinek körében (200 válaszoló)

10 ICON Számítástechnikai zrt július Tipikus kérdések

11 ICON Számítástechnikai zrt július Példák a kiszervezett biztonságra I. - Kiadói területen dolgozó vállalat - Alkalmazottak száma százas nagyságrendű - Közepesen bonyolult IT rendszerek, magas külső bedolgozói tevékenység, határidő-érzékeny munkák, szellemi tulajdont képező anyagok - Fokozott külső kommunikáció, központosított IT szolgáltatások, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet - Magas szintű IT biztonsági megoldások - neves tűzfal rendszer, sok külső kapcsolattal és időszakosan hullámzó magas terheléssel - minőségi vírusvédelmi rendszer

12 ICON Számítástechnikai zrt július Példák a kiszervezett biztonságra I. - A biztonság felügyeletének és menedzsmentjének ICON oldali kiszervezése valósult meg - A tűzfalak és vírusvédelem saját telephelyen, de külső üzemeltetéssel és támogatással - Felügyeleti riportra és riasztásra támaszkodva a konfigurációt módosítjuk - Rendszeres frissítések és javítások elvégzése szintén feladat - Rendszeres továbbfejlesztési javaslatokat adunk az biztonsági szint növelésére - Folyamatosan kezeljük a rendszerből érkező riasztásokat, amelyek titkosítva érkeznek be a távfelügyeleti központunkba

13 ICON Számítástechnikai zrt július Példák a kiszervezett biztonságra I. - A szolgáltatás kialakítása néhány hónapot vett igénybe - Több mint 3 éve folyamatosan működik - Folyamatos riasztások kiküldését végezzük - Rendszeres havi riportokat küldünk - Évi több tízezer esemény - Havonta a gépi előszűrések után átlagban 1-5 esemény marad, amit emberi beavatkozással kezelünk.

14 ICON Számítástechnikai zrt július Példák a kiszervezett biztonságra II. - Államigazgatási szerv - Alkalmazottak száma ezres nagyságrendű - Bonyolult IT rendszerek, számos vidéki telephely és rendkívül érzékeny állampolgári adatok - Emellett intenzív és aktív IT felhasználási igény, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet (a biztonsággal kapcsolatos operatív munkatársak száma 5 fő alatt!) - Vegyes szoftver és hardver környezet (Windows és Unix eszközök) - Heterogén IT biztonsági megoldások (többszintű tűzfal rendszer, behatolás védelem hálózati és kiszolgáló alapon, vírusvédelem több szinten a szerverektől a kliensekig)

15 ICON Számítástechnikai zrt július Példák a kiszervezett biztonságra II. - A biztonság felügyeletének ICON oldali kiszervezése valósult meg, saját bérelt vonalon keresztül, titkosított kommunikációval - A tűzfalak saját üzemeltetésben (külső támogatással) - Felügyeleti riportra és riasztásra támaszkodva a konfigurációt belső döntés után, megbízásra módosítjuk - Behatolás védelmi rendszerek saját üzemeltetésben (külső támogatással) - Felügyeleti riportra és riasztásra támaszkodva a konfigurációt belső döntés után, megbízásra módosítjuk - Vírusvédelmi rendszerek saját üzemeltetésben (külső támogatással) - Belső felügyelet alatt, de külső támogatással konfigurálva

16 ICON Számítástechnikai zrt július Példák a kiszervezett biztonságra II. - A szolgáltatás kialakítása közel fél évet vett igénybe - Több mint 3 éve folyamatosan működő szolgáltatás - Folyamatos riasztások kiküldését végezzük (ezt megfelelő finomhangolás után vált lehetségessé) - Rendszeres havi riportokat küldünk - Évi több százezer eseményt dolgozunk fel - Ezekből havonta a szűrések után átlagban eseményt kell kezelni emberi beavatkozással - A szolgáltatás éves költsége jóval alatta van egy főállású IT biztonsági szakember éves költségének

17 ICON Számítástechnikai zrt július Példák a kiszervezett biztonságra III. - Pénzintézeti szerv, alkalmazottak száma százas nagyságrendű - Komplex IT rendszerek, több szolgáltatóval való intenzív külső kapcsolat, érzékeny pénzügyi adatok - Magas szolgáltatási és biztonsági elvárások, IT biztonsággal foglalkozó terület nem üzemeltet biztonsági megoldásokat, de ellenőriz - A megvalósítás alatt álló megoldás: - Elosztott, magas rendelkezésre állásba szervezett biztonsági megoldás: tűzfal, vírusvédelmi és behatolásvédelmi funkciót lát el - A rendszer felügyeletét külső gyártó látja el (a riasztások titkosítva jutnak el a gyártó központjába) - A rendszer menedzsmentjét az ICON látja el a gyártó által adott riasztások alapján

18 ICON Számítástechnikai zrt július A vezetés kérdez: Miért kell nekünk biztonság? Eddig nem történt semmi baj. A felelős válaszol: Valószínűleg nem tudjuk, hogy történtek-e biztonsági incidensek, mert keveset naplózunk és nem minden eseményről van információnk. Emellett a múlttal nem célszerű indokolni a jövőt. Azért, mert eddig nem voltak biztonsági incidensek, a jövőben még lehetnek. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

19 ICON Számítástechnikai zrt július A vezetés kérdez: De nyílván kicsi a kockázata, hogy ilyen bekövetkezik, nem? A felelős válaszol: Megállapítható, hogy mekkora a kockázat. Ez egy külön feladat, amelyet kockázatelemzés útján tudunk megoldani. A vezetés kérdez: Erre mégis, mi szükség van? Indítsunk külön projektet arra, hogy a kockázatokról beszélgessünk? Üljetek be egy szobába és találjátok ki. A felelős válaszol: Az egyértelmű kockázatokat meg tudjuk becsülni ezzel a módszerrel. De mivel itt az üzleti folyamatainkban rejlő biztonsági kockázatokkal kell foglalkoznunk, ezért más módszereket kell használnunk. Erre léteznek szabványok, megoldások. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

20 ICON Számítástechnikai zrt július A vezetés kérdez: Te meg tudod ezt csinálni? A felelős válaszol: Ha sok időm lenne erre, akkor valószínűleg meg tudnám csinálni, a kockázatelemzés megtanulható. De most azt javasolnám, hogy használjunk erre külsős céget. Azok ismert szabványok szerint, rutinosan és gyorsan dolgoznak. A vezetés kérdez: Lassítsunk! Rendben, megbízol egy céget. Mi lesz a folytatás? A felelős válaszol: Elkészül egy kockázatelemzés, amelyből láthatjuk majd a valódi kockázatokat. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

21 ICON Számítástechnikai zrt július A vezetés kérdez: És akkor ezzel vége is, igaz? A felelős válaszol: A kockázatok elemzését követően a feltárt problémákra megoldásokat kell majd találni. A vezetés kérdez: Ha jól értem, akkor ez újabb feladatokat eredményez. A felelős válaszol: Igen, a kockázatokat rangsoroljuk és aztán az ezekkel arányos védelmet valósítjuk meg az egyes pontokon. Pl. kibővítjük a vírusvédelmünket, frissítjük a tűzfalunkat, írunk biztonsági szabályzatokat. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

22 ICON Számítástechnikai zrt július A vezetés kérdez: Mikor lesz ennek vége? A felelős válaszol: A kockázatok kezelése és az informatikai biztonság fenntartása folyamatos munkát igényel. Ez olyan, mint a minőségbiztosítás. A vezetés kérdez: Mennyibe fog ez kerülni? A felelős válaszol: Az összeg változó. Javaslom, hogy a kockázatelemzéssel kezdjük, mert az tartalmaz egyfajta helyzetértékelést és terveket is kérhetünk a jövőre nézve. Kérjünk be ajánlatokat kockázatelemzésre külső vállalkozóktól. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

23 ICON Számítástechnikai zrt július A vezetés kérdez: Várjunk egy picit. Mi van, ha ezt az egészet nem csináljuk? A felelős válaszol: Növekedik a kockázata annak, hogy bajunk esik. Például megállhatnak a létfontosságú szerverek és ezzel a napi munka vagy a termelés, feltörhetik a weboldalunkat, a dolgozók adatokat lophatnak el. A vezetés kérdez: És ha én felvállalom ezt a kockázatot? Szerintem nem lesz baj. A felelős válaszol: A törvények előírják, hogy foglalkoznunk kell az adatvédelemmel. A magyar jogszabályok ezen a téren szigorúak. Az ellenőrök (pl. PSZÁF, ÁSZ) és a könyvvizsgálók is ellenőrzik, hogy betartjuk-e a törvényt. És én nem vállalom annak a felelősségét, hogy megvédjem a céget a kockázatoktól, megfelelő védelem nélkül. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

24 ICON Számítástechnikai zrt július A vezetés kérdez: Hogyan járul hozzá a cég hatékonyságához ez az egész? Sok pénzt kiadok, de várhatok bármi hasznosat? A felelős válaszol: Az informatikai biztonság olyan, mint a minőségbiztosítás plusz egy balesetbiztosítás. Folyamatosan fenntartjuk a biztonságot, ezzel csökkentjük a kockázatokat, elkerüljük a bajt, biztonságosabb hátteret teremtünk a működéshez és ezzel javítjuk a hatékonyságot. De ha ennek ellenére beüt a baj, akkor van tervünk a probléma kezelésére, elhárítására és a károk enyhítésére. Ez a kiesett munkaórák csökkenését jelenti és ezáltal szintén növeli a hatékonyságot. A megfelelő biztonság olyan stabilitást eredményez, amely növeli a bizalmat a dolgozókban a vezetés iránt, az ügyfelekben pedig a cég iránt. Ezzel megtartjuk a jó munkaerőt és javítunk a versenyhelyzetünkön a piacon. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

25 ICON Számítástechnikai zrt július A vezetés kérdez: De hogy védem én ezt meg a tulajdonos előtt? Nem fog ilyesmire pénzt adni. A felelős válaszol: Meg fogjuk győzni, ha elmondjuk neki mindazt, amiről eddig beszélgettünk: működési kockázatok csökkentése, hatékonyság növelése, imázs vesztés és botrány elkerülése, adatlopás megakadályozása, a jó munkaerő megtartása, a piaci pozíció javítása, a szabályozott munkafeltételek, a problémák hatékony kezelése és a hatályos rendeletek és törvények betartása a sikeres könyvvizsgálatok és ellenőrzések érdekében. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató)

26 ICON Számítástechnikai zrt július Kérdések? Köszönöm a figyelmet! Keleti Arthur üzletág-igazgató, IT biztonság


Letölteni ppt "ICON Számítástechnikai zrt. Velünk működik együtt Az auditálástól a rendszermenedzsmentig Keleti Arthur üzletág-igazgató, IT biztonság"

Hasonló előadás


Google Hirdetések