Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Human security awareness - IT vagy HR feladat?

KiadtaLőrinc Gáspár Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "Human security awareness - IT vagy HR feladat?"— Előadás másolata:

1 Human security awareness - IT vagy HR feladat?
Dr. Krasznay Csaba

2 Aranyköpések „Az informatikai problémák 90%-a a billentyűzet és a szék között helyezkedik el.” „Csak az nem hibázik, aki nem dolgozik.” „A leggyengébb láncszem mindig az ember!” „A sikeres informatikai támadások legtöbbször belső munkatárs miatt következnek be.” Azaz rengeteg probléma van a munkatársakkal!

3 Human security error A munkatársak miatti információbiztonsági problémák okai lehetnek szándékosak és nem szándékosak. A hibák többsége nem szándékos, tudatlanság, információhiány, figyelemhiány okozza. Gyakran bekövetkezik, a várható kárérték közepes méretű. A szándékos károkozás viszonylag ritka, de az okozott kár komoly lehet. Bármelyiket nézzük, legalább magas kockázattal kell számolni, tehát valamilyen védelmi intézkedés szükséges!

4 Fenyegetések Tipikus fenyegetések: Képzetlen munkavállaló
Elégedetlen/bűnöző munkavállaló Social engineering Advanced Persistent Threat (APT)

5 Képzetlen munkavállaló
Valljuk meg, bizonyos szinten mindenki ide tartozik! Mit tehetünk ellene? Belső szabályozások Tudatossági oktatás Figyelmeztetés, számonkérés, büntetés, de hogyan? Alapvető technológiai korlátok (hardening, kliens oldali védelem, tartalomszűrés, stb.) Ez egy CISO legelső és legalapvetőbb feladata, de a HR- rel közösen!

6 Biztonságtudatossági oktatás
Ki tartsa? A biztonsági felelős, a HR vagy külső szakértő? A válasz: esete és cége válogatja. Kinek tartsa? Mindenkinek, a számítógéppel dolgozóknak vagy csak bizonyos munkaköröknek? A válasz: mindenkinek, beosztástól függő tartalommal. Hogyan tartsa? Személyesen, tanfolyamon, elektronikusan? A válasz: ahogy az a célcsoportnak a legkényelmesebb.

7 Elégedetlen/bűnöző munkavállaló
Egy ember életében számos olyan szituáció lehetséges, amikor a cég erőforrásai kellően értékesek lehetnek. A következőkben az Association of Certified Fraud Examiners 2012 Report to the Nations tanulmánya alapján próbáljuk megérteni, miért is csalnak az emberek? Részletesen ld. itt:

8 Motivációk

9 Az elkövetők életkora

10 Céges múlt

11 Bűnözői múlt

12 Az elkövető beosztása

13 Fertőzött iparágak

14 Fertőzött területek

15 Csalástípusok

16 Csalások felfedezésének módja

17 Védelmi intézkedések Az alkalmazást megelőzően:
Átvilágítás (a pozíciónak megfelelően) Az alkalmazás időtartama alatt: A személyiségi jogokat tiszteletben tartó korai figyelmeztető megoldások (naplózás, DLP, stb.) használata Az alkalmazás után: Jogosultságok visszavonása, vagyontárgyak visszaszolgáltatása Bizonyítékok szolgáltatása az eljárások támogatására Elsősorban HR feladat, de az IT és más területek (pl. belső ellenőrzés) hatékony támogatást tud nyújtani.

18 Social Engineering „A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni.” – Kevin D. Mitnick „Social engineering is the practice of using deception or persuasion to fraudulently obtain goods or information, and the term is often used in relation to computer systems or the information they contain.” – Douglas P. Twitchell „… social engineering is the art or better yet, science, of skillfully maneuvering human beings to take action in some aspect of their lives.” – Christopher Hadnagy

19 SE technikák Forrás: Váczi Dániel, Sörös Tamás
További részletek: Oroszi Eszter előadásai

20 Védelmi lehetőségek A védekezés alapvetően a tudatosság emelésével érhető el. De ezen a területen kiemelten fontos a hagyományos biztonságtechnika! Tipikusan az a terület, ahol a security és az IT security találkozik. IT technológiai trükköket persze itt is lehet alkalmazni, de a hasznossága megkérdőjelezhető. Próbáljunk minél kisebb támadási felületet nyitni, azaz koncentráljunk a minél kisebb információszivárgásra Ebbe a cég és az alkalmazotti információk (pl. Facebook) is beletartozik!

21 Advanced Persistent Threat (APT)
Emberi tényező Alkalmazás hiba Elégtelen infrastruk-túra

22 APT vs. SE Célzottabb informatikai támadások (pl. cégre szabott 0-day)
Célzottabb személyi megkeresés (akár hírszerzési információkkal támogatva) Hosszabb eszkalációs idő, nagyobb erőforrások Védekezni szinte lehetetlen! Vagy mégsem? Tűt keresünk a szénakazalban, de időnként azt is meg lehet találni!

23 APT védelem Jó eséllyel emberen keresztül érkezik a támadás.
Ennek elkerülése érdekében: Ahol az APT kockázata fennáll, építsük ki az egészséges paranoiát! Használjunk olyan védelmi eszközöket, melyek „intelligensek”, azaz reagálnak az IT környezet abnormális működésére, és gyorsan frissülnek. Legyen szoros együttműködés a belbiztonsági szervekkel (védjenek ők is!) A humán védelem helyi és nemzetbiztonsági feladat is!

24 Összefoglalás A humán védelem mindenkinek a feladata!
Az IT biztonság elsősorban támogató szerepet tölt be, de „történetileg” sok humán biztonsági feladat itt ragadt. Egyébként ez a létező legnehezebb feladatok egyike, hiszen az emberi tűzfalat eddig még nem találták fel. Ráadásul az ember nem gép, az érzelmek pedig nehezítő tényezők. Klasszikus multidiszciplináris feladat. Sok szerencsét hozzá! 

25 Ajánlott irodalom Oroszi Eszter előadásai a Hacktivity-n: A biztonságtudatossági oktatásról két anyag: NIST SP : rev1/Draft-SP Rev1.pdf NIST SP : 50/NIST-SP pdf

26 Köszönöm a figyelmet! Web: Twitter: twitter.com/csabika25

Letölteni ppt "Human security awareness - IT vagy HR feladat?"

Hasonló előadás

A rendvédelmi szervek helye a kibervédelemben

A rendvédelmi szervek helye a kibervédelemben
Számítógépes vírusok.

Számítógépes vírusok.
Vírusok, kémek és egyéb kártevők

Vírusok, kémek és egyéb kártevők
Mennyire érzed magad biztonságban a virtuális térben? Dr. Krasznay Csaba.

Mennyire érzed magad biztonságban a virtuális térben? Dr. Krasznay Csaba.
Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.

Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.
Az elektronikus közigazgatási rendszerek biztonsága

Az elektronikus közigazgatási rendszerek biztonsága
Az adat és titokvédelem néhány aspektusa pénzintézeti környezetben

Az adat és titokvédelem néhány aspektusa pénzintézeti környezetben
Gondolkodj Egészségesen! Program OSZMK baleset-megelőzési konferencia 2009. szeptember 30.

Gondolkodj Egészségesen! Program OSZMK baleset-megelőzési konferencia szeptember 30.
A cyber-terrorizmus problémája Magyarországon

A cyber-terrorizmus problémája Magyarországon
Hogyan vernek át nap, mint nap?

Hogyan vernek át nap, mint nap?
ECDL – Az elmúlt 15 év Várallyai László.

ECDL – Az elmúlt 15 év Várallyai László.
Információbiztonság vs. informatikai biztonság?

Információbiztonság vs. informatikai biztonság?
B – csoport E-kereskedelem logisztikája és E-logisztika

B – csoport E-kereskedelem logisztikája és E-logisztika
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.
SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR AUTO- SZŰRŐ FEJLESZTÉSE TÁBLÁZAT ALAPÚ JELENTÉSEK UTÓLAGOS, BÖNGÉSZŐN BELÜLI TOVÁBB- FELDOLGOZÁSÁRA.

SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR AUTO- SZŰRŐ FEJLESZTÉSE TÁBLÁZAT ALAPÚ JELENTÉSEK UTÓLAGOS, BÖNGÉSZŐN BELÜLI TOVÁBB- FELDOLGOZÁSÁRA.
SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR KUTATÓK ÉJSZAKÁJA 2010. SZEPTEMBER 24. AUTO-SZŰRŐ FEJLESZTÉSE OLAP JELENTÉSEK UTÓLAGOS, OFFLINE.

SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR KUTATÓK ÉJSZAKÁJA SZEPTEMBER 24. AUTO-SZŰRŐ FEJLESZTÉSE OLAP JELENTÉSEK UTÓLAGOS, OFFLINE.
Magyarországi cloud computing megoldások, belépési területek a hazai kis- és közepes méretű vállalatok számára Riba István.

Magyarországi cloud computing megoldások, belépési területek a hazai kis- és közepes méretű vállalatok számára Riba István.
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása

Az Ibtv. civil-szakmai támogatása

Hasonló előadás

Google Hirdetések