Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo pracy w sieciach informatycznych

Podobne prezentacje


Prezentacja na temat: "Bezpieczeństwo pracy w sieciach informatycznych"— Zapis prezentacji:

1 Bezpieczeństwo pracy w sieciach informatycznych
- Zabezpieczenie infrastruktury DOTCOM Sp. z o.o. – Andrzej Zienkiewicz – Vice Prezes Maciej Kulka – Opiekun Kluczowych Klientów Jacek Gawrych – Inżynier Systemowy

2 ANKIETA START! Bez papierowych kwestionariuszy
7 pytań – po 1 punkt za każde Każdy dodaje swoje punkty w pamięci Może być anonimowa START!

3 PYTANIE NR 1 1 PUNKT b. Martwię się przede wszystkim o to, co jest teraz. Zarządzam firmą. W dużym stopniu kieruję się zapewnieniem jej ciągłości niezakłóconego działania przez najbliższych kilka lat Martwię się przede wszystkim o to, co jest teraz 0 PUNKTÓW a. W dużym stopniu kieruję się zapewnieniem jej ciągłości niezakłóconego działania przez najbliższe kilka lat.

4 PYTANIE NR 2 1 PUNKT Nie mam ochoty płacić za zabezpieczenia sieci. Jeśli mnie zaatakują, to się zabezpieczę. Nie mam ochoty płacić za zabezpieczenia sieci, jeśli prawdopodobnie nigdy nie zostanę zaatakowany. Jeśli mnie zaatakują, to się wtedy zabezpieczę. 0 PUNKTÓW Mam ochotę płacić za zabezpieczenia sieci.

5 PYTANIE NR 3 1 PUNKT W mojej firmie nie ma osoby odpowiedzialnej za bezpieczeństwo informacji. W mojej firmie jest osoba odpowiedzialna za bezpieczeństwo informacji. 0 PUNKTÓW W mojej firmie jest osoba odpowiedzialna za bezpieczeństwo informacji.

6 PYTANIE NR 4 1 PUNKT To, że komuś ukradli dane, nie oznacza, że ja mogę zostać okradziony. To, że komuś ukradli dane, nie oznacza, że ja mogę zostać okradziony. Ten ktoś miał pecha a ja mam przecież szczęście. Inaczej nie byłbym tym, kim jestem. 0 PUNKTÓW To, że komuś ukradli dane, oznacza, że ja mogę zostać okradziony.

7 PYTANIE NR 5 1 PUNKT W mojej firmie nie policzono strat. 0 PUNKTÓW
W mojej firmie policzono, ile będzie kosztować nas kradzież mojego laptopa. Uwzględniono przy tym: straty wynikające z dostania się poufnych informacji w ręce konkurencji nieodwracalną stratę części informacji 0 PUNKTÓW W mojej firmie policzono straty.

8 PYTANIE NR 6 1 PUNKT W mojej firmie nie policzono kosztów utraty połączenia z Internetem na 1 dzień. W mojej firmie policzono, ile kosztuje nas utrata połączenia z Internetem na 1 dzień. 0 PUNKTÓW W mojej firmie policzono koszty utraty połączenia z Internetem na 1 dzień.

9 PYTANIE NR 7 1 PUNKT Nie wiem (i inne). 0 PUNKTÓW
Co ma bezpieczeństwo do CIA? 0 PUNKTÓW Bezpieczeństwo to zapewnienie: Poufności (Confidentiality) Integralności (Integrity) Dostępności (Availability)

10 PODSUMOWANIE ANKIETY Im mniej tym lepiej
3 i więcej – zachęcamy do wzmożonej koncentracji 2 i mniej – GRATULUJEMY!

11 AGENDA Bezpieczeństwo a Business Continuity
Bezpieczeństwo a Zarządzanie Ryzykiem Definicja Bezpieczeństwa Bezpieczeństwo jako cykl Ochrona reaktywna a pro aktywna Sposoby zabezpieczenia infrastruktury teleinformatycznej

12 BEZPIECZEŃSTWO A BUSINESS CONTINUITY MISJA

13 BEZPIECZEŃSTWO CHRONI MISJĘ
MISJA

14 BEZPIECZEŃSTWO POZWALA PRZYGOTOWAĆ SIĘ NA NAJGORSZE

15 BEZPIECZEŃSTWO KOSZTUJE, ALE NALEŻY PATRZEĆ NA NIE JAK NA ZYSK
ZYSKI STRATY BEZPIECZEŃSTWO

16 ZA BEZPIECZEŃSTWO MUSI KTOŚ ODPOWIADAĆ –
INACZEJ GO NIE MA!

17 PODSUMOWUJĄC Bezpieczeństwo chroni misję
Bezpieczeństwo pozwala przygotować się na najgorsze Bezpieczeństwo kosztuje, ale należy patrzeć na nie jak na zysk Za bezpieczeństwo musi ktoś odpowiadać – inaczej go nie ma

18 BEZPIECZEŃSTWO A ZARZĄDZANIE RYZYKIEM

19 ZARZĄDZANIE RYZYKIEM UŚWIADAMIA, CO MOŻE SIĘ STAĆ I ILE BY NAS TO KOSZTOWAŁO

20 TO ZIMNA KALKULACJA – LICZĄ SIĘ LICZBY A NIE PRZECZUCIE
ZARZĄDZANIE RYZYKIEM TO ZIMNA KALKULACJA – LICZĄ SIĘ LICZBY A NIE PRZECZUCIE PRAWDOPODOBIEŃSTWO STRATA AKCEPTUJEMY?

21 KORZYŚCI Z ZARZĄDZANIA RYZYKIEM
Uświadamiamy sobie zagrożenia, o których wcześniej nawet nie myśleliśmy Wiemy, co OPŁACA SIĘ zabezpieczać

22 ZARZĄDZANIE RYZYKIEM W ŚWIATOWYCH NORMACH
ISO/IEC i (17799) nakazują wprowadzenie procesu zarządzania ryzykiem Brak procesu zarządzania ryzykiem = brak szansy na certyfikację Proces zarządzania ryzykiem -> norma ISO/IEC 27005

23 Wartość zasobu – Podatność – Zagrożenie – Incydent
System IT wartość PLN Podatność 1 Podatność 2 Podatność 3 Podatność 4 Incydent 3 Zagrożenie 1 Incydent 2

24 Serwer WWW sklep Internet
PRZYKŁAD Haker wykonuje atak SQL Injection Robak internetowy Serwer WWW sklep Internet Możliwość ataku SQL Injection Hasło: admin Login: admin Możliwość ataku XSS Niszczenie się pod wpływem kurzu Robak odgaduje hasło admina i przejmuje kontrolę nad systemem Haker Haker wykonuje atak XSS

25 SKŁADOWE RYZYKA Wartość zasobu Poziom podatności Poziom zagrożenia Prawdopodobieństwo wystąpienia incydentu AUDYT BEZPIECZEŃSTWA IT ZNAJDUJE PODATNOŚCI I OKREŚLA ICH POZIOMY!

26 PODSUMOWUJĄC Zarządzanie ryzykiem uświadamia, co może się stać i ile to będzie kosztować Zarządzanie ryzykiem to kalkulacja Zarządzanie ryzykiem wskazuje, co opłaca się zabezpieczać Zarządzanie ryzykiem w światowych normach

27 DEFINICJA BEZPIECZEŃSTWA
Poufność (Confidentiality) Integralność (Integrity) Dostępność (Availability) Definicja bezpieczeństwa systemów IT: Zapewnienie poufności, integralności i dostępności w systemach IT. CIA

28 BEZPIECZEŃSTWO JAKO CYKL
PLAN ACT DO CHECK ISO/IEC 27001

29 OCHRONA REAKTYWNA A PRO AKTYWNA Ochrona reaktywna
Wracamy od kochanki pachnąc jej perfumami – gdy żona się orientuje, kupujemy jej kwiaty Haker ukradł nam cenne dane i sprzedał je naszej konkurencji – kupujemy system ochrony przed hakerami Ochrona pro aktywna Przed powrotem od kochanki bierzemy prysznic Regularnie audytujemy nasz system IT i w porę usuwamy podatności

30 PODSUMOWUJĄC Definicja bezpieczeństwa Poufność Integralność Dostępność
Bezpieczeństwo jest cyklem Należy świadomie zdecydować, czy chcemy się bronić reaktywnie, czy pro aktywnie

31 SPOSOBY ZABEZPIECZANIA
INFRASTRUKTURY TELEINFORMATYCZNEJ

32 TECHNOLOGIE Blokowanie ruchu przychodzącego z zewnątrz
Szkodliwe oprogramowanie, którego przyczyną są użytkownicy sieci Szyfrowanie AAA Audyt sieci Zabezpieczanie sieci bezprzewodowych Backup Silne hasła

33 Blokowanie ruchu z zewnątrz
Firewalle Filtry pakietów Filtry protokołów Intrusion Prevention Systems (IPS) Przeciwko hakerom i robakom Network IPS (NIPS)/Host IPS (HIPS) Wykrywające anomalie/nadużycia Anti-Spam

34 Szkodliwe oprogramowanie
Anti-Virus Anti-Spyware Content Filter Web Filter Anti-P2P Anti-IM Anti-VoIP Anti-Game Network Admission Control (NAC)

35 Szyfrowanie Szyfrowanie plików, dysków, e-maili
Public Key Infrastructure (PKI) Certyfikaty X.509, Trusted Third Party Pretty Good Privacy (PGP) Web of Trust Szyfry symetryczne (DES, Triple DES, AES) Szyfrowanie ruchu sieciowego Virtual Private Network – VPN (SSL i IPSec) HTTPS (SSL/TLS)

36 AAA Authentication, Authorization, Accounting RADIUS
Sieci bezprzewodowe (WiFi/WLAN) TACACS+

37 Audyt sieci Ochrona pro aktywna Wykonany przez człowieka
Wykonany przez komputer Oprogramowanie Gotowe urządzenie – SecPoint Penetrator

38 Sieci bezprzewodowe Szyfrowanie (WEP, WPA, WPA2) – silny klucz!
AAA (RADIUS) Audyt NAC

39 Backup i silne hasła Idealny backup:
Wszystkie dane można w każdej chwili odzyskać – w kilku ostatnich wersjach Niewidoczny z punktu widzenia użytkownika Idealne hasła Brak Ale… Muszą być jak najdłuższe Muszą być ciągami losowych znaków

40 UTM Unified Threat Management Zintegrowane Zarządzanie Bezpieczeństwem
Jak najwięcej bezpieczeństwa w jednym urządzeniu Przykład – SecPoint Protector

41 SecPoint Protector IPS Anti-Spam Anti-Virus/Anti-Spyware
Content Filter Web Filter Anti-P2P Anti-IM Anti-VoIP Anti-Game

42 PODSUMOWUJĄC Blokowanie ruchu przychodzącego z zewnątrz
Szkodliwe oprogramowanie, którego przyczyną są użytkownicy sieci Szyfrowanie AAA Audyt sieci Zabezpieczanie sieci bezprzewodowych Backup i silne hasła UTM – SecPoint Protector

43 PYTANIA


Pobierz ppt "Bezpieczeństwo pracy w sieciach informatycznych"

Podobne prezentacje


Reklamy Google