Bezpieczeństwo dziś i jutro Security Inside Out
Transkrypt
Bezpieczeństwo dziś i jutro Security Inside Out
Bezpieczeństwo dziś i jutro Security Inside Out Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, | Warszawa CIA | Oracle 9 lutego Security 2011 Summit r. 2011 | Warszawa 9 lutego 2011 r. 1 Zawartość prezentacji GRC - Governance, Risk management and Compliance Mity dotyczące GRC Korzyści jakie przynosi GRC Podejście do wdrożenia GRC Przykłady Modele i standardy Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 2 Governance, Risk management and Compliance • GRC to system na który składają się ludzie, procesy i technologie, które pozwalają na – Zrozumienie i nadanie odpowiednich priorytetów oczekiwaniom interesariuszy – Ustanowienie celów z uwzględnieniem ryzyka – Działanie w określonych granicach wewnętrznych, społecznych, etycznych, prawnych i kontraktowych – Dostarczać interesariuszom właściwych, wiarygodnych, przejrzystych informacji w odpowiednim czasie – Pomiar skuteczności, efektywności i zgodności Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 3 Mity dotyczące GRC • GRC nie ma nic wspólnego z bieżącą działalnością i tylko przeszkadza w pracy • GRC jest tylko dla dużych firm • GRC jest dla firm notowanych na giełdzie • GRC to papierologia i biurokracja • GRC przeszkadza w robieniu biznesu Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 4 Korzyści jakie przynosi GRC • • • • • Ograniczenie ryzyka Ujednolicenie procesów biznesowych Poprawa efektywności Uwolnienie zasobów Usprawnienie zarządzania zmianami Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 5 Podejście do wdrożenia GRC • Zapewnienie zgodności • Ochrona aktywów – Failure Mode and Effects Analysis (FMEA) – The Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), – ISO/IEC 27001 – ISO/IEC 27005 • Zarządzanie incydentami – Basel II • System zarządzania Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 6 Zapewnienie zgodności • • • • • • • • • Jakie są cele procesu Jak te cele są powiązane z celami organizacji? Jakie są źródła danych dla procesu? Czy dane są wiarygodne? Jak powstają dane dla procesu? Jak są weryfikowane te dane? Jakie mechanizmy kontrolne są wbudowane w proces? Jakie są ich cele? Czy mechanizmy kontrolne są prawidłowo zaprojektowane żeby cele były osiągnięte? Jakie role w procesie posiadają uprawnienia do wprowadzania i modyfikacji danych? Czy role te są uprawnione do wykonywania tych czynności? Jakie mogą być skutki błędów we wprowadzani danych Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 7 Ochrona aktywów Identyfikacja aktywów Wycena aktywów Aktywa i ich wartość Identyfikacja podatności Identyfikacja zagrożeń Ryzyko Mechanizmy kontrolne Metody zapobiegania - Mechanizmy prewencyjne - Mechanizmy detekcyjne - Mechanizmy korekcyjne Ryzyko szczątkowe Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 8 Proces zarządzania • Mapa procesu – – – – – Role występujące w procesie / Aktorzy Obiekty występujące w procesie Systemy wspierające proces Dane występujące w procesie Dokumenty wykorzystywane w procesie (powiązane z innymi procesami) – Dokumenty i zapisy powstające w procesie – Mechanizmy kontrolne w procesie Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 9 Zarządzanie ryzykiem w procesie Cel Ryzyko Kontrolowane warunki zarządzania Procesy Ludzie Systemy Mechanizmy kontrolne Strategie postępowania z ryzykiem Akceptacja ryzyka Unikanie ryzyka Kontrolowanie / ograniczanie ryzyka Transfer / dzielenie się ryzykiem Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 10 Kontrola procesu według COBIT® 4.1 • • • • • • PC1 PC2 PC3 PC4 PC5 PC6 Cel procesu Właściciel procesu Powtarzalność procesu Role i odpowiedzialności Polityka, plany i procedury Doskonalenie procesu Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 11 GRC w zarządzaniu informatyką Model ładu i nadzoru (IT governance) w oparciu o COBIT® 4.1 Cele biznesowe informacja wymagania dla informatyki Cele IT Procesy IT kontrola działanie pomiar audyt Rezultaty testów kontroli Kluczowe działania wykonywane przez Struktura odpowiedzialności wydajność Wskaźniki wydajności wynik Mierniki wyników dojrzałość Modele dojrzałości Cele kontroli audytowane poprzez Ocena kontroli wewnętrznej Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. wdrażane z użyciem Praktyki kontroli wewnętrznej 12 Wytyczne zarządzania COBIT® 4.1 Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 13 Poziomy dojrzałości procesów • Uniwersalny miernik stopnia kontroli procesu • Uniwersalna skala ocen (0 -5) – – – – – – 0 – Nie istniejący 1 – Początkujący / Ad hoc 2 – Powtarzalny ale intuicyjny 3 – Zdefiniowany 4 – Zarządzany i mierzalny 5 – Optymalny • Możliwość wykonywania analiz porównawczych • Możliwość śledzenia trendów • Łatwe określenie kierunku usprawnień procesów Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 14 Poziomy dojrzałości Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 15 36 scenariuszy ryzyk Risk IT Practitioners Guide 1. Wybór programu IT 2. Nowe technologie 3. Wybór technologii 4. Podejmowanie decyzji inwestycyjnych dotyczących IT 5. Odpowiedzialność za IT 6. Integracja IT z procesami biznesowymi 7. Stan technologii infrastrukturalnych 8. Starzenie się systemów aplikacyjnych 9. Łatwość wprowadzania zmian i elastyczność architektury 10. Zgodność 11. Wdrożenie systemów 12. Przerwanie projektu IT 13. Ekonomika projektu 14. Realizacja projektu 15. Jakość projektu 16. Wybór lub poziom usług dostawców zewnętrznych 17. Kradzież elementów infrastruktury 18. Zniszczenie elementów infrastruktury 19. Zespół IT 20. Doświadczenie i umiejętności informatyczne 21. Integralność oprogramowania 22. Infrastruktura (sprzęt) 23. Wydajność oprogramowania 24. Wydajność systemów (moc) 25. Starzenie się oprogramowania infrastrukturalnego 26. Niebezpieczne oprogramowanie 27. Ataki logiczne 28. Nośniki danych 29. Wydajność mediów 30. Akcje protestacyjne 31. Integralność (baz)danych 32. Nadużycie praw dostępu 33. Błędy operacyjne IT 34. Zgodność z kontraktami 35. Ochrona środowiska 36. Siły natury Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 16 Dostępne modele i standardy • • • • • • • • • • Biblioteka COBIT® 4.1 i RiskIT ISO 27001/2/5 ISO 15408 ISO 31000 AS/NZS 4360 COSO NIST SAS70 ITIL v3 ISO 20000 Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 17 Q&A Radosław Kaczorek, CISSP, CISA, CIA Tel. Kom. E-mail +48 22 3797470 +48 501 433 303 [email protected] Radosław Kaczorek, CISSP, CISA, CIA | Oracle Security Summit 2011 | Warszawa 9 lutego 2011 r. 18