kibernetinė sauga. vadovo požiūris. r.lečickis
TRANSCRIPT
![Page 1: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/1.jpg)
![Page 2: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/2.jpg)
Kibernetinė sauga. Vadovo požiūris
Romualdas Lečickis
CISA, CISM, CGEIT, CRISC
[email protected], +370 612 73994
UAB NRD CS
![Page 3: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/3.jpg)
Išplėstas kibernetinės saugos supratimas
https://ccis.no/cyber-security-versus-information-security/
![Page 4: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/4.jpg)
Ar kibernetinė sauga jau svarbi?
There are two kinds of companies.
Those that have been hacked, and
those that have been hacked but
don’t know it yet.
*House Intelligence Committee Chairman Mike Rogers.
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/1130
11CyberSecurityLegislation.pdf. 2011.
![Page 5: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/5.jpg)
82% mano, kad kibernetinės saugos užtikrinimas yra
svarbiausias prioritetas
http://www.csc.com/cio_survey_2014_2015
![Page 6: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/6.jpg)
91% finansinių organizacijų įvardijo kibernetinę saugą
svarbiausiu prioritetu
http://www.csc.com/cio_survey_2014_2015
![Page 7: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/7.jpg)
Kibernetinei saugai skiriamas didžiausias dėmesys
http://www.csc.com/cio_survey_2014_2015
![Page 8: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/8.jpg)
Vadovams dažnai trūksta informacijos
apie kibernetinę saugą
Tipinė nepakankamai informuoto vadovo savijauta:
• Aš turiu žmones, kurie rūpinasi kibernetine sauga, tačiau mes kalbame skirtingomis kalbomis.
• Aš nelabai suprantu apie ką jie kalba ir nesu tikras ar jie mane supranta. Manau, mes turime tiesiog pasitikėti vienas kitu.
• Aš suprantu, kad kibernetinė sauga svarbu, tačiau nežinau ar mes tikrai tai užtikriname. Kaip tai išmatuoti?
• Aš susirūpinęs dėl išlaidų kibernetinei saugai, nes nežinau, ar išleidžiame daug, ar mažai, ar visgi tiek, kiek reikia.
• ...
![Page 9: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/9.jpg)
Kibernetinės saugos klausimai, į kuriuos vadovas galėtų
ieškoti atsakymų
1. Kokios kibernetinės grėsmės mums aktualios ir
kokia galima šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo kibernetinių
grėsmių?
3. Kaip mes sužinosime, kad prieš mus buvo
įvykdyta kibernetinė ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi kompetentingi
darbuotojai?
5. Ar mūsų išlaidos kibernetinei saugai adekvačios?
![Page 10: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/10.jpg)
NIST ir ENISA patarimai. Nauda vindikacijos tarnybai
Framework for Improving Critical Infrastructure Cybersecurity, NIST February 12, 2014. http://www.nist.gov/cyberframework/
![Page 11: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/11.jpg)
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
COBIT 5 Enabling Processes COBIT 5 for Information Security COBIT 5 for Risk Risk Scenarios Using COBIT 5 for Risk …
![Page 12: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/12.jpg)
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Pages/default.aspx
![Page 13: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/13.jpg)
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/CERTIFICATION/Pages/default.aspx
![Page 14: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/14.jpg)
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Conferences/Pages/default.aspx
![Page 15: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/15.jpg)
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/cyber/Pages/default.aspx
![Page 16: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/16.jpg)
CSX leidiniai
![Page 17: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/17.jpg)
Pradžia - Cybersecurity Fundamantals Course
Temos:
1. Cybersecurity Concepts
2. Security Architecture Principles
3. Security of Networks, Systems,
Applications and Data
4. Incident Response
5. Security Implications and Adoption of
Evolving Technology
Galimybė laikyti egzaminą ir gauti sertifikatą.
![Page 18: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/18.jpg)
Kokį standartą/metodiką naudoti?
Kaip matuoti efektyvumą?
ISO/IEC 27001:2005, ISO/IEC 27002:2005
ISO/IEC 27004:2009
NIST SP 800-53, NIST SP 800-53A, NIST SP 800-30
NIST SP 800-55
Critical Security Controls Critical Security
Controls
COBIT 5, CSX COBIT 5 for Information
Security, CSX
18
![Page 19: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/19.jpg)
Sutarkime, ką matavimo rezultatai reiškia
http://hermentorcenter.com/2013/05/14/can-workplace-stress-ever-be-good/pouring-water-in-a-glass-collection-isolated/
19
![Page 20: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/20.jpg)
ISO/IEC 27004:2009
• Pataria kaip matuoti
ISVS pagal ISO/IEC
27001:2005
• Pataria kaip matuoti
kontrolės priemones
pagal ISO/IEC
27002:2005
• Matavimų šablonas
• Pateikiama 14 pvz.
20
![Page 21: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/21.jpg)
NIST SP 800-55
• Pataria, kaip įdiegti
informacijos saugos
matavimą organizacijoje
• Pateikiama 19 pvz.
• 3 tipų matavimai:
o Įgyvendinimo matavimas
o Efektyvumo matavimas
o Įtakos matavimas
21
![Page 22: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/22.jpg)
Critical Security Controls
Konkreti informacija:
• Efektyvumo
metrikos
• Automatizavimo
metrikos
22
![Page 23: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/23.jpg)
COBIT 5 for Information Security
• 37 IT valdymo ir
vadovavimo procesai
• Informacijos saugos tikslai
ir metrikos
23
![Page 24: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/24.jpg)
COBIT 5 – procesų matavimo pvz.
• ~ 100 su IT sauga susijusių procesų tikslų pvz.
• ~ 100 su IT sauga susijusių procesų matavimų pvz.
24
![Page 25: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/25.jpg)
Kokia patirtimi pasinaudoti?
COBIT 5 for Information Security, CSX
jei info/kiber sauga yra įmonės/IT valdymo integrali dalis
ISO/IEC 27004:2009 jei turime ISVS ir naudojame ISO/IEC 27001
NIST SP 800-55 jei įdomi draugiškos šalies patirtis
Critical Security Controls
jei svarbi tik kibernetinė sauga
Lietuvos teisinė bazė jei aktualu atitikti teisės aktų reikalavimams
25
![Page 26: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/26.jpg)
Matuokime tik tai, kas yra svarbiausia
![Page 27: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/27.jpg)
KPI Quick Wins Pvz.
𝑎 =stebimų svarbių išteklių kiekisbendras svarbių išteklių kiekis
=> 1
𝑏 =išspręstų incidentų kiekis
identifikuotų incidentų kiekis => 1
27
![Page 28: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/28.jpg)
Atsakymai į kibernetinės saugos klausimus,
kurių vadovas galėtų ieškoti
1. Kokios kibernetinės grėsmės
mums aktualios ir kokia galima
šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo
kibernetinių grėsmių?
3. Kaip mes sužinosime, kad prieš
mus buvo įvykdyta kibernetinė
ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi
kompetentingi darbuotojai?
5. Ar mūsų išlaidos kibernetinei
saugai adekvačios?
1. Atliktas rizikos vertinimas (COBIT 5 for Risk, ISO27005, ...)
2. Įdiegtos techninės ir organizacinės priemonės, vykdomas matavimas (COBIT 5 for Security, ISACA CSX, CSC20, ISO27002...)
3. Įdiegtas stebėjimas (COBIT 5 for Security, ISACA CSX, CSC20...)
4. Sertifikuoti specialistai, naudojantys pasaulines metodikas (CISM, CISA, CRISC, CGEIT, CSX, COBIT 5 for Security, CSC20, ...)
5. Atsako rizikos vertinimas (1 punktas)
![Page 29: Kibernetinė sauga. Vadovo požiūris. R.Lečickis](https://reader036.vdocuments.net/reader036/viewer/2022081801/55a930b41a28ab732a8b45a5/html5/thumbnails/29.jpg)
Dėkoju už dėmesį
Romualdas Lečickis
CISA, CISM, CGEIT, CRISC
[email protected], +370 612 73994, UAB NRD CS