Promašaji u Upravljanju IT Sigurnosti
-
Upload
ratko-stibric -
Category
Technology
-
view
1.709 -
download
3
Transcript of Promašaji u Upravljanju IT Sigurnosti
![Page 1: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/1.jpg)
Promašaji u upravljanju IT sigurnosti
Ratko ŠtibrićDirektorIT.inteligentne tehnologijewww.it.hr
![Page 2: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/2.jpg)
sponzori konferencije
pokrovitelji konferencije
medijski pokrovitelji
organizatori konferencije
ZSISZSISZSISZSISZavodzasigurnostinformacijskihsustava
![Page 3: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/3.jpg)
Što je vaš “core” business?
» Pitanje nije namijenjeno IT tvrtkama!» Što je “CORE” business bankama?» Što je “core” business IT tvrtkama?
![Page 4: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/4.jpg)
Sadržaj
» Uvod» Ljudi» IT kultura » Kritični problemi» Veliki sigurnosni projekti» Brza tehnička rješenja» Zaključak
![Page 5: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/5.jpg)
Uvod
» Informatika je dugo godina bila apsolutno cool posao (čak i za ljude koji se ne smatraju tehnološkim geekovima)
» Informatika je “prestala” biti cool posao za informatičare (i postala za one koji teško mogu naći posao u nekoj drugoj djelatnosti)
» Informatikom se danas posredno i neposredno bave ljudi koji znaju jako malo o informatici
![Page 6: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/6.jpg)
Security Management?
» Procesi» Politike, standardi, procedure, upute» Upravljanje rizicima» Kontrole» Tehnologija» Dokumentacija IT sustava» IT Kultura» Edukacija
![Page 7: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/7.jpg)
Upravljanje rizicima
» Osnovni alat za upravljanje sigurnosti» Nažalost često tek dolazi na kraju (nakon
implementacije IT sustava, sigurnosnih projekata i ulaganja)
» Fokus na detalje, umjesto na kritične stvari» Fokus na proces, umjesto na rezultate» Teško zaživi kao uobičajena disciplina (ah, pa
to smo već napravili)» Procjena vjerojatnosti:100% ili težnja prema
0%
![Page 8: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/8.jpg)
Trendovi
» Slijepo praćenje trendova u IT-u» Više se vjeruje Gartneru nego vlastitom
IT timu» Virtualizacija
› Zašto niste još virtualizirali sve servere?› Koliki je omjer godišnjeg rasta broja
servera u virtualnoj okolini i rasta prije virtualizacije?
![Page 9: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/9.jpg)
Osnovni problemi
Nemotiviranost
Nedostatak vremena
nedovoljno znanja
Premalo ljudi (ili loša organizacija IT-a)
Loš management
![Page 10: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/10.jpg)
Promjene
» Organizacijske promjene?» Moguća promjena <--> nemoguća
promjena» Razlozi:
› Nedostatak volje› Navike je teško mijenjati› Nema resursa (vremena i ljudi)› Nema entuzijazma
» Potrebno VRIJEME
![Page 11: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/11.jpg)
IT zaposlenici
» Sistemaši» Programeri» Mrežaši» Služba za korisnike» Management» Timovi?
![Page 12: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/12.jpg)
Ulaganje u kvalitetne informatičare?
» Ili korištenje vanjskih usluga za svaku sitnicu?
» Outsourcing IT-a?» Nezainteresiranost mladih ljudi za
učenje?» Nezainteresiranost starih informatičara
za učenje? Promjene?
![Page 13: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/13.jpg)
IT manageri
» Background:» IT iskustvo = izostanak vještina
potrebnih za upravljanje ljudima» Management iskustvo = nizak nivo
znanja IT-a» Bez iskustva - možda i nije takva
katastrofa» Što je bolje?
![Page 14: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/14.jpg)
Korisnici
» Manjak edukacije» Nedostatak želje za učenjem (i
nedostatak batine)» Izvlačenje na staru izreku “ja to ne
moram znati”» Management općenito - nemogućnost
komunikacije sa IT-om i usklađivanje poslovanja i IT-a (nedostatak IT znanja)
![Page 15: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/15.jpg)
Aplikacije i razvoj
» Mamuti (banke na prvom mjestu)» Totalno zastarjela tehnologija» Migracija ili pisanje iz početka?» Ponos» Programeri - kritičan nedostatak
sistemskih znanja» Da li ste svojim programerima kupili
neku knjigu o pisanju sigurnog koda?
![Page 16: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/16.jpg)
Asset Management(Configuration Management)
» Alati su dostupni već godinama na tržištu
» Tvrtke čak imaju i kupljenje licence (SCCM 2007 npr.)
» Za implementaciju osnovnih alata na 2000 računala potrebno mjeseca dana u totalno nesređenoj okolini uz svakodnevni posao
» Izuzeci, izuzeci, izuzeci, izuzeci …
![Page 17: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/17.jpg)
Network Management
» Odvajanje mrežaša od sistemaša = najveća greška u organizaciji IT-a
» Razdvajanje kritičnih funkcija koje se isprepleću u cijelom IT sustavu:› Authentikacija› Nadzor i upravljanje› Kontrola pristupa› Enkripcija
» Nezainteresiranost izvan svoje specijalizacije
![Page 18: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/18.jpg)
Kontrola pristupa
» Najveća šarolikost rješenja (i ne rješenja)
» Neovisni sustavi i imenici korisnika» Ogroman broj lozinki» Izuzeci, izuzeci, izuzeci
![Page 19: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/19.jpg)
Fizička sigurnost
» Jedan od najvećih problema!» Nevjerojatan broj izuzetaka (primjeri?)» Privid fizičke sigurnosti» Problemi u procesima, edukaciji
zaposlenika
![Page 20: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/20.jpg)
Osnovni problemi – neriješeni?
» Patch Management (Microsoft, a ostalo?)» Asset Management» Lozinke?» Desktop Management?» Fizička sigurnost?» Backup ok, to se radi uglavnom, ali
testiranje oporavka (skoro nikad?)» Edukacija korisnika
![Page 21: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/21.jpg)
Jednostavna tehnološka rješenja
» Fizička sigurnost:› NAP, IPSec
» Autentikacija:› Certifikati
» Desktop problemi:› Jedinstvena konfiguracija› AD Group Policy
» Alati za nadzor i assessment
![Page 22: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/22.jpg)
IT Revizija
» Uloga revizije?» Previše juniora (bez ikakvog IT iskustva)» Audit Charter? Ako i postoji, samo
formalno» Prekratko kod klijenta» Interna revizija - premalo znanja za
reviziju IT-a, uglavnom fokus samo na elemente IT-a, npr. rad aplikacija
![Page 23: Promašaji u Upravljanju IT Sigurnosti](https://reader036.fdocuments.net/reader036/viewer/2022062406/55878540d8b42aa47d8b46e5/html5/thumbnails/23.jpg)
Zaključak
» Promjena IT kulture je dugotrajan proces
» IT brza tehnološka rješenja- rješenje nekih kritičnih sigurnosnih rizika - potrebno samo malo znanja i volje
» Mrkva i batina za IT (za kritične rizike)» Odnos ulaganja u velike sigurnosne
projekte i mala tehnološka rješenja