Regulace a normy v IT IT Governance Sociotechnický útok
michal.slá
[email protected]
Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices Implementa ní standardy ................
Legislativa Sarbanes-Oxley Patriotic Act
SOX
Zákon o ochran osobních údaj Zákon o utajovaných skute nostech Zákon o svobodném p ístupu k informacím
Normy a standardy SN ISO/IEC 27001:2005 SN ISO/IEC 20000:2006 SN ISO/IEC 15408:2001
- BS 7799 - ITIL - CC
COBIT (Control Objectives for Information and related Technology) ITIL (Information Technology Infrastructure Library) Bezpe nostní standardy výrobc (MS)
IT Governance Úkolem IT Governance je ídit aktivity IT v rámci organizace tak, aby byly zajišt ny následující cíle: Propojení a sjednocení business a IT strategie v rámci spole nosti tak, aby byly oboustrann spln ny p edem definované požadavky a o ekávání (tj. odvození IT strategie z jednotlivých cíl definovaných v business strategii) Maximální a ízené využití p íležitostí, které IT businessu nabízí Zodpov dné využívání IT zdroj ízení rizik spojených s vývojem / po ízením / provozováním IT
IT Governance CobIT (ISACA): IT Governance je definovaná struktura vztah a proces , pomocí kterých lze ídit a kontrolovat organizaci tak, aby IT v maximální mí e umo ovalo a podporovalo dosažení podnikatelských cíl . P idanou hodnotou je redukce a ízení rizik nad procesy v IS. It Governance ovliv uje zvýšení efektivity organizace pomocí: Zajišt ní a zabezpe ení integrity, bezpe nosti a spolehlivosti strategických a jiných citlivých informací. Ochrany investic do IT a komunikací Nastavení odpovídajícího vedení a ízení informa ních aktiv, na nichž p ímo závisí úsp ch nebo p ežití organizace Zvyšování hodnoty podnikatelských proces pomocí IT (vazba IT na podnikatelské procesy) ITIL: IT Governance se zabývá kooperací businessu a IT managementu. Tato kooperace je st žejní pro podnikové cíle a procesy, které jsou závislé na správném fungování IT. Oblasti zájmu IT Governance Sjednocení strategií (podniková versus IT strategie) ízení zm n (change management) Business Continuity IT Asset Management ízení zdroj ízení znalostí
CobIT IT procesy - základní IT procesy jsou: Plánování a organizace Akvizice a implementace Poskytování a podpora Monitorování
IT zdroje Aplikace Informace Infrastruktura Lidské zdroje
Informa ní kritéria Ú elnost Hospodárnost D v ryhodnost Integrita Dostupnost Souhlasnost/Shoda Spolehlivost
Cobit
CobIT Plánování a organizace Pokrývá úrove strategického a taktického plánování a organizování IT v etn ízení p idané hodnoty IT pro business. V této ásti naleznete odpov di na otázky typu: Jsou business a IT strategie ve vzájemném souladu? Využívá naše organizace své IT zdroje optimáln ? Jsou zmapována a ízena všechna rizika spojená s IT? Jsou jasn definované cíle IT projekt a jsou tyto cíle všeobecn známé?
Po ízení a implementace Identifikace IT ešení vhodného pro realizaci zvolené IT strategie. ešení m že být vyvíjeno vlastními silami nebo po ízeno z vn jších zdroj , následn musí být implementováno a integrováno se stávajícími systémy a procesy. V této domén je také zahrnuto pot ebné ízení zm n – v nových i stávajících systémech. V této ásti naleznete odpov di na otázky typu: Splní plánovaný IT projekt o ekávání a požadavky businessu? Bude nový projekt dokon en v plánovaném ase, bude dodržen rozpo et projektu? Bude nový systém pracovat po implementaci správn ? Neohrozí plánované zm ny fungování sou asných podnikových proces ?
CobIT Dodávka služeb a podpora Tato doména je zam ená na ízení IT služeb, což zahrnuje poskytování služeb, ízení bezpe nosti a kontinuity služeb, podporu služeb, správu dat a pot ebné infrastruktury. V této ásti naleznete odpov di na otázky typu: Jsou služby IT poskytovány v souladu s prioritami a pot ebami businessu? Jsou služby IT nákladov optimální? Jsou spln ny všechny požadavky na d v ryhodnost, integritu a dostupnost IT služeb?
Monitorování a hodnocení Všechny IT procesy musí být pravideln monitorovány a vyhodnocovány – tzn. kontrolovat, zda jejich výstupy jsou v požadované kvalit a zda spl ují definovaná kontrolní kritéria. Tato doména pokrývá oblasti ízení výkonnosti, monitorování, interní kontroly a správy IT. V této ásti naleznete odpov di na otázky typu: Dochází k m ení výkonnosti IT, tak aby byly p ípadné problémy ešeny d ív než skute n nastanou? Je systém interních kontrol efektivní a úplný? Jsou všechna rizika, kontroly a výkonnost m eny a reportovány?
ITIL Vydefinování proces pot ebných pro zajišt ní ITSM: Stanovení cíl , vstup , výstup a aktivit každého procesu Stanovení rolí a jejich odpov dností v daném procesu Zp sob m ení kvality poskytovaných IT služeb a ú innosti ITSM proces (Key Performance Indicators + metriky) Vzájemné vazby mezi jednotlivými procesy Postupy auditu a zásady reportingu pro každý proces
Zásady pro implementaci proces ITSM: P ínosy každého procesu Critical Success Factors, možné problémy a vhodná protiopat ení Náklady na implementaci a následný provoz Zásady pro ízení podp rné ICT infrastruktury Zásady bezpe nosti ICT infrastruktury
ITIL
ITIL Service Strategy Úst ední publikace poskytující praktický rámec k návrhu, vývoji a implementaci ízení služeb nejen z pohledu organiza ního, ale i jako zdroje strategické výhody.Publikace obsahuje definice služeb, strategii ITSM a plánování p idané hodnoty, IT governance, definice typ poskytovatel služeb a obchodních strategií, potažmo strategií služeb. Service Design Tato publikace poskytuje rámec pro návrh a vývoj služeb a proces jejich ízení. Zahrnuje principy a metody pro p evod strategických cíl do portfolia služeb. Nesoust edí se pouze na nové služby, ale obsahuje i procesy zm ny a pr b žného zlepšování stávajících služeb, pot ebné pro udržení nebo zvýšení úrovn služeb, jejich p idané hodnoty pro zákazníka a v neposlední ad i jejich soulad s právními normami a standardy.
ITIL Service Transition Publikace obsahuje postup, jakým zp sobem požadavky definované v rámci Service Strategy efektivn realizovat v pr b hu Service Operation (reálné prost edí) za sou asného ízení rizik poruch a výpadk služeb. Poskytuje rámec pro ízení komplexní problematiky spojené se zm nami ve službách a v procesech jejich ízení. Kombinuje postupy Release Managementu, Programme Managementu a Risk Managementu a p evádí je do praktického kontextu ízení služeb jako celku. Service Operation Tato publikace obsahuje postupy pro ízení služeb v produk ním prost edí, dosažení výkonnosti a ú innosti v dodávce služeb a jejich podpo e tak, aby byla vyprodukována hodnota jak pro zákazníka tak pro poskytovatele služby. Tato ást ITIL® V3 v nejv tším rozsahu p ebírá knihy Service Strategy a Service Delivery ITIL® V2, ale také Application management a ICT infrastructure management.
ITIL Continual Service Improvement Tato kniha obsahuje prost edky pro vytvá ení a udržování p idané hodnoty služby pro zákazníka prost ednictvím zvyšující se kvality služeb a efektivity jejich provozu. Kombinuje p itom principy, praktiky a metody ízení kvality a Change Managementu.
ITIL Nejd ležit jšími p ínosy implementace ITIL jsou: úspora náklad na provoz IT služeb lepší kvalita a spolehlivost IT služeb (=spokojen jší zákazníci) lepší využívání drahých ICT zdroj menší po et výpadk ICT systém vyšší úrove komunikace (= lepší porozum ní) mezi pracovníky úsek ICT a zákazníky/uživateli
ITIL
Sociotechnický útok Vn jší útoky Cílené - hackerské útoky Necílené – viry, ervy,spamy
Sociální útoky Kombinované metody Kriminální innost
Vnit ní útoky – – –
Demotivovaní zam stnanci Ned v ryhodní dodavatelé Vysoká hodnota aktiv
Sou asný trend Kombinace sociálních a technických metod a využití všech moderních možností internetu Phising + Pharming
Hlavní nebezpe í spo ívá na statistických p edpokladech p i vysoké etnosti útok
Sociotechnické metody Nevinná informace Sta í se zeptat Odvracení pozornosti Budování d v ry Žádost o pomoc Soucit, vina, zastrašení Obrácený podraz
Cena informace I informace zdánliv bez „významu“ mají pro úto níka cenu, pokud ví jak jich využít Znalost „žargonu“ otvírá dve e k informacím Skládání informací bez kontextu umo uje vid t do organizace zevnit
Žádost o pomoc Velmi ú inná metoda ve velkých spole nostech. Mí í primárn na odborné pracovníky IT Vysoké nebezpe í spo ívá ve významu poskytnutých dat
Obrácený podraz Sofistikovaný zp sob pr niku do organizace Po vyvolání bezpe nostního incidentu zvn jšku je úto ník „požádán“ o pomoc p i odstra ování incidentu Otev e se tím cesta k pr niku dovnit organizace
Varovné p íznaky Odmítnutí sd lit zpáte ní íslo Neobvyklá žádost Chrán ní se autoritou Zd raz ování naléhavosti záležitosti Hrozba d sledky nevyhov ní Neochota odpovídat na otázky Zmi ování mnoha jmen Komplimenty a pochlebování Flirtování
Sociotechnický cyklus Pr zkum (volné, ve ejné informace, žargon, internetové stránky, odborný tisk) Budování vztah a d v ry (používání vnit ních informací, vydávání se za n koho jiného, používání odborných výraz a autority) Využití d v ry (žádost o informaci nebo o innost, zmanipulování ob ti) Využití získaných informací (pokud je získaná informace pouze dalším krokem, vrací se k p edchozím bod m cyklu)
D kuji za pozornost
[email protected] +420 605 204 480