How to use this deck This deck is designed with animations on almost every slide. For most slides, the animation will play automatically, and it is not required to click until you are ready to advance to the next slide. Slides that require a click to advance the animation will notate that within the speaker notes. The deck is also designed so that the slides will show all content if the animation is removed. If you prefer to present without animation, you can turn off the animations. On the Slide Show tab, select Setup Slide Show. Under Show Options tick the Show without animation option and click OK.

Zalecenia audytu – jak je zaimplementować i utrzymać w zgodności Piotr Kuljon 28 września 2016

Zalecenia audytu mogą być dość obszerne Regulatory, CIS DISA FISMA HIPAA ISO 27001 PCI SOX And more… Commercial, Customers Licensing Partners Privacy Supply chain Vendors And more… Internal policies… Exceptions Patching Security configuration Service windows [2 CLICKS] Regulatory compliance refers to governmental and industry regulations that must be followed and may locally or globally enforced. Commercial requirements refer to business obligations such as license compliance and other requirements from vendors, customers and others. Organizational standards refer to your internal corporate standards to follow security requirements, social responsibilities, HR rules and more. [CLICK] It’s common to start by setting a basic corporate standard. Then you start adding in regulatory requirements such as PCI, HIPAA and others. It becomes overwhelming pretty quickly. And more… CORP: All devices must pass security audit before being connected to production network PCI 3.1: Applies to all system components included in or connected to the cardholder data environment. PCI 3.1: Requirement 11: Regularly test security systems and processes CORP: All devices must be audited monthly and variances remediated within 30 days PCI 3.1: Install and maintain a firewall configuration to protect cardholder data HIPAA: Requires adherence to national standards for the privacy of protected health information, the security of electronic protected health information, and breach notification to consumers PCI 3.1: Develop and maintain secure systems and applications PCI 3.1: Restrict physical access to cardholder data CORP: All Critical patches must be applied within 7 days, Non-critical patches within 30 days Przytłaczająca ilość wymagań PCI 3.1: Do not use vendor-supplied defaults for system passwords and other security parameters HIPAA: Covered entities must adhere to the content and format requirements of each transaction CORP: Measurements can be made on weeknights from 9pm-11pm HIPAA: if a covered entity conducts one of the adopted transactions electronically, they must use the adopted standard– either from ASC X12N or NCPDP PCI 3.1: Identify and authenticate access to system components PCI 3.1: Track and monitor all access to network resources and cardholder data PCI 3.1: Protect stored cardholder data CORP: Changes can be made on Saturdays from 7pm to 11pm HIPAA: Implement procedures to regularly review records of information system activity, such as audit logs, access reports, and security incident tracking reports PCI 3.1: Encrypt transmission of cardholder data across open, public networks HIPAA: HHS adopted standards for unique identifiers for Employers and Providers, which must also be used in all transactions PCI 3.1: Restrict access to cardholder data by business need to know CORP: Measurements for critical systems can be made nightly from 2am to 4am PCI 3.1: Protect all systems against malware and regularly update anti-virus software or programs CORP: Changes for critical systems can be made on Sundays from 4am to 7am

A sam proces audytu - skomplikowany Silosy organizacyjne Static policies and assets Manual process to update tools and scripts – when policy requirements change Difficult to add new services and resources - when new business service is created, multiple tools must be updated to accommodate different resource types WebLogic CISO etc WebSphere PostgreS QL UNIX CIO Risk Analys t Compliance Architect Business Service Owner Oracl e Linux MS SQL CFO Windows etc

A sam proces audytu - skomplikowany Silosy organizacyjne Brak kontroli czasu wykonania oraz krytyczności Static policies and assets Manual process to update tools and scripts – when policy requirements change Difficult to add new services and resources - when new business service is created, multiple tools must be updated to accommodate different resource types WebLogic CISO etc WebSphere PostgreS QL UNIX CIO Risk Analys t Compliance Architect Business Service Owner Oracl e Linux MS SQL CFO Windows etc

A sam proces audytu - skomplikowany Silosy organizacyjne Brak kontroli czasu wykonania oraz krytyczności Statyczne polityki i zasoby Static policies and assets Manual process to update tools and scripts – when policy requirements change Difficult to add new services and resources - when new business service is created, multiple tools must be updated to accommodate different resource types WebLogic CISO etc WebSphere PostgreS QL UNIX CIO Risk Analys t Compliance Architect Business Service Owner Oracl e Linux MS SQL CFO Windows etc

Wówczas audyty byłyby łatwe i przyjemne Ale gdyby można było Wówczas audyty byłyby łatwe i przyjemne Definiować politykę tylko raz Przypisywać politykę do usług biznesowych Otrzymywać pełny raport zgodności W potrzebnym formacie i czasie Z wglądem we wszystkie wymagane szczegóły

HPE IT Operations Compliance

Podejście do audytu według HPE IT Operations Compliance Ujednolicone Polityki „One policy to rule them all” Używanie polityk „z pudełka” do standardów wymuszanych przez regulacje oraz najlepsze praktyki (PCI, SOX, HIPAA, ISO-27001 etc) Definiowanie własnych polityk Dodatkowe opcje dostępne osobom ds. bezpieczeństwa

Podejście do audytu według HPE IT Operations Compliance Ujednolicone Polityki Łatwa definicja usługi Import usług z cmdb lub katalogu usług Automatyczna synchronizacja

Podejście do audytu według HPE IT Operations Compliance Ujednolicone Polityki Łatwa definicja usługi Subskrypcja Powiązanie polityk z usługami, dzięki czemu są aktywne w momencie uruchomienia usługi Wykorzystanie istniejących procesów zarządzania zmianą

Podejście do audytu według HPE IT Operations Compliance Ujednolicone Polityki Łatwa definicja usługi Subskrypcja Optymalne Audytowanie Wyniki zgodności dot. wszystkich typów zasobów Automatyczne przywrócenie stanu zgodności Widok stanu audytu per usługa biznesowa lub cała organizacja Historia zmian na wszystkich poziomach

Automatyzacja w HPE IT Operations Compliance Model Usługi Automatyzacja Łatwość obsługi Polityki dotyczą całego modelu usługi Nie ograniczone typem zasobu Łatwy import modelu z zew. źródeł Deklarujesz: Polityki SLO Okien serwisowych wyjątków I zapominasz Automatyka zajmuje się resztą Użytkownicy biznesowi: Widok na usługi Zespoły ds. zgodności: Polityki dostępne w formie czytelnej, nie techniczym żargonie Inżynier platformy: techniczny opis dotyczący wymaganych zmian Bez użycia skryptów

Powszechna radość i zadowolenie WebLogic CISO etc WebSphere PostgreS QL UNIX CIO Risk Analys t Compliance Architect Business Service Owner Oracl e Linux MS SQL CFO Windows etc Management Business Service Owner Ujednolicone raportowanie Raportowanie per usługa Śledzenia zmian historycznych Zarządzanie SLOs i wyjątkami Compliance Architect Platform Engineers Ujednolicone definicje polityk Predefiniowane akcje i instrukcje do wykonania Podgląd polityk na przecięciu silosów Automatyczne skanowanie i przywracanie stanu zgodności

Jak zacząć używać HPE IT Operations Compliance Trial oraz community edition Społeczność IT OC hpe.com/software/opscompliance hpe.com/forum/compliancecommunity

Dziękuję za uwagę Piotr Kuljon piotr.kuljon@hpe.com