Promašaji u upravljanju IT sigurnosti

Ratko ŠtibrićDirektorIT.inteligentne tehnologijewww.it.hr

sponzori konferencije

pokrovitelji konferencije

medijski pokrovitelji

organizatori konferencije

ZSISZSISZSISZSISZavodzasigurnostinformacijskihsustava

Što je vaš “core” business?

» Pitanje nije namijenjeno IT tvrtkama!» Što je “CORE” business bankama?» Što je “core” business IT tvrtkama?

Sadržaj

» Uvod» Ljudi» IT kultura » Kritični problemi» Veliki sigurnosni projekti» Brza tehnička rješenja» Zaključak

Uvod

» Informatika je dugo godina bila apsolutno cool posao (čak i za ljude koji se ne smatraju tehnološkim geekovima)

» Informatika je “prestala” biti cool posao za informatičare (i postala za one koji teško mogu naći posao u nekoj drugoj djelatnosti)

» Informatikom se danas posredno i neposredno bave ljudi koji znaju jako malo o informatici

Security Management?

» Procesi» Politike, standardi, procedure, upute» Upravljanje rizicima» Kontrole» Tehnologija» Dokumentacija IT sustava» IT Kultura» Edukacija

Upravljanje rizicima

» Osnovni alat za upravljanje sigurnosti» Nažalost često tek dolazi na kraju (nakon

implementacije IT sustava, sigurnosnih projekata i ulaganja)

» Fokus na detalje, umjesto na kritične stvari» Fokus na proces, umjesto na rezultate» Teško zaživi kao uobičajena disciplina (ah, pa

to smo već napravili)» Procjena vjerojatnosti:100% ili težnja prema

0%

Trendovi

» Slijepo praćenje trendova u IT-u» Više se vjeruje Gartneru nego vlastitom

IT timu» Virtualizacija

› Zašto niste još virtualizirali sve servere?› Koliki je omjer godišnjeg rasta broja

servera u virtualnoj okolini i rasta prije virtualizacije?

Osnovni problemi

Nemotiviranost

Nedostatak vremena

nedovoljno znanja

Premalo ljudi (ili loša organizacija IT-a)

Loš management

Promjene

» Organizacijske promjene?» Moguća promjena <--> nemoguća

promjena» Razlozi:

› Nedostatak volje› Navike je teško mijenjati› Nema resursa (vremena i ljudi)› Nema entuzijazma

» Potrebno VRIJEME

IT zaposlenici

» Sistemaši» Programeri» Mrežaši» Služba za korisnike» Management» Timovi?

Ulaganje u kvalitetne informatičare?

» Ili korištenje vanjskih usluga za svaku sitnicu?

» Outsourcing IT-a?» Nezainteresiranost mladih ljudi za

učenje?» Nezainteresiranost starih informatičara

za učenje? Promjene?

IT manageri

» Background:» IT iskustvo = izostanak vještina

potrebnih za upravljanje ljudima» Management iskustvo = nizak nivo

znanja IT-a» Bez iskustva - možda i nije takva

katastrofa» Što je bolje?

Korisnici

» Manjak edukacije» Nedostatak želje za učenjem (i

nedostatak batine)» Izvlačenje na staru izreku “ja to ne

moram znati”» Management općenito - nemogućnost

komunikacije sa IT-om i usklađivanje poslovanja i IT-a (nedostatak IT znanja)

Aplikacije i razvoj

» Mamuti (banke na prvom mjestu)» Totalno zastarjela tehnologija» Migracija ili pisanje iz početka?» Ponos» Programeri - kritičan nedostatak

sistemskih znanja» Da li ste svojim programerima kupili

neku knjigu o pisanju sigurnog koda?

Asset Management(Configuration Management)

» Alati su dostupni već godinama na tržištu

» Tvrtke čak imaju i kupljenje licence (SCCM 2007 npr.)

» Za implementaciju osnovnih alata na 2000 računala potrebno mjeseca dana u totalno nesređenoj okolini uz svakodnevni posao

» Izuzeci, izuzeci, izuzeci, izuzeci …

Network Management

» Odvajanje mrežaša od sistemaša = najveća greška u organizaciji IT-a

» Razdvajanje kritičnih funkcija koje se isprepleću u cijelom IT sustavu:› Authentikacija› Nadzor i upravljanje› Kontrola pristupa› Enkripcija

» Nezainteresiranost izvan svoje specijalizacije

Kontrola pristupa

» Najveća šarolikost rješenja (i ne rješenja)

» Neovisni sustavi i imenici korisnika» Ogroman broj lozinki» Izuzeci, izuzeci, izuzeci

Fizička sigurnost

» Jedan od najvećih problema!» Nevjerojatan broj izuzetaka (primjeri?)» Privid fizičke sigurnosti» Problemi u procesima, edukaciji

zaposlenika

Osnovni problemi – neriješeni?

» Patch Management (Microsoft, a ostalo?)» Asset Management» Lozinke?» Desktop Management?» Fizička sigurnost?» Backup ok, to se radi uglavnom, ali

testiranje oporavka (skoro nikad?)» Edukacija korisnika

Jednostavna tehnološka rješenja

» Fizička sigurnost:› NAP, IPSec

» Autentikacija:› Certifikati

» Desktop problemi:› Jedinstvena konfiguracija› AD Group Policy

» Alati za nadzor i assessment

IT Revizija

» Uloga revizije?» Previše juniora (bez ikakvog IT iskustva)» Audit Charter? Ako i postoji, samo

formalno» Prekratko kod klijenta» Interna revizija - premalo znanja za

reviziju IT-a, uglavnom fokus samo na elemente IT-a, npr. rad aplikacija

Zaključak

» Promjena IT kulture je dugotrajan proces

» IT brza tehnološka rješenja- rješenje nekih kritičnih sigurnosnih rizika - potrebno samo malo znanja i volje

» Mrkva i batina za IT (za kritične rizike)» Odnos ulaganja u velike sigurnosne

projekte i mala tehnološka rješenja

Pitanja?

» Kontakt: stibra@it.hr» Blog: http://blog.it.hr