Program konferenci e

1. Program konferencie 8:00 - 8:30 Registrácia 8:30 - 9:00 Malware dnes “Povieme si o vývoji vo svete škodlivého sowtvéru, ako sa zmenili spôsoby jeho šírenia a hlavne ako sa zmenila motivácia jeho autorov a prevádzkovateľov. Podrobnejšie sa pozrieme na pár zaujímavých “kúskov“, ktorých analýze sa venovali aj naši analytici.“Peter Stančík, ESET securityevangelist 9:00 - 10:00 Novinky a produktové portfólio ESET Prezentácia sa zaoberá možnosťou ochrany počítačovej infraštruktúry pomocou existujúceho produktového portfólia ESETu a novinkami pre rok 2012. Dozviete sa čo nás čaká a neminie v nasledovnom období a na aké nové zlepšenia sa môžete tešiť v boji proti malwaru. Ondrej Krajč, ESET Technical marketing specialist 10:00 - 10:30 coffee break 10:30 - 11:30 ESET services: Ako služby ESET vedú k informačnej bezpečnosti? „Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z konkrétnej organizácie? Skúsiť sa „nabúrať“ do systémov spoločnosti a prebíjať sa cez technologické bezpečnostné prvky, ktoré sú postavené v niekoľkých radách za sebou? Alebo „zahrať hru“ a spýtať sa priamo človeka z vnútra organizácie? Prezentácia sa venuje téme sociálneho inžinierstva a budovania povedomia o informačnej bezpečnosti v organizáciách.“Peter Katrinec, ESET SecuritySalesRepresentative 11:30 - 12:00 Q&A 12:00 Obed

2. Peter Katrinec, ESET SecuritySales Ako vedú Služby esetk informačnej bezpečnosti

3. Agenda • ESET Services • Stav informačnej bezpečnoti • Budovanie povedomia – Awereness program • Test „sociálnym inžinierstvom“ • Služby ESET Services

4. ESET Services • Tím certifikovaných odborníkov v oblasti informačnej bezpečnosti • Certifikáty: CISA, CISM, CISSP, CRISC, ITIL v3 Found. • Od roku 2009 riadi tím bezpečnosť v ESETe • 2010 – ESET získal ISO/IEC 27001:2005 • 2010 – poskytuje služby zákazníkom

5. Služby ESET Services • Konzultačné služby pre riadenie informačnej bezpečnosti • Kontrola (Audit) stavu informačnej bezpečnosti

6. Cieľ riadenia informačnej bezpečnosti Proces (nástroj) pre zabezpečenie: • Dostupnosti • Dôvernosti • Integrity informácií a dát s ktorými pracujeme, používame a spravujeme ich.

7. Dnešné prostredie • CIELE A TRENDY • Efektívnosť • Flexibilita • Dostupnosť • Vyššie zisky • VÝVOJ • Nové technológie • Nové produkty • Nové služby • KONCEPTY • Automatizácia • Centralizácia • Virtualizácia • Mobilita • RIZIKÁ • Zložitosť IKT • Nové hrozby • Nové zraniteľnosti • Škodlivý kód

8. Dnešné prostredie (2) Mobilné aplikácie Sociálne siete Cloud riešenia

9. Hrozby • Zneužitie dostupných informácií • Neautorizovaný prístup - únik citlivých dát • Spam a Phishing emaily, Sociálne inžinierstvo • Falšovanie identity • Šírenie škodlivého kódu novými cestami • Zneužitie siete a PC pre ilegálne aktivity útočníkov • Podvrhnuté web stránky na internete

10. Následky • Strata dobrého mena • Strata dôvery • Finančné straty • Zodpovedanie sa

11. Zodpovednosť Majiteľ -> Vedenie org. -> Vedúci pracovníci • Následky: • Strata dôvery • Strata pozície • ...

12. Z prieskumu stavu informačnej bezpečnosti

13. Z prieskumu stavu informačnej bezpečnosti

14. Z prieskumu stavu informačnej bezpečnosti

15. Z prieskumu stavu informačnej bezpečnosti

16. Z prieskumu stavu informačnej bezpečnosti

17. Z prieskumu stavu informačnej bezpečnosti

18. Z prieskumu stavu informačnej bezpečnosti

19. Z prieskumu stavu informačnej bezpečnosti

20. Téma Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z organizácie?

21. Téma Skúsiť sa „nabúrať“ do systémov spoločnosti a prebíjať sa cez technologické bezpečnostné prvky, ktoré sú postavené v niekoľkých radách za sebou?

22. Téma Alebo „zahrať hru“ a spýtať sa priamo človeka z vnútra organizácie?

23. Ako sú chránené aktíva – informácie?

24. Ako sú chránené aktíva – informácie?

25. Ako sú chránené aktíva – informácie?

26. Budovanie povedomia / Vzdelávanie • Prečo vzdelávať a budovať bezpečnostné povedomie • O čo sa oprieť a ako začať • Prostriedky, témy a obsah vzdelávania • Služby ESET

27. Človek a jeho vnímanie rizika Človek preceňuje • Vizuálne riziká • Riziká v okolnostiach, ktoré nemá pod kontrolou Človek podceňuje • Riziká v okolnostiach, ktoré má pod kontrolou • Riziká bez vizuálneho/ zvukového efektu Sociálne inžinierstvo: Vytvoriť pocit dôvery a využiť ho na dosiahnutie svojich zámerov

28. Ako sa brániť? Vedieť, že takéto niečo sa môže stať a primerane reagovať

29. O čo sa oprieť? Legislatívne požiadavky: • Zákon č. 428/2002 Z. z. o ochrane osobných údajov • Metodické usmernenie Úseku bankového dohľadu NBS č. 7/2004 k overeniu bezpečnosti IS banky • Výnos MF SR 312/2010 o štandardoch pre ISVS • Opatrenie Telekomunikačného úradu SR č. O-30/2012 Odporúčania medzinárodných štandardov: • NIST 800-50 – Building an Information Technology Security Awareness Program • ISO/IEC 27002:2005 – Pravidlá dobrej praxe manažérstva informačnej bezpečnosti • COBIT DS7 – Deliver and Support –Educate and Train Users

30. Ako začať Nájsť gestora programu Získať podporu vedenia Vytvoriť plán • Overenie vedomostí • Základné školenia • Rozvojové školenia • Cykly pre aktualizáciu/ zlepšenie Zapojiť: Marketing Ľudské zdroje Audit

31. Pre koho • Zamestnanci • Zmluvní partneri • Manažment • Zákazníci • Vnútorná správa • Personalistika • Financie • Právne / Legal • Obchod a marketing • IT (HelpDesk / Prevádzka IT / Vývoj IT)

32. Prostriedky Primárne aktivity • Školenia • E-learning • Videá Rozvojové aktivity • Články • Blog • Plagáty

33. Ako vybrať témy • Zamerať sa na profit pre človeka – voliť témy tak, aby boli užitočné nielen pre pracovné, ale aj pre súkromné aktivity • Neobjavovať koleso • NIST 800-50 • www.securingthehuman.org • socialengineer.org • Konzultácie a outsourcing

34. Témy školení: Sociálne inžinierstvo

35. Témy školení: Fyzická bezpečnosť

36. Témy školení: E-mail

37. Témy školení: Web

38. Témy školení: Sociálne siete

39. Témy školení: ďalšie... • Heslá • Mobilné zariadenia • Wi-Fi siete • Bezpečnostné incidenty • Autorské právo a IT • Ochrana údajov • Škodlivý kód

40. Meranie účinnosti programu vzdelávania Priame spôsoby: • Simulácia reálnych útokov • Vedomostné testy • Audit Nepriame spôsoby: • Prieskum s cieľom získať spätnú väzbu k realizácii programu • Počet tiketov v helpdesku

41. Vedomostný test – príklad 1 • Podľa platných vnútorných predpisov je za uzamykanie kancelárie zodpovedný: • Vedúci zamestnanec • Oddelenie facilities • Posledný zamestnanec odchádzajúci z práce • CISO

42. Vedomostný test – príklad 2 • Ktoré z týchto hesiel, ktoré majú slúžiť na prístup do domény, nie sú podľa Vás bezpečné? (multiplechoice) • magdalena • Uz sa vsetcitesime na Jeziska! • j*k@(|^nq"[&kh{!%ˇ3%`:;/94*ye&(@%]';:! • 5PEEV&6paaleniek

43. Vedomostný test – príklad 3 • Považujete e-mail za phishingový? Zdôvodnite.

44. Prieskum spätnej väzby • Ako vnímaš úroveň svojho bezpečnostného povedomia? • Ako vnímaš úroveň bezpečnostného povedomia u zamestnancov spoločnosti? • Ktoré bezpečnostné hrozby by mala podľa Teba spoločnosť riešiť prioritne? • Akceptoval(a) by si povinnosť viditeľne nosiť identifikačný štítok zamestnanca na pracovisku ako opatrenie k zvýšeniu úrovne fyzickej bezpečnosti v priestoroch spoločnosti?

45. Prieskum spätnej väzby Aký spôsob doručovania programu zlepšovania bezpečnostného povedomia uprednostňuješ?

46. Odmeny

47. Riziká/Ťažkosti Nestanovené ciele Budovanie povedomia nie je profesné vzdelávanie Budovanie povedomia nie je jednorazová aktivita alebo projekt, je to dlhodobý program Budovanie povedomia nemá vyvolávať obavy, neistotu a pochybnosti Nevhodný obsah alebo forma Všetko pre všetkých

48. Služby ESET - Vzdelávanie • Metodika • GAP • Návrh plánu vzdelávania • Metriky • Realizácia • Školenia a E-learning • Vyhodnotenie • Audit • Vedomostné testy a dotazníky • Testy sociálnym inžinierstvom

49. Prečo absolvovať vzdelávanie?

50. Sociálne inžinierstvo • Čo je sociálne inžinierstvo? • Prečo by ma to malo zaujímať? • Prečo to funguje? • Ako to funguje v praxi - príklady • ...a čo s tým môžeme urobiť? • Služby ESET