Ο Pόλος του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO) Παρουσίαση στο Ελληνικό Ινστιτούτο Εσωτερικών Ελεγκτών (Ε.Ι.Ε.Ε.) Νικόλαος Φράγκος, MSc., CISA, CGEIT 10η Οκτωβρίου 2012 10/10/2012 - Page 1 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Δημιουργία Πλαισίου Ασφάλειας - Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) Οργανωτική Δομή που σχετίζεται με την ασφάλεια Γενική Πολιτική Ασφάλειας / Εξειδικευμένες Πολιτικές Προσβάσεις / Εξουσιοδοτήσεις Μηχανισμοί Ελέγχου Ευαισθητοποίηση Διαχείριση Συμβάντων Ασφάλειας Σχέδιο Συνέχειας Εργασιών / Διαχείριση Κρίσεων Φυσική Ασφάλεια Ουσιώδεις Υπηρεσίες που παρέχουν τρίτοι 10/10/2012 - Page 2 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Οργανωτικά Θέματα Ασφάλειας Υπεύθυνος Ασφάλειας Πληροφοριών (Chief Information Security Officer - CISO) Υπεύθυνος Ασφάλειας Πληροφοριακών Συστημάτων (ΙΤ Security Officer) Υπεύθυνος Φυσικής Ασφάλειας (Physical Security Officer) 10/10/2012 - Page 3 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Γενική Πολιτική Ασφάλειας Εκπόνηση και επικαιροποίηση Γενικής Πολιτικής Ασφάλειας αλλά και Εξειδικευμένων Πολιτικών όπως Πολιτική Ασφάλειας Συναλλαγών μέσω Διαδικτύου Πολιτική Προστασίας Δεδομένων Πολιτική Ασφάλειας Φορητών Πληροφοριακών Πόρων Πολιτική Ελέγχου Προσβάσεων και Εξουσιοδοτήσεων Πολιτική Χρήσης Ηλεκτρονικού Ταχυδρομείου και Διαδικτύου Πολιτική Χειρισμού Συμβάντων Ασφάλειας Πολιτική Ουσιωδών Υπηρεσιών που έχουν ανατεθεί σε τρίτους! Ο εκμηδενισμός αποκλίσεων είναι εξαιρετικός οδικός χάρτης για έργα πληροφορικής 10/10/2012 - Page 4 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Προσβάσεις / Εξουσιοδοτήσεις Καταγραφή, Αξιολόγηση Κινδύνων και Ταξινόμηση Πληροφοριακών Πόρων Προσβάσεις / εξουσιοδοτήσεις προσδιορίζονται βάσει τη θέση / αρμοδιότητες Σύμπραξη δύο (τουλάχιστον) λειτουργών Τακτές επισκοπήσεις - ενδεικτικά - ύπαρξη σύνθετων συνθηματικών - ανενεργοί λογαριασμοί - απομακρυσμένες προσβάσεις - προσβάσεις τρίτων! Οι απάτες στη Societe General ($7.2 δις-2007) και στη Barings ($1.3 δις 1995) σχετίζονται με ανεπαρκείς ελεγκτικούς μηχανισμούς στις προσβάσεις 10/10/2012 - Page 5 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Μηχανισμοί Ελέγχου Ύπαρξη ή / και Δημιουργία Μηχανισμών Ελέγχου Μηχανισμοί Ελέγχου πρώτης γραμμής διενεργούνται από τους άμεσα εμπλεκόμενους. Μηχανισμοί Ελέγχου 2ης γραμμής 1ου επιπέδου διενεργούνται από τους εγκρίνοντες. Μηχανισμοί ελέγχου 2ης γραμμής 2ου επιπέδου διενεργούνται από ανεξάρτητους λειτουργούς. - απαρτίζονται από βήματα ελέγχου και τεκμήρια - τα βήματα ελέγχου μπορεί να έχουν διαφορετικά βάρη - αποτυπώνουν με εύληπτο τρόπο την κατάσταση 10/10/2012 - Page 6 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Ευαισθητοποίηση Επιτυγχάνεται με γενικές αλλά και με πιο εστιασμένες παρουσιάσεις λ.χ. για κεντρικές μονάδες, για καταστήματα, κ.ο.κ Διενέργεια Παρουσιάσεων / Σεμιναρίων Διενέργεια Παρουσιάσεων μέσω e-learning (ηλεκτρονικών σεμιναρίων) Χρήση του Εταιρικού Ιστότοπου. Πληροφορίες σχετικά με την ασφάλεια στα έγγραφα καλωσορίσματος νεοπροσληφθέντων. Ενυπόγραφη Αποδοχή Πολιτικών Επιτροπή Ασφάλειας 10/10/2012 - Page 7 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Συμβάντα Ασφάλειας Ευαισθητοποίηση ότι κάποια ενέργεια είναι συμβάν ασφάλειας Ενημέρωση αρμοδίων σύμφωνα με τις εγκεκριμένες οδηγίες - φύλλο ειδοποίησης και κατάλληλη διανομή - συμβάν ή κρίση; Συμμετοχή σε ομάδες αντιμετώπισης, αξιολόγηση συμβάντων και ενδεχομένως δημιουργία δικλείδων ασφάλειας για τη μελλοντική αποτροπή Διαχείριση στοιχείων για αποτροπή ή επίλυση παρόμοιων συμβάντων. 10/10/2012 - Page 8 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Σχέδιο Συνέχειας Εργασιών Διαχείριση Κρίσεων Εκπόνηση και διενέργεια δοκιμών του σχεδίου συνέχειας εργασιών έχοντας κάνει την ανάλυση επιχειρηματικών επιπτώσεων (ΒΙΑ) από τη μη διαθεσιμότητα υποδομών. Προσδιορισμός κρίσιμων μονάδων, αναγκαίων υποδομών, απαραίτητου προσωπικού, ημερών κάλυψης Ευαισθητοποίηση / Δημιουργία σαφών οδηγιών Δημιουργία και δοκιμή επικοινωνιακών ροών, ομάδων αντιμετώπισης, και ροών εργασιών. Αξιολόγηση σεναρίων επιχειρηματικών μονάδων, ενδεικτικά: αποκλεισμός κρίσιμου κτιρίου, ένοπλη ληστεία, αντιμετώπιση πανδημίας, εσωτερική απάτη, κ.ά. 10/10/2012 - Page 9 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Φυσική Ασφάλεια Εκπόνηση Πολιτική Φυσικής Ασφάλειας (προστασία ανθρωπίνων πόρων και υποδομών) Δημιουργία ελεγκτικών μηχανισμών Συμμετοχή στον καθορισμό κατάλληλων μέσων φυσικής πρόσβασης Ευαισθητοποίηση Διενέργεια ελέγχων 10/10/2012 - Page 10 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
Συμβάσεις Παρόχων Ουσιωδών Υπηρεσιών Εντοπισμός και διαχείριση των Συμβάσεων Ουσιωδών Υπηρεσιών που παρέχουν Τρίτοι στον οργανισμό Κανονιστική Συμμόρφωση των συμβάσεων αυτών Συμβολή στην ετήσια αξιολόγηση των οικονομικών στοιχείων Αξιολόγηση του Σχεδίου Συνέχειας Εργασιών και της ετήσιας (τουλάχιστον) δοκιμής του Αξιολόγηση διαδικασιών Διαχείρισης Αλλαγών Αξιολόγηση εκθέσεων ελέγχων - Πιστοποιήσεις 10/10/2012 - Page 11 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών
. και όλα αυτά με πιστή εφαρμογή των κανονιστικών απαιτήσεων λαμβάνοντας υπόψη τις βέλτιστες πρακτικές και πρότυπα όπως - COBIT / ISACA - ISO 27001 - PCI DSS Ευχαριστώ πολύ Ερωτήσεις ;;;;;; 10/10/2012 - Page 12 Παρουσίαση στο Ε.Ι.Ε.Ε. Ο ρόλος του Υπεύθυνου Ασφάλειας Πληροφοριών