1 / 26

Интелигентни мобилни устройства

Интелигентни мобилни устройства. Рискове и противодействия за корпоративна безопасност. Найден Неделчев PhD, CGEIT, CISM, CEH, ITSM. Накратко. Професионална квалификация Certified Information Security Manager Certified in the Governance of Enterprise IT ITIL v2 Service Manager

barton
Download Presentation

Интелигентни мобилни устройства

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Интелигентни мобилни устройства Рискове и противодействия за корпоративна безопасност Найден Неделчев PhD, CGEIT, CISM, CEH, ITSM 10-та Регионална конференция по информационна сигурност и съхранение на данни

  2. Накратко ... • Професионална квалификация • Certified Information Security Manager • Certified in the Governance of Enterprise IT • ITIL v2 Service Manager • Master IT Industry Knowledge Analyst • Certified Ethical Hacker • CompTIA Security+ • Професионален опит • Над 15 год. в управлението на ИТ и сигурността • Извънпрофесионална дейност • УС на Клуба на ИТ Мениджърите в България • ISACA International Publications Board • ISACA Government and Regulatory Agencies Board – Europe • ISACA Information Security and Risk Management Conference Task Force • Internet Webmasters Association 10-та Регионална конференция по информационна сигурност и съхранение на данни

  3. Резюме ... Бизнес ключови фактори за мобилност Рискове на мобилността Водещи практики за мобилна сигурост 10-та Регионална конференция по информационна сигурност и съхранение на данни

  4. Статистика ... 35% от служителите в световен мащаб ще преминат напълно към мобилна схема на работа до 2013 57% от служителите в световен мащаб използват мобилни устройства за служебни цели 69% от организациите са засекли използването на лични мобилни устройства в своята ИТ инфраструктура 36% от притежателите на мобилни устройства през последната година са загубили или им е било отграднато такова устройство 41% на мнение че отговорността за сигурността на устройствата е в техните производители 29% в създателите на ОС за устройствата 14% в доставчика на комуникационни услуги 10-та Регионална конференция по информационна сигурност и съхранение на данни

  5. Казус ... • Типичен въпрос: • Ако: • организацията ни не предоставя на служителите си интелигентни мобилни устройства; • информационните ни системи не са предвидени за работа с такива устройства. трябва ли да се притеснявам от тяхното съществуване? • Правилен въпрос: • Как мога да осигуря приемливо ниво на безопасност в ИТ инфраструктурата на организацията за всички устройства, които могат да се свържат директно или индиректно към нея? 10-та Регионална конференция по информационна сигурност и съхранение на данни

  6. Бизнес ключови фактори за мобилност • Възможности за мобилни услуги: • Консултация • История на клиента • Финансови операции (факториране) • Справки/резултати • Взаимодействия с администрация (е-правителство) • Издаване на предписания/рецепти • Диагностика • Наблюдение на пациенти • Абонаменти за услуги • Двустранни протоколи • Комуникация между партньори • Търговия • Отдалечено администриране на системи • Развлечения 10-та Регионална конференция по информационна сигурност и съхранение на данни

  7. Бизнес ключови фактори за мобилност (2) • Ползи от мобилни услуги: • Следене и управление на ресурси/активи • Оптимизиране/рационализация на процеси • Намаляване на бюрокрацията • Намаляване на разходите • Подобряване на безопасността • Предоставяне на възможност за спешен достъп • Предоставяне на възможност за достъп от разстояние 10-та Регионална конференция по информационна сигурност и съхранение на данни

  8. Бизнес ключови фактори за мобилност (3) Мобилен телефон (днес) • Краткосрочна памет: 128MB-512MBRAM • Трайна памет: 1GB – 64GB • Процесор: 1000 MHz • Тегло: 120 грама • Стойност: $250 • Предимства • Удобство • Подвижност • Функционалност Суперкомпютър Cray 1 (1976) • Краткосрочна памет : 8MB RAM • Трайна памет : 2,82 GB • Процесор: 80 MHz • Тегло: 5,25 тона • Стойност: $8,8 million • Предимства • Контрол • Надеждност • Безопасност По-малки, по-бързи, по-евтини ... 10-та Регионална конференция по информационна сигурност и съхранение на данни

  9. Бизнес ключови фактори за мобилност – заключение Информационните технологии ще играят все по-ключова роля в доставката от разстояние на услуги при изпълнението на динамични бизнес процеси и мобилни услуги за служители и клиенти. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  10. Рискове на мобилността • Тенденцията към увеличаване на мобилността е породена от нейното търсене както от страна на бизнеса така и на крайния потребител. • Разбирането на рисковете към мобилността и средствата за защита започва с разбиране на мобилните услуги и средствата/технологиите, чрез които те се осъществяват. • Самoстоятелно технологиите не могат да предоставят достатъчна защити при обслужването на клиентите. • Сигурността на мобилните услуги изисква цялостна стратегия, която включва хора, процеси и технологии. • Стратегията трябва да определи какво е необходимо да се защити, от кои слабости и какви заплахи, чрез какви мерки за сигурност, които като цяло водят до смекчаване на присъщите рискове към мобилните услуги и устройства. • Водещите рискове, които трябва да се адресират в мобилната сигурност, включват: • опазване на информацията (лична или служебна); • удовлетворяване на регулаторните/индустриални/договорни изисквания; • гарантиране на достъпа до услугите; • запазване на базовото ниво на сигурност на ИТ инфраструктурата; 10-та Регионална конференция по информационна сигурност и съхранение на данни

  11. Рискове на мобилността (2) Обхват (типове мобилни устройства) 10-та Регионална конференция по информационна сигурност и съхранение на данни

  12. Рискове на мобилността (3) • Слабости намобилни технологии: • Липса на вградени решения за сигурност • Отворена и лесно за доразработване експлоатационна архитектура • Слаб физически контрол над устройствата • Слаб контрол над свързаността • Слабости на комуникационните технологии • Слаби механизми за легитимиране и оторизиране на потребители и устройства • Лоши работни практики при ползване на устройства • Слаба защита при съхранение на данни 10-та Регионална конференция по информационна сигурност и съхранение на данни

  13. Рискове на мобилността (4) • Заплахи към мобилни технологии: • Местонахождение (Geinimi/Andorid) • Руткит (Fat/iOS) • Блокиране на приложения (Skulls.a/Symbian) • Финансови измами (SMS.AndroidOS.FakePlayer.a/Android) • Акредитиви (iBotnet.A/iOS) • Блокиране на услуга (Curse of Silence/Symbian) • Скрит достъп (Backdoor.WinCE.Brador/Windows Mobile) • Контрол над устройство (FC.Downsis.A/Symbian) • Достъп до информация (Sxjspy/Windows Mobile) 10-та Регионална конференция по информационна сигурност и съхранение на данни

  14. Рискове на мобилността – заключение Увеличаващият се брой на достъпните през мобилни устройства услуги и на технологиите, които ги осъществяват, в съчетание с експоненциалния растеж на продаваните мобилни устройства правят за всяка организация императивно адресираните на свързаните с тях рискове. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  15. Водещи практики за мобилна сигурост • Съвет #1: • Разработете организационна политика и стратегия за употреба на мобилни устройство. Изберете пътищата по които най-пълноценно но и безопасно организацията ви може да се възползва от развитието на мобилните технологии. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  16. Водещи практики за мобилна сигурост • Съвет #2: • Заложете на внимателния подбор на мобилните устройства за служебно ползване. Изберете устройства с най-висока степен на възможност за контрол и защита. Централизираното управление и възможността за разпознаване в ИТ инфраструктурата са други полезни характеристики. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  17. Водещи практики за мобилна сигурост • Съвет #3: • Проектирайте ИТ инфраструктурата за свързване на мобилни устройства към нея. Запазете отделен сегмент за разпознаваемите устройства на организацията и изолирайте останалите в отделна демилитаризирана зона. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  18. Водещи практики за мобилна сигурост • Съвет #4: • Третирайте всички мобилни устройства като неконтролирани крайни устройства. Доминиращо мобилните устройства са проектирани за индивидуална, а не за корпоративна употреба. Това затруднява пълноценното налагане на политиките за сигурност. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  19. Водещи практики за мобилна сигурост • Съвет #5: • Използвайте криптиращи протоколи за служебния трафик. Мобилните комуникации по правило са безжични и по тази причина лесно проследими. Уверете се че служебните комуникации протичат по защитени с SSL мрежови протоколи. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  20. Водещи практики за мобилна сигурост • Съвет #6: • Наложете криптиращо решение за съхраняваните на устройствата данни. Мобилните устройства се губят лесно, а съхраняваните на тях данни са с все по-голям обем. Гарантирането на поверителния характер на данните е въпрос на законосъобразност и конкурентно предимство. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  21. Водещи практики за мобилна сигурост • Съвет #7: • Изисквайте легитимиране при ползване на устройство или бизнес приложение. Самоличността на потребителите на мобилни услуги може да бъде открадната, симулирана или неправомерно споделена. Предоставянето на код, парола или друг начин за потвърждение на личността е задължителна мярка. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  22. Водещи практики за мобилна сигурост • Съвет #8: • Въведете процедура за реагиране при (като минимум) загуба/кражба на устройство. Предприемането на спешни мерки при инциденти с мобилни устройства, като например отдалечено изтриване на паметта, прави разликата между неконтролираното изтичане на информация и ограничаване на претърпените щети. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  23. Водещи практики за мобилна сигурост • Съвет #9: • За сегмента на инфраструктурата с мобилните устройства осигурете система следящи за пробиви (IDS), а за самите устройства такава за зарази (AV). Възможностите на съвремените интелигентни мобилни устройства са почти идентични с тези на персоналните компютри – те могат да послужат като инструмент за осъществяване на изключително сложни атаки. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  24. Водещи практики за мобилна сигурост • Съвет #10: • Контролирайте инсталирането на допълнителен софтуер. В непроверените програми, преобладаващата част от които са с неясен произход, често се крият различни по вид скрити механизми за достъп или управление на различни компоненти от мобилните устройства. Служителите трябва добре да разбират тази опасност. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  25. Водещи практики за мобилна сигурост – заключение Подходящите мерки за защита на мобилните устройства са в помощ на организациите да отговоря адекватно на изискванията за информационна сигурност, поставяни от регулаторни, договорни норми или индустриални стандарти. Правилният контрол на мобилните устройства помага за предотвратяване и/или смекчаване на последиците от злоупотреби, измама или изтичане на информация, като по този начин допринася за защита на името и репутацията на организациите. 10-та Регионална конференция по информационна сигурност и съхранение на данни

  26. Източници ... ISACA, “Securing Mobile Devices”, 2010 ENISA, “Smartphones : Information security risks, opportunities and recommendations for users”, 2010 ENISA, Mobile Identity Management, 2010 ENISA, Security Issues in the Context of Authentication Using Mobile Devices, 2008 IDC, Worldwide Mobile Worker Population 2007-2011 Forecast, 2007 Gartner, Magic Quadrant for Mobile Data Protection, 2010 Gartner, Magic Quadrant for Mobile Device Management Software, 2011 NIST, SP 800-124: Guidelines on Cell Phone and PDA Security, 2008 Mocana, Mobile & Smart Devices Security Survey 2011: Device Malware Takes Off Good Technology, Mobile Device Security - Securing the Handheld, Securing the Enterprise, 2009 10-та Регионална конференция по информационна сигурност и съхранение на данни

More Related