Tudatos kockázatmenedzsment vs. megfelelés

Tudatos kockázatmenedzsment vs. megfelelés

Horváth Balázs [email protected]

Ruha Norbert [email protected]

Agenda    

A korszerű kockázatmenedzsment kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása

2

A korszerű kockázatmenedzsment kihívásai - A vállalatok informatikai támogatásának egyre dinamikusabb fejlődése - Folyamatosan változó és növekvő fenyegetettség-tér hatékony kezelése - Védelmi intézkedések folyamatos fenntartása és fejlesztése - A védelem teljes körűségének, zártságának (sérülékenységek minimumon tartásának) folyamatos biztosítása 3

A fenyegetettség-tér számokban 1000 IP átlag 20 SW komponens 100 biztonsági ellenőrzés/IP

20 db sebezhetőség/IP

5 db /IP

4

A kockázat- és sérülékenység menedzsment rendszerek gyengeségei- a fenyegetettség tér változása

Which of the following attack types have exploited your organization in 2015? Forrás: State of Cybersecurity - Implications for 2016 (https://www.isaca.org/cyber/Documents/state-of-cybersecurity_res_eng_0316.pdf)

5

A tudatos és korszerű kockázatmenedzsment jellemzői     

Önfejlesztő, tanuló: Amit nem ismerünk, az ellen védekezni sem tudunk hatékonyan! Ha nem ismerjük a helyes választ, elkésünk! Folyamatos: A fenyegetettség-tér folyamatosan változik, aki lemarad, nagy valószínűséggel válik áldozattá! Gyors reagálású: pl.: 0. órai probléma, nincs idő hezitálni! Integrált: Amit szigetszerűen látunk, az nem biztos, hogy a teljes valóság! Automatizált: A fenyegetettségek számosságát ember nem kezelheti hatékonyan, ha így tesz lemarad a küzdelemben!

6

Példa egy integrált, hatékony kockázatmenedzsment rendszerre FW

SLA&TM

IPS/IDS

Auditok és átvizsgálások eredményei

AC

WC SIEM

DDOS

IBIR

ISE Sérülékenység menedzsment eszköz

AV DLP EMM

BCP, DRP tesztek eredményei

…

7

Ma már a vállalati információbiztonsági szakértelem legnagyobb értéke nem a manuális védelem megvalósítása, hanem az IBIR és a technológiai védelmi rendszer hatékony kiépítése, összekapcsolása és működtetése.

8

A TRC ajánlata kockázatmenedzsment eszközökre

9


Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása

10

Megfelelési kényszer – vállalat MSZ ISO/IEC 27001:2014 szabvány

PCI DSS szabvány

GDPR

MNB 1/2015. ajánlása

2013. évi L. törvény 41/2015. (VII. 15.) BM rendelet

1997. évi CLIV. törvény

2011. évi CXII. törvény

1997. évi XLVII. törvény

11

Megfelelés vs. Tudatos kockázatmenedzsment Tulajdonság

Tudatos kockázatmenedzsment

Megfelelés

Önfejlesztés, tanulás

Folyamatosság Gyorsreagálás Integráltság Automatizáltság 12



13

Tapasztalatok, következtetések      

A vállalatok többsége megfelelés minimumra törekszik! A magas szintű bürokrácia miatt elvész a valódi védelemre fordítható energia! A törvényi megfelelés elsősorban mennyiségi és nem minőségi kontrollokra fókuszál! Az auditorok - felkészültségük függvényében- gyakran túlzóan vagy túl megengedően értelmezik a törvényt! A legtöbb törvényből hiányzik az IBIR, illetve az hogy hogyan érjük el a megfelelést A megfelelés szükséges, de nem elégséges!

A tudatos és korszerű kockázatmenedzsment alkalmazása automatikusan ad megfelelést, de fordítva nem áll fenn az ok-okozat! 14



15

16

Globális vevői kör

17

Az integrált Qualys felület

18

Kipróbálási lehetőségek

Próba verzió tartalma:  Korlátlan hálózati feltérképezés és felfedezés  Korlátlan hálózati perem vizsgálat  PCI megfelelés vizsgálat

 Web alkalmazás biztonsági vizsgálat  Malware fertőzések és fenyegetések érzékelése  IT biztonsági policy készítés, vizsgálat és riportálás 19

Hatékony kockázatkezelés vs. megfelelés Qualys-al

Lassan fejlődő

Adminisztratív

Gyakorlatias

Folytonos

Ad-hoc

Dinamikus, naprakész

Széles spektrumú védelem

Keskeny spektrumú védelem

20

A megfelelés még nem nyújt biztonságot, sőt sok esetben hamis biztonságtudatot eredményez!

21

Köszönjük a figyelmet!

22

Tudatos kockázatmenedzsment vs. megfelelés

Recommend Documents