Pranešimas "Kibernetinė sauga. Vadovo požiūris" BKA ir ISACA Lietuva renginyje "Kaip pagerinti IT valdymą?" Balandžio 9 d., 2015. Pranešėjas - Romualdas Lečickis, UAB NRD CS.
4. Ar kibernetinė sauga jau svarbi?
There are two kinds of companies.
Those that have been hacked, and
those that have been hacked but
don’t know it yet.
*House Intelligence Committee Chairman Mike Rogers.
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/1130
11CyberSecurityLegislation.pdf. 2011.
5. 82% mano, kad kibernetinės saugos užtikrinimas yra
svarbiausias prioritetas
http://www.csc.com/cio_survey_2014_2015
6. 91% finansinių organizacijų įvardijo kibernetinę saugą
svarbiausiu prioritetu
http://www.csc.com/cio_survey_2014_2015
8. Vadovams dažnai trūksta informacijos
apie kibernetinę saugą
Tipinė nepakankamai informuoto vadovo
savijauta:
• Aš turiu žmones, kurie rūpinasi kibernetine
sauga, tačiau mes kalbame skirtingomis
kalbomis.
• Aš nelabai suprantu apie ką jie kalba ir nesu
tikras ar jie mane supranta. Manau, mes
turime tiesiog pasitikėti vienas kitu.
• Aš suprantu, kad kibernetinė sauga svarbu,
tačiau nežinau ar mes tikrai tai užtikriname.
Kaip tai išmatuoti?
• Aš susirūpinęs dėl išlaidų kibernetinei
saugai, nes nežinau, ar išleidžiame daug, ar
mažai, ar visgi tiek, kiek reikia.
• ...
9. Kibernetinės saugos klausimai, į kuriuos vadovas galėtų
ieškoti atsakymų
1. Kokios kibernetinės grėsmės mums aktualios ir
kokia galima šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo kibernetinių
grėsmių?
3. Kaip mes sužinosime, kad prieš mus buvo
įvykdyta kibernetinė ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi kompetentingi
darbuotojai?
5. Ar mūsų išlaidos kibernetinei saugai adekvačios?
10. NIST ir ENISA patarimai. Nauda vindikacijos tarnybai
Framework for Improving Critical Infrastructure Cybersecurity, NIST February 12, 2014. http://www.nist.gov/cyberframework/
11. Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
COBIT 5 Enabling Processes
COBIT 5 for Information Security
COBIT 5 for Risk
Risk Scenarios Using COBIT 5 for Risk
…
12. Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Pages/default.aspx
13. Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/CERTIFICATION/Pages/default.aspx
14. Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Conferences/Pages/default.aspx
15. Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/cyber/Pages/default.aspx
17. Pradžia - Cybersecurity Fundamantals Course
Temos:
1. Cybersecurity Concepts
2. Security Architecture Principles
3. Security of Networks, Systems,
Applications and Data
4. Incident Response
5. Security Implications and Adoption of
Evolving Technology
Galimybė laikyti egzaminą ir gauti sertifikatą.
19. Sutarkime, ką matavimo rezultatai reiškia
http://hermentorcenter.com/2013/05/14/can-workplace-stress-ever-be-good/pouring-water-in-a-glass-collection-isolated/
19
20. ISO/IEC 27004:2009
• Pataria kaip matuoti
ISVS pagal ISO/IEC
27001:2005
• Pataria kaip matuoti
kontrolės priemones
pagal ISO/IEC
27002:2005
• Matavimų šablonas
• Pateikiama 14 pvz.
20
21. NIST SP 800-55
• Pataria, kaip įdiegti
informacijos saugos
matavimą organizacijoje
• Pateikiama 19 pvz.
• 3 tipų matavimai:
o Įgyvendinimo matavimas
o Efektyvumo matavimas
o Įtakos matavimas
21
23. COBIT 5 for Information Security
• 37 IT valdymo ir
vadovavimo procesai
• Informacijos saugos tikslai
ir metrikos
23
24. COBIT 5 – procesų matavimo pvz.
• ~ 100 su IT sauga
susijusių procesų
tikslų pvz.
• ~ 100 su IT sauga
susijusių procesų
matavimų pvz.
24
25. Kokia patirtimi pasinaudoti?
COBIT 5 for Information
Security, CSX
jei info/kiber sauga yra įmonės/IT
valdymo integrali dalis
ISO/IEC 27004:2009 jei turime ISVS ir naudojame
ISO/IEC 27001
NIST SP 800-55 jei įdomi draugiškos šalies patirtis
Critical Security
Controls
jei svarbi tik kibernetinė sauga
Lietuvos teisinė bazė jei aktualu atitikti teisės aktų
reikalavimams
25
27. KPI Quick Wins Pvz.
𝑎 =
stebimų svarbių išteklių kiekis
bendras svarbių išteklių kiekis
=> 1
𝑏 =
išspręstų incidentų kiekis
identifikuotų incidentų kiekis
=> 1
27
28. Atsakymai į kibernetinės saugos klausimus,
kurių vadovas galėtų ieškoti
1. Kokios kibernetinės grėsmės
mums aktualios ir kokia galima
šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo
kibernetinių grėsmių?
3. Kaip mes sužinosime, kad prieš
mus buvo įvykdyta kibernetinė
ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi
kompetentingi darbuotojai?
5. Ar mūsų išlaidos kibernetinei
saugai adekvačios?
1. Atliktas rizikos vertinimas (COBIT
5 for Risk, ISO27005, ...)
2. Įdiegtos techninės ir organizacinės
priemonės, vykdomas matavimas
(COBIT 5 for Security, ISACA
CSX, CSC20, ISO27002...)
3. Įdiegtas stebėjimas (COBIT 5 for
Security, ISACA CSX, CSC20...)
4. Sertifikuoti specialistai,
naudojantys pasaulines metodikas
(CISM, CISA, CRISC, CGEIT,
CSX, COBIT 5 for Security,
CSC20, ...)
5. Atsako rizikos vertinimas (1
punktas)