Download
1 / 26
260 likes | 349 Vues
Az auditálástól a rendszermenedzsmentig. Keleti Arthur üzletág-igazgató, IT biztons ág keleti.arthur @icon.hu. - Szándék van? - Felelős van? - Van miért felelősnek lenni? - Kockázatokat felmérték? Foglalkoznak a kockázatok kezelésével? A törvényt betartják ?
E N D
Az auditálástól a rendszermenedzsmentig Keleti Arthur üzletág-igazgató, IT biztonság keleti.arthur@icon.hu
- Szándék van? • - Felelős van? • - Van miért felelősnek lenni? • - Kockázatokat felmérték? • Foglalkoznak a kockázatok kezelésével? • A törvényt betartják? • - Úgy élnek, ahogy a papírokban van? • - Van visszacsatolás, értékelés, javítás? Mit várnak el a biztonságért felelős személytől? ICON Számítástechnikai zrt.
Kik a szereplők? Mi az érdekük?Hol konfrontálódnak? ICON Számítástechnikai zrt.
Mi a folyamat? Hol vannak a kiszervezési lehetőségek? Külsőssel elvégeztethető Módszertanok pl. CobIT Felmérés Követelmények pl. PSZÁF,törvények, vállalati direktívák Eszközök pl. Carisma Kockázatok elemzése Tűzfal, IPS, PKI, Vírusvédelem, Naplóelemzés … Szabályzatok BCP, DRP Üzemeltetési dokumentáció … Intézkedések Papírok Technológia Kontroll Folyamatok Felügyelet Jelentés Kiszervezhető Visszacsatolás ICON Számítástechnikai zrt.
Biztonság és kiszervezés az üzlet igényeinek oldaláról szemlélve Üzleti igények Kapcsolódási pontok azonosítása IT Biztonsági réteg – ITB/CSO Szervezeti kérdések és felelősségi körök átgondolása A teljes alkalmazás Funkció réteg – IT/CIO-CDO ICON Számítástechnikai zrt.
Tipikus kérdések • ?Kiszervezhető? Pont a biztonság? • !Igen, persze. A törvények is lehetővé teszik és ahogy a biztonsági őr sem saját alkalmazott, úgy az IT biztonságért felelős őr sem feltétlenül az. • ?Biztos, hogy nem tudnak mindent felügyelni • !Persze, hogy nem tudnak. De annál biztosan többet tudnak tenni, mint mi saját magunk. És amit tesznek azért felelősséggel is tartoznak. ICON Számítástechnikai zrt.
Tipikus kérdések ? Nem hiszem el, hogy tőlem több ezer kilométerre vagy akár a szomszédban biztonságban vannak az adataim !Pedig biztonságban vannak…- elásva a föld alá- páncélajtók mögött- profi szakemberek kezében- valószínűleg nagyobb biztonságban, mint a házon belül ICON Számítástechnikai zrt.
Változnak az idők! • Biztonsági incidensek száma évente azITBN 2005 résztvevői körében (200 válaszoló alapján): • Alacsony incidens: 13.550.894 db • Közepes incidens: 1.724 db • Magas incidens: 105 db ICON Számítástechnikai zrt.
Változnak az idők! • Az alkalmazások által készített naplóállományok gyűjtése azITBN 2005 résztvevőinek körében(200 válaszoló) ICON Számítástechnikai zrt.
Tipikus kérdések ICON Számítástechnikai zrt.
Példák a kiszervezettbiztonságra I. • Kiadói területen dolgozó vállalat • Alkalmazottak száma százas nagyságrendű • Közepesen bonyolult IT rendszerek, magas külső bedolgozói tevékenység, határidő-érzékeny munkák, szellemi tulajdont képező anyagok • Fokozott külső kommunikáció, központosított IT szolgáltatások, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet • Magas szintű IT biztonsági megoldások • neves tűzfal rendszer, sok külső kapcsolattal és időszakosan hullámzó magas terheléssel • minőségi vírusvédelmi rendszer ICON Számítástechnikai zrt.
Példák a kiszervezettbiztonságra I. • A biztonság felügyeletének és menedzsmentjének ICON oldali kiszervezése valósult meg • A tűzfalak és vírusvédelem saját telephelyen, de külső üzemeltetéssel és támogatással • Felügyeleti riportra és riasztásra támaszkodva a konfigurációt módosítjuk • Rendszeres frissítések és javítások elvégzése szintén feladat • Rendszeres továbbfejlesztési javaslatokat adunk az biztonsági szint növelésére • Folyamatosan kezeljük a rendszerből érkező riasztásokat, amelyek titkosítva érkeznek be a távfelügyeleti központunkba ICON Számítástechnikai zrt.
Példák a kiszervezettbiztonságra I. • A szolgáltatás kialakítása néhány hónapot vett igénybe • Több mint 3 éve folyamatosan működik • Folyamatos riasztások kiküldését végezzük • Rendszeres havi riportokat küldünk • Évi több tízezer esemény • Havonta a gépi előszűrésekután átlagban 1-5 eseménymarad, amit emberibeavatkozással kezelünk. ICON Számítástechnikai zrt.
Példák a kiszervezettbiztonságra II. • Államigazgatási szerv • Alkalmazottak száma ezres nagyságrendű • Bonyolult IT rendszerek, számos vidéki telephely és rendkívül érzékeny állampolgári adatok • Emellett intenzív és aktív IT felhasználási igény, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet (a biztonsággal kapcsolatos operatív munkatársak száma 5 fő alatt!) • Vegyes szoftver és hardver környezet (Windows és Unix eszközök) • Heterogén IT biztonsági megoldások (többszintű tűzfal rendszer, behatolás védelem hálózati és kiszolgáló alapon, vírusvédelem több szinten a szerverektől a kliensekig) ICON Számítástechnikai zrt.
Példák a kiszervezettbiztonságra II. • A biztonság felügyeletének ICON oldali kiszervezése valósult meg, saját bérelt vonalon keresztül, titkosított kommunikációval • A tűzfalak saját üzemeltetésben (külső támogatással) • Felügyeleti riportra és riasztásra támaszkodva a konfigurációt belső döntés után, megbízásra módosítjuk • Behatolás védelmi rendszerek saját üzemeltetésben (külső támogatással) • Felügyeleti riportra és riasztásra támaszkodva a konfigurációt belső döntés után, megbízásra módosítjuk • Vírusvédelmi rendszerek saját üzemeltetésben (külső támogatással) • Belső felügyelet alatt, de külső támogatással konfigurálva ICON Számítástechnikai zrt.
Példák a kiszervezettbiztonságra II. • A szolgáltatás kialakítása közel fél évet vett igénybe • Több mint 3 éve folyamatosan működő szolgáltatás • Folyamatos riasztások kiküldését végezzük (ezt megfelelő finomhangolás után vált lehetségessé) • Rendszeres havi riportokat küldünk • Évi több százezer eseményt dolgozunk fel • Ezekből havonta a szűrések után átlagban10-15 eseményt kell kezelni emberi beavatkozással • A szolgáltatás éves költsége jóval alatta van egyfőállású IT biztonsági szakember éves költségének ICON Számítástechnikai zrt.
Példák a kiszervezettbiztonságra III. • Pénzintézeti szerv, alkalmazottak száma százas nagyságrendű • Komplex IT rendszerek, több szolgáltatóval való intenzív külső kapcsolat, érzékeny pénzügyi adatok • Magas szolgáltatási és biztonsági elvárások, IT biztonsággal foglalkozó terület nem üzemeltet biztonsági megoldásokat, de ellenőriz • A megvalósítás alatt álló megoldás: • Elosztott, magas rendelkezésre állásba szervezett biztonsági megoldás: tűzfal, vírusvédelmi és behatolásvédelmi funkciót lát el • A rendszer felügyeletét külső gyártó látja el (a riasztások titkosítva jutnak el a gyártó központjába) • A rendszer menedzsmentjét az ICON látja el a gyártó által adott riasztások alapján ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez:Miért kell nekünk biztonság? Eddig nem történt semmi baj. A felelős válaszol:Valószínűleg nem tudjuk, hogy történtek-e biztonsági incidensek, mert keveset naplózunk és nem minden eseményről van információnk. Emellett a múlttal nem célszerű indokolni a jövőt. Azért, mert eddig nem voltak biztonsági incidensek, a jövőben még lehetnek. ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: De nyílván kicsi a kockázata, hogy ilyen bekövetkezik, nem? A felelős válaszol:Megállapítható, hogy mekkora a kockázat. Ez egy külön feladat, amelyet kockázatelemzés útján tudunk megoldani. A vezetés kérdez: Erre mégis, mi szükség van? Indítsunk külön projektet arra, hogy a kockázatokról beszélgessünk? Üljetek be egy szobába és találjátok ki. A felelős válaszol:Az egyértelmű kockázatokat meg tudjuk becsülni ezzel a módszerrel. De mivel itt az üzleti folyamatainkban rejlő biztonsági kockázatokkal kell foglalkoznunk, ezért más módszereket kell használnunk. Erre léteznek szabványok, megoldások. ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Te meg tudod ezt csinálni? A felelős válaszol: Ha sok időm lenne erre, akkor valószínűleg meg tudnám csinálni, a kockázatelemzés megtanulható. De most azt javasolnám, hogy használjunk erre külsős céget. Azok ismert szabványok szerint, rutinosanés gyorsan dolgoznak. A vezetés kérdez: Lassítsunk! Rendben, megbízol egy céget. Mi lesz a folytatás? A felelős válaszol: Elkészül egy kockázatelemzés, amelyből láthatjuk majd a valódi kockázatokat. ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez:És akkor ezzel vége is, igaz? A felelős válaszol:A kockázatok elemzését követően a feltárt problémákra megoldásokat kell majd találni. A vezetés kérdez: Ha jól értem, akkor ez újabb feladatokat eredményez. A felelős válaszol:Igen, a kockázatokat rangsoroljuk és aztán az ezekkel arányos védelmet valósítjuk meg az egyes pontokon. Pl. kibővítjük a vírusvédelmünket, frissítjük a tűzfalunkat, írunk biztonsági szabályzatokat. ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez:Mikor lesz ennek vége? A felelős válaszol: A kockázatok kezelése és az informatikai biztonság fenntartása folyamatos munkát igényel. Ez olyan, mint a minőségbiztosítás. Avezetés kérdez: Mennyibe fog ez kerülni? A felelős válaszol:Az összeg változó. Javaslom, hogy a kockázatelemzéssel kezdjük, mert az tartalmaz egyfajta helyzetértékelést és terveket is kérhetünk a jövőre nézve. Kérjünk be ajánlatokat kockázatelemzésre külső vállalkozóktól. ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez:Várjunk egy picit. Mi van, ha ezt az egészet nem csináljuk? A felelős válaszol: Növekedik a kockázata annak, hogy bajunk esik. Például megállhatnak a létfontosságú szerverek és ezzel a napi munka vagy a termelés, feltörhetik a weboldalunkat, a dolgozók adatokat lophatnak el. A vezetés kérdez: És ha én felvállalom ezt a kockázatot? Szerintem nem lesz baj. A felelős válaszol:A törvények előírják, hogy foglalkoznunk kell az adatvédelemmel. A magyar jogszabályok ezen a téren szigorúak. Az ellenőrök (pl. PSZÁF, ÁSZ) és a könyvvizsgálók is ellenőrzik, hogy betartjuk-e a törvényt. És én nem vállalom annak a felelősségét, hogy megvédjem a céget a kockázatoktól, megfelelő védelem nélkül. ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez:Hogyan járul hozzá a cég hatékonyságához ez az egész? Sok pénzt kiadok, de várhatok bármi hasznosat? A felelős válaszol: Az informatikai biztonság olyan, mint a minőségbiztosítás plusz egy balesetbiztosítás. Folyamatosan fenntartjuk a biztonságot, ezzel csökkentjük a kockázatokat, elkerüljük a bajt, biztonságosabb hátteret teremtünk a működéshez és ezzel javítjuk a hatékonyságot.De ha ennek ellenére beüt a baj, akkor van tervünk a probléma kezelésére, elhárítására és a károk enyhítésére. Ez a kiesett munkaórák csökkenését jelenti és ezáltal szintén növeli a hatékonyságot.A megfelelő biztonság olyan stabilitást eredményez, amely növeli a bizalmat a dolgozókban a vezetés iránt, az ügyfelekben pedig a cég iránt. Ezzel megtartjuk a jó munkaerőt és javítunk a versenyhelyzetünkön a piacon. ICON Számítástechnikai zrt.
Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez:De hogy védem én ezt meg a tulajdonos előtt? Nem fog ilyesmire pénzt adni. A felelős válaszol: Meg fogjuk győzni, ha elmondjuk neki mindazt, amiről eddig beszélgettünk: működési kockázatok csökkentése, hatékonyság növelése, imázs vesztés és botrány elkerülése, adatlopás megakadályozása, a jó munkaerő megtartása, a piaci pozíció javítása, a szabályozott munkafeltételek, a problémák hatékony kezelése és a hatályos rendeletekés törvények betartása a sikeres könyvvizsgálatok és ellenőrzések érdekében. ICON Számítástechnikai zrt.
Kérdések? Köszönöm a figyelmet! Keleti Arthur üzletág-igazgató, IT biztonság keleti.arthur@icon.hu ICON Számítástechnikai zrt.
