Paranoia avagy túlélés az IT biztonságban

Slides:



Advertisements
Hasonló előadás
Vírusok, kémek és egyéb kártevők
Advertisements

Csináljunk üzletet! Avagy,
PTE PMMK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 4. ELŐADÁS.
Szervezetfejlesztési Program
4. Marketing előadás 2009.Március 4. A szervezetek beszerzése- a vállalatok „fogyasztói magatartása”
A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia szeptember 26.
Információbiztonság vs. informatikai biztonság?
A mentori munka kihívásai a mentorképzés tapasztalatai alapján
„Régi jó földből – új erős hajtások”. Miért jelentkezek az SZMT Elnöki poziciójára? - Elvira •Mert nagyon sokat kaptam ettől a közösségtől, Tőletek és.
Kötelező Önvédelmi Gyakorlatok Nem Csak „Feketeöves Adatvédőknek” Kun Árpád vezető rendszermérnök, CEH Budapest, Január 28.
Az Információ fizikai védelme
TÉNYLEG CSAK EZ MOTÍVÁL?
Karrierfejlesztés lehetőségei és dilemmái
Asszertív magatartás és viselkedés technikák
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
Alkalmazási eredmények és piaci igények áttekintése december 04.
1 Vállalkozásfejlesztés - gyakorlati javaslatok Dr. Imreh Szabolcs SZTE GTK.
4. Előadás Vállalatgazdálkodási alapok
Ember László Mentési eljárások.
Közösségi munka. 1. A közösségi munka előnyei az egyéni és családi esetkezeléssel szemben A szociális munkások rendelkezésére álló eszközök rendszerint.
HOGYAN KÉSZÜLJÜNK FEL ÉS MIRE FIGYELJÜNK AZ ADÓHATÓSÁGI VIZSGÁLAT ALATT Mazars – Piac és profit Titre de la présentation 1.
A nem OEP finanszírozott bevételek szervezési rendje és megfelelősége a törvényi előírásoknak Béres György gazdasági igazgató Vezérigazgató Találkozót.
H o t l i n e PéPéeS Hotline: Milyen számítógépe van? Ügyfél: Fehér. Ügyfél: Nem tudom a lemezt kivenni a meghajtóból. Hotline: Próbálta.
Átláthatósági jelentések követelményei, tapasztalatok
ADATBIZTONSÁG, ADATVÉDELEM II. Takács Béla
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
10. óra A HIBA -- esetek.
Margitay – Mérnöketika A MÉRNÖKI FELELŐSSÉG -- ESETEK 11. óra.
Human security awareness - IT vagy HR feladat?
Tanuló szervezet.
Environmental Compliance Inspection Course A rendészeti eljárás A rendészeti eljárás.
Távmunka a kárrendezésben a Generali-Providencia Biztosító Rt.-nél III. Országos Távmunka Konferencia Kiss Attiláné.
Kórházi eredetű fertőzések-kártérítési felelősség
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
Változások menedzselése felsőfokon Készítette: Schalli Adrienn Dinya László.
Domboróczky Zoltán, MBA, PhD hallgató ZMNE Hadtudományi Doktori iskola
KÖBE. Ahol a balesetmegelőzés is KÖTELEZŐ. Tudatos Vezetők Klubja.
A FIZETÉSIMÉRLEG-STATISZTIKA ADATGYŰJTÉSI RENDSZERÉNEK ÁTALAKÍTÁSA Sándor György igazgató Piaci műveletek és statisztika december 8.
A vezető személyisége – a ma követelményei és a holnap kihívásai.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Clear Desk avagy A rendezett íróasztal elmélete avagy Üres asztalról nincs mit lopni ? Gasparetz András ügyvezető igazgató MagiCom Kft.
„Információvédelem menedzselése” XIX. Szakmai Fórum Budapest, január 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
„Információvédelem menedzselése” XVI. Szakmai Fórum Budapest, május 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét Információbiztonsági.
PTE PMMIK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 5. ELŐADÁS.
Munkára képes állapot ellenőrzésének anomáliája a munkahelyen Poór László ügyvezető.
„Információvédelem menedzselése” XI. Szakmai Fórum Budapest, május 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
1 XIV. Országos Minőségellenőrzési Továbbképzés MER ellenőrzések módszertana Siófok, Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Miért van szükség loggyűjtésre és logelemzésre? Vámos Balázs Információvédelem menedzselése XXIX. Szakmai fórum Január 16.
„Útban a Minősített Könyvtár cím felé” Gödöllő, 2016.szeptember.28
Biyovis a mi üzletünk.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Vállalatirányítási rendszerek bevezetése és tapasztalatai a KKV szektorban Oldal Zoltán vállalati tanácsadó Gy-M-S Kereskedelmi és Iparkamara KKV vezetők.
Az Újbuda 60+ Program rendszerének legfontosabb elemei
Országos tanácsadási konferencia
Integrált ügyfél-kommunikáció a weben
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése VIII. Szakmai Fórum
„ÖSSZEFOGÁSBAN AZ ÉSZAK- HEGYHÁTÉRT”- EFOP
Szenzor Gazdaságmérnöki Kft.
"INFORMÁCIÓVÉDELEM MENEDZSELÉSE" IX. SZAKMAI FÓRUM
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
Hétpecsét Információbiztonsági Egyesület, elnök
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
dr. Kőmíves Péter Miklós ügyvivő-szakértő
Hétpecsét Információbiztonsági Egyesület, al-elnök
IT biztonsági kérdezz-felelek amit a GDPR-ról tudni kell
Előadás másolata:

Paranoia avagy túlélés az IT biztonságban Rékási Ábel IT Biztonsági tanácsadó Magicom Kft. rabel@magicom.hu Tel: 06 – 1 - 260 5869

Mi a leggyengébb láncszem? "INFORMÁCIÓVÉDELEM MENEDZSELÉSE" IX. SZAKMAI FÓRUM Mi a leggyengébb láncszem? 2004. január 21. Biztosítja-e a PDCA elv használata egy jól szabályzott környezetben a biztonságot? NEM! A tapasztalatok azt mutatják, hogy azon cégek nagy része akik pénzt és erőforrást nem kímélve tanúsítást szereznek továbbra is sebezhetők a legegyszerűbb titkosszolgálati módszerekkel szemben. Paranoia avagy túlélés az IT biztonságban - Rékási Ábel (Magicom Kft.) IT biztonsági szakértő

Mi a leggyengébb láncszem? "INFORMÁCIÓVÉDELEM MENEDZSELÉSE" IX. SZAKMAI FÓRUM Mi a leggyengébb láncszem? 2004. január 21. A statisztikák szerint a sikeres támadások 75-80% -a belső segítséggel indul. Tehát kijelenthető, hogy egy biztonságilag jól szervezett és irányított cégben a szűk keresztmetszet az ember. Paranoia avagy túlélés az IT biztonságban - Rékási Ábel (Magicom Kft.) IT biztonsági szakértő

Az ember a gépben "Ki tudom számítani az égitestek mozgását, de az emberek őrültségével nem tudok kalkulálni„ (Isaac Newton), Nekünk viszont számolnunk kell ezen veszélyekkel ahhoz, hogy eséllyel védekezhessünk, az idővel kötelezően bekövetkező támadás ellen.

Az üzleti hírszerzés Üzleti Hírszerzést megkülönböztetjük fajtája és módszere szerint: Offenzív Defenzív

Defenzív hírszerzés Tény, hogy defenzív üzleti hírszerzésre akkor is szükség van, ha a piaci szereplők még nem indítottak támadást a piaci részesedésünk ellen, ugyanis a defenzív hírszerzésből beérkező információk elemzése védelmet nyújt az alacsonyabb szintű fenyegetések ellen. Eredményeiből meglepve tapasztalhatjuk máris hadban állunk.

Defenzív hírszerzés (2.) A Belső Fenyegetések felsorolása a teljesség igénye nélkül: Csalás, sikkasztás, lopás, lehetőségek saját célra történő kihasználása, korrupció, gazdasági befolyással, -hatalommal történő visszaélések, és talán a legnehezebben kivédhető az emberi butaság. Ezen előadásban mélyebben az emberi hiszékenységgel kapcsolatos belső fenyegetésekre koncentrálnék, hiszen legtöbbször ezek segítségével sikeresek a komplexebb támadásformák.

A megoldás: Paranoia Minden hasonló fórumon hangsúlyozzák az oktatás jelentőségét mégis az IT biztonság minden egyéb területén nagyságrendi javulás figyelhető meg míg ezen a területen csak kozmetikai. Általában a dolgozói magatartás javul a Biztonsági szabályzat bevezetése után. számítógép használati szabályzat tartalomfigyelés vírusfertőzések gyakorisága stb.

A megoldás: Paranoia (2.) De a lényegi kérdésekben még mindig változatlan a helyzet. A Social Engineering ellen tehetetlenek. Nem értették meg ugyanis cégeinkben az általunk végzett munka fontosságát, sem a rájuk jutó feladatok jelentőségét. És ezen nekünk kell változtatnunk! Erre nyújt lehetőséget az oktatás és még inkább az oktatást követő folyamatos kreatív tesztelés.

A megoldás: Paranoia (3.) Saját kárukon tanított kollégák által fénysebességgel terjesztett információ. Van jelentősége az oktatáson eltöltött napoknak. Nem a büntetés hanem a közösség erejével változtatni meg az általános magatartásformát.

A megoldás: Paranoia (4.) Tudatosan készíteni fel a kollégákat a Social Engineering felismerésére. Begyakoroltatni a helyes választ. Megértetni, hogy az ellenőrzés kötelező része minden kommunikációnak.

Gyakorlati megoldások Érdemes havonta néhány alkalommal tovább maradni és ”leszüretelni” a céges kukák tartalmát, az elöl hagyott iratokat, a klaviatúra alá rejtett jelszavakat. Meg fogunk lepődni. És ha jól csináljuk a meglepetések okozói is tanulnak hibáikból.

Gyakorlati megoldások (2.) Néha éhezzünk meg egy kicsit később és mikor egy iroda teljesen kiürül (meglepően gyakran) ellenőrizzük le a “tonert a nyomtatóban”. Ismét meglepődünk majd milyen sok kolléga hátterét változtathatjuk tanulsággá.

Gyakorlati megoldások (3.) Később szervezzünk be más kollégát ezen tevékenységek elvégzésére. Ha már megjárták velünk próbálkozzunk a jelenlétükben is. Ha nem találunk semmit dicsérjünk! Ha találtunk mindig mondjuk el mi lett volna a helyes magatartás. Meglepően hamar kialakítható a gyanakvás. Ha gyanakvás van túlélés is van.

Gyakorlati megoldások (4.) Fontos, hogy ha mindezt játékosan csináljuk nem pedig fenyegetően még akár színfolt is lehet a mindennapi munkában. Legyünk kreatívak, tartsuk életben a gyanakvást. Ha van lehetőség cégen kívüli tesztelésre forduljunk profikhoz. Kérjünk biztonsági átvilágítást, Social Engineering-et. Ha munkatársainkat elég paranoiássá tettük jó lesz a bizonyítvány.

Mottó: “Azért mert paranoiás vagyok még nem biztos, hogy nem üldöznek.” Köszönöm a figyelmet.