2016.11.04.
Dr. Kollár Csaba PhD.
Az információbiztonság-tudatosság fejlesztése a vezetők körében a GDPR fókuszában Megújulás és fenntar thatóság V I I I . O r s z á g o s Ta n á c s a d ó i K o n f e r e n c i a 2016. október 26. Buda pesti Ker eskedelmi és Ipa r ka ma ra Budapest
Miről lesz szó? • Elméleti alapvetés • GDPR, személyes adatok, információvédelem • A vezetők véleménye a digitális korról és az információbiztonságról • Alapvető social engineering technikák és megelőzési lehetőségek • Az információbiztonság-tudatosság fejlesztése
1
2016.11.04.
…és miről nem?
ELMÉLETI ALAPVETÉS
2
2016.11.04.
Az adatot körbe vevő rendszerelemek* Fizikai környezet és infrastruktúra Hardverés szoftverrendszer
Személyi környezet
Kommunikációs és hálózati rendszerek
ADAT
Dokumentumok és dokumentáció
Adathordozók *Muha Lajos
Információbiztonság
Elektronikus Dokumentum
Személyes
Fizikai
3
2016.11.04.
Emberi erőforrás kritikus területei*
Tudatlanság, szakképzetlenség, Emberi hanyagság és figyelmetlenség Segítőkészség Hiszékenység, naivság Befolyásolhatóság Bosszúállás Kényelmesség
*Oroszi Eszter
Általános adatvédelmi rendelet A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. 99. cikk – Hatálybalépés és alkalmazás: Ezt a rendeletet 2018. május 25-től kell alkalmazni. 83. cikk – A közigazgatási bírságok kiszabása:
Valamennyi felügyeleti hatóság biztosítja, hogy a kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek. A rendelkezések megsértése legfeljebb 10.000.000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.
4
2016.11.04.
EGY KUTATÁS EREDMÉNYEI*
*Poór József, Kollár Csaba (2016)
Alapvetés
Szervezetek a digitális korban 2015. december – 2016. január Nagymintás online kutatás 406 értékelhető kérdőív Vezetők körében
5
2016.11.04.
Alapadatok
Átlagéletkor: 36 év Legfiatalabb: 22, legidősebb 75 éves Felsőfokú végzettség: 85% Egytizedük dolgozik az információ és a kommunikáció területén
Vállalatirányítás Önállóság a legfontosabb Döntésekbe bevonni másokat is (52%) Világos, autoriter vezetés (18%)
Javadalmazás Hosszú távra történő tervezés és kiszámíthatóság (33%) Teljesítményalapon történő értékelés alapján (33%) Fiatalabbaknál (életkor alsó negyede): munkáért járó azonnali elismerés
6
2016.11.04.
Lojalitás 60%-a lojális, de nyitott a változásra, ha: Versenyképes ajánlatot kap (41%) Esélyei nem csökkennek (27%)
Csoportmunka Hangsúly: elvégzett munka és a projektszemlélet (25%)
Mit jelent a technológia Internet és az interaktív megoldások jelentik a technológiát (55%)
Technológia áll a fókuszban (17%)
Vezető viszonya a digitális korhoz (Belső) híreket osztanak meg egymással intraneten, e-mailen keresztül A vállalatot folyamatosan átalakítják a digitális kor igényeinek megfelelően A közösségi média használatának vállalati szintű elindítása
7
2016.11.04.
SECURITY biztonság
CLOUD felhő
AR Kiterjesztett valóság
DIGITÁLIS KOR
ANALYTICS elemzés
MOBILE mobil szolgáltatás és alkalmazás
SOCIAL MEDIA közösségi média
Felhő Vezetők egy kisebb része nem tudja, mi az
Tudja, mi az: bárhonnani elérhetőség, platformfüggetlenség, hozzáférési jogok… 1%-nál kevesebb írt a veszélyekről és az információbiztonságról
Big Data analitika 20-25% nem ismeri Ismeri: szofisztikált adatbányászat, algoritmusok használata, megalapozottabb döntések támogatása
8
2016.11.04.
Mobileszközök és -alkalmazások Vezetők tájékozottabbak a többi területhez képest Használják az eszközöket Egy részük ismeri és rendszeresen használja az alapvető alkalmazásokat
Közösségi média Fiatalabbak jól ismerik Idősebbek: „jobban kellene ismernem”, „én már ebből kinőttem”
Kiterjesztett valóság „A jövő eszköze”, „A jövő lehetősége”
Biztonság Adatvédelem Hálózati biztonság Informatikai rendszer
Belépési kódok Vírusvédelem
Nem került említésre: információbiztonság humán aspektusa, social engineering
9
2016.11.04.
SOCIAL ENGINEERING TÁMADÁSOK
A vállalat közvetlen környezetében levő helyeken információszerzés a munkatársaktól munkatársak felkészítése az ilyen szituációkra, a beszélgetésből a csoportba nem illő idegen személyek kizárása, a beszélgetés témái nem a vállalathoz, hanem pl. a kollégák érdeklődési köréhez kötődnek, a kollégák belépési kártyáit (névvel, arcképpel ellátott igazolványok) a beléptetésen/azonosításon kívül úgy kell magánál tartania, hogy a rajta levő adatokat senki ne lássa. Ha a belépési kártya elveszik, azonnal jelenteni kell, mellőzni kell az üzleti ebédeket olyan helyeken, ahol nem biztosítható a beszélgetés intimitása (bár technikailag valamennyi étteremben könnyen le lehet hallgatni a beszélgető feleket).
10
2016.11.04.
Illetéktelen behatolás a vállalat védett/őrzött területeire szigorú beléptetési rend (pl.: személyi azonosító okmányok elkérése), a látogató szűkszavú tájékoztatása (nem kell elmondani a cég történetét és a pletykákat),
a látogatottat fogadó kolléga telefonos felhívása annak érdekében, hogy valóban vár-e látogatót, látogatók nevének leadása a biztonsági szolgálatnak a látogatást megelőzően, az üresen hagyott irodák kulccsal zárása, az üresen hagyott irodában levő számítógépek kikapcsolása, vagy alvó állapotba helyezése oly módon, hogy az alvó állapot csak jelszó begépelése után oldható fel, az irodában keletkezett irodai hulladék (pl.: szerződések, tervezetek, beszámolók) szakszerű megsemmisítése.
Illetéktelen behatolás a távmunkában (is) dolgozó személyek otthonába, otthoni irodájába tudatosítani a munkavállalóban a támadás lehetőségét, a munkaeszközként használt vállalati info-kommunikációs eszközök fokozott védelme (pl.: jelszavas belépés, ellopás esetén nyomkövetés, kamera és/vagy mikrofon távolról vezérelhető bekapcsolása), szükség esetén anyagilag is támogatni a munkavállaló otthoni munkakörnyezetének a védelmét, illetve iratmegsemmisítő beszerzését, szabályozni, hogy a távmunkában dolgozó munkavállaló mely platformokat mely helyszíneken használhat munkavégzésre.
11
2016.11.04.
Partnertől (pl.: beszállító, szervezeti vásárló) érkező támadás szándékos támadás a partner részéről a partner jóhiszeműségét, figyelmét kihasználó támadás, amikor a fenti esetek valamelyike révén a támadó nem a csak a vállalatot, hanem annak partnereit is megtámadja
Nem a fizikai világban levő… munka- és szabadidős tevékenységek végzésére, azok regisztrálására, kapcsolattartásra, stb. alkalmas felületek
Vezető kapcsolatrendszere család
rokonok egykori iskolatársak stb…
12
2016.11.04.
AZ INFORMÁCIÓBIZTONSÁG-TUDATOSSÁG FEJLESZTÉSE
Lehetőségek
Tantermi előadások E-learning kurzusok Gyakorlati feladatok Tanácsadás Coaching
13
2016.11.04.
Coaching/tanácsadás I. Alapkérdések: ki, mit, mikor, hol, miért, hogyan, esetleg: mennyiért, milyen céllal Esettanulmány megismertetése és közös feldolgozása A coach megoszthatja saját és/vagy ügyfelei körében tapasztalt eseteket A megbízó saját esetének elemzése, újbóli „eljátszása” Szakirodalom olvastatása
Releváns rövidfilmek megnézettetése Agendázás, naptárelemzés Naplóírás
Coaching/tanácsadás II. Fókuszáltató, orientáló kérdések Coach modellek Csoportos módszerek
Gamification Brainstorming
14
2016.11.04.
2019-re*
2,6 milliárd okostelefon 51,5% internethozzáférés 63,4% mobiltenternetezés 42 millió gigabájt globális adatforgalom 20 exabájt/hó mobil adatforgalom
Éves kár: 1000 milliárd USD *Statista, EMC
15
2016.11.04.
Köszönöm megtisztelő figyelmüket! Dr. Kollár Csaba PhD. vezető tanácsadó, coach, mediátor
[email protected] https://www.linkedin.com/in/drkollarcsaba http://www.slideshare.net/drkollarcsaba
Felhasznált képek forrása
https://www.lookingglasscyber.com/blog/brandprotection/white-paper-sneak-peek-top-2016-informationsecurity-predictions/ http://tanhalaw.com.vn/tai-nguyen/bai-viet-hoc-thuat/ http://www.hutui6.com/data/out/115/67752007-librarywallpapers.jpg http://www.mindbasedhealing.com/images/ResearchHypnotherapy-MS.jpg http://www.ibanet.org/ImageHandler.ashx?ImageUid=3d8381 92-ee5c-4f96-a1af-cd38311527ec https://qph.ec.quoracdn.net/main-qimg2d575da5f58dfefe36bed51c64787e3a?convert_to_webp=true http://m.cdn.blog.hu/mi/mirtylphoenix/image/_My_Missing_P art_by_fabriloddo.jpg
16
