690 likes | 1.51k Views
System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji. Szkolenia BSI. Doskonalenie. Rola. Świadomość. Wdrożenie. Audyt. Kurs Lean Six-Sigma Champion. Członkowie Zarządów. Konwersatorium. Konwersatorium. Konwersatorium. BSI Registered Auditor/ Lead Auditor.
E N D
System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji
Szkolenia BSI Doskonalenie Rola Świadomość Wdrożenie Audyt Kurs Lean Six-Sigma Champion Członkowie Zarządów Konwersatorium Konwersatorium Konwersatorium BSI Registered Auditor/ Lead Auditor Kwalifikacje ISEB/ IOSH/ NEBOSH Lean Six-Sigma Pas zielony Konferencje BSI BSI Lead Implementer Przedstawiciele kierownictwa / Kierownicy projektów BSI Webinars Lean Six-Sigma Pas czarny Kurs doskonalący techniki audytu Zaoczny kwalifikujący kurs BSI Kursy pogłębiające zrozumienie Kurs audytora wiodącego Lean Practitioner Kurs BSI – wdrożenie Kursy pogłębiające zrozumienie Kurs BSI – wdrożenie Lean Six-Sigma Pas żółty Audytorzy wewnętrzni i zespoły projektów Kurs audytora wewnętrznego Sesje lub moduł E-Learning Lean Six-Sigma Pas żółty Wszyscy pracownicy Sesje lub moduł E-Learning Sesje lub moduł E-Learning
Ćwiczenie 1 • Poznajmy się… 10 minut Start
Cel kursu Dostarczenie wytycznych i praktycznych doświadczeń odnoszących się do zapewnienia bezpieczeństwa informacji w codziennej pracy.
Struktura kursu Materiały • Prezentowane materiały • Ćwiczenia Struktura kursu • Zadania indywidualne • Praca w grupach • Dyskusje zespołowe
Tematyka kursu • Bezpieczeństwo informacji • Otoczenie firmy • Informacje i aktywa informacyjne • Dobre praktyki: • Smartfony • Poczta elektroniczna • Biurko i ekran • Drukarki • VoIP • Cloud computing – przetwarzanie w chmurze • Dostępność informacji w systemach • Portale społecznościowe • Wymagania prawne
Wprowadzenie Bezpieczeństwo informacji
Informacja? Aktywa informacyjne • Wiedza lub dane, które mają wartość dla organizacji
Integralność Poufność Dostępność Bezpieczeństwo Informacji W niektórychorganizacjach, integralność i/lub dostępność mogą mieć większe znaczenie niż poufność.
Kontekst organizacji- strony zainteresowane • Strony zainteresowane – strony zewnętrzne i wewnętrzne, które są zainteresowane sukcesem lub porażką systemu bezpieczeństwa informacji • Żeby zapewnić bezpieczeństwo informacji należy zidentyfikować oczekiwania stron zainteresowanych (pozytywne i negatywne!)
Warsztat: Strony zainteresowane • Proszę zidentyfikować strony zainteresowane firmy oraz ich oczekiwania dotyczące bezpieczeństwa informacji. Wyniki proszę przedstawić na flipcharcie. 20 minut Start
Cykl życia informacji Informację można: Przechowywać Utworzyć Zniszczyć? Przetwarzać Przekazywać Wykorzystać – (do właściwych lub niewłaściwych celów) Utracić! Uszkodzić!
Warsztat: Informacje Proszę podzielić się na 3 grupy. Każda grupa zidentyfikuje wskazany rodzaj informacji. Wyniki proszę umieścić na flipcharcie. • I grupa – informacje wchodzące do firmy • II grupa – informacje wychodzące z firmy • III informacje własne, przetwarzane w firmie 30 minut Start
Dobre praktyki Smartfony, tablety, urządzenia mobilne
Smartfony, tablety - zagrożenia • włamanie do urządzenia, • infekcja urządzenia złośliwym kodem, • kradzież urządzenia, • awaria lub zablokowanie urządzenia, • podsłuch sieciowy urządzenia, • włamanie do infrastruktury, z której korzystają urządzenia (WiFi, VPN itp.), • ataki socjotechniczne.
Smartfony, tablety - podatności • Kod złośliwy – prawa administracyjne (rooting, jailbreak) • Brak świadomości zagrożeń – w przypadku zwykłych telefonów nic nie groziło… • Błędy w systemie operacyjnym – niezbyt częste aktualizacje, różnorodność systemów • Mały rozmiar – ułatwienie kradzieży • Dostęp do Internetu, WiFi, bluetooth
Warsztat: Smartfony, tablety Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę opisać: • potencjalne zagrożenia • sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych przez urządzenia mobilne 20 minut Start
Dobre praktyki Poczta elektroniczna
Poczta elektroniczna • Spam • Wiadomości z wirusami i trojanami • Phishing • Pranie brudnych pieniędzy • Scareware • Ukryte subskrypcje • Oszustwa związane z portalami społecznościowymi • Błąd w adresie podczas wysyłania • Wysyłanie do grupy odbiorców
Poczta elektroniczna Szacuje się, że aż 87% złośliwego oprogramowania trafia na komputery drogą mailową. Wirusy, robaki i konie trojańskie – niemal każdy rodzaj złośliwego oprogramowania – może być rozpowszechniany poprzez email. Tytuł wiadomościa procent kliknięć: • Kocham Cię - 37% • Świetny dowcip - 54% • Wiadomość - 46% • Specjalna oferta - 39%
Poczta elektroniczna – jak się bronić? Wytyczne centrum koordynacyjnego CERT: • Czy znasz nadawcę wiadomości? • Czy otrzymałeś już inne wiadomości od tego nadawcy? • Czy spodziewałeś się otrzymać tę wiadomość? • Czy tytuł wiadomości i nazwa załącznika mają sens? • Czy wiadomość nie zawiera złośliwego oprogramowania – jaki jest wynik skanowania antywirusowego?
Warsztat: Poczta elektroniczna Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę opisać: • potencjalne zagrożenia • sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych w poczcie elektronicznej 20 minut Start
Ransomware - (z ang.: ransom - okup, software - oprogramowanie) • Na zainfekowanym komputerze wyświetlona zostaje informacja w języku polskim, że komputer został zablokowany i że nastąpiło to, ponieważ był on używany do pobierania pirackich plików, powielania nielegalnych treści oraz oglądania zabronionych stron internetowych. Blokada sygnowana jest zdjęciem Prezydenta RP, logiem Centralnego Biura Śledczego oraz herbem miasta Szczecina. Hakerzy, podszywając się pod policję, za odblokowanie żądają 500 złotych lub 100 euro.
Dobre praktyki Czyste biurko i czysty ekran
Czyste biurko i ekran Pytanie: Co oznacza zasada czystego biurka i czystego ekranu: • żadne dokumenty nie mogą leżeć na biurku ani wyświetlać się na pulpicie komputera • ważne dokumenty i informacje nie powinny być dostępne dla osób nieupoważnionych na stanowisku pracy i kiedy ma zastosowanie? • zawsze • tylko podczas nieobecności przy biurku
Czyste biurko i ekran Polityka czystego biurka i ekranu oznacza: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… i powinna być stosowana ……………………………………………………………………………………… ……………………………………………………………………………………… ………………………………………………………………………………………
Czyste biurko i ekran - warsztat Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę zidentyfikować: • potencjalne zagrożenia • sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych na wybranych stanowiskach pracy 20 minut Start
Czyste biurko i ekran - zabezpieczenia • przechowywanie pod zamknięciem (najlepszym rozwiązaniem jest sejf, szafa lub inna forma zabezpieczenia) nieużywanych wrażliwych lub krytycznych informacji biznesowych, np. umieszczonych na nośnikach elektronicznych lub w postaci dokumentów papierowych, szczególnie jeśli pomieszczenie biurowe jest opuszczane; • zamykanie sesji lub blokowanie komputerów i terminali pozostawionych bez opieki lub czasowo nieużywanych (za pomocą mechanizmu blokowania ekranu i klawiatury kontrolowanego hasłem, tokenem lub innego podobnego mechanizmu); • zapobieganie nieupoważnionemu użyciu fotokopiarek i stosowaniu innych technik powielania (np. skanerów, aparatów cyfrowych); • niezwłoczne usuwanie z drukarekdokumentów zawierających informacje wrażliwe lub sklasyfikowane; • właściwe ustawienie ekranów, uniemożliwiające ich podejrzenie.
Drukarki sieciowe • To moje, już biegnę…! • Na której drukarce to wydrukowałem…!? • I znów się nie wydrukowało… puszczę jeszcze raz! • Dlaczego to zawsze ja trafiam na brak papieru! A co to się drukuje…? • Muszę zrobić skan umowy zakupu terenów pod kolejną inwestycję, a potem wezwać serwis do tego urządzenia… • Teraz to mamy wygodnie, drukarka sama wzywa serwis!
Włamywali się na serwery firm Policjanci z Koszalina zatrzymali trzech mężczyzn, którzy włamując się na serwery różnych firm wyłudzili przynajmniej 206 tys. zł. Najprawdopodobniej łączne straty przedsiębiorstw będą znacznie większe. Policja bowiem ustala kolejnych poszkodowanych z terenu całego kraju. Zatrzymani mężczyźni trafili do aresztu na okres trzech miesięcy. Grozi im kara do 10 lat pozbawienia wolności. W sprawę zaangażowanych było kilkanaście osób, z których każda miała do wykonania konkretne zadanie. Organizatorem przestępczego procederu był krakowianin, Zbigniew T. Natomiast 22-letni informatyk Paweł P., mieszkaniec Koszalina, wyszukiwał firmy i włamywał się na ich serwery. Uzyskane w ten sposób hasła dostępu przekazywał Zbigniewowi T., który zmieniał podane na stronach internetowych numery kont. Kontrahenci firm, nieświadomi niczego, wpłacali należności za usługi i towary na podstawione przez oszusta konta. Zanim firma i płatnik orientowali się, że pieniądze wpłynęły na zmieniony rachunek, konto już było wyczyszczone, a należności wypłacone.
Dobre praktyki VoIP - Voiceover Internet Protocol
VoIP - komunikatory • VoIP Netia • Skype • Gadu-Gadu • Windows Live Messenger • FreecoNet • EasyCall • AOL Instant Messenger • inne
VoIP – rodzaje ataków • Vishing - VoIPPhishing - oszustwo polegające na podszywaniu się dzwoniącego pod zaufaną instytucję (np. bank) czy osobę (administratora IT). • Kradzież osobowości lub usługi - phreaking. Atak ten polega na kradzieży usługi świadczonej przez usługodawcę lub wykorzystaniu usługi i przerzuceniu jej kosztów na kogoś innego. • Szkodliwe oprogramowanie - wykorzystanie tzw. softphone’ów do rozmów VoIP wiąże się z zagrożeniem szkodliwym oprogramowaniem. • DoS (Denial of Service) - Ataki DoS są postrzegane głównie jako zagrożenie dla serwisów internetowych, ale mogą być wykorzystane również do przerwania działania systemu VoIP lub utrudnienia dostępu do niego. • SPIT (Spammingover Internet Telephony) - spamowanie przez VoIP jest jeszcze mało popularne, ale notuje się już takie przypadki i będą one coraz częstsze wraz z popularyzacją tej technologii. Autor wiadomości z reguły prosi o podanie poufnych danych, np. danych dostępowych czy numeru karty kredytowej. • Man-in-the-middle, snooping– podsłuchiwanie – szczególnie w przypadku przesyłania przez sieć publiczną (Internet) • Luki w oprogramowaniu – podobnie jak w przypadku komputerów
VoIP - warsztat Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę zidentyfikować: • skutki ataków na VoIP 20 minut Start
DDoS (ang. DistributedDenial of Service – rozproszona odmowa usługi) Allegro nie działa. Serwis aukcyjny padł ofiarą ataku DDoS Allegro pada ofiarą zmasowanego ataku DDoS. Wielu użytkowników miało problemy nie tylko z licytowaniem i przeglądaniem ofert, ale także wejściem na ten najpopularniejszy serwis aukcyjny. „…Wszyscy, którzy liczyli, że porobią dzisiaj zakupy na Allegro muszą nieco zweryfikować swoje plany. Dostęp do serwisu od jakiegoś czasu jest mocno ograniczony. Strona, albo nie ładuje się w ogóle, albo robi to z wielkim trudem. Jeżeli komuś uda się już wejść, to czekają go problemy z logowaniem i wyszukiwaniem…” – natemat.pl
Dobre praktyki Cloud computing
Przetwarzanie w chmurze - zagrożenia • Nieautoryzowany dostęp do danych firmowych i klienckich. • Brak dostępu do danych w chmurze. • Zrzucanie odpowiedzialności za bezpieczeństwo i integralność danych wyłącznie na usługodawcę. • Brak stabilność parametrów świadczonej usługi. • Brak pełnego zrozumienia sposobu funkcjonowania chmury. • Brak możliwości szybkiego odzyskania danych. • Brak zapewnienia ciągłości działania dostawcy. • Słaba wydajność systemu, aplikacji lub łącza.
Warsztat: Cloud computing Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami w zakresie Cloud Computing oraz proszę zidentyfikować: • Wady i • Zalety korzystania z chmury 20 minut Start
Dobre praktyki Portale społecznościowe
Portale społecznościowe - TMI (Too Much Information) Amerykański Ośrodek Badawczy Consumer Reports donosi, że 52% użytkowników sieci społecznościach opublikowało dane osobowe, • Ostatnie badania firmy McAfee stwierdziły, że 95% 18-23-latków wierzy i ma świadomość tego, że publikowanie w sieci danych osobowych lub osobistych informacji jest niebezpieczne, jednak 47% z nich mimo to umieszcza tego typu informacje w Internecie. • 80% 18-24-latków używa swoich smartfonów do wysłania danych osobowych i osobistych wiadomości tekstowych, e-maili i zdjęć, a 40% z nich musiało prosić swoich ex o usunięcie intymnych zdjęć lub wiadomości z ich telefonów – przyznali również, że w perspektywie czasu żałowali, że wysyłali tego typu zdjęcia, wiadomości lub nagrania. • 78% z ostatnio złapanych włamywaczy przyznało, że używają sieci społecznościowych takich jak Facebook, Twitter i Foursquare, by planować włamania w okresie, gdy udostępniające takie dane osoby przebywają na wakacjach. • Według ankiety przeprowadzonej przez CareerBuilder.com wśród 2300 osób rekrutujących, 1 na 3 pracodawców odrzuca kandydatów poszukujących pracy na podstawie ich wpisów na Facebooku. • Specjaliści z McAfee stwierdzili, że 20% osób w wieku 18-24 lat zna kogoś, kto został zwolniony lub to sami badani zostali zwolnieni z powodu umieszczonych przez nich osobistych zdjęć i wiadomości w Internecie.
Portale społecznościowe • Nie wolno ujawniać danych osobowych. • Mądrze zarządzaj ustawieniami swojej prywatność. • Często zmieniaj hasła. • Wysyłaj dane osobowe tylko za pośrednictwem bezpiecznego połączenia. • Wyłącz funkcję GPS w aplikacji fotograficznej swojego smartfona • Rozważ udostępnienie zdjęć z wakacji dopiero po powrocie do domu. • Pamiętaj, że Internet jest na zawsze.
Niefrasobliwość? Portal Yahoo przeanalizował 3,4 miliona różnych PIN'ów badając ich popularność. Okazało się, że całkiem sporo badanych, bo aż 11 procent, miało właśnie wspomnianą wcześniej kombinację 1234. Nieco mniej, bo 6 procent, używa kombinacji 1111, zaś 2 procent 0000. Natomiast w przypadku aż 28,3 procenta osób, PIN można zgadnąć przy pomocy 20 prób. 10 najpopularniejszych PIN'ów: 1234 1111 0000 1212 7777 1004 2000 4444 2222 6969
Wybrane wymagania prawne • ustawa o ochronie danych osobowych • Kodeks spółek handlowych • Kodeks Cywilny • Kodeks pracy • Ustawa o ochronie osób i mienia • Kodeks Karny • O prawie autorskim i prawach pokrewnych • O podpisie elektronicznym • O świadczeniu usług drogą elektroniczną • Prawo Telekomunikacyjne • O ochronie niektórych praw konsumentów oraz odpowiedzialności za produkt niebezpieczny
Tajemnica przedsiębiorstwa • Policjanci z Piekar zatrzymali mężczyznę, który z serwera byłego pracodawcy skopiował dane stanowiące tajemnicę przedsiębiorstwa. Za próbę przekazania nielegalnie zdobytych informacji grozi mu 2 lata więzienia. • Policjanci podczas przeszukania mieszkania i nowego miejsca pracy 32-latka znaleźli skopiowane dane pokrzywdzonej firmy. Łącznie zabezpieczono trzy jednostki centralne komputera i ponad 200 płyt z oprogramowaniem. Mieszkańcowi Świętochłowic zarzucono usiłowanie ujawnienia danych stanowiących tajemnicę przedsiębiorstwa osobie do tego nieuprawnionej, za co grozi mu nawet 2 lata pozbawienia wolności.
Incydenty • Co to jest incydent? • Co należy zgłaszać? • Komu należy zgłaszać incydenty?