Telephelyek információbiztonsági felülvizsgálata szervezeti összeolvadás esetén Cseh Zsolt tanácsadó XXXVII. Szakmai fórum szeptember 16

Tartalom Egy szervezeti összeolvadás IT biztonsági kockázatai A kockázatok csökkentési lehetőségei

A gazdasági szükségszerűség hatásai Cégek körüli turbulencia - holdingosodás, telephelybezárások, költözések, akvizíciók Technológia elhanyagoltabb Emberi tényezők nehezen kiszámíthatóak  A változás miatti biztonsági kockázat!

„Akvizíciók” a magánéletben Autó: Elhisszük, megnézzük, megnézetjük Lakás: Épület, szomszédok, tervek, szabályozás „Nézd meg az apját…”  Akvizíciók miatti biztonsági kockázat!

Vállalatok összeolvadása = Informatikai kockázatok akvizíciója? A szervezeti kultúra különbségei (a kultúra része az információ-biztonsági tudatosság és a szokások is!) Eltérő folyamatok (struktúra, írásbeliség és rutinok – adminisztratív kontrollok) Eltérő technológiai háttér (fizikai és logikai kontrollok) Emberi tényezők

A heterogén folyamatok kockázatai A régiek és az újak eltérő információbiztonsági attitűdje (szokások, hitek, hiedelmek… a szervezeti kultúra) Változás menedzsment Incidens kezelés

Technológiai kockázatok Verzió ütközések (és hibajavítások – SP, Patch stb.) Többszörös tűzfalszűrési szabályok (az egymásra rakódó rétegek) Redundancia Adattárolás, adatátvitel Gépterem fizikai biztonság

Emberi tényezők presztízs féltés pozíció féltés információ blokkolás információk végleg elveszhetnek a másik szervezet biztonsági rései kihathatnak az anyaszervezetre

Belső fenyegetettség Az eszközök 90%-a külső fenyegetettségre fókuszál Megyek? Maradok? Mentek! Bosszú Felmérés: Mentené-e vállalata adatait elbocsátás esetén?

Kockázatok csökkentése Ismeretlen –> ismert Heterogén -> homogén Rugalmatlan -> rugalmas Bizonytalanság -> biztosan rossz Átfedések -> egymáshoz illesztett

Folyamatok - háttérinfó Korábbi események feltérképezése Tájékozódás –biztonsági szakemberek, –felhasználók (folyosó, „zuhany-híradó”) –log-ok biztonsági projektek és megvalósulásuk

Szerződések átvizsgálása kik és mit szolgáltatnak milyen hozzáférést kell nekik biztosítani titoktartási klauzulák külső sw fejlesztő –Változáskezelési szabályozások –Rendszerek elfogadása, átvétele –Információbiztonsági incidensek kezelése

Dokumentált IT vagyon Leltár, dokumentáció naprakész? –„a rendszergazda úr a káoszon" Alapinfrastruktúra, adatok, alkalmazások Áttekinthetőség, dokumentált átvétel

Dokumentált hálózat Grafikusan ábrázolt Hierarchikus, (L1, L2, L3) Kereshető eszközleltár Fizikai és logikai kapcsolódások Konfigurációkat tartalmaz Migráció tervezhető vele Chassis, modulok, portok, IP címek, vonalak

Belső kockázat csökkentése Kreatív social engineering Tevékenység naplózó alkalmazások HR munkaszerződések Titoktartás Pozitív belső kommunikáció Képzések Minősítések Jogosultságok újragondolása

Összegzés Helyes sorrend –Kockázatok f elmérés e –Összekapcsolódási k ritériumok meghatározása –Összekapcsolódás Összeolvadás egy lehetőség a kockázatok csökkentésére

Köszönöm a figyelmüket!