3. Didzis Balodis
• DPA IT drošības virziena vadītājs
• Vairāk kā 10 gadi IT industrijā (sākot no 1999.g)
• Administrēšana, izstrāde, drošība
• Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās
testi (veikti vairāk kā 50 auditi)
• Hobijs - bezvadu tīklu drošība
• Sertifikāti:
• CISSP- Certified Information System Security Professional
• GPEN – GIAC Certified Penetration Tester
6. IT drošība – mērķis ir ikviens
Drošības nodrošināšanā iesaistīti ir visi uzņēmuma darbinieki.
Kāpēc?
Darbiniekiem ir pieejama informācija:
Grāmatvedim – finanšu informācija
Personāla daļā – personu dati
Juristam – līgumi, iepirkumi utt.
IT darbiniekam - serveru paroles, konfigurācija utt.
Jebkurš zina - piekļuves paroles, uzņēmuma procedūras utml.
Darbinieks var tikt izmantots kā viens no ķēdes posmiem veicot
uzbrukumu
14. Kopsavilkums
Ikviens var tikt pakļauts sociālās inženierijas
uzbrukumam
Būtiski ir to apzināties un būt sagatavotam
Katram darbiniekam būtu :
Jāmāk identificēt uzbrukumu mēģinājumus
Adekvāti reaģēt
Eskalēt atbildīgajām personām (piem., IT drošības pārvaldniekam)
16. Lietotāju mācību programma
Ikviens ir mērķis
Sociālā inženierija
Droša e-pasta lietošana
Interneta pārlūkošana
Sociālo tīklu izmantošana
Mobilo ierīču drošība
Paroles
Datu un informācijas aizsardzība
Bezvadu tīklu droša lietošana
Darbs no mājām vai ceļā
Iekšējie draudi
Fiziskās drošības aspekti
Datora drošība mājās
Drošības incidents
Mūsu piedāvājums drošības
apmācībai:
• Grupā ne vairāk kā 25 cilvēki
• Mācību ilgums 2 – 3 h
Pakalpojumā:
1. Sagatavošanās intervija ar IT
vai uzņēmuma vadītāju
2. Lietotāju mācības
3. Mācību materiāli katram
mācību dalībniekam
Cena:
300.- LVL par pirmo grupu,
2. – 5. grupa 150.- LVL,
Soc. inženierija sākot no 500.- LVL
17. DPA piedāvājums
IT auditi un ielaušanās testēšana:
Atbilstības auditi LR normatīviem un labākās prakses
standartiem
Ievainojamību skanēšana
Tīkla ielaušanās testi
Bezvadu tīklu auditi
Web aplikāciju drošības testēšana
Sociālās inženierijas testēšana
Darbinieku IT drošības apmācība
Pieminēt ka klientu vidū ir lielākas bankas, lielākie valstij piederošie uzņēmumi, ministrijas, pašvaldības gan lv gan arī citās valstīs
Ko mēs no šī visa varam mācītiesIkviens ir mērķisSvarīgākais ir izglītošana un lietotāju apmācība, kas ir uzņēmuma vadības un it drošības pārvaldības uzdevumsLai iletotāju spētu idenitficēt šos socmēginājumus un spētu uz tiem adevkāti reaģēt.
Šī ir mūsu unikalitāteUz cilvēkiem bieži vien iedarbijas ka atnāk un par šīm lietām runā kāds no malasJa paši ir cietuši tad tas liekas daudz reālākDaudz praktisku piemēruDaudz par privāto dzīvi
Mūsu drošības apmācību programma ir izstrādāta ar mērķi izglītīot darbiniekus IT drošības jomā un populārzinātniski izskaidrot būtiskākos IT drošības pamatprincipus un aspektus.Mācību saturs ir redzams slaidā, <>Šim pakalpojumam mēs esam arī noteikuši standarta piedāvājumu, kas ietver gan sagatavošanos apmācībām, pašas apmācības kā arī mācību materiālus, pārējās detaļas ir redzamas uz ekrāna.Ikviens ir Mērķis –jebkurš no uzņēmuma vai iestādes darbiniekiem var kļūt par hakeru uzbrukuma upuri. Kādēļ tas tā ir? Sociālā inženierija –izplatītākās metodes, kā uzbrucēji mēdz mānīt cilvēkus - vairāku reālās dzīves piemēru demonstrējums.Droša e-pasta lietošana. E-pasta uzbrukuma veidi, piemēram, pikšķerēšana (phishing) un dažādi mēstuļu (spam) veidi. Droša e-pasta lietošana un potenciāli bīstamu e-pasta sūtījumu identificēšana.Interneta pārlūkošana. Potenciālie uzbrukuma vektori, izmantojot interneta pārlūkprogrammu. SSL un tā lietošana. Ieteicamie pārlūkprogrammu uzstādījumi. Sociālo tīklu izmantošana. Līdz ar sociālo tīklu strauju izplatību, aizvien vairāk cilvēku tajos publicē savu privāto un, nereti arī darba informāciju, ko var izmantot ļaunprātīgas personas, lai piekļūtu gan uzņēmuma, gan privātajiem datoriem.Mobilo ierīču drošība. Mobilās ierīces pēdējā laikā ir kļuvušas par neatņemamu dzīves sastāvdaļu, un tajās nereti tiek glabāta gan privāta, gan uzņēmuma informācija. Viedi, lai informācijas glabāšanu mobilajās ierīcēs padarītu drošāku. Ko drīkst un ko nedrīkst vai nav ieteicams glabāt mobilajā ierīcē. Portatīvo datoru cieto disku šifrēšana. Droša USB ierīču izmantošana.Paroles. Droša paroļu lietošana. Demonstrācijas un piemēri kā paroli nevajag veidot un glabāt, drošas paroles izveidošanas iespējas. Kā droši glabāt vairākas paroles. Riski, kas rodas, ja izmanto publisku datoru.Datu un informācijas aizsardzība. Publiska un aizsargājama informācija uzņēmumā. Informācijas klasifikācijas līmeņi un atbilstošā aizsardzība. Pareiza elektronika un papīra formāta informācijas izmantošana.Bezvadu tīklu droša lietošana. Bezvadu tīkla izmantošanas riski, gan uzņēmumā, gan mājās. Bezvadu tīkla konfigurācija mājās. Brīvo bezvadu pieejas punktu izmantošanas riski.Darbs no mājām vai ceļā. Kas jāņem vērā, lai droši strādātu ar darba dokumentiem mājās, ceļojuma vai komandējuma laikā. Iekšējie draudi. Iekšējie draudi ir pašas organizācijas darbinieki, līgumstrādnieki, ārējie sadarbības partneri, kas izmanto organizācijas sniegto uzticību, lai mēģinātu piekļūt sensitīvai informācijai un ierobežotiem resursiem. Šajā sadaļā tiek sniegta informācija, kā šādu rīcību identificēt, kāpēc tas ir bīstami un kam par to ziņot.Fiziskās drošības aspekti. Piemēri, kā ļaunprātīgas personas var mēģināt iegūt pieeju uzņēmuma vai organizācijas telpām. Kādas vietas ir potenciālie uzbrukuma mērķi. Kādēļ vienmēr viesi ir jāpavada no/ līdz izejai, kādēļ ir jālieto ID kartes.Datora drošība mājās. Minimums, kas katram būtu jādara, lai nodrošinātu sava personālā datora drošību mājās. Ielāpu likšana un programmatūras atjauninājumi, ugunsmūris, antivīrusa programmatūra, rezerves kopēšana. Drošs mājas bezvadu tīkls.Drošības incidents. Kā identificēt, to ka datorā tomēr ir iekļuvis hakeris vīruss vai ļaunprātīga programmatūra. Kādas ir pazīmes? Kā rīkoties, kam ziņot?
DPA vēl aizvien piedāvājam dažādus ar IT drošību saistītus pakalpojumus, tādus kā procesu un atbilstības auditiIelaušanās testēšanaWeb aplikāciju drošības testus, sociālās inženierijas uzbrukumusKā arī protams audita laikā konstatēto trūkumu novēršanuun drošības apmācību