Az auditálástól a rendszermenedzsmentig 2006. február 7. Az auditálástól a rendszermenedzsmentig Keleti Arthur üzletág-igazgató, IT biztonság keleti.arthur@icon.hu
Mit várnak el a biztonságért felelős személytől? 2017. április 4. Mit várnak el a biztonságért felelős személytől? - Szándék van? - Felelős van? - Van miért felelősnek lenni? - Kockázatokat felmérték? Foglalkoznak a kockázatok kezelésével? A törvényt betartják? - Úgy élnek, ahogy a papírokban van? - Van visszacsatolás, értékelés, javítás? ICON Számítástechnikai zrt.
Kik a szereplők? Mi az érdekük? Hol konfrontálódnak? 2017. április 4. Kik a szereplők? Mi az érdekük? Hol konfrontálódnak? Szereplő A szereplő feladata, érdeke a rendszer… a funkció… a folyamatok… az ember… Üzemeltető Pl. CIO karbantartása, jó hatékonysága rendelkezésre állása, használhatósága betartása, gyorsítása, jelentése kiszolgálása Fejlesztő Pl. CDO változtatása, fejlesztése megvalósítása, kényelme beemelése az alkalmazásokba érdekei, lehetőségei Biztonsági terület Pl. CSO biztonsága, változatlansága korlátozása, ellenőrzése hibáinak kivédése, korlátozása Vállalat és az üzlet érdekei, akarata és stratégiája ICON Számítástechnikai zrt.
Mi a folyamat? Hol vannak a kiszervezési lehetőségek? 2017. április 4. Mi a folyamat? Hol vannak a kiszervezési lehetőségek? Külsőssel elvégeztethető Módszertanok pl. CobIT Felmérés Követelmények pl. PSZÁF, törvények, vállalati direktívák Eszközök pl. Carisma Kockázatok elemzése Tűzfal, IPS, PKI, Vírusvédelem, Naplóelemzés … Szabályzatok BCP, DRP Üzemeltetési dokumentáció … Technológia Intézkedések Papírok Kontroll Felügyelet Folyamatok Jelentés Kiszervezhető Visszacsatolás ICON Számítástechnikai zrt.
Biztonság és kiszervezés az üzlet igényeinek oldaláról szemlélve 2017. április 4. Biztonság és kiszervezés az üzlet igényeinek oldaláról szemlélve Üzleti igények Kapcsolódási pontok azonosítása IT Biztonsági réteg – ITB/CSO Szervezeti kérdések és felelősségi körök átgondolása A teljes alkalmazás Funkció réteg – IT/CIO-CDO ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Tipikus kérdések ? Kiszervezhető? Pont a biztonság? ! Igen, persze. A törvények is lehetővé teszik és ahogy a biztonsági őr sem saját alkalmazott, úgy az IT biztonságért felelős őr sem feltétlenül az. ? Biztos, hogy nem tudnak mindent felügyelni ! Persze, hogy nem tudnak. De annál biztosan többet tudnak tenni, mint mi saját magunk. És amit tesznek azért felelősséggel is tartoznak. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Tipikus kérdések ? Nem hiszem el, hogy tőlem több ezer kilométerre vagy akár a szomszédban biztonságban vannak az adataim ! Pedig biztonságban vannak… - elásva a föld alá - páncélajtók mögött - profi szakemberek kezében - valószínűleg nagyobb biztonságban, mint a házon belül ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Változnak az idők! Biztonsági incidensek száma évente az ITBN 2005 résztvevői körében (200 válaszoló alapján): Alacsony incidens: 13.550.894 db Közepes incidens: 1.724 db Magas incidens: 105 db ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Változnak az idők! Az alkalmazások által készített naplóállományok gyűjtése az ITBN 2005 résztvevőinek körében (200 válaszoló) ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Tipikus kérdések ICON Számítástechnikai zrt.
Példák a kiszervezett biztonságra I. 2017. április 4. Példák a kiszervezett biztonságra I. Kiadói területen dolgozó vállalat Alkalmazottak száma százas nagyságrendű Közepesen bonyolult IT rendszerek, magas külső bedolgozói tevékenység, határidő-érzékeny munkák, szellemi tulajdont képező anyagok Fokozott külső kommunikáció, központosított IT szolgáltatások, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet Magas szintű IT biztonsági megoldások neves tűzfal rendszer, sok külső kapcsolattal és időszakosan hullámzó magas terheléssel minőségi vírusvédelmi rendszer ICON Számítástechnikai zrt.
Példák a kiszervezett biztonságra I. 2017. április 4. Példák a kiszervezett biztonságra I. A biztonság felügyeletének és menedzsmentjének ICON oldali kiszervezése valósult meg A tűzfalak és vírusvédelem saját telephelyen, de külső üzemeltetéssel és támogatással Felügyeleti riportra és riasztásra támaszkodva a konfigurációt módosítjuk Rendszeres frissítések és javítások elvégzése szintén feladat Rendszeres továbbfejlesztési javaslatokat adunk az biztonsági szint növelésére Folyamatosan kezeljük a rendszerből érkező riasztásokat, amelyek titkosítva érkeznek be a távfelügyeleti központunkba ICON Számítástechnikai zrt.
Példák a kiszervezett biztonságra I. 2017. április 4. Példák a kiszervezett biztonságra I. A szolgáltatás kialakítása néhány hónapot vett igénybe Több mint 3 éve folyamatosan működik Folyamatos riasztások kiküldését végezzük Rendszeres havi riportokat küldünk Évi több tízezer esemény Havonta a gépi előszűrések után átlagban 1-5 esemény marad, amit emberi beavatkozással kezelünk. ICON Számítástechnikai zrt.
Példák a kiszervezett biztonságra II. 2017. április 4. Példák a kiszervezett biztonságra II. Államigazgatási szerv Alkalmazottak száma ezres nagyságrendű Bonyolult IT rendszerek, számos vidéki telephely és rendkívül érzékeny állampolgári adatok Emellett intenzív és aktív IT felhasználási igény, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet (a biztonsággal kapcsolatos operatív munkatársak száma 5 fő alatt!) Vegyes szoftver és hardver környezet (Windows és Unix eszközök) Heterogén IT biztonsági megoldások (többszintű tűzfal rendszer, behatolás védelem hálózati és kiszolgáló alapon, vírusvédelem több szinten a szerverektől a kliensekig) ICON Számítástechnikai zrt.
Példák a kiszervezett biztonságra II. 2017. április 4. Példák a kiszervezett biztonságra II. A biztonság felügyeletének ICON oldali kiszervezése valósult meg, saját bérelt vonalon keresztül, titkosított kommunikációval A tűzfalak saját üzemeltetésben (külső támogatással) Felügyeleti riportra és riasztásra támaszkodva a konfigurációt belső döntés után, megbízásra módosítjuk Behatolás védelmi rendszerek saját üzemeltetésben (külső támogatással) Vírusvédelmi rendszerek saját üzemeltetésben (külső támogatással) Belső felügyelet alatt, de külső támogatással konfigurálva ICON Számítástechnikai zrt.
Példák a kiszervezett biztonságra II. 2017. április 4. Példák a kiszervezett biztonságra II. A szolgáltatás kialakítása közel fél évet vett igénybe Több mint 3 éve folyamatosan működő szolgáltatás Folyamatos riasztások kiküldését végezzük (ezt megfelelő finomhangolás után vált lehetségessé) Rendszeres havi riportokat küldünk Évi több százezer eseményt dolgozunk fel Ezekből havonta a szűrések után átlagban 10-15 eseményt kell kezelni emberi beavatkozással A szolgáltatás éves költsége jóval alatta van egy főállású IT biztonsági szakember éves költségének ICON Számítástechnikai zrt.
Példák a kiszervezett biztonságra III. 2017. április 4. Példák a kiszervezett biztonságra III. Pénzintézeti szerv, alkalmazottak száma százas nagyságrendű Komplex IT rendszerek, több szolgáltatóval való intenzív külső kapcsolat, érzékeny pénzügyi adatok Magas szolgáltatási és biztonsági elvárások, IT biztonsággal foglalkozó terület nem üzemeltet biztonsági megoldásokat, de ellenőriz A megvalósítás alatt álló megoldás: Elosztott, magas rendelkezésre állásba szervezett biztonsági megoldás: tűzfal, vírusvédelmi és behatolásvédelmi funkciót lát el A rendszer felügyeletét külső gyártó látja el (a riasztások titkosítva jutnak el a gyártó központjába) A rendszer menedzsmentjét az ICON látja el a gyártó által adott riasztások alapján ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Miért kell nekünk biztonság? Eddig nem történt semmi baj. A felelős válaszol: Valószínűleg nem tudjuk, hogy történtek-e biztonsági incidensek, mert keveset naplózunk és nem minden eseményről van információnk. Emellett a múlttal nem célszerű indokolni a jövőt. Azért, mert eddig nem voltak biztonsági incidensek, a jövőben még lehetnek. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: De nyílván kicsi a kockázata, hogy ilyen bekövetkezik, nem? A felelős válaszol: Megállapítható, hogy mekkora a kockázat. Ez egy külön feladat, amelyet kockázatelemzés útján tudunk megoldani. A vezetés kérdez: Erre mégis, mi szükség van? Indítsunk külön projektet arra, hogy a kockázatokról beszélgessünk? Üljetek be egy szobába és találjátok ki. A felelős válaszol: Az egyértelmű kockázatokat meg tudjuk becsülni ezzel a módszerrel. De mivel itt az üzleti folyamatainkban rejlő biztonsági kockázatokkal kell foglalkoznunk, ezért más módszereket kell használnunk. Erre léteznek szabványok, megoldások. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Te meg tudod ezt csinálni? A felelős válaszol: Ha sok időm lenne erre, akkor valószínűleg meg tudnám csinálni, a kockázatelemzés megtanulható. De most azt javasolnám, hogy használjunk erre külsős céget. Azok ismert szabványok szerint, rutinosan és gyorsan dolgoznak. A vezetés kérdez: Lassítsunk! Rendben, megbízol egy céget. Mi lesz a folytatás? A felelős válaszol: Elkészül egy kockázatelemzés, amelyből láthatjuk majd a valódi kockázatokat. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: És akkor ezzel vége is, igaz? A felelős válaszol: A kockázatok elemzését követően a feltárt problémákra megoldásokat kell majd találni. A vezetés kérdez: Ha jól értem, akkor ez újabb feladatokat eredményez. A felelős válaszol: Igen, a kockázatokat rangsoroljuk és aztán az ezekkel arányos védelmet valósítjuk meg az egyes pontokon. Pl. kibővítjük a vírusvédelmünket, frissítjük a tűzfalunkat, írunk biztonsági szabályzatokat. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Mikor lesz ennek vége? A felelős válaszol: A kockázatok kezelése és az informatikai biztonság fenntartása folyamatos munkát igényel. Ez olyan, mint a minőségbiztosítás. A vezetés kérdez: Mennyibe fog ez kerülni? A felelős válaszol: Az összeg változó. Javaslom, hogy a kockázatelemzéssel kezdjük, mert az tartalmaz egyfajta helyzetértékelést és terveket is kérhetünk a jövőre nézve. Kérjünk be ajánlatokat kockázatelemzésre külső vállalkozóktól. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Várjunk egy picit. Mi van, ha ezt az egészet nem csináljuk? A felelős válaszol: Növekedik a kockázata annak, hogy bajunk esik. Például megállhatnak a létfontosságú szerverek és ezzel a napi munka vagy a termelés, feltörhetik a weboldalunkat, a dolgozók adatokat lophatnak el. A vezetés kérdez: És ha én felvállalom ezt a kockázatot? Szerintem nem lesz baj. A felelős válaszol: A törvények előírják, hogy foglalkoznunk kell az adatvédelemmel. A magyar jogszabályok ezen a téren szigorúak. Az ellenőrök (pl. PSZÁF, ÁSZ) és a könyvvizsgálók is ellenőrzik, hogy betartjuk-e a törvényt. És én nem vállalom annak a felelősségét, hogy megvédjem a céget a kockázatoktól, megfelelő védelem nélkül. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Hogyan járul hozzá a cég hatékonyságához ez az egész? Sok pénzt kiadok, de várhatok bármi hasznosat? A felelős válaszol: Az informatikai biztonság olyan, mint a minőségbiztosítás plusz egy balesetbiztosítás. Folyamatosan fenntartjuk a biztonságot, ezzel csökkentjük a kockázatokat, elkerüljük a bajt, biztonságosabb hátteret teremtünk a működéshez és ezzel javítjuk a hatékonyságot. De ha ennek ellenére beüt a baj, akkor van tervünk a probléma kezelésére, elhárítására és a károk enyhítésére. Ez a kiesett munkaórák csökkenését jelenti és ezáltal szintén növeli a hatékonyságot. A megfelelő biztonság olyan stabilitást eredményez, amely növeli a bizalmat a dolgozókban a vezetés iránt, az ügyfelekben pedig a cég iránt. Ezzel megtartjuk a jó munkaerőt és javítunk a versenyhelyzetünkön a piacon. ICON Számítástechnikai zrt.
ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: De hogy védem én ezt meg a tulajdonos előtt? Nem fog ilyesmire pénzt adni. A felelős válaszol: Meg fogjuk győzni, ha elmondjuk neki mindazt, amiről eddig beszélgettünk: működési kockázatok csökkentése, hatékonyság növelése, imázs vesztés és botrány elkerülése, adatlopás megakadályozása, a jó munkaerő megtartása, a piaci pozíció javítása, a szabályozott munkafeltételek, a problémák hatékony kezelése és a hatályos rendeletek és törvények betartása a sikeres könyvvizsgálatok és ellenőrzések érdekében. ICON Számítástechnikai zrt.
Kérdések? Köszönöm a figyelmet! 2017. április 4. Kérdések? Köszönöm a figyelmet! Keleti Arthur üzletág-igazgató, IT biztonság keleti.arthur@icon.hu ICON Számítástechnikai zrt.