Auditora pieredze: 10 izplatītākās drošības kļūdas

organizāciju informācijas sistēmās

Didzis Balodis, CISSPIT drošības auditors

2011. gada 2. novembris

Saturs

- Kādēļ jārūpējas par IT drošību un kādas ir sekas, ja to nedara?

- Tipiskie apdraudējumu veidi- 10 izplatītākās drošības kļūdas uzņēmumos- Ieteicamie risinājumi

Kādēļ jārūpējas par IT drošību

Lai nodrošinātu informācijas konfidencialitāti, pieejamību, integritāti un ievērotu normatīvo aktu prasības:

Valsts pārvaldes iestādēm– Valsts informācijas sistēmu likums– Valsts informācijas sistēmu vispārējās drošības prasības– Informācijas tehnoloģiju drošības likums

Finanšu institūcijām– Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības

normatīvie noteikumi

Visiem - Fizisko personu datu aizsardzības likums

Sekas, ja par IT drošību nedomā

Organizācijai kopumā:• Pazaudēta, sabojāta vai publiskota informācija t.sk. konfidenciāla• Negatīva publicitāte un reputācija• Finanšu zaudējumi• Tiesu darbi

Atbildīgajām personām:• Rājiens, algu samazinājums• Pazemināšana amatā• Atlaišana!

Veiksmīgi realizētie uzbrukumi pēc to sarežģītības līmeņa

Avots: Verzion Data Breach Report 2011

Sarežģīti Vidēji Viegli Ļoti viegli0%

10%

20%

30%

40%

50%

60%

8%

49%

37%

6%

Gandrīz puse uzbrukumu

neprasa dziļas zināšanas un meistarību!

10 izplatītākās drošības kļūdas

1. Nav definēta un/vai netiek realizēta IS ielāpu pārvaldība

2. Izslēgta Log failu un auditācijas pierakstu veikšana

3. Ārpakalpojumu sniedzējiem piešķirtas neierobežotas un nekontrolētas piekļuves tiesības organizācijas IS

4. Sistēmu testa vidēs tiek izmantoti reāli dati

5. Nedroša bezvadu tīkla konfigurācija

10 izplatītākās drošības kļūdas

6. Vairāki sistēmu administratori izmanto vienu un to pašu kontu lai pieslēgtos IS

7. Uz serveriem, ugunsmūriem un tīkla ierīcēm paroles netiek mainītas

8. Lokālie sistēmu ugunsmūri nav ieslēgti

9. Nekontrolēta un vāji aizsargāta attālinātā piekļuve

10.Netiek veiktas lietotāju apmācības

Secinājumi

• Kļūdas nepieļauj tikai tas, kurš neko nedara• Nepieciešama risku un tā ietekmes novērtēšana• Nepieciešams skats no malas• Daudzus riskus var novērst, izmantojot jau esošos līdzekļus

Drošības audits

• Faktiskās drošības situācijas novērtējums organizācijā• Neatkarīgu ekspertu skatījums uz esošajiem drošības riskiem• «Īsta» hakera metožu pielietojums, mēģinot ielauzties

organizācijas datortīklā un piekļūt aizsargātiem datiem• Rekomendācijas IT drošības attīstības prioritātēm• Precīzas un realizējamas rekomendācijas:

– Veicamās darbības - konfigurāciju vai uzstādījumu nomaiņa– Atbildīgie par rekomendāciju realizāciju organizācijā– Realizācijas laikietilpība un izmaksu novērtējums

DPA drošības ekspertu komanda

Apvienota būtiska pieredze IT drošības jomā, risinājumu ieviešanā un uzturēšanā• Sertifikāti

– CISSP - Certified Information Systems Security Professional– CISA – Cerified Information Systems Auditor– MCSE, Microsoft Certified Systems Engineer: Security.

• Pieredzē – ievērojams skaits veikto drošības auditu gan Latvijā gan ārzemēs

Mūsu pieeja

IT procesu novērtēšana

• ISO 27002• CobiT• ITIL• PCI DSS• Likumdošanas

prasības• Regulatoru

prasības

Sistēmu izvērtējumi

Ielaušanās testi

Rezultātu apkopšana

Visu IS komponenšu pilnīga izvērtēšana, tai skaitā:• Microsoft• Oracle• Novell• IBM• HP

• Tīkla ielaušanās testi

• Bezvadu tīklu ielaušanās testi

• Aplikāciju un IS testēšana

• Komerciāla ranga testēšanas rīku izmantošana

• Detalizētu rekomendāciju izstrāde

• Reālo risku identificēšana

• Prioritizācija• Novēršanas

plāna izstrāde

Cita veida auditi un konsultācijas

• IT pārvaldības audits • Fizisko personu datu apstrādes audits• Licenču auditi• IT stratēģijas izstrāde• IT dokumentācijas izstrāde• Lietotāju apmācība

DIDZIS BALODISPaldies par uzmanību