KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016 03/2016
Ing. Libor Kovář Chief Information Security Officer Skupina ČEZ
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ AGENDA
Kybernetické prostředí Motivace Hlavní pilíře Aktuální priority Náš přístup Závěr
Podtitul:
„… na cestě jsme dlouho, … do cíle máme stále daleko …“ 1
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ KYBERNETICKÉ PROSTŘEDÍ SKUPINY ČEZ Struktura
Desítky společností a majetkových účastí (tuzemsko / zahraničí)
Procesy
Široké portfolio core business a podpůrných procesů
Umístění
Rozmístění lokalit po celém území ČR a části Evropy
ICT
Uživatelé
Stovky ICT systémů a aplikací, tisíce infrastrukturních prvků
Desítky tisíc uživatelů
Skupina ČEZ je dynamickou organizací, která vyžaduje ICT služby s ohledem na požadavky portfolia core business, podpůrných procesů a legislativy.
2
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ MOTIVACE Proč bychom měli kybernetickou bezpečnost řešit? Legislativa
Podpora business cílů organizace
Legislativa v business oblastech (Obchod, Výroba, Distribuce)
Ochrana obchodních a vnitřních informací
Průřezové oblasti
Zajištění činnosti klíčových systémů
Ochrana osobních údajů Krizové řízení
Kybernetická bezpečnost
Eliminace reputačního rizika Plnění business regulací (unbundling, atd.)
Telekomunikační zákon Kybernetická bezpečnost je podpůrný proces – musí znát a aktivně podporovat business cíle organizace. 3
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ HLAVNÍ PILÍŘE E X T E R N Í
I N T E R N Í
4
VSTUPY
VÝSTUPY
Legislativa a regulace Trendy v oblasti ICT Osvědčená praxe ISO 27k, NIST, ITIL, COBIT Business strategie – ICTS, SKČ Požadavky zákazníků a segmentové strategie
Zpráva o stavu kybernetické bezpečnosti, kontrol shod a auditů Analýzy rizik a dopadů
Strategické úkoly
Strategie kybernetické bezpečnosti
Akční plán Liniové úkoly PoC a implementační projekty
I N T E R N Í
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ HLAVNÍ PILÍŘE Kybernetická bezpečnost si klade za cíl zabezpečit informační a komunikační technologie s ohledem na business požadavky Společnosti, legislativy a zákazníků.
naplňuje požadavky interních i externích zákazníků vychází z business strategie Skupiny ČEZ
Strategie Kybernetické bezpečnosti
reaguje na stávající kybernetické hrozby a sleduje trendy určuje vývoj kybernetické bezpečnosti zohledňuje finanční náročnost aktivit
slouží pro tvorbu akčního plánu kybernetické bezpečnosti
5
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ AKTUÁLNÍ PRIORITY Zvyšování úrovně zabezpečení ICS&SCADA Adaptace společnosti na požadavky zákona o Kybernetické bezpečnosti Ověřování bezpečnosti nových konceptů (SaaS, …) Samozřejmě nezapomínáme na běžnou agendu ;-) zvládání bezpečnostních incidentů (CSIRT SkČ) prosazování bezpečnosti ve změnách (projekty, malé změny) řízení bezpečnostní infrastruktury a funkcí ověřování bezpečnosti, kontroly shody, vyhodnocování bezpečnostní vzdělávání kyb.týmu, administrátorů, uživatelů
6
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ NÁŠ PŘÍSTUP
7
Aktivně podporujeme business cíle
Efektivně zvládáme rizika
Bezpečnost řídíme s ohledem na náklady
Zajišťujeme soulad s legislativou
Data patří organizaci a mají svého vlastníka
Data jsou klasifikována a chráněna
Bezpečnost zajišťují všichni zaměstnanci
Zvládáme bezpečnostní incidenty
Neustále bezpečnost zlepšujeme
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ ZÁVĚR Nejednejte „dogmaticky“, poznávejte „svůj business“ … budete vnímáni jak přínos, ne jako zátěž!
Řiďte rizika, nevkládejte do rozhodování emoce … zbavíte se tak frustrace z nikdy nekončící práce!
Vzdělávejte sebe, svůj tým, ICT administrátory, uživatele … toto je investice, která se vyplácí! 8
KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ DĚKUJI ZA POZORNOST
? Ing. Libor Kovář
9