Tudatos kockázatmenedzsment vs. megfelelés
Horváth Balázs
[email protected]
Ruha Norbert
[email protected]
Agenda
A korszerű kockázatmenedzsment kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása
2
A korszerű kockázatmenedzsment kihívásai - A vállalatok informatikai támogatásának egyre dinamikusabb fejlődése - Folyamatosan változó és növekvő fenyegetettség-tér hatékony kezelése - Védelmi intézkedések folyamatos fenntartása és fejlesztése - A védelem teljes körűségének, zártságának (sérülékenységek minimumon tartásának) folyamatos biztosítása 3
A fenyegetettség-tér számokban 1000 IP átlag 20 SW komponens 100 biztonsági ellenőrzés/IP
20 db sebezhetőség/IP
5 db /IP
4
A kockázat- és sérülékenység menedzsment rendszerek gyengeségei- a fenyegetettség tér változása
Which of the following attack types have exploited your organization in 2015? Forrás: State of Cybersecurity - Implications for 2016 (https://www.isaca.org/cyber/Documents/state-of-cybersecurity_res_eng_0316.pdf)
5
A tudatos és korszerű kockázatmenedzsment jellemzői
Önfejlesztő, tanuló: Amit nem ismerünk, az ellen védekezni sem tudunk hatékonyan! Ha nem ismerjük a helyes választ, elkésünk! Folyamatos: A fenyegetettség-tér folyamatosan változik, aki lemarad, nagy valószínűséggel válik áldozattá! Gyors reagálású: pl.: 0. órai probléma, nincs idő hezitálni! Integrált: Amit szigetszerűen látunk, az nem biztos, hogy a teljes valóság! Automatizált: A fenyegetettségek számosságát ember nem kezelheti hatékonyan, ha így tesz lemarad a küzdelemben!
6
Példa egy integrált, hatékony kockázatmenedzsment rendszerre FW
SLA&TM
IPS/IDS
Auditok és átvizsgálások eredményei
AC
WC SIEM
DDOS
IBIR
ISE Sérülékenység menedzsment eszköz
AV DLP EMM
BCP, DRP tesztek eredményei
…
7
Ma már a vállalati információbiztonsági szakértelem legnagyobb értéke nem a manuális védelem megvalósítása, hanem az IBIR és a technológiai védelmi rendszer hatékony kiépítése, összekapcsolása és működtetése.
8
A TRC ajánlata kockázatmenedzsment eszközökre
9
Agenda
Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása
10
Megfelelési kényszer – vállalat MSZ ISO/IEC 27001:2014 szabvány
PCI DSS szabvány
GDPR
MNB 1/2015. ajánlása
2013. évi L. törvény 41/2015. (VII. 15.) BM rendelet
1997. évi CLIV. törvény
2011. évi CXII. törvény
1997. évi XLVII. törvény
11
Megfelelés vs. Tudatos kockázatmenedzsment Tulajdonság
Tudatos kockázatmenedzsment
Megfelelés
Önfejlesztés, tanulás
Folyamatosság Gyorsreagálás Integráltság Automatizáltság 12
Agenda
Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása
13
Tapasztalatok, következtetések
A vállalatok többsége megfelelés minimumra törekszik! A magas szintű bürokrácia miatt elvész a valódi védelemre fordítható energia! A törvényi megfelelés elsősorban mennyiségi és nem minőségi kontrollokra fókuszál! Az auditorok - felkészültségük függvényében- gyakran túlzóan vagy túl megengedően értelmezik a törvényt! A legtöbb törvényből hiányzik az IBIR, illetve az hogy hogyan érjük el a megfelelést A megfelelés szükséges, de nem elégséges!
A tudatos és korszerű kockázatmenedzsment alkalmazása automatikusan ad megfelelést, de fordítva nem áll fenn az ok-okozat! 14
Agenda
Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása
15
16
Globális vevői kör
17
Az integrált Qualys felület
18
Kipróbálási lehetőségek
Próba verzió tartalma: Korlátlan hálózati feltérképezés és felfedezés Korlátlan hálózati perem vizsgálat PCI megfelelés vizsgálat
Web alkalmazás biztonsági vizsgálat Malware fertőzések és fenyegetések érzékelése IT biztonsági policy készítés, vizsgálat és riportálás 19
Hatékony kockázatkezelés vs. megfelelés Qualys-al
Lassan fejlődő
Adminisztratív
Gyakorlatias
Folytonos
Ad-hoc
Dinamikus, naprakész
Széles spektrumú védelem
Keskeny spektrumú védelem
20
A megfelelés még nem nyújt biztonságot, sőt sok esetben hamis biztonságtudatot eredményez!
21
Köszönjük a figyelmet!
22