IT BIZTONSÁG KÖZÉPTÁVÚ KIHÍVÁSAI A NAGYVÁLLALATI KÖRNYEZETBEN. (Váraljai Csaba, Szerencsejáték Zrt.) 2015



Hasonló dokumentumok
A Compliance Data Systems Kft ös adatszivárgási felmérésének eredménye

Egyre növekvő anyagi károk és stagnálás jellemzi a hazai adatbiztonság helyzetét

IT trendek és lehetőségek. Puskás Norbert

Közigazgatási szerződés

Szolnoki Főiskola Szolnok

ÁSZF - klasszikus Webtárhely, Cloud Webtárhely és Cloud Platform

3.1. Regisztráció. A regisztráció során az Érintettnek kötelezően meg kell adnia a következő személyes adatokat:

Milliós adatszivárgási károk Magyarországon A CDSYS adatvédelmi szakemberek körében készített felmérésének eredményei

A területi közigazgatás reformja és az informatika

IV. Szakmai szolgáltatások funkcionális tervezése

A T-Systems felhő koncepciója Frigó József

TOP GINOP források az okos város projektek szolgálatában

Szolgáltatásleírás Proaktív karbantartási szolgáltatás

ELŐTERJESZTÉS. Egyszerű többség. Dombóvár Város Önkormányzata Képviselőtestületének április 7-i ülésére. Tárgy:

Általános Szerződési és Felhasználási feltételek

Beszerzés. A beszerzési folyamatok újragondolása. április 6 7., Budapest, Mercure Buda. A rendezvény főbb témái

Egyéb előterjesztés Békés Város Képviselő-testülete január 26-i ülésére

CÉGBEMUTATÓ. 1 IT infrastruktúra szolgáltatások

Általános Szerződési és Felhasználási feltételek A szerződés lényeges tulajdonságai az alábbiak szerint határozhatóak meg:

Szuperszerviz Általános vállalási feltételek

A Ket. végrehajtási rendeletei

Dr. Saxné Dr. Andor Ágnes Márta. Immateriális javak a számviteli gyakorlatban

1. K ORLÁTLAN SÁVSZÉLESSÉG ÉS

BELSŐ ELLENŐRZÉSI KÉZIKÖNYV

Tex and Co Kft Budapest, Francia út 54. ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK (egységes szerkezetbe foglalt) I. Általános rendelkezések

A KUTATÁS ÖSZEFOGLALÓ MEGÁLLAPÍTÁSAI

2008. MÁV CARGO ÉRTESÍTŐ 5. szám

A MUNKÁLTATÓK TÁVMUNKÁVAL SZEMBENI BEÁLLÍTOTTSÁGAI

Internet penetráció és internet használat - NRC letölthető elemzés -

Üzleti kockázat minimalizálás és a biztonsági menedzsment korszerűsítése McAfee Total Protection for Enterprise-al

A Felügyelet jogállása, illetékességi területe és feladatai

ÁLTALÁNOS SZERZŐDÉSI ÉS FELHASZNÁLÁSI FELTÉTELEK

A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Pécsi Szakképzési Centrum Fehérhegyi Szakiskolája és Általános Iskolája Netikett (Informatikai szabályzat)

IDEGENFORGALMI ISMERETEK

ÜZEMELTETÉSI SZERZŐDÉS (tervezet)

moderátorok: Kovács András és Papp Attila Gyártói kerekasztal beszélgetés

Informatika szintmérő-érettségi tételek február

Az ALTEO Energiakereskedő Zrt.

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONAL BOOKING PLATFORMON

A felhőalapú számítástechnika ismeretének és használatának empirikus vizsgálata az ausztriai és a magyaraországi vállalkozásoknál

Digitális stratégia 2025

Kis-és középvállalkozások versenyképességének javításáról szóló 1. prioritás Kód Név Kedvezményezettek köre Pályázat célja Megjelenés GINOP

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS

KISKUNFÉLEGYHÁZA VÁROS GAZDASÁGI ÉS MUNKA PROGRAMJA

Általános Szerződési és Felhasználási Feltételek

Az Egri Kistérség területfejlesztési koncepciója. és programja

1. Háttérinformációk. 1.1 Bevezetés

Vállalati informatika példatár. Dr. Bodnár Pál D.Sc.

ORSZÁGOS MENTŐSZOLGÁLAT National Ambulance Service AJÁNLATTÉTELI FELHÍVÁS

Projekt: ÁROP-1.A Gyöngyös Város Önkormányzatának szervezetfejlesztése

Általános szerződési feltételek

Segédlet az EDF DÉMÁSZ Zrt. on-line ügyfélszolgálat regisztrációjához illetve az e-számla szolgáltatás igénybevételéhez

Kategóriák szerinti web-szűrés, állományok titkosítása és NAC. Mindez mobilon. - Sophos Mobile Control 4.0

A siker technológiája és a technológia sikere

Adatkezelési szabályzat

Felhőalapú szolgáltatás, mint a vállalati innováció hajtóereje

2/2010. sz. Gazdasági Főigazgatói Utasítás a PTE belső hálózatának eléréséről

A FŐVÁROSI SZABÓ ERVIN KÖNYVTÁR MUNKATERVE

MEGÉRINT A TAVASZ! NYEREMÉNYJÁTÉK RÉSZVÉTELI ÉS JÁTÉKSZABÁLYZATA

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK (ÁSZF) hatályos:

Anyagkezelési és logisztikai folyamatok (MMOG/LE) auditálása

2015/25. SZÁM TARTALOM. 29/2015. (VI. 29. MÁV-START Ért. 25.) sz. vezérigazgatói utasítás a MÁV-START Zrt. Biztonságirányítási Kézikönyvéről...

oda egy nagy adatbázisba: az eszközök nincsenek egy koncentrált helyre begyűjtve, azaz minden egyes eszközt külön-külön kell megszerezni egy

Nemzeti Közszolgálati Egyetem. Informatikai és kommunikációs hálózat használatának és üzemeltetésének szabályai

A MEDIAREY HUNGARY SERVICES KFT. ELŐFIZETÉSI ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK 1. SZÁMÚ MELLÉKLETE

Az építési műszaki ellenőr képzés a gyakorló szakemberek szemével

Általános Szerződési Feltételek

EGYEDI ELŐFIZETŐI SZERZŐDÉS (A TOVÁBBIAKBAN: SZERZŐDÉS) V2.1

OKI-TANI Kisvállalkozási Oktatásszervező Nonprofit Kft. Minőségirányítási Kézikönyv

Általános Szerződési Feltételek (ÁSZF)

A postafiókok a felhőbe költöznek

BODOR ÁKOS. Tér és Társadalom 29. évf., 4. szám, 2015 doi: /tet

OTP Táncháztalálkozó Promóció Játékszabályzat és Részvételi feltételek

ÜZLETI JELENTÉS Gyır, május 12.

A DMGO Kft elektronikus vásárlásra vonatkozó általános szerződési feltételei (ÁSZF)

BKV Zrt. VÁLLALKOZÁSI KERETSZERZİDÉS

A Jövő Internet Nemzeti Kutatási Program és eredményei

ODR használói elégedettségmérés 2009.

P Á L Y Á Z A T I Ú T M U T A T Ó

INFORMÁLNI, INTEGRÁLNI, INSPIRÁLNI

A felhő, ha két lábbal a Földön állva nézzük Pávlicz György

ÖNKORMÁNYZATOK GAZDÁLKODÁSÁVAL KAPCSOLATOS KÉRDÉSEK

RÉSZLETES FELHÍVÁS ÉS ÚTMUTATÓ. az Elektronikus közigazgatás operatív program keretében megvalósuló

Miért jó nekünk kutatóknak a felhő? Kacsuk Péter MTA SZTAKI

Áttekintés a Jövő Internet agrárgazdasági alkalmazási lehetőségeiről Az NTP FI Agrár- és Élelmiszeripari tagozat

PÁLYÁZATI FELHÍVÁS ÉS ÚTMUTATÓ. az ÉSZAK - ALFÖLDI OPERATÍV PROGRAM. A kistérségi és helyi jelentőségű ipari területek fejlesztése

Általános szerződési feltételek

194/2005. (IX. 22.) Korm. rendelet

A kormányzati infokommunikáció új útjai

ADATVÉDELMI TÁJÉKOZTATÓ. hatályos: napjától. 4. Személyes adatok, adatkezelés célja, jogalapja, időbeli terjedelme

M1. számú melléklet GDF SUEZ Energia Magyarország Zrt. ügyfélszolgálati irodái elérhetőségek és nyitva tartás

Stratégiai Pénzügyek. avagy a tulajdonosok és cégvezetők eszköztára. Interjú Horváth Zoltán Cashflow Mérnökkel

Beszámoló a évi foglalkoztatás-politikai feladatok teljesítéséről és az aktuális célkitűzésekről a Tiszaugi Képviselő-testület számára

MAGYAR POSTA BEFEKTETÉSI SZOLGÁLTATÓ ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG

SZABOLCS-SZATMÁR-BEREG MEGYE OPERATÍV PROGRAMJA

REMETEKERTVÁROSI ÁLTALÁNOS ISKOLA SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZAT (SZMSZ)

VÉGELSZÁMOLÁS, ADÓVÁLTOZÁSOK, KOCKÁZATI KÉRDŐÍV, PDF-BEN VALÓ SZÁMLÁZÁS ÉS TÉTELES ÁFA június

Törökbálinti Városgondnokság ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA TERVEZET

A SZOLGÁLTATÁS IGÉNYBEVÉTELÉRE VONATKOZÓ ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK (ÁSZF)

Átírás:

IT BIZTONSÁG KÖZÉPTÁVÚ KIHÍVÁSAI A NAGYVÁLLALATI KÖRNYEZETBEN. (Váraljai Csaba, Szerencsejáték Zrt.) 2015

Váraljai Csaba Szerencsejáték Zrt. Információvédelmi Osztály vezetője 1980-ban életre szóló fertőzés;; 1997 óta az IT területen;; Jelentősebb munkák, és munkakörök;; 2010 óta a Szerencsejáték Zrt.-nél osztályvezető;; 10 fő a jelenlegi csoportlétszám;; 25 perc előadás, 5 perc KF.

Mi az IT biztonság? Bizalmasság;; Sérthetetlenség;; rendelkezésre állás biztosítása. Bizalmasan kezeljünk olyan adatokat amiket a megfelelő módon, és időben biztosítsuk az arra jogosult felhasználónak és/vagy rendszereknek, és biztosítjuk őket arról, hogy ez a adat az, amit kértek, nem más, és nem más tartalommal.

Milyen adatokról van itt szó? Ami fontos;; Adatvagyonleltár;; Adatosztályozás. Első nagy kihívás, A fontos adatok meghatározása! Ki mondja meg, hogy melyik adat a fontos? Az üzlet, az üzleti folyamat, a Board, a management, a törvények, a szerződött partnereink, aki meg tudják nekünk fogalmazni, mi az ami számukra fontos. Hogyan kezdjek neki? Az adatvagyonleltár egy olyan táblázat, amiben felsorolom, hogy milyen adataim vannak, és hol tárolom őket. Milyen adatosztályokat hozzak létre, és mennyit? Amilyet akarok, és amennyi ahhoz kell, hogy a feladatot el tudjam végezni. Például: Publikus, Alacsony-Alap, Fokozott-közepes, Kiemelt-magas-titkos, +1 Minősített, +2 Államtitok, Gyakorlatilag a munka 60%-át elvégeztük. Ezek után meghatározom az osztályba sorolás módszertanát, utána meg kell mondani, hogy az egyes osztályokhoz milyen védelmi intézkedéseket társítok, ezeket megvalósítom, és kész.

Hol vannak a kihívások??? BYOD és a CWiFI;; Cloud;; IaaS, SaaS, PaaS;; ATP, UTM, IDP;; IDM, AGS, NAC;; IOT;;

BYOD és a CWiFi Tényleg kell? Mik az előnyök? Mik a hátrányok? Hozd a saját eszközöd! Minek? Hova? Adjam oda a Rendszergazdának a saját laptopom? Miért nem lehet a saját okos-telefonomon elolvasni a céges levelezést, azonnal állítsák be. Tényleg kell ez egy vállalatnak? Kell, és azért, mert mások is elérik a Cégük bizonyos rendszereit, és ezzel versenyelőnyben kerülnek, mert gyorsabban tudnak reagálni az eseményekre, mint azok, akiknek ez nem biztosított. Miért jó a saját eszköz? A munkaerő a saját költségein vásárolja meg a szükséges eszközt, és ő maga választja ki, és ÉRDEKLI, és ért hozzá, hiszen maga választotta. Amikor a céges szolgáltatás megjelenik az eszközön, már ismeri az alapfunkciókat, és csak azt kell megtanítani, hogyan használja. Hátrányok? Nem tudunk semmit, az eszköz és annak szoftvereire vonatkozó biztonsági beállításokról. Titkosítás? Vírusvédelem? Mások is használják? Mi van akkor, ha a BYOD eszköz megváltozik? Hogyan kezeljük a kezelhetetlen heterogén rendszerkörnyezeteket?

Cloud - FELHŐ Akkor most pontosan mi is a Cloud - FELHŐ? A Cloud veszélyei, hátrányai;; Privát felhő, Hibrid felhő? Szerintem egy marketing fogás, semmi több. Olyan szolgáltatások összessége, amik már a Cloud megjelenése előtt is léteztek, csak újracsomagolták őket. Minden olyan virtualizált környezet, és/vagy azon biztosított szolgáltatások összessége, ahol az erőforrások az igényekhez igazított mértékben állnak a rendelkezésünkre, miközben harmadik félnél van a teljes kontroll és felelősség. Az adataink biztonsága a szolgáltatótól függ, valós biztonság kialakítása körülményes. Minden, amit ebben a környezetben valósítunk meg, csak a szolgáltató minőségén (rendelkezésre állás ugye) múlik. A szerződések igazából nem érnek semmit ITB szempontból. Teljesen virtualizált rendszereket mi is építhetünk magunknak, saját szerverek, saját oprendszerek, saját alkalmazások, saját szerverszoba, saját működési környezet. Ez teljesen új rendszert jelent, A rendszergazdákat át kell képezni, a technológiai feltételeket biztosítani kell ehhez. Ez a Privát felhő. A működési környezet ugyan az, csak a rendszerek feletti kontrol nálunk marad. A hibrid felhő ennek a kettőnek a tervezett keveréke.

IaaS, PaaS, SaaS Infrastructure as a Service;; Platform as a Service;; Solution as a Service. Ezek voltak a felhő előtti nevei a már említett szolgáltatásoknak. Még mai is elérhetőek ezek a szolgáltatások, de mind egy FELHŐ alapú környezetben, és egy közös szolgáltatói csomag keretein belül. De gyakorlatilag ugyan az.

ATP, UTM, IDP Advanced Threat Protection;; Unified Threat Management;; Intrusion Detection and Pervention systems;; Firewall on the Back. Mindegyik terület nagyon fontos, HA! Van olyan szolgáltatásunk, amit meg kell védeni, és látszik az internet felől. Amennyiben a Társaság IT környezete elérhető az internet felől, vagy onnan kap adatokat, akkor valószínűsíthetjük, hogy veszélynek vagyunk kitéve. Ezek gyakorlatilag célhardverek, célalkalmazások, amik tényleg megbízható és hatékony megoldást nyújtanak bizonyos szolgáltatások védelmére, és bizonyos támadások ellen. Hátrányuk, hogy drágák, és komoly szakmai tudást igényel a működtetésük. Előnyük, hogy arányba hozható a védelem szintje az esetleges károkozás bevételkiesésével. FOTB egy új megközelítése az ITB logikának. A legfontosabb ITB szabályok, és a biztonsági szakemberek vágyai a tűzfalban van, a rajta futtatott tűzfalszabályok képében. Ha az kompromittálódik, vagy elérhetetlenné válik, akkor minden kommunikáció leáll a külvilággal.

IDM, AGS, NAC Identity Management;; Access Governance Systems;; Network Access Controll. IDM. 10 alkalmazottnál és két-három rendszer esetében az IT csapat képes követni a hozzáférések szintjét. Mi a helyzet 100+ alkalmazott 10+ rendszere esetén? Ekkora szervezetnél már van szervezeti felépítés, és vannak munkakörök. Ezekre lehet jogosultsági szabályokat alkotni HA van üzleti folyamattérképünk, adatvagyonleltárunk. Az IDM rendszerek legnagyobb problémája, hogy jól definiált szervezet, és pontos feladatkörök, valamint hozzá tartozó informatikai rendszerek szükségesek, azokon is rendszerszemléletben kialakított jogosultságokkal. AGS. Vannak rendszereink, van egy rakat felhasználónk, van még több jogosultsági szintünk, és ezeknek követhetetlen számú permutációja. Még ha a dokumentálás, és engedélyezés folyamata ki is van alakítva, akkor is ezeket egyesével leellenőrizni, komoly erőforrás igényes feladat, és nem biztos, hogy ez lenne a rendszergazda legfontosabb feladata. Az AGS képes a felügyelet alá vont rendszereknél a jogosultságok rendszerezett felülvizsgálatára, auditálására, követésére, engedélyeztetésére. Hálózati eszközeink ilyen jellegű nyilvántartását pedig a NAC biztosítja számunkra.

IOT IOT? Mire jó, és mi ezzel a baj? Az Internet Of Things igazi kihívás elé állítja az informatikusokat, és a vállalatnak is komoly feladatokat fog generálni a következő években. A dolgok internete az a kommunikációs jelenség, amikor a gépek egymás között, vagy egy központi rendszerrel beszélgetnek egymással emberi beavatkozás nélkül. Nagyon sok mindent el lehet érni az IOT használatával, de egyben ez a legnagyobb hibája is a rendszernek. Gépek adnak át adatokat egymásnak, majd ezek alapján hozzuk meg a döntéseinket, ezek alapján számoljuk, vagy számoltatjuk el a költségeinket, és ezek alapján fogjuk megváltoztatni a gyártási folyamatainkat is. Ennek a területnek a megfelelő beillesztése a vállalat működésébe elképesztő költséghatékonyságot tud biztosítani. Például: a gyártásban (Just In Time). Gyártás-vezérlés közvetlenül a megrendelések alapján;; Gépjárműkövetés, és ez alapján az elszámolás, menetlevél vezetése;; okosmérők, és okosfogyasztók ;; stb. ITB szempontból, viszont masszív rémálom ennek a kezelése, a biztonság fenntartása, a központi rendszer védelme.

Dokumentáltság Logelemzés;; Incidenskezelés és változáskezelés;; Dokumentumkezelés, és verziózás. Íme minden rendszergazda rémálma az IT apokalipszis négy lovasa. Vagy öt J Logelemzés. Egy ember számára feldolgozhatatlan mennyiségű naplófájl bejegyzés keletkezik egy átlagos munkanapon, akkor is, ha nincs incidens. Mit elemezzek rajta? Mindent? Nem. Csak azt, ami szükséges. Ki mondja meg mi szükséges? Az előadás eddigi részei. Az üzlet, az igény a működésre, és annak jósága. Incidenskezelés és változáskezelés. Mi az incidens? Minden, amit az üzlet, és az üzemeltetés egyszer kinyilatkozott. És milyen változást kell kezelni? Mindet, amit előírunk, magunknak. Minek? Hogy az üzletmenet folytonosság fenntartható legyen. Dokumentumkezelés, és verziózás. A nélkülözhetetlen felhasználó, és az emberi kockázatok csökkentésének egyik hatékony módszere. A Rendszeresség és a relevancia biztosíthatósága. A holnapnak dolgozol, nem a mát igazolod.

Van még valami? A felhasználók és az ő oktatásuk;; Kockázatkezelés;; A vezetőség elkötelezettsége. Talán a legfontosabb, amit még nem vettünk górcső alá, az pedig a felhasználó maga. Ha nem kellően képzett, akkor csak két dolog menthet meg minket egy ITB katasztrófától. A szerencse, és/vagy a diktatórikus rezsim. A legtöbb nagyvállalat a második utat választja. Ez nem a top menedzsment hibája sok esetben, mert a rendszergazda nem tud vezetőül, a vezető, meg rendszergazdául nem beszél. Egy vezető azt látja, hogy milliók kellenének egy eszközre, és nem tudja rendesen elmagyarázni a rendszergazda, hogy pontosan mire kell. Oktatás. Mindenkinek, a feladatainak és a tudásának megfelelőt, rendszeresen, a tudásszint visszaellenőrzésével. Kockázatelemzés. Ezzel lehet megmutatni, hogy egy sérülékenység, vagy egy fenyegetettség bekövetkezése milyen gazdasági kárt fog okozni a társaságnak, és annak mennyi a bekövetkezési valószínűsége. Ha egy vezető számára érthető formában megkapja a megfelelő tájékoztatást, akkor bizony döntenie kell. és a döntés magában hordozza a megvalósulás lehetőségét. Nagyon fontos a vezetőség elkötelezettsége, hogy akarja azt az informatikai fejlesztést, akarja az új technológiákat, és képes legyen elfogadni, hogy vannak olyan ITB fejlesztések, amiket nem lehet gazdaságossági szempontok alapján vizsgálni, míg más megoldások a biztonság növelése mellett képesek gazdasági hasznot termelni (pl. hatékony nyomtatás, JIT, elektronikus dokumentumkezelés, webáruház védelme)

Gyakorlati példák Honlap-vizsgálat(ok);; Adathordozó(k) elvesztése;; Személyes adat(ok) védelme;; Kiber-támadások 2010 óta az SzZrt-nél;; Tűzfalak, tűzfalak, és tűzfalak;; Az emberi tényező (Social engineering).

Összegzés A következő évek nagy kihívásai az új technológiák megjelenése, és azokhoz kapcsolódó vezetői igények, valamint a felhasználók tudása közötti különbségek fogják adni. Ha megfigyeljük a támadások típusait, azt fogjuk tapasztalni, hogy mindig ugyan az a módszer, már lassan 20 éve. A leggyengébb láncszem az ember és az ő hiányos tudása. Ha szeretnénk egy új technológiát, akkor azt mindig vizsgáljuk meg, gazdaságossági szempontok alapján, és a szükségesség okán is. Kell e a vállalatom üzleti folyamataiba az a technológia, amit a barátom mutatott? Azzal zárom, amivel elkezdtem. Bizalmasan kezeljünk olyan adatokat amiket a megfelelő módon, és időben biztosítsuk az arra jogosult felhasználónak, és biztosítjuk őt arról, hogy ez a adat az, amit kért, nem más és nem más tartalommal. Legyen adatvagyonleltárunk, és adatosztályozási rendszerünk. Működjünk szabályzatok szerint, amik a feladathoz és az élethez van igazítva, nem a vágyainkhoz. A szükséges mértékben dokumentáljunk, és végezzünk kockázatelemzést, hogy felderíthessük a sérülékenységeket, és legyünk tisztában a fenyegetettségekkel. Ez a legnagyobb kihívás, mert magunkkal szemben kell őket alkalmazni, és nem mutogathatunk egy láthatatlan támadóra.

Köszönöm a kitartó figyelmet.

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés