IT kckázatkezelés Kinek a felelőssége? A Kckázat- irányítás-megfelelési mdell (GRC Maturity Mdel) kialakítása Vida Viktr
Rövid menetrend GRC mdellek jellemzői IT GRC keretek / felelősök Az IT GRC strukturális megközelítése Érettségi mdell IT GRC - kihívásk az útn Business case jelentősége Fnts szabvány elemek 2
GRC mdellek jellemzői GRC Integrált irányítás-, kckázat- és megfelelés- menedzsment a flyamatk szintjén Gvernance: irányelvek megfgalmazása működés szabályai belső és külső frrásk kckázatcsökkentés, megfelelés Risk management: kckázatkezelés kckázatk a tervezett szervezeti működésre aznsítás, elemzés, kezelés Cmpliance: megfelelőség az irányelveknek, auditálás megfelelő működés kialakítása irányelvek összehanglása Cél a szervezeti működés biztsítása üzleti fókuszú fenntartható megldáskkal: egyértelmű, ellenőrizhető, ptimalizált flyamatleírásk, felelősségi körök segítségével, melyek megfelelnek az összehanglt elvárásknak hl vagyk, hva tartk, hgy haladk szemlélet érvényesítése, mikr és hgyan célk világs ismerete ragaszkdás a módszertanhz/ módszertani irányelvekhez, evlúciós fejlődés, összehasnlíthatóság nymn követhetőség, számn kérhetőség, megfelelően rögzített döntési pntk, mérhetőség vállalati rendszerek, a szabványknak megfelelő biztsítása, értékelése flyamatkhz rendelt kckázatkezelés preventív felkészülés, egyszerűbb integrált szabályzás kezelés 3
IT GRC keretek / felelősök Struktúrák és felelősök Milyen felelősségi körök és struktúrák kerüljenek kialakításra? Kik a felelősök a napi szintű döntéshzatalért? Ki felelős az IT GRC prblémákért? Flyamat Hgy zajlik a vezetői döntéshzatal és hgyan implementálják őket? Milyen a döntéshzatal flyamata a beruházásk, szabályzási közzétételek, törvényi és szabályzási megfelelőség terén? Határzzuk meg az infrastruktúra és az eszközök technikai biztsításának módját Kmmunikáció Hgyan mnitrzzák, mérik és kmmunikálják az eredményeket? Milyen mechanizmusk útján kmmunikálnak az IT perációs prblémákról az Igazgatótanács, a felső vezetés, az üzleti és IT vezetés, a munkavállalók és akár a részvényesek felé? 4
Az IT GRC strukturális megközelítése Centralizált: Közpnti tudásbázis A tapasztalatk gyrs hasznsítása a mdellben Nagy testvér érzés Üzleti felvásárlás értéket teremt A kckázatk megértése Elszámlási kötelezettség Együttműködés szükséges Decentralizált: Tulajdnsi szemlélet és elszámltathatóság Agilitás Elemi megértés Közös megközelítés Duplikált munkavégzés Vállalati infrmációk elsztttsága IT rendszerszintű kckázat kezelés 5
Érettségi mdell Reagálás pánik Előkészület elfgadás Együttműködés krdináció Finmhanglás körültekintő működés Az IT GRC értékelési flyamatt javítja a GRC érettségi mdellnek való megfelelés A vállalkzás végül eléri a kívánt érettségi szintet - tvábblép a reaktív/tűzltó üzemmódból Kialakul egy vállalati szintű megközelítés, ami a szerepkör alapú kivételkezelés bevezetését teszi lehetővé: Mit kell tennem? Miért kell aggódnm? Minőségi és mennyiségi mutatók segítségével flyamatsan nymn követhető és javítható az emberek szemlélete, a flyamatk és technlógiák minősége és a megfelelés 6
IT GRC - kihívásk az útn Fókuszban: az üzlet vezetése, jövedelmezőség, tanulni a múlt tapasztalataiból, de a mérhetőség csökkentése nélkül Kerülni a mikrmenedzsmentet az üzleti/it döntéshzatalban Az elszámltathatóság nymatéksítása a szereplőkben Bard meeting, audit bizttságk (Helyes irány és részletezettség a kmmunikációban) Pánik, zéró tlerancia: az IT GRC prblémákkal szemben, minden incidenssel, csalással, krrupcióval kapcslatban Mérhető, ismételhető technikák és eszközök Az IT GRC mdell ne kizárólag felkaptt biztnsági kérdésekre fókuszáljn Riadólánc: jelentős IT GRC prblémák aznnali jelentése mérésekkel alátámasztva 7
IT GRC - kihívásk az útn II Elkényelmesedés / kntrlkörnyezetbe vetett bizalm kzta kckázat ha már jó ideje nem történt incidens, könnyen kialakulhat egy laza attitűd Elrettentés egy értékes eszköz legyen világs mindenki számára, hgy a vállalat az IT cmpliance ügyeket kmlyan veszi, kivizsgálja Hgyan biztsítsuk, hgy az etikailag kifgáslható cselekmények felfedése nem eredményez megtrlást a későbbiekben Incidens menedzsment - Hgyan történt, hgyan fedezték fel, hgyan rvsljuk és hgyan járjunk el azzal szemben, aki elkövette? Tiéd lehet a világ legjbb IT cmpliance prgramja, de a felügyeleti szervek akkr is kíváncsiak lesznek rá, hgy miért lehetett megkerülni 8
A kezdeti lépések kérdései Meg kell felelni bármely szabályzási szabványnak / keretnek? Hgyan biztsítja, hgy betartsa őket? Vlt-e kckázati felmérés a vállalkzás tevékenységeire vnatkzóan? Hgyan ítéli meg az üzlet az eljárási kntrllkat? Hgyan biztsítja, a szervezet hgy kllégák tisztában legyenek az üzleti/it prtkllkkal? Sebezhetőségek kezelése az üzleti rendszerek vnatkzásában? 9
Business case jelentősége Miért kell az IT GRC prjekt? Mttó : Managing IT risk and cmpliance in tday's enterprise is challenging. A prjekt céljának meghatárzása és elfgadtatása, az előzmények és vállalati adttságk figyelembevétével; IT GRC rendszer megtervezése, kialakítása és működtetése. A helyzetfelmérés után szükséges tisztázni a megvalósíthatóság elemeit: A követelményeket és az értékelési rendszert. A megvalósíthatósági tanulmány hivatals felülvizsgálata és jóváhagyás az döntéshzókkal és az érintettekkel Prgram kmmunikációja: A biztnsági célkitűzések összehanglása az üzleti célkkal (az érdekelteknek meg kell érteniük) A nem megvalósítás mint kckázat. Az egyes célkitűzések elérésének elmulasztása lehetséges következményeinek beaznsítása A biztnsági prgram költségvetési tételeinek aznsítása: TCO, ROI pénzügyi mutatók mnitrzása A felügyeleti és ellenőrzési intézkedések meghatárzása és beépítése a mdellbe A munkavállalók általi elfgadás (a célk elfgadtatása és a biztnsági plitikák és eljárásk ktatása) Egyéb megfntlásk: A status qu költsége (kckázat tlerancia, erőfrrásk, technlógia és költségek) Képesség felmérése a meglévő adttságk (frrásk és technlógia) kihasználására Új megközelítés, ha szükséges! (egyszerűsítés, knszlidáció, megnövekedett lehetőségek, gyrs előnyök, hsszú távú megldás) 10
Business case jelentősége II Jellemző hibák a üzleti tervben: nem tisztáztt az IT GRC rendszer alkalmazási területe nem teljes a bevnni kívánt vagyntárgyak felmérése nem megfelelően indklt - kckázati tényzők (felmérés és kezelés) az üzletmenet flytnsság szabályzásánál kritikus eszközök hiánya papíralapú adathrdzók szerepének figyelmen kívül hagyása többszörös, inknzisztens szabályzás nem tisztáztt, rögzített felelősök és határidők 11
Fnts szabvány elemek 12
S&T Magyarrszág 13
S&T Magyarrszág 14
S&T Magyarrszág 15
IT Biztnsági szegmens Határvédelmi megldásk tűzfal, prxy, DDS védelem, WAF, email szűrés, web szűrés, UTM megldásk Napló kezelés gyűjtés, elemzés Végpntvédelem antivírus, titksítás, DLP Sérülékenység vizsgálat Többfaktrs aznsítás Hzzáférés ellenőrzés Mbil eszköz menedzsment Infrmáció biztnsági tanácsadás Auditra felkészítés Csapat 23 fő tanácsadó, rendszermérnök / architekt és szervizmérnök 4 technlógiai csprt Technlógiai és gyártó független minősítések Partnerségek és specializációk Check Pint: 4Stars Partner, Supprt Prvider, SandBlast specializáció Cisc: Gld Partner, ISE ATP, SurceFire partner Frtinet: Gld Partner HP/ArcSight: Gld Specialist, Infrmatin Security Intel Security (McAfee): Gld partner MbileIrn: Irn Partner FrcePint (Websense): Gld partner Balabit, F5, Imperva, RSA, 16