SlideShare une entreprise Scribd logo

כנס אבטחת מידע מוטו תקשורת V2

Télécharger en tant que PPTX, PDF
Shahar Geiger Maor
Shahar Geiger Maor

הרצאה מתוך כנס אבטחת מידע של היריחון סטאטוס 18.11.2010

1  sur  40
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 1 Shahar Geiger Maor, CISSP Senior Analyst at STKI shahar@stki.info www.shaharmaor.blogspot.com 18.11.2010
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 2 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 3 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 4 Information Security: Israeli Market Size (M$) 2009 changes 2010 changes 2011 changes 2012 Security Software 85.0 23.53% 105.0 4.76% 110.0 9.09% 120.0 GRC & BCP 50.0 50.00% 75.0 9.33% 82.0 9.76% 90.0 Security VAS 85.0 11.76% 95.0 8.42% 103.0 6.80% 110.0 totals 25.00% 7.27% 8.47%220.0 275.0 295.0 320.0
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 5 Information Security Spendings 1. Usually very “dynamic” 2. Crisis/regulation driven instead of policy driven 3. Part of budget may be embedded within other IT units projects Approximately 5% of IT budget* * Including manpower
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 6 Security Staffing Ratios Organization Type Ratios of Security Personnel (Israel) Average Public Sector 0.15% of Total Users “Sensitive” Public Sector 0.5% of Total Users
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 7 Information Security “Threatscape”
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 8 The Web is Dead! http://www.wired.com/magazine/2010/08/ff_webrip/
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 9 Is Technology Good or Bad?
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 10 Israel: a Security Empire
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 11 Real Empire!! Source: http://search.dainfo.com/israel_hitech/Template1/Pages/StartSearchPage.aspx
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 12 Local Security Vendors and CISO’s Decision Making CISO is usually considering technology, local support and price Is a local solution available? Most chance it will be among last three bidders
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 13 What’s on the CISO’s Agenda? (STKI Index 2010) EPS/mobile 14% Market/Trends 13% Access/Authenti cation 12% Network Sec 12% GW 10% DCS 9% DB/DC SEC 9% Vendor/Product 8% Regulations 7% SIEM/SOC 3% Miscellaneous 2% Encryption 1%
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 14 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 15 Cloud Security Source: http://csrc.nist.gov/groups/SNS/cloud-computing/
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 16 Is Cloud Security Important?? http://www.thepeople.co.il/Index.asp?CategoryID=82&ArticleID=1281
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 17 How Does Cloud Computing Affect the “Security Triad”? Confidentiality IntegrityAvailability
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 18 Cloud Risk Assessment Probability Impact LOSS OF GOVERNANCE COMPLIANCE CHALLENGES RISK FROM CHANGES OF JURISDICTION ISOLATION FAILURE CLOUD PROVIDER MALICIOUS INSIDER - ABUSE OF HIGH PRIVILEGE ROLES MANAGEMENT INTERFACE COMPROMISE (MANIPULATION, AVAILABILITY OF INFRASTRUCTURE) INSECURE OR INEFFECTIVE DELETION OF DATA NETWORK MANAGEMENT http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 19 Cloud Security: What’s Missing? Standards & Regulations
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 20 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 21 Data-Centric Security DCS DLP IRM Endpoint Security Encryption monitoring
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 22 Incidents by Vector (2009) http://datalossdb.org/statistics
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 23 The Relative Seriousness of IT Security Threats Source: Computer Economics
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 24 DLP Scenario in Israel No Data Classification Poor Security Policy Project is a failure
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 25 What Should be Done in Order to Succeed? Look for your assets! Classify and label! Discover and protect confidential data wherever it is stored or used Monitor all data usage Automate policy enforcement Safeguard employee privacy
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 26 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 27 Y 2010 - Going Mobile!
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 28
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 29 Real Mobility is Coming to the Enterprise
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 30 Mobile Security: What worries CISOs? Internal users: No central management How to protect corporate data on device? Device’s welfare ??? External users: Sensitive traffic interception Masquerading Identity theft
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 31 Mobile Security: What Do CISOs want? 1. Manage SMDs as if they were another endpoint 2. Protecting business information on your device 3. Multi-platform support
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 32 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 33 Network DSL Router POSServer POSTerminals Requirement 1 Requirement 2 Requirement 3 Requirement 4 Requirement 5 Requirement 6 Requirement 7 Policies Requirement 8 Requirement 9 Requirement 10 Requirement 11 3rd Party Scan Vendor Requirement 12 PINPads PCI-DSS -Challenges
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 34 What is the Incentive? Source: http://datalossdb.org/statistics?timeframe=all_time (2000-2010) •Data loss incidents2,754 • Credit-card related data loss396 (35%) • How?Hack (48%) • CCN compromised297,704,392 • …CCNsIncident751,779 • Actual $$$ loss…?
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 35 Israeli PCI: Market Status (May 2010) PCI “Newborns” Gap Analysis PCI work plan (Prioritized Approach?) 1-4 Milestones 4+ Milestones Financial Sector TelcoServices Sector RetailWhole saleManu’ Sector Healthcare Sector PCI Compliance
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 36 PCI Challenges: The “New trend Syndrome”
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 37 PCI Challenges: Customer Experience System heterogeneity –Sensitive data is scattered around in all sorts of formats Main-Frame and other legacy systems –how is it possible to protect sensitive data without changing the source code? What happened to risk management??? (PCI vs. SOX)
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 38 PCI Challenges: Customer Experience 2 “My DB does not support PCI” –the “Upgrade vs. pay the fine” dilemma “Index token is cheaper than other alternatives” –True or false? Inadequate knowledge of the QSAs? Who audit the auditors? should be answered by the PCI Council
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 39 PCI Challenges -The PCI paradox PCI compliance 1 security patch is missing A data loss incident occurs… An investigation starts Remember that security patch?
Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 40 Visit my Blog: shaharmaor.blogspot.com

Recommandé

Security in the Hybrid Cloud Now and in 2016
Security in the Hybrid Cloud Now and in 2016 Security in the Hybrid Cloud Now and in 2016
Security in the Hybrid Cloud Now and in 2016 IDG Connect
 
FICCI-talk
FICCI-talkFICCI-talk
FICCI-talkSandeep Shukla
 
Vanson Bourne Data Summary: Shadow IT - IT Decision-Makers
Vanson Bourne Data Summary: Shadow IT - IT Decision-MakersVanson Bourne Data Summary: Shadow IT - IT Decision-Makers
Vanson Bourne Data Summary: Shadow IT - IT Decision-MakersVanson Bourne
 
LinkedIn - Creating a Cloud Security Policy
LinkedIn - Creating a Cloud Security PolicyLinkedIn - Creating a Cloud Security Policy
LinkedIn - Creating a Cloud Security PolicyChris Niggel
 
Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...
Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...
Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...Data Con LA
 
Iot cyber security
Iot cyber securityIot cyber security
Iot cyber securitysajid mehmood
 
Internet of Things Security: IBM HorizonWatch 2016 Trend Brief
Internet of Things Security: IBM HorizonWatch 2016 Trend BriefInternet of Things Security: IBM HorizonWatch 2016 Trend Brief
Internet of Things Security: IBM HorizonWatch 2016 Trend BriefBill Chamberlin
 
Silicon Valley top 20
Silicon Valley top 20Silicon Valley top 20
Silicon Valley top 20802 Secure, Inc
 

Recommandé

Security in the Hybrid Cloud Now and in 2016
Security in the Hybrid Cloud Now and in 2016 Security in the Hybrid Cloud Now and in 2016
Security in the Hybrid Cloud Now and in 2016 IDG Connect
 
FICCI-talk
FICCI-talkFICCI-talk
FICCI-talkSandeep Shukla
 
Vanson Bourne Data Summary: Shadow IT - IT Decision-Makers
Vanson Bourne Data Summary: Shadow IT - IT Decision-MakersVanson Bourne Data Summary: Shadow IT - IT Decision-Makers
Vanson Bourne Data Summary: Shadow IT - IT Decision-MakersVanson Bourne
 
LinkedIn - Creating a Cloud Security Policy
LinkedIn - Creating a Cloud Security PolicyLinkedIn - Creating a Cloud Security Policy
LinkedIn - Creating a Cloud Security PolicyChris Niggel
 
Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...
Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...
Data Con LA 2019 - So You got Hacked, how Quickly Can your Company Recover? b...Data Con LA
 
Iot cyber security
Iot cyber securityIot cyber security
Iot cyber securitysajid mehmood
 
Internet of Things Security: IBM HorizonWatch 2016 Trend Brief
Internet of Things Security: IBM HorizonWatch 2016 Trend BriefInternet of Things Security: IBM HorizonWatch 2016 Trend Brief
Internet of Things Security: IBM HorizonWatch 2016 Trend BriefBill Chamberlin
 
Silicon Valley top 20
Silicon Valley top 20Silicon Valley top 20
Silicon Valley top 20802 Secure, Inc
 
Advance security in cloud computing for military weapons
Advance security in cloud computing for military weaponsAdvance security in cloud computing for military weapons
Advance security in cloud computing for military weaponsIRJET Journal
 
The State Of Information and Cyber Security in 2016
The State Of Information and Cyber Security in 2016The State Of Information and Cyber Security in 2016
The State Of Information and Cyber Security in 2016Shannon G., MBA
 
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend Micro
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend MicroRoadmap of Cyber-security from On-Prem to Cloud Journey - Trend Micro
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend MicroPrime Infoserv
 
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...Ulf Mattsson
 
Ethical Hacking As A Career
Ethical Hacking As A CareerEthical Hacking As A Career
Ethical Hacking As A CareerSrashti Jain
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?Anchises Moraes
 
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...CODE BLUE
 
Vanson Bourne Data Summary: Shadow IT - BDMs
Vanson Bourne Data Summary: Shadow IT - BDMsVanson Bourne Data Summary: Shadow IT - BDMs
Vanson Bourne Data Summary: Shadow IT - BDMsVanson Bourne
 
Stki summit2013 infra_pini sigaltechnologies_v5 final
Stki summit2013 infra_pini sigaltechnologies_v5 finalStki summit2013 infra_pini sigaltechnologies_v5 final
Stki summit2013 infra_pini sigaltechnologies_v5 finalAriel Evans
 
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...Data Con LA
 
Presentation cisco iron port web usage controls
Presentation cisco iron port web usage controlsPresentation cisco iron port web usage controls
Presentation cisco iron port web usage controlsxKinAnx
 
Round Tables: Summary
Round Tables: SummaryRound Tables: Summary
Round Tables: SummaryShahar Geiger Maor
 
Si end of unit (2010)
Si end of unit (2010)Si end of unit (2010)
Si end of unit (2010)Miss Hart
 
IPv6
IPv6IPv6
IPv6Shahar Geiger Maor
 
JapáN Furcsasgok
JapáN FurcsasgokJapáN Furcsasgok
JapáN Furcsasgokcmenav
 
Stki Summit 2010 Infra Services V8
Stki Summit 2010 Infra Services V8Stki Summit 2010 Infra Services V8
Stki Summit 2010 Infra Services V8Shahar Geiger Maor
 
Info Sec C T O Forum Nov 2009 V1
Info Sec C T O Forum Nov 2009 V1Info Sec C T O Forum Nov 2009 V1
Info Sec C T O Forum Nov 2009 V1Shahar Geiger Maor
 
Eu task (answers) 2010
Eu task (answers) 2010Eu task (answers) 2010
Eu task (answers) 2010Miss Hart
 
Synoptic cases 2010 11
Synoptic cases 2010 11Synoptic cases 2010 11
Synoptic cases 2010 11Miss Hart
 
Green IT Trends in Israel July 2008
Green IT Trends in Israel July 2008Green IT Trends in Israel July 2008
Green IT Trends in Israel July 2008Shahar Geiger Maor
 
מה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייברמה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייברOphir Zilbiger
 
אבטחת מידע וסייבר
אבטחת מידע וסייבראבטחת מידע וסייבר
אבטחת מידע וסייברboris.kogan
 

Contenu connexe

Tendances

Advance security in cloud computing for military weapons
Advance security in cloud computing for military weaponsAdvance security in cloud computing for military weapons
Advance security in cloud computing for military weaponsIRJET Journal
 
The State Of Information and Cyber Security in 2016
The State Of Information and Cyber Security in 2016The State Of Information and Cyber Security in 2016
The State Of Information and Cyber Security in 2016Shannon G., MBA
 
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend Micro
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend MicroRoadmap of Cyber-security from On-Prem to Cloud Journey - Trend Micro
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend MicroPrime Infoserv
 
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...Ulf Mattsson
 
Ethical Hacking As A Career
Ethical Hacking As A CareerEthical Hacking As A Career
Ethical Hacking As A CareerSrashti Jain
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?Anchises Moraes
 
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...CODE BLUE
 
Vanson Bourne Data Summary: Shadow IT - BDMs
Vanson Bourne Data Summary: Shadow IT - BDMsVanson Bourne Data Summary: Shadow IT - BDMs
Vanson Bourne Data Summary: Shadow IT - BDMsVanson Bourne
 
Stki summit2013 infra_pini sigaltechnologies_v5 final
Stki summit2013 infra_pini sigaltechnologies_v5 finalStki summit2013 infra_pini sigaltechnologies_v5 final
Stki summit2013 infra_pini sigaltechnologies_v5 finalAriel Evans
 
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...Data Con LA
 
Presentation cisco iron port web usage controls
Presentation cisco iron port web usage controlsPresentation cisco iron port web usage controls
Presentation cisco iron port web usage controlsxKinAnx
 

Tendances (11)

Advance security in cloud computing for military weapons
Advance security in cloud computing for military weaponsAdvance security in cloud computing for military weapons
Advance security in cloud computing for military weapons
 
The State Of Information and Cyber Security in 2016
The State Of Information and Cyber Security in 2016The State Of Information and Cyber Security in 2016
The State Of Information and Cyber Security in 2016
 
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend Micro
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend MicroRoadmap of Cyber-security from On-Prem to Cloud Journey - Trend Micro
Roadmap of Cyber-security from On-Prem to Cloud Journey - Trend Micro
 
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...
Securing fintech - threats, challenges, best practices, ffiec, nist, and beyo...
 
Ethical Hacking As A Career
Ethical Hacking As A CareerEthical Hacking As A Career
Ethical Hacking As A Career
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?
 
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...
[CB16] Security in the IoT World: Analyzing the Security of Mobile Apps for A...
 
Vanson Bourne Data Summary: Shadow IT - BDMs
Vanson Bourne Data Summary: Shadow IT - BDMsVanson Bourne Data Summary: Shadow IT - BDMs
Vanson Bourne Data Summary: Shadow IT - BDMs
 
Stki summit2013 infra_pini sigaltechnologies_v5 final
Stki summit2013 infra_pini sigaltechnologies_v5 finalStki summit2013 infra_pini sigaltechnologies_v5 final
Stki summit2013 infra_pini sigaltechnologies_v5 final
 
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...
Data Con LA 2019 - Securing IoT Data with Pervasive Encryption by Eysha Shirr...
 
Presentation cisco iron port web usage controls
Presentation cisco iron port web usage controlsPresentation cisco iron port web usage controls
Presentation cisco iron port web usage controls
 

En vedette

Si end of unit (2010)
Si end of unit (2010)Si end of unit (2010)
Si end of unit (2010)Miss Hart
 
JapáN Furcsasgok
JapáN FurcsasgokJapáN Furcsasgok
JapáN Furcsasgokcmenav
 
Stki Summit 2010 Infra Services V8
Stki Summit 2010 Infra Services V8Stki Summit 2010 Infra Services V8
Stki Summit 2010 Infra Services V8Shahar Geiger Maor
 
Info Sec C T O Forum Nov 2009 V1
Info Sec C T O Forum Nov 2009 V1Info Sec C T O Forum Nov 2009 V1
Info Sec C T O Forum Nov 2009 V1Shahar Geiger Maor
 
Eu task (answers) 2010
Eu task (answers) 2010Eu task (answers) 2010
Eu task (answers) 2010Miss Hart
 
Synoptic cases 2010 11
Synoptic cases 2010 11Synoptic cases 2010 11
Synoptic cases 2010 11Miss Hart
 
Green IT Trends in Israel July 2008
Green IT Trends in Israel July 2008Green IT Trends in Israel July 2008
Green IT Trends in Israel July 2008Shahar Geiger Maor
 
מה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייברמה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייברOphir Zilbiger
 
אבטחת מידע וסייבר
אבטחת מידע וסייבראבטחת מידע וסייבר
אבטחת מידע וסייברboris.kogan
 
Cyber bullying אלימות ברשת - ענב גנד גלילי
Cyber bullying אלימות ברשת - ענב גנד גלילי Cyber bullying אלימות ברשת - ענב גנד גלילי
Cyber bullying אלימות ברשת - ענב גנד גלילי greatest123
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting PersonalKirsty Hulse
 

En vedette (15)

Round Tables: Summary
Round Tables: SummaryRound Tables: Summary
Round Tables: Summary
 
Si end of unit (2010)
Si end of unit (2010)Si end of unit (2010)
Si end of unit (2010)
 
IPv6
IPv6IPv6
IPv6
 
JapáN Furcsasgok
JapáN FurcsasgokJapáN Furcsasgok
JapáN Furcsasgok
 
Stki Summit 2010 Infra Services V8
Stki Summit 2010 Infra Services V8Stki Summit 2010 Infra Services V8
Stki Summit 2010 Infra Services V8
 
Info Sec C T O Forum Nov 2009 V1
Info Sec C T O Forum Nov 2009 V1Info Sec C T O Forum Nov 2009 V1
Info Sec C T O Forum Nov 2009 V1
 
Eu task (answers) 2010
Eu task (answers) 2010Eu task (answers) 2010
Eu task (answers) 2010
 
Synoptic cases 2010 11
Synoptic cases 2010 11Synoptic cases 2010 11
Synoptic cases 2010 11
 
Green IT Trends in Israel July 2008
Green IT Trends in Israel July 2008Green IT Trends in Israel July 2008
Green IT Trends in Israel July 2008
 
מה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייברמה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייבר
 
אבטחת מידע וסייבר
אבטחת מידע וסייבראבטחת מידע וסייבר
אבטחת מידע וסייבר
 
Cyber bullying אלימות ברשת - ענב גנד גלילי
Cyber bullying אלימות ברשת - ענב גנד גלילי Cyber bullying אלימות ברשת - ענב גנד גלילי
Cyber bullying אלימות ברשת - ענב גנד גלילי
 
אבטחת מידע לעובדים בארגון
אבטחת מידע לעובדים בארגוןאבטחת מידע לעובדים בארגון
אבטחת מידע לעובדים בארגון
 
Cyber warfare
Cyber warfareCyber warfare
Cyber warfare
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting Personal
 

Similaire à כנס אבטחת מידע מוטו תקשורת V2

297727851 getting-to-the-cloud-event-2015
297727851 getting-to-the-cloud-event-2015297727851 getting-to-the-cloud-event-2015
297727851 getting-to-the-cloud-event-2015Inbalraanan
 
Top 5 predictions webinar
Top 5 predictions webinarTop 5 predictions webinar
Top 5 predictions webinarZscaler
 
Internet of Things - A Different Kind of Scary v2
Internet of Things - A Different Kind of Scary v2Internet of Things - A Different Kind of Scary v2
Internet of Things - A Different Kind of Scary v2FitCEO, Inc. (FCI)
 
Cyber security 2013
Cyber security 2013 Cyber security 2013
Cyber security 2013 Ariel Evans
 
STKI Israeli Market Study 2023 version 2
STKI Israeli Market Study 2023 version 2 STKI Israeli Market Study 2023 version 2
STKI Israeli Market Study 2023 version 2 Dr. Jimmy Schwarzkopf
 
Internet & iot security
Internet & iot securityInternet & iot security
Internet & iot securityUsman Anjum
 
TrendMicro: 從雲到端,打造安全的物聯網
TrendMicro: 從雲到端,打造安全的物聯網TrendMicro: 從雲到端,打造安全的物聯網
TrendMicro: 從雲到端,打造安全的物聯網Amazon Web Services
 
Sacon 2020 living in the world of zero trust v1.0
Sacon 2020 living in the world of zero trust v1.0Sacon 2020 living in the world of zero trust v1.0
Sacon 2020 living in the world of zero trust v1.0Vandana Verma
 
Agile at the Intersection of Mobile, Cloud, and the Internet of Things
Agile at the Intersection of Mobile, Cloud, and the Internet of ThingsAgile at the Intersection of Mobile, Cloud, and the Internet of Things
Agile at the Intersection of Mobile, Cloud, and the Internet of ThingsTechWell
 
Data, Technology, and Innovation: Platform for Change
Data, Technology, and Innovation: Platform for ChangeData, Technology, and Innovation: Platform for Change
Data, Technology, and Innovation: Platform for ChangeCisco Canada
 
An Identity Crisis at the Center of Every IoT Product
An Identity Crisis at the Center of Every IoT ProductAn Identity Crisis at the Center of Every IoT Product
An Identity Crisis at the Center of Every IoT ProductSalesforce Developers
 
Role of Forensic Triage In Cyber Security Trends 2021
Role of Forensic Triage In Cyber Security Trends 2021Role of Forensic Triage In Cyber Security Trends 2021
Role of Forensic Triage In Cyber Security Trends 2021Amrit Chhetri
 
What I learned from RSAC 2019
What I learned from RSAC 2019What I learned from RSAC 2019
What I learned from RSAC 2019Ulf Mattsson
 
Rethinking the Enterprise Perimeter | SnowFROC Presentation
Rethinking the Enterprise Perimeter | SnowFROC PresentationRethinking the Enterprise Perimeter | SnowFROC Presentation
Rethinking the Enterprise Perimeter | SnowFROC PresentationIronCore Labs
 
The cyber house of horrors - securing the expanding attack surface
The cyber house of horrors - securing the expanding attack surfaceThe cyber house of horrors - securing the expanding attack surface
The cyber house of horrors - securing the expanding attack surfaceJason Bloomberg
 
Where Data Security and Value of Data Meet in the Cloud
Where Data Security and Value of Data Meet in the CloudWhere Data Security and Value of Data Meet in the Cloud
Where Data Security and Value of Data Meet in the CloudUlf Mattsson
 

Similaire à כנס אבטחת מידע מוטו תקשורת V2 (20)

297727851 getting-to-the-cloud-event-2015
297727851 getting-to-the-cloud-event-2015297727851 getting-to-the-cloud-event-2015
297727851 getting-to-the-cloud-event-2015
 
DLP Trends -Dec 2010
DLP Trends -Dec 2010DLP Trends -Dec 2010
DLP Trends -Dec 2010
 
Top 5 predictions webinar
Top 5 predictions webinarTop 5 predictions webinar
Top 5 predictions webinar
 
Internet of Things - A Different Kind of Scary v2
Internet of Things - A Different Kind of Scary v2Internet of Things - A Different Kind of Scary v2
Internet of Things - A Different Kind of Scary v2
 
Cyber security 2013
Cyber security 2013 Cyber security 2013
Cyber security 2013
 
STKI Israeli Market Study 2023 version 2
STKI Israeli Market Study 2023 version 2 STKI Israeli Market Study 2023 version 2
STKI Israeli Market Study 2023 version 2
 
STKI Israeli Market Study 2023
STKI Israeli Market Study 2023 STKI Israeli Market Study 2023
STKI Israeli Market Study 2023
 
Internet & iot security
Internet & iot securityInternet & iot security
Internet & iot security
 
TrendMicro: 從雲到端,打造安全的物聯網
TrendMicro: 從雲到端,打造安全的物聯網TrendMicro: 從雲到端,打造安全的物聯網
TrendMicro: 從雲到端,打造安全的物聯網
 
CA_Module_1.pdf
CA_Module_1.pdfCA_Module_1.pdf
CA_Module_1.pdf
 
Sacon 2020 living in the world of zero trust v1.0
Sacon 2020 living in the world of zero trust v1.0Sacon 2020 living in the world of zero trust v1.0
Sacon 2020 living in the world of zero trust v1.0
 
Agile at the Intersection of Mobile, Cloud, and the Internet of Things
Agile at the Intersection of Mobile, Cloud, and the Internet of ThingsAgile at the Intersection of Mobile, Cloud, and the Internet of Things
Agile at the Intersection of Mobile, Cloud, and the Internet of Things
 
Security Summit July 2009
Security Summit July 2009Security Summit July 2009
Security Summit July 2009
 
Data, Technology, and Innovation: Platform for Change
Data, Technology, and Innovation: Platform for ChangeData, Technology, and Innovation: Platform for Change
Data, Technology, and Innovation: Platform for Change
 
An Identity Crisis at the Center of Every IoT Product
An Identity Crisis at the Center of Every IoT ProductAn Identity Crisis at the Center of Every IoT Product
An Identity Crisis at the Center of Every IoT Product
 
Role of Forensic Triage In Cyber Security Trends 2021
Role of Forensic Triage In Cyber Security Trends 2021Role of Forensic Triage In Cyber Security Trends 2021
Role of Forensic Triage In Cyber Security Trends 2021
 
What I learned from RSAC 2019
What I learned from RSAC 2019What I learned from RSAC 2019
What I learned from RSAC 2019
 
Rethinking the Enterprise Perimeter | SnowFROC Presentation
Rethinking the Enterprise Perimeter | SnowFROC PresentationRethinking the Enterprise Perimeter | SnowFROC Presentation
Rethinking the Enterprise Perimeter | SnowFROC Presentation
 
The cyber house of horrors - securing the expanding attack surface
The cyber house of horrors - securing the expanding attack surfaceThe cyber house of horrors - securing the expanding attack surface
The cyber house of horrors - securing the expanding attack surface
 
Where Data Security and Value of Data Meet in the Cloud
Where Data Security and Value of Data Meet in the CloudWhere Data Security and Value of Data Meet in the Cloud
Where Data Security and Value of Data Meet in the Cloud
 

Plus de Shahar Geiger Maor

Cyber economics v2 -Measuring the true cost of Cybercrime
Cyber economics v2 -Measuring the true cost of CybercrimeCyber economics v2 -Measuring the true cost of Cybercrime
Cyber economics v2 -Measuring the true cost of CybercrimeShahar Geiger Maor
 
Networking stki summit 2012 -shahar geiger maor
Networking stki summit 2012 -shahar geiger maorNetworking stki summit 2012 -shahar geiger maor
Networking stki summit 2012 -shahar geiger maorShahar Geiger Maor
 
Information security stki summit 2012-shahar geiger maor
Information security stki summit 2012-shahar geiger maorInformation security stki summit 2012-shahar geiger maor
Information security stki summit 2012-shahar geiger maorShahar Geiger Maor
 
Endpoints stki summit 2012-shahar geiger maor
Endpoints stki summit 2012-shahar geiger maorEndpoints stki summit 2012-shahar geiger maor
Endpoints stki summit 2012-shahar geiger maorShahar Geiger Maor
 
Risk, regulation and data protection
Risk, regulation and data protectionRisk, regulation and data protection
Risk, regulation and data protectionShahar Geiger Maor
 
STKI Mobile brainstorming -MDM Panel
STKI Mobile brainstorming -MDM PanelSTKI Mobile brainstorming -MDM Panel
STKI Mobile brainstorming -MDM PanelShahar Geiger Maor
 
Cloud Security CISO club -April 2011 v2
Cloud Security CISO club -April 2011 v2Cloud Security CISO club -April 2011 v2
Cloud Security CISO club -April 2011 v2Shahar Geiger Maor
 
Summit 2011 trends in information security
Summit 2011 trends in information securitySummit 2011 trends in information security
Summit 2011 trends in information securityShahar Geiger Maor
 
Summit 2011 trends in infrastructure services
Summit 2011 trends in infrastructure servicesSummit 2011 trends in infrastructure services
Summit 2011 trends in infrastructure servicesShahar Geiger Maor
 
Infrastructure Trends -Jan 2010
Infrastructure Trends -Jan 2010Infrastructure Trends -Jan 2010
Infrastructure Trends -Jan 2010Shahar Geiger Maor
 
STKI Summit 2009 -Infrastructure Services Trends
STKI Summit 2009 -Infrastructure Services TrendsSTKI Summit 2009 -Infrastructure Services Trends
STKI Summit 2009 -Infrastructure Services TrendsShahar Geiger Maor
 
Trends In The Israeli Information Security Market 2008
Trends In The Israeli Information Security Market 2008Trends In The Israeli Information Security Market 2008
Trends In The Israeli Information Security Market 2008Shahar Geiger Maor
 
Trends in the World and Israeli Green Data Centers (2008)
Trends in the World and Israeli Green Data Centers (2008)Trends in the World and Israeli Green Data Centers (2008)
Trends in the World and Israeli Green Data Centers (2008)Shahar Geiger Maor
 
Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008
Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008
Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008Shahar Geiger Maor
 

Plus de Shahar Geiger Maor (20)

Cyber economics v2 -Measuring the true cost of Cybercrime
Cyber economics v2 -Measuring the true cost of CybercrimeCyber economics v2 -Measuring the true cost of Cybercrime
Cyber economics v2 -Measuring the true cost of Cybercrime
 
From creeper to stuxnet
From creeper to stuxnetFrom creeper to stuxnet
From creeper to stuxnet
 
Mobile payment v3
Mobile payment v3Mobile payment v3
Mobile payment v3
 
Networking stki summit 2012 -shahar geiger maor
Networking stki summit 2012 -shahar geiger maorNetworking stki summit 2012 -shahar geiger maor
Networking stki summit 2012 -shahar geiger maor
 
Information security stki summit 2012-shahar geiger maor
Information security stki summit 2012-shahar geiger maorInformation security stki summit 2012-shahar geiger maor
Information security stki summit 2012-shahar geiger maor
 
Endpoints stki summit 2012-shahar geiger maor
Endpoints stki summit 2012-shahar geiger maorEndpoints stki summit 2012-shahar geiger maor
Endpoints stki summit 2012-shahar geiger maor
 
Risk, regulation and data protection
Risk, regulation and data protectionRisk, regulation and data protection
Risk, regulation and data protection
 
STKI Mobile brainstorming -MDM Panel
STKI Mobile brainstorming -MDM PanelSTKI Mobile brainstorming -MDM Panel
STKI Mobile brainstorming -MDM Panel
 
Social Sec infosec -pptx
Social Sec infosec -pptxSocial Sec infosec -pptx
Social Sec infosec -pptx
 
Cloud Security CISO club -April 2011 v2
Cloud Security CISO club -April 2011 v2Cloud Security CISO club -April 2011 v2
Cloud Security CISO club -April 2011 v2
 
Summit 2011 trends in information security
Summit 2011 trends in information securitySummit 2011 trends in information security
Summit 2011 trends in information security
 
Summit 2011 trends in infrastructure services
Summit 2011 trends in infrastructure servicesSummit 2011 trends in infrastructure services
Summit 2011 trends in infrastructure services
 
Cloud security v2
Cloud security v2Cloud security v2
Cloud security v2
 
PCI Challenges
PCI ChallengesPCI Challenges
PCI Challenges
 
Infrastructure Trends -Jan 2010
Infrastructure Trends -Jan 2010Infrastructure Trends -Jan 2010
Infrastructure Trends -Jan 2010
 
Green Security
Green SecurityGreen Security
Green Security
 
STKI Summit 2009 -Infrastructure Services Trends
STKI Summit 2009 -Infrastructure Services TrendsSTKI Summit 2009 -Infrastructure Services Trends
STKI Summit 2009 -Infrastructure Services Trends
 
Trends In The Israeli Information Security Market 2008
Trends In The Israeli Information Security Market 2008Trends In The Israeli Information Security Market 2008
Trends In The Israeli Information Security Market 2008
 
Trends in the World and Israeli Green Data Centers (2008)
Trends in the World and Israeli Green Data Centers (2008)Trends in the World and Israeli Green Data Centers (2008)
Trends in the World and Israeli Green Data Centers (2008)
 
Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008
Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008
Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008
 

כנס אבטחת מידע מוטו תקשורת V2

  • 1. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 1 Shahar Geiger Maor, CISSP Senior Analyst at STKI shahar@stki.info www.shaharmaor.blogspot.com 18.11.2010
  • 2. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 2 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
  • 3. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 3 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
  • 4. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 4 Information Security: Israeli Market Size (M$) 2009 changes 2010 changes 2011 changes 2012 Security Software 85.0 23.53% 105.0 4.76% 110.0 9.09% 120.0 GRC & BCP 50.0 50.00% 75.0 9.33% 82.0 9.76% 90.0 Security VAS 85.0 11.76% 95.0 8.42% 103.0 6.80% 110.0 totals 25.00% 7.27% 8.47%220.0 275.0 295.0 320.0
  • 5. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 5 Information Security Spendings 1. Usually very “dynamic” 2. Crisis/regulation driven instead of policy driven 3. Part of budget may be embedded within other IT units projects Approximately 5% of IT budget* * Including manpower
  • 6. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 6 Security Staffing Ratios Organization Type Ratios of Security Personnel (Israel) Average Public Sector 0.15% of Total Users “Sensitive” Public Sector 0.5% of Total Users
  • 7. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 7 Information Security “Threatscape”
  • 8. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 8 The Web is Dead! http://www.wired.com/magazine/2010/08/ff_webrip/
  • 9. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 9 Is Technology Good or Bad?
  • 10. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 10 Israel: a Security Empire
  • 11. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 11 Real Empire!! Source: http://search.dainfo.com/israel_hitech/Template1/Pages/StartSearchPage.aspx
  • 12. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 12 Local Security Vendors and CISO’s Decision Making CISO is usually considering technology, local support and price Is a local solution available? Most chance it will be among last three bidders
  • 13. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 13 What’s on the CISO’s Agenda? (STKI Index 2010) EPS/mobile 14% Market/Trends 13% Access/Authenti cation 12% Network Sec 12% GW 10% DCS 9% DB/DC SEC 9% Vendor/Product 8% Regulations 7% SIEM/SOC 3% Miscellaneous 2% Encryption 1%
  • 14. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 14 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
  • 15. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 15 Cloud Security Source: http://csrc.nist.gov/groups/SNS/cloud-computing/
  • 16. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 16 Is Cloud Security Important?? http://www.thepeople.co.il/Index.asp?CategoryID=82&ArticleID=1281
  • 17. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 17 How Does Cloud Computing Affect the “Security Triad”? Confidentiality IntegrityAvailability
  • 18. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 18 Cloud Risk Assessment Probability Impact LOSS OF GOVERNANCE COMPLIANCE CHALLENGES RISK FROM CHANGES OF JURISDICTION ISOLATION FAILURE CLOUD PROVIDER MALICIOUS INSIDER - ABUSE OF HIGH PRIVILEGE ROLES MANAGEMENT INTERFACE COMPROMISE (MANIPULATION, AVAILABILITY OF INFRASTRUCTURE) INSECURE OR INEFFECTIVE DELETION OF DATA NETWORK MANAGEMENT http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
  • 19. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 19 Cloud Security: What’s Missing? Standards & Regulations
  • 20. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 20 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
  • 21. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 21 Data-Centric Security DCS DLP IRM Endpoint Security Encryption monitoring
  • 22. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 22 Incidents by Vector (2009) http://datalossdb.org/statistics
  • 23. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 23 The Relative Seriousness of IT Security Threats Source: Computer Economics
  • 24. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 24 DLP Scenario in Israel No Data Classification Poor Security Policy Project is a failure
  • 25. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 25 What Should be Done in Order to Succeed? Look for your assets! Classify and label! Discover and protect confidential data wherever it is stored or used Monitor all data usage Automate policy enforcement Safeguard employee privacy
  • 26. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 26 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
  • 27. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 27 Y 2010 - Going Mobile!
  • 28. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 28
  • 29. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 29 Real Mobility is Coming to the Enterprise
  • 30. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 30 Mobile Security: What worries CISOs? Internal users: No central management How to protect corporate data on device? Device’s welfare ??? External users: Sensitive traffic interception Masquerading Identity theft
  • 31. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 31 Mobile Security: What Do CISOs want? 1. Manage SMDs as if they were another endpoint 2. Protecting business information on your device 3. Multi-platform support
  • 32. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 32 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
  • 33. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 33 Network DSL Router POSServer POSTerminals Requirement 1 Requirement 2 Requirement 3 Requirement 4 Requirement 5 Requirement 6 Requirement 7 Policies Requirement 8 Requirement 9 Requirement 10 Requirement 11 3rd Party Scan Vendor Requirement 12 PINPads PCI-DSS -Challenges
  • 34. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 34 What is the Incentive? Source: http://datalossdb.org/statistics?timeframe=all_time (2000-2010) •Data loss incidents2,754 • Credit-card related data loss396 (35%) • How?Hack (48%) • CCN compromised297,704,392 • …CCNsIncident751,779 • Actual $$$ loss…?
  • 35. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 35 Israeli PCI: Market Status (May 2010) PCI “Newborns” Gap Analysis PCI work plan (Prioritized Approach?) 1-4 Milestones 4+ Milestones Financial Sector TelcoServices Sector RetailWhole saleManu’ Sector Healthcare Sector PCI Compliance
  • 36. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 36 PCI Challenges: The “New trend Syndrome”
  • 37. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 37 PCI Challenges: Customer Experience System heterogeneity –Sensitive data is scattered around in all sorts of formats Main-Frame and other legacy systems –how is it possible to protect sensitive data without changing the source code? What happened to risk management??? (PCI vs. SOX)
  • 38. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 38 PCI Challenges: Customer Experience 2 “My DB does not support PCI” –the “Upgrade vs. pay the fine” dilemma “Index token is cheaper than other alternatives” –True or false? Inadequate knowledge of the QSAs? Who audit the auditors? should be answered by the PCI Council
  • 39. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 39 PCI Challenges -The PCI paradox PCI compliance 1 security patch is missing A data loss incident occurs… An investigation starts Remember that security patch?
  • 40. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 40 Visit my Blog: shaharmaor.blogspot.com

Notes de l'éditeur

  1. חסר: חומרה שקשורה לאבטחת מידע. כלול במקומות אחרים בסקר (מכירות שרתים או מקומות נוספים).
  2. יחס מספר אנשי אבטחה מול כלל העובדים בארגון: מהנתונים שלי עולה כי היחס הזה עומד בממוצע על 0.1% - בארגונים מהתחום העסקי בעלי גישה אבטחתית פחות מחמירה וללא רגולציות מיוחדות בתחום (למשל אמדוקס) ויכול להגיע ל סביבות ה 0.5% בארגונים אזרחיים רגישים יותר (פיננסים, בנקים). מדידת היחס באופן כללי מאוד "חמקמקה": איך תמדוד את העובדים ב SOC, למשל? יש ארגונים שיספרו אותם דווקא בשו"ב. דוגמא אחרת: בחלק מהארגונים מי שמטפל באבטחת מידע מטפל בנושאים אחרים (תקשורת, סיסטם). לא תמיד "סופרים" אותו כאיש אב"מ. כדי להקשות עוד יותר, בחלק מהארגונים אבטחת מידע היא גוף שאינו קשור ל IT (קב"ט, כספים, ביקורת וכו'). מכל מקום, המספרים הללו נאספו ע"י מנהלי התשתיות ומנהלי אבטחת מידע שיודעים להגדיר טוב יחסית מי כוח האדם שלהם.
  3. במשך השנים עלו מאוד רמות התחכום בהתקפות. לעומתם ירדה מאוד רמת התחכום הנדרשת בהפעלת הכלים להובלת התקפות.
  4. הטכנולוגיה של היום –רשתות ,מובייל ועוד-הומצאו בהקשר אופטימי לחיים אבל לא התחשבו בפוטנציאל הנזק שהם גורמים. נאום יובל דיסקין, נאום ראש אמן ידלין על טרור קיברנטי
  5. אבטחת מידע בישראל –מיקרוקוסמוס. המון ידע שמגיע מהצבא ומהמוח היהודי.
  6. GW פתרונות שיושבים בגייט Access/Authentication ניהול זהויות הרשאות הזדהות ועוד EPS/mobile DCS הגנה על המידע וזליגת מידע DB/DC SEC הגנה על משאבי חדרי מחשב מסדי נתונים סביבות וירטואליות ועוד Market/Trends מגמות יחסים מהאחרים עושים ועוד Encryption Miscellaneous SIEM/SOC Network Sec FW IPS וכל מה שברשת גם BB Regulations Vendors/Products מה קורה עם זה ומה עם ההוא מה לגבי המוצר X או אלטרנטיבות
  7. R.2 LOSS OF GOVERNANCE In using cloud infrastructures, the client necessarily cedes control to the CP on a number of issues which may affect security. For example ToUs may prohibit port scans, vulnerability assessment and penetration testing. Moreover, there may be conflicts between customer hardening procedures and the cloud environment (see R 20). On the other hand, SLAs may not offer a commitment to provide such services on the part of the cloud provider, thus leaving a gap in security defenses. Moreover the cloud provider may outsource or sub-contract services to third-parties (unknown providers) which may not offer the same guarantees (such as to provide the service in a lawful way) as issued by the cloud provider. Or the control of the cloud provider changes, so the terms and conditions of their services may also change. The loss of governance and control could have a potentially severe impact on the organization’s strategy and therefore on the capacity to meet its mission and goals. The loss of control and governance could lead to the impossibility of complying with the security requirements, a lack of confidentiality, integrity and availability of data, and a deterioration of performance and quality of service, not to mention the introduction of compliance challenges (see R.3). R.3 COMPLIANCE CHALLENGES Certain organisations migrating to the cloud have made considerable investments in achieving certification either for competitive advantage or to meet industry standards or regulatory requirements (e.g., PCI DSS). This investment may be put at risk by a migration to the cloud:  if the CP cannot provide evidence of their own compliance to the relevant requirements;  if the CP does not permit audit by the CC. In certain cases, it also means that using a public cloud infrastructure implies that certain kinds of compliance cannot be achieved and hence cloud hosted services cannot be used for services that need them. For example, EC2 says customers would be hard-pressed to achieve PCI compliance on their platform. So EC2 hosted services cannot be used to handle credit card transactions. R 22 -RISK FROM CHANGES OF JURISDICTION Customer data may be held in multiple jurisdictions, some of which may be high risk. If data centres are located in high-risk countries, e.g., those. lacking the rule of law and having an unpredictable legal framework and enforcement, autocratic police states, states that do not respect international agreements, etc, sites... s could be raided by local authorities and data or systems subject to enforced disclosure or seizure. Note that we are not implying here that all subpoena law-enforcement measures are unacceptable, merely that some may be so and that some legitimate seizures of hardware (which appear to be rare)may affect more customers than the targets of a law-enforcement action depending on how the data is stored (19), (20). R.9 ISOLATION FAILURE Multi-tenancy and shared resources are two of the defining characteristics of cloud computing environments. Computing capacity, storage, and network are shared between multiple users. This class of risks includes the failure of mechanisms separating storage, memory, routing, and even reputation between different tenants of the shared infrastructure (e.g., so-called guest-hopping attacks, SQL injection attacks exposing multiple customers’ data stored in the same table, and side channel attacks). Note that the likelihood (probability) of this incident scenario depends on the cloud model considered; it is likely to be low for private clouds and higher (medium) in the case of public clouds. The impact can be a loss of valuable or sensitive data, reputation damage and service interruption for cloud providers and their clients. R.10 CLOUD PROVIDER MALICIOUS INSIDER - ABUSE OF HIGH PRIVILEGE ROLES The malicious activities of an insider could potentially have an impact on: the confidentiality, integrity and availability of all kind of data, IP, all kind of services and therefore indirectly on the organization’s reputation, customer trust and the experiences of employees. This can be considered especially important in the case of cloud computing due to the fact that cloud architectures necessitate certain roles which are extremely high-risk. Examples of such roles include CP system administrators and auditors and managed security service providers dealing with intrusion detection reports and incident response. As cloud use increases, employees of cloud providers increasingly become targets forcriminal gangs (as has been witnessed in the financial services industry with call centre workers (13), (14)). R.11 MANAGEMENT INTERFACE COMPROMISE (MANIPULATION, AVAILABILITY OF INFRASTRUCTURE) The customer management interfaces of public cloud providers are Internet accessible and mediate access to larger sets of resources (than traditional hosting providers) and therefore pose an increased risk especially when combined with remote access and web browser vulnerabilities. This includes customer interfaces controlling a number of virtual machines and, most importantly, CP interfaces controlling the operation of the overall cloud system. Of course, this risk may be mitigated by more investment in security by providers. R.14 INSECURE OR INEFFECTIVE DELETION OF DATA Whenever a provider is changed, resources are scaled down, physical hardware is reallocated, etc, data may be available beyond the lifetime specified in the security policy. It may be impossible to carry out the procedures specified by the security policy, since full data deletion is only possible by destroying a disk which also stores data from other clients. When a request to delete a cloud resource is made, this may not result in true wiping of the data (as with most operating systems). Where true data wiping is required, special procedures must be followed and this may not be supported by the standard API (or at all). If effective encryption is used then the level of risk may be considered to be lower. R.26 NETWORK MANAGEMENT (IE, NETWORK CONGESTION / MIS-CONNECTION / NON-OPTIMAL USE) V38. Misconfiguration V39. System or OS vulnerabilities V6. Lack of resource isolation V41. Lack of, or a poor and untested, business continuity and disaster recovery PLAN
  8. מפת ארועי איבוד מידע לפי כיוונים.
  9. מחקר בקרב מנהלי אבטחת מידע בעולם מדרג את איומי אב"מ ע"פ הרצינות שהמנהלים רואים באיומים עצמם. שני האיומים הגדולים והרציניים ביותר מדברים על "עבודה מבפנים" כאיום המרתיע ביותר כיום.
  10. עצם ידוע העובדים על ניטור מוריד את רמת העבירות. ומצמצם את אחוז הלא נורמטיביים...
  11. אמנם דיברנו על תחום המובייל מספר שנים ברציפות, אבל שנת 2010 היא זו שתהיה שנת המובייל. אימוץ כמעט אקפוננציאלי של טלפונים ניידים אפשר להסביר ע"י מספר סיבות. יש לזה סיבות חבתיות, טכנ' וכלכליות
  12. Smart mobile devices (SMD) have become widespread among employees in organizations from all sectors of economy. In contrast to the past, SMDs are not for "executives only" anymore. During the last two years we have witnessed a rise in the demand for SMDs among all levels of employees. Despite resistance on behalf of IT PROFESSIONALS and especially information security professionals, there is a high pressure by senior managers to "synchronize my new IPHONE 4G to email". Today it is common by most organizations to allow synchronization or push mail services. In the next few years we will probably face more and more services, including enterprise applications, being downloaded to SMDs. In a special session that was held by STKI, four different security vendors have demonstrated their solutions to an audience of 56 IT professionals from 30 enterprises in Israel. Among these enterprises 38% of the corporate mobile devices are considered SMDs. Which SMDs brands are most common? Although it is not an official survey, one can get a very good perspective about consumer preferences: according to the respondents ' answers to a questionnaire, most organizations are using, not surprisingly, BlackBerry (61%), Nokia (65%), and iPhone (57%). Android devices are still less common with 9%. Windows-based devices can be found in 13% of organizations. What services? Not many enterprises in Israel can ignore trends: Only 4% of the respondents reported denying any services to SMDs. In 88% of the cases, calendar and mail services are being pushed / synchronized to SMDs. Only 13% of organizations provide additional services that include other enterprise applications. There is no doubt that as the use of SMDs grows, more and more enterprise applications will be downloaded to SMDs. What is holding everyone back? 100% of the respondents to this survey noted that the security solution in place (if there is one) provide partial solution or less. All attendees to the session said that there is NO centralized solution for managing and securing SMDs. So what are the customer needs? Or "what does the customer wants?" In any case, this is a good question. I'm not sure if the clients themselves know what they need or want. It may be because the SMDs market has a very rapid growth rate, much higher than the evolvement of security measures. Maybe. But the main reason, probably, is that the customer doesn't know what are the abilities of the SECURITY solutions in this domain. When asked, customers define three main capabilities to be very important to them: Manage SMDs as if they were another endpoint. One of the limitations in this context is that traditional system management tools still can't "communicate" with SMDs. Another factor is the lack in proper support by some of the vendors to integrate third-party solutions into their OSs. Multi-platform support. Infrastructure managers in most enterprises understand that there's not much to do against the SMD trend, so they look for a solution that can manage as many types of devices as possible. Protecting business information on your device, keep both business and private environments separate. One of the greatest challenges when protecting SMDs is the ability to isolate the business information on each mobile device. To sum up, there are two major approaches to handle (in an enterprise-IT perspective) SMDs: security and management. There is no doubt that both approaches will be unified into one during the next year or so. In order to be prepared, every CISO must be familiar with all vendors and approaches to mobile security. Don’t wait! next iPhone is on its way to your LAN.
  13. 2010 אבטחת מידע על מכשירים ניידים חכמים (סיכום שני מפגשי שולחן עגול בנושא) מכשירים ניידים חכמים (מנ"ח) הופכים במהרה לנפוצים בקרב עובדי ארגונים מכל המגזרים במשק. בניגוד לעבר, מנ"חים הם לא נחלתם של מנהלים בלבד. במהלך השנתיים האחרונות אנו עדים לעליה בדרישה לאישור השימוש במנ"חים וחיבורם למשאבי הארגון. למרות ההתנגדות הטבעית של אנשי ה IT ובמיוחד אנשי אבטחת המידע, גדלים הלחצים מצד עובדים ומנהלים בכירים "לחבר את ה IPHONE החדש שלי לדוא"ל". כיום מקובל לאשר סנכרון או דחיפה של שירותי מייל ויומן בחלק ניכר מהארגונים המובילים בישראל ובשנים הקרובות יורחבו ככל הנראה השירותים הניתנים למנ"ח גם ליישומים ארגוניים נוספים. לשתי ההדגמות, שבהן הוצגו פתרונות של ארבעה יצרנים שונים, הגיעו 56 נציגים מ 30 ארגונים במשק ממגוון מגזרים. בין הארגונים ניתן למצוא 4 ארגונים שיחידת ה IT שלהם משרתת 0-1,000 משתמשים, 12 ארגונים המשרתים 1,000-5,000 משתמשים, 4 ארגונים המשרתים 5,000-10,000 משתמשים ו 4 ארגונים שמשרתים יותר מ 10,000 משתמשים ו 6 ארגונים נוספים שלא מסרו פרטים על מספר המשתמשים בהם. ב 30 ארגונים אלה 38% מהמכשירים הסלולריים הניתנים לעובדים נחשבים למכשירים חכמים . ממצא זה אינו משתנה בצורה יוצאת דופן כפונקציה של גודל הארגון או מספר המשתמשים בו. סוגי המכשירים הנפוצים בקרב הארגונים שהשתתפו במפגש מוכרים לכולם. נכון לזמן קיום המפגש ב 26% מהארגונים המשתתפים לא קיימת מדיניות ברורה לגבי סוגי המכשירים המאושרים בארגון. בארגונים אלה, בעיקר ארגונים מורכבים וגדולים או ארגונים ממגזרים פחות רגישים, מותר השימוש במנ"חים על פי בחירת המשתמש מתוך סל מכשירים מוצעים. אילו מכשירים הם הנפוצים ביותר? אומנם לא מדובר במדגם מייצג מטעם חברות הסלולר, אולם ניתן לקבל תחושה טובה על העדפות הצרכנים בכל הקשור לשימוש במנ"חים בקרב הארגונים שהגיעו למפגשים: על פי תשובות המשיבים לשאלון, ברוב הארגונים נעשה שימוש, לא מפתיע, במכשירי Blackberry, Nokia ו iPhone (57%, 65% ו 61% בהתאמה). מכשירי אנדרואיד עדיין פחות נפוצים והם קיימים אצל 9% מהארגונים. מכשירים מבוססי Windows קיימים ב 13% מהארגונים. לא הרבה ארגונים בישראל מסוגלים להתעלם מהאופנות האחרונות. רק ב 4% מהם לא ניתנים כלל שירותי משרד למנ"חים. ב 88% מהארגונים שהגיעו למפגשים ניתנים שירותי דואר ויומן בסנכרון\דחיפה למכשירי הסלולר. רק ב 13% מהארגונים ניתנים שירותים נוספים הכוללים אפליקציות ארגוניות שונות. אין ספק שככל שיעמיק השימוש במנ"חים בארגונים, יעלה מספר השירותים הניתנים למכשירי הקצה. מגמה זו תקבל עידוד כאשר יינתן מענה מספק מבחינת אבטחת המידע למכשיר הסלולרי, שכן, ארגונים רבים מציינים זאת כגורם מעכב מרכזי בשיפור השירות למנ"חים בארגון. לראיה, 100% מהארגונים שמלאו את הסקר ציינו כי הפיתרון האבטחתי שברשותם מהווה פיתרון חלקי במקרה הטוב לצרכי האבטחה של הארגון בכל הקשור בניהול והגנה על מנ"חים. באף ארגון מהארגונים הנוכחים בחדר (0%) לא הוטמע פיתרון מרכזי לניהול ואבטחת מכשירים חכמים. מצב זה מאפיין, ככל הנראה, את רוב השוק הישראלי והיווה קרקע פוריה לקיומם של שני המפגשים המתוארים כאן. אז מה הלקוח צריך??? או "מה הלקוח רוצה"? בכל מקרה זו שאלה מצויינת. לא בטוח שהלקוח עצמו יודע מה הוא צריך או רוצה. התחום מתפתח בקצב מהיר מאוד ועושה רושם שקצב הצמיחה בשוק המנ"חים גדול בהרבה מהצמיחה של פתרונות ההגנה. אחד הביטויים המעניינים של מגמה זו מבוטא בדוגמא הבאה: אחד היצרנים הוזמן להציג את הפיתרון שלו בפני אחד הלקוחות במשק. המציג מטעם היצרן שאל בפתיחת הדיון את נציג הלקוח מה הם התכונות החשובות להם בהגנה על מכשירים סלולריים. הלקוח גירד בראשו וענה שאינו יודע. התחום חדש לו והוא מעוניין ללמוד. "תראה לי מה אתה יודע לעשות" ביקש לבסוף. לא הרבה לקוחות יודעים היום להגדיר במפורש מה הם רוצים מפיתרון הגנה על מנ"חים. הסיבה הראשונה במעלה היא שאין להם מושג מה פתרונות בתחום זה מסוגלים לעשות. כששואלים נציגי ארגונים גדולים במשק מה הם מחפשים בפיתרון הגנה על מנ"חים הם בדר"כ יגדירו שלוש יכולות כלליות עיקריות שמאוד חשובות להם: 1. יכולת לנהל את המכשירים בארגון כמו כל תחנת קצה. 2. תמיכה בכמה שיותר סוגי מכשירים. 3. יכולת לאבטח את המידע העסקי על המכשיר, תוך הפרדה של הסביבה העסקית מזו הפרטית. כלומר בשוק יש שתי גישות מרכזיות לטיפול במנ"חים: גישת האבטחה וגישת הניהול. אין ספק שהמשך הבשלה של השוק תביא לחיבור בין שתי היכולות ושילובן בפיתרון אחד. הערה לגבי הדרישה הראשונה: אחת המגבלות בהקשר זה היא חוסר היכולת של פתרונות הניהול בארגון "לדבר" עם מכשירים סלולריים. קושי זה נובע מהבדלים במערכות ההפעלה, "הרכות" היחסית של מערכות הפעלה אלה בהשוואה למערכות גדולות יותר על תחנות הקצה בארגון והעדר תמיכה מתאימה של חלק מספקי המנ"חים לשילוב פתרונות צד ג'. דוגמא לכך היא הסגירות היחסית של אפל בכל הקשור לתמיכה בקליינטים של מערכות שליטה ארגוניות במכשירים שלה. הערה לגבי הדרישה השניה: מנהלי תשתיות ברוב הארגונים מבינים כי נגד אופנות וטעמי הצרכנים אין הרבה מה לעשות ולכן הם מחפשים פיתרון אבטחתי\ניהולי שידע לתמוך "בכל מכשיר". אפילו מכשירי בלקברי שמנוהלים בצורה אבטחתית טובה מאוד יחסית למנ"חים אחרים, עדיף שינוהלו ביחד עם שאר המכשירים הניידים בארגון. הערה לגבי הדרישה השלישית: אחד הקשיים הגדולים ביותר של פתרונות להגנה על מנ"חים הוא היכולת לבודד את המידע העסקי על המכשיר הנייד. קושי זה מעמיד בספק את יכולת הפיתרון המוצע לספק מענה טוב לבעיות האבטחה של מנ"חים. בשונה ממחשבים ניידים, אשר ניתן להגדיר בהם סביבות עסקיות מוגנות, במכשירים סלולריים יכולת ההתערבות של פתרונות חיצוניים במערכות ההפעלה מוגבלת מאוד נכון להיום. בדר"כ תיבחר שיטת הגנה המכלילה את כל המידע על המכשיר כמידע רגיש אשר דורש התייחסות. נושא נוסף המטריד את הלקוחות הוא "בריאות" המכשירים. נושא זה ונושאים נוספים נמצאים בעדיפות נמוכה בהרבה ולכן אין כיום דרישה גבוהה לפתרונות אנטי וירוס או antiX אחרים למכשירים. מה היה במפגשים? שני המפגשים שהתקיימו ב STKI היו זהים מבחינת תוכנם. בכל מפגש התבקשו נציגים של ארבעה יצרנים להדגים את יכולותיהם בתחום ניהול ואבטחת מכשירים ניידים חכמים. לכל מציג ניתנו כ 40 דקות להציג את הפיתרון והתפיסה. כל מציג קיבל תסריט כללי המתאר סביבה עסקית מוכרת בשוק הישראלי והתבקש לנסות לספק פיתרון לכמה שיותר בעיות שהועלו בתסריט, כמו למשל ניטרול מכשיר מרחוק במקרה גניבה, הפצת עדכונים למכשיר, הדגמת תצורת הצפנה במכשיר ותפעולו על ידי המשתמש וכו'. כל מציג היה רשאי להדגים מספר יכולות ייחודיות נוספות (לפי בחירת הספק) במסגרת הזמן שניתן לו. חוסר הבשלות בתחום זה הביאו לכך שלא כל היצרנים המוכרים בשוק הגיעו לגיבוש פיתרון אבטחתי מלא. סוגיה זו ניכרת הן בקושי בגיוס אותם יצרנים אופציונאליים להדגמה כחלק מההכנות למפגש והן בחלקיות הפיתרון בקרב היצרנים אשר כן מציעים פיתרון. נושא נוסף שנבדק הוא יכולת הספקים לתת פיתרון אבטחתי למספר סוגי מכשירים נפוצים. הדגש במפגשים היה על מתן מענה אבטחתי למכשירי Nokia, iPhone ואנדרואיד. מכשירי בלקברי קיבלו התייחסות קטנה יחסית בשל המענה האבטחתי המובנה שכבר קיים בשרתי המכשירים.
  14. חשש נוסף שחוזר ועולה בקרב המשתתפים הוא מפגיעה אפשרית בביצועי המערכות במקרה שייושם פיתרון כזה או אחר. סביב השולחן ניכר, כי חסר ניסיון פרקטי בעבודה עם חלק גדול מהפתרונות הקיימים כיום בשוק וקשה להעריך את השפעתם, אם בכלל, על ביצועי המערכות בארגון. בחדשנות נטו –לא תהיה בעיה. תמיד יהיו ארגונים חדשניים מאוד, אבל פה התמריץ הוא רגולציה ולכן יותר קשה למצוא דוגמאות...
  15. ברבים מהארגונים בסקטורים אלה קיימות מערכות מורכבות מאוד ונתוני כרטיסי האשראי מבוזרים במגוון סביבות מיחשוביות בארגון. אופי עבודה זה מקשה מאוד על התמודדות עם דרישות כמו 3 ו 4 בתקן. נציגי הארגונים שהשתתפו סיפרו, לשם המחשה, כי בארגון ביטוחי טיפוסי קיימים נתוני כרטיסי אשראי של לקוחות על מסמכי הפוליסות. מסמכים אלה נסרקים לשם אירכוב ואחזור מאוחר יותר במגוון פורמטים (PDF, TIFF וכן הלאה). דרישות התקן מדברות על הצפנה של כל הנתונים הרגישים של הלקוחות. בגלל אופי העבודה, נגישות המשתמשים למידע ופיזור הקבצים, נוצר מצב כמעט בלתי אפשרי שמקשה על איתור והגנה על המידע בארגון על פי התקן.   ארגונים מבוססי main-frame ומערכות ותיקות אחרות מוצאים עצמם מתקשים בניטור והגנה על המידע המאוחסן במערכות אלה, במיוחד לאור הבעייתיות בנגיעה ממשית בקוד האפליקציות הרצות על מערכות אלה. רבות מהאפליקציות נכתבו לפני 10, 20 ואף 30 שנים. נגיעה נדרשת בקוד בחלק מהמקרים מעכבת מאוד את התקדמות תהליך ההסמכה לתקן בארגונים רבים והיא נובעת מהחשש המוצדק שנגיעה אפשרית תפגע בליבת הפעילות של הארגון.     טענה אחרת שעלתה על ידי המשתתפים מסקטור זה היא שתקן ה PCI לא מתייחס להיבטי ניהול הסיכונים הכרוכים במושאי התקן. לשם השוואה צויין על ידי חלק מנציגי הסקטורים הללו, כי תקנים אחרים שהסקטור הפיננסי נדרש לעמוד בהם, כמו למשל 357\באזל 2 ו 257 (בנקים וחברות ביטוח בהתאמה), מביאים בחשבון את נושא ניהול הסיכונים ומשאירים לארגונים הנדרשים לעמידה בתקן "חופש פעולה" מסויים בבחירת אופי העמידה בו. תקן ה PCI מאוד חד משמעי ברוב המובנים ואינו לוקח בחשבון קשיים אובייקטיבים שיש לארגונים מורכבים במיוחד. גישה דיכוטומית זו מקשה מאוד על העמידה בתקן באותם ארגונים ו"דוחפת" אותם לאמץ מדיניות של ניהול סיכונים עצמאית. במקרים מסויימים יהיה חשש שיהיו ארגונים שיאלצו להסתכן בקנסות של מועצת התקן מול אלטרנטיבה בלתי אפשרית ליישם את התקן "כמו שצריך".
  16. קיימת תחושה בקרב הארגונים שבחירה בפתרונות טוקניזציה תחסוך הרבה כסף יחסית לפתרונות הצפנה. אחד המשתתפים ציין כי ספקי פתרונות הטוקנים מבינים את שינוי הכיוון בשוק לכיוונם ומעלים כל הזמן את המחירים. נציג אחד הארגונים שבחן בתחילת הדרך פיתרון טוקנים ציין, כי המחיר שמוצע כיום עבור אותו שירות גבוה בהרבה מהמחיר שהוא נחשף אליו בתחילת הדרך. בהרבה מהארגונים סביב השולחן קיימות מערכות ארגוניות בגרסאות שלא הותאמו לעמידה בתקן PCI. כך, לדוגמא, מוצא עצמו ארגון מסויים עם DB בגרסה שיצאה ללא התחשבות בתקן PCI (כי היא יצאה לשוק לפני התקן). כדי לעמוד בתקן, מחוייב הארגון לבצע שידרוג לגרסה חדשה שמשמעותו הכספית כבדה מאוד. נציג אחד הארגונים שעומדים בפני בעיה זו ציין, כי מנהלי הארגון יכולים להחליט מראש לא לעמוד בתקן ולהסתכן בקנסות מאחר ושידרוג המערכת מסתכם בעלויות גבוהות מדי. מקצועיות ה QSA וסוגיות אי בהירות בתקן: חלק מהמשתתפים ציינו כי הם נתקלים בבעיות ושאלות שה QSA לא יודעים לתת עליהן תשובות מספקות. במקרים בהם ישנה אי בהירות, איך ניתן לקבל תשובות חד משמעיות? האם יש גוף שדואג לבקר את ה QSA ולסייע בהדרכה מקצועית לארגונים בעבודתם מול QSA? אחד המשתתפים ציין כי בארגונו קיימות מספר סוגיות הקשורות למערכות מורכבות בארגון וקיימת בקרב ה QSA פרשנות משלו לגבי יישום התקן על מערכות אלה. איזה מנגנון קיים ב PCI ובמועצת התקן שיוכל להגן על האינטרסים של הארגון? משתתף זה חושש מפעולות מיותרות או שגויות שיבוצעו כתוצאה משיקול דעת מוטה או מוטעה של חברת הייעוץ. מר הרמן ציין, כי בעיות פרשנות של התקן או אתגרים אחרים שבהם נתקל ה QSA יכולים וצריכים לקבל תשובה ברורה על ידי מועצת התקן בפניה של ה QSA או כל חבר מועצה למועצה (ראו איזכור בתחילת המסמך). נקודה נוספת שמאוד מטרידה את הנוכחים היא חוסר הבהירות שיש בשוק לגבי מספר נקודות בתקן. דוגמא לחוסר בהירות זו היא בהיקפי בדיקות החדירות (penetration tests) ומה בדיוק עליהן לכלול. חלק מהמשתתפים סיפרו כי ה QSA המליץ להם על בדיקות חדירות למערכות מסויימות בארגון שכלל לא ברור הקשר שלהן לעמידה בתקן. נקודות אחרות נוגעות לנושא מידע שקיים על מסמכים סרוקים או בשרתי אחסון וכן בקבצים שטוחים (flat files) במערכות MF. מר הרמן ציין כי נושאים אלה ואחרים מקבלים הסבר באתר המועצה וביקש להפנות את הקוראים לקישור הבא לקבלת אינפורמציה נוספת על הנושא: http://selfservice.talisma.com/display/2/index.aspx?c=58&cpc=MSdA03B2IfY15uvLEKtr40R5a5pV2lnCUb4i1Qj2q2g&cid=81&cat=&catURL=&r=0.499874770641327
  17. שיגרה ודברים מובנים מאליהם הם האוייב הגדול של ה. אל תרדם (לקורבנות) ואל תיתפס (למתקיפים)