Upload
ratko-stibric
View
1.709
Download
3
Embed Size (px)
Citation preview
Promašaji u upravljanju IT sigurnosti
Ratko ŠtibrićDirektorIT.inteligentne tehnologijewww.it.hr
sponzori konferencije
pokrovitelji konferencije
medijski pokrovitelji
organizatori konferencije
ZSISZSISZSISZSISZavodzasigurnostinformacijskihsustava
Što je vaš “core” business?
» Pitanje nije namijenjeno IT tvrtkama!» Što je “CORE” business bankama?» Što je “core” business IT tvrtkama?
Sadržaj
» Uvod» Ljudi» IT kultura » Kritični problemi» Veliki sigurnosni projekti» Brza tehnička rješenja» Zaključak
Uvod
» Informatika je dugo godina bila apsolutno cool posao (čak i za ljude koji se ne smatraju tehnološkim geekovima)
» Informatika je “prestala” biti cool posao za informatičare (i postala za one koji teško mogu naći posao u nekoj drugoj djelatnosti)
» Informatikom se danas posredno i neposredno bave ljudi koji znaju jako malo o informatici
Security Management?
» Procesi» Politike, standardi, procedure, upute» Upravljanje rizicima» Kontrole» Tehnologija» Dokumentacija IT sustava» IT Kultura» Edukacija
Upravljanje rizicima
» Osnovni alat za upravljanje sigurnosti» Nažalost često tek dolazi na kraju (nakon
implementacije IT sustava, sigurnosnih projekata i ulaganja)
» Fokus na detalje, umjesto na kritične stvari» Fokus na proces, umjesto na rezultate» Teško zaživi kao uobičajena disciplina (ah, pa
to smo već napravili)» Procjena vjerojatnosti:100% ili težnja prema
0%
Trendovi
» Slijepo praćenje trendova u IT-u» Više se vjeruje Gartneru nego vlastitom
IT timu» Virtualizacija
› Zašto niste još virtualizirali sve servere?› Koliki je omjer godišnjeg rasta broja
servera u virtualnoj okolini i rasta prije virtualizacije?
Osnovni problemi
Nemotiviranost
Nedostatak vremena
nedovoljno znanja
Premalo ljudi (ili loša organizacija IT-a)
Loš management
Promjene
» Organizacijske promjene?» Moguća promjena <--> nemoguća
promjena» Razlozi:
› Nedostatak volje› Navike je teško mijenjati› Nema resursa (vremena i ljudi)› Nema entuzijazma
» Potrebno VRIJEME
IT zaposlenici
» Sistemaši» Programeri» Mrežaši» Služba za korisnike» Management» Timovi?
Ulaganje u kvalitetne informatičare?
» Ili korištenje vanjskih usluga za svaku sitnicu?
» Outsourcing IT-a?» Nezainteresiranost mladih ljudi za
učenje?» Nezainteresiranost starih informatičara
za učenje? Promjene?
IT manageri
» Background:» IT iskustvo = izostanak vještina
potrebnih za upravljanje ljudima» Management iskustvo = nizak nivo
znanja IT-a» Bez iskustva - možda i nije takva
katastrofa» Što je bolje?
Korisnici
» Manjak edukacije» Nedostatak želje za učenjem (i
nedostatak batine)» Izvlačenje na staru izreku “ja to ne
moram znati”» Management općenito - nemogućnost
komunikacije sa IT-om i usklađivanje poslovanja i IT-a (nedostatak IT znanja)
Aplikacije i razvoj
» Mamuti (banke na prvom mjestu)» Totalno zastarjela tehnologija» Migracija ili pisanje iz početka?» Ponos» Programeri - kritičan nedostatak
sistemskih znanja» Da li ste svojim programerima kupili
neku knjigu o pisanju sigurnog koda?
Asset Management(Configuration Management)
» Alati su dostupni već godinama na tržištu
» Tvrtke čak imaju i kupljenje licence (SCCM 2007 npr.)
» Za implementaciju osnovnih alata na 2000 računala potrebno mjeseca dana u totalno nesređenoj okolini uz svakodnevni posao
» Izuzeci, izuzeci, izuzeci, izuzeci …
Network Management
» Odvajanje mrežaša od sistemaša = najveća greška u organizaciji IT-a
» Razdvajanje kritičnih funkcija koje se isprepleću u cijelom IT sustavu:› Authentikacija› Nadzor i upravljanje› Kontrola pristupa› Enkripcija
» Nezainteresiranost izvan svoje specijalizacije
Kontrola pristupa
» Najveća šarolikost rješenja (i ne rješenja)
» Neovisni sustavi i imenici korisnika» Ogroman broj lozinki» Izuzeci, izuzeci, izuzeci
Fizička sigurnost
» Jedan od najvećih problema!» Nevjerojatan broj izuzetaka (primjeri?)» Privid fizičke sigurnosti» Problemi u procesima, edukaciji
zaposlenika
Osnovni problemi – neriješeni?
» Patch Management (Microsoft, a ostalo?)» Asset Management» Lozinke?» Desktop Management?» Fizička sigurnost?» Backup ok, to se radi uglavnom, ali
testiranje oporavka (skoro nikad?)» Edukacija korisnika
Jednostavna tehnološka rješenja
» Fizička sigurnost:› NAP, IPSec
» Autentikacija:› Certifikati
» Desktop problemi:› Jedinstvena konfiguracija› AD Group Policy
» Alati za nadzor i assessment
IT Revizija
» Uloga revizije?» Previše juniora (bez ikakvog IT iskustva)» Audit Charter? Ako i postoji, samo
formalno» Prekratko kod klijenta» Interna revizija - premalo znanja za
reviziju IT-a, uglavnom fokus samo na elemente IT-a, npr. rad aplikacija
Zaključak
» Promjena IT kulture je dugotrajan proces
» IT brza tehnološka rješenja- rješenje nekih kritičnih sigurnosnih rizika - potrebno samo malo znanja i volje
» Mrkva i batina za IT (za kritične rizike)» Odnos ulaganja u velike sigurnosne
projekte i mala tehnološka rješenja
Pitanja?
» Kontakt: [email protected]» Blog: http://blog.it.hr