1 / 15

Information Security: It is about Business Risk and Standards

Information Security: It is about Business Risk and Standards. Dr. Miroslav Kis, CISSP, TOGAF Executive Consultant - Information Security Financial Industry – Toronto, K anada. Presentation Overview. Razumeti ključne elemente optimalnog rešenja za sigurnost .

amber-ryan
Download Presentation

Information Security: It is about Business Risk and Standards

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Information Security: It is about Business Risk and Standards Dr.Miroslav Kis, CISSP, TOGAF Executive Consultant - Information Security Financial Industry – Toronto, Kanada

  2. Presentation Overview • Razumeti ključne elemente optimalnog rešenja za sigurnost. • Kako vršimo izbor odgovarajuće tehnologije ? • Koje su ostale komponente razumnog rešanja za sigurnost? • Kako se FIX protokol uklapa u optimalno rešenje za sigurnost. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  3. Fundamental Business – Information Security Contradictions • Potrebe biznisa za komunikacijom i razmenom informacija sa što većim brojem klijenata – ali ne možemo da delimo sve niti želimo da delimo sa svima. • E – poslovanje je imperativ ali sotverske aplikacije su složenenije nego se može zamisliti te su stoga računari nebezbedni. • Poslovni ciljevi: biti prvi na tržištu sa konkurentnom cenom, ali potrebni su i vreme i novac za razvijanje sigurnih rešenja. • Sistemi bi trebalo da budu laki za korišćenje ali rešenja za sigurnost nisu uvek jednostavna za korisnike. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  4. How to Solve the Problem:Easy Solutions (That don’t Work) • Ignorisati problem – ne preduzimati ništa! Nije više opcija: • Regulativa privatnosti i sigurnosti postaje vrlo striktna, • Nizak nivo poverenja potrošača može da upropasti posao. • Zaštititi (npr. enkriptovati) sve! Takođe nije više opcija: • Izuzetno skupo, • Nepromišljena, uniformna zaštita se zavriši sa odobravanjem pristupa svima i na kraju ne štiti nikog Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  5. How to Solve the Problem:Business Risk Based Solution • Identifikovati osetljivu informaciju – zapamtite, štitimo informaciju a ne računare! • Analizirati pretnje – ko bi bio zainteresovan za informaciju. • Razviti arhitekturu rešenja za sigurnosti. • Identifikovati slabe tačke. • Proceniti da li je rizik prihvatljiv. • Ponoviti toliko puta koliko je potrebno za optimiziranje prinosa na investiciju. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  6. Information Characterisation: Example Visoka karakterizacija resursa trgovačkog sistema može identifikovati sledeće grupe podataka: • Izveštaji Reutersa o ceni akcija(integritet, raspoloživost) • Analiza trenda kretanja cena (poverljivost, integritet) • Sumarni izveštaji o završenim transakcijama (poverljivost,integritet) • Trgovački sistem (poverljivost, integritet, raspoloživost) • Privatne informacije trgovca (poverljivost, integritet) Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  7. Security Solution Architecture • Arhitektura rešenja za sigurnost uključuje: • Poslovne procese, • Tenička rešenja koja uzimaju u obzir karakteristike postojeće infrastrukture i strateški pravac razvoja tehnologije, • Ljude i njihovu motivaciju, trening, proveru porekla. • Rešenje takođe uzima u obzir i: • Pravnu i zakonsku regulativu (npr. privatnost) • Vreme za tržišna, finansijska i ograničenja u pogledu rizika. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  8. How to Determine if the Risk is Acceptable • Pitanja koja treba razmotriti u određivanju da li je rizik prihvatljiv: • Koji je racio između očekivanih prihoda i gubitaka? • Koji je racio između očekivanog gubitka i investicija potrebnih da bi se problem rešio? • Šta je uobičajena praksa u industriji? • Šta radi konkurencija? • Kako bi javnost i potrošači reagovali na slučaj povrede privatnosti? • Da li postoje pravni ili regulatorni zahtevi koji bi na primorali na rešavanje problema? Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  9. Why are the Standards Important in Security? • Ne postoji ultimativan dokaz da je bilo koje rešenje za sigurnost sigurno. • Najbolje što možemo reći o nekom algoritmu ili metodologiji je da ne postoji poznati metod da bi se u nju provalilo. Still, “Enigma” – Smatrano je da je u nemačiki sistem enkripcije nemoguće provaliti, dok su SAD i UK imale metod i čitale su “zaštićene” poruke nekih 30 godina nakon II svetskog rata. • Standardna rešenja obično se revidirana od strane niza specijalista i u upotrebi su od strane drugih kompanija. • Vrlo je verovatno da rešenja imaju greške koje mogu ugroziti sigurnost. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  10. How to Secure FIX Protocol FIX se oslanja na infrastrukturu za sigurnost standardnu u industriji: autentifikacija i enkripcija se vrše od strane eksternih sigurnosnih protokola. Može biti zaštićen putem: • Virtuelnom privatnom mrežom (VPN), • Tunnelling-omkoji koristi SSL ili TLS, • Sigurnost bazirana na softveru ili hardveru, • Privatnim iznajmljenim linijama • Upotrebom provajdera mreze koji obezbedjuje sigurnost kao deo usluge. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  11. FIX Protocol Usage Scenario: Information to be Protected and Threats • Trgovačke informacije moraju biti zaštićene. • Integritet je ključan u većini slučajeva, • Informacija može biti javna, poverljiva, ili poverljiva u toku ograničenog vremenskog perioda. • Šta su pretnje – maliciozne namere ili nenamerne greške: • Zaposlenog koji vodi sistem, • Inženjera koji su implementirali aplikaciju, • Osoblja koje održava kod, • Konkurencije, • Poslovnih partnera, • Hakera. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  12. FIX Protocol Usage Scenario: Protection Mechanisms Kako da se zaštitimo od pretnji: • Zaposleni koji upravljaju sistemom – proverom porekla, ograničenim pristupom, pravnim konsekvencama. • Inženjeri koji su implementirali aplikaciju – sigurna praksa razvoja, revizije softvera po pitanju sigurnosti, razdvajanjem obaveza, pravne posledice. • Osoblje koje održava kod– razdvajanjem obaveza. • Konkurencija – enkripcija, teške pravne posledice za neodgovarajuće ponašanja. • Poslovni partneri – proces saldiranja. • Hakeri – neizlaganje FIX intefejsa na internetu, odvajanje saograćaja mreže, VPN, tunnelling itd. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  13. Key Conclusions • Sistem koji štiti od svim mogućih napada, čak iako je moguće izgraditi ga, bi bio nepotrebno složen i skup. • Analiza poslovnog rizika koja uzima u obzir relevatne pretnje i ranjiva mesta pruža odgovor na pitanje koliko nam sigurnosti treba i takođe optimizira prinos na investiciju. • Standardna rešenja, revidirana i u upotrebi od strane broja kompanija imaju veću šansu da budu sigurna. • FIX protokol koristi standardna sigurnosna rešenja koja selektivno mogu biti primenjena u obezbedjivanju zaštite adekvatne poslovnom riziku. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  14. Questions and Answers Hvala vam! Možete me kontaktirati i kasnije: miroslav.kis@ieee.org Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

  15. About the Author • Miroslav Kis je izvršni konsultant - Senior Business Technology Specialist specijalizovan za informacionu sigurnost i sistemsku arhitekturu. Ima više od 20 godina iskustva u informacionoj sigurnosti, menadžmentu, arhitekturama sustema visoke sigurnosti, unapredjenju procesa i istraživanju i razvoju za industriju. Dr. Kis je industrijski ekspert za integraciju prakse sigurnosti informacija u ciklus razvoja softvera. • Nekoliko projekata baziranih na rešenjima predloženim od strane Dr. Kisa su nagrađena od strane kanadske vlade za naučna istrživanja primenjena u industriji. On je redovan član za davanje predloga za nagrađivanje Veća Kanade za prirodne nauke i inženjering istraživanja. • D. Kis je redovan predavač na medjunarodnim i vladinim konferencijama o razvoju sistema, sigurnosti informacija i garancije kvaliteta. Autor je više od trideset objavljenih radova i prezentacija. . • Dr. Kis ima titulu doktora,Ph.D.,za računarsku nauku. On poseduje sertifikat za TOGAF Certified and Certified Information Systems Security Professional. Član je Association of Open Group Enterprise Architects i Institute of Electrical and Electronics Engineers. Dr. Miroslav Kis: InformacijeSigurnost: O poslovnom riziku i standardima

More Related