Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola
2 Příběh Organizace dala výpověď dlouholetému zaměstnanci Zaměstnanec se rozhodl zlepšit svoje postavení na trhu práce a pomstít se stávajícímu zaměstnavateli Okopíroval si na několik CD s rozsáhlými soubory dat a způsobil tak zaměstnavateli velkou škodu
3 Proč se to stalo - pohled IT Organizace nemá komplexní bezpečnostní politiku Úsek informačních technologií nebyl upozorněn personálním oddělením na výpověd Úsek informačních technologii nemohl včas monitorovat podezřelou činnost pracovníka ve výpovědi Úsek informačních technologii nemohl včas pracovníkovi ve výpovědi zrušit přístup v rámci počítačové sítě
4 Proč se to stalo - pohled HR Při výběrovém řízení nepoužity validní zdroje ke získání informací o zaměstnanci Při postupu na vyšší pozici nerealizován benchmarking Neakceptace pravidel bezpečnosti Slabé Bezpečnostní povědomí Pravděpodobná neznalost důsledků bezpečnostního incidentu pro zaměstnance
5 Proč se to stalo - pohled bezpečnosti Nevhodné procesy při propouštění- trvá přístup k datům Málo účinné způsoby ochrany dat Benevolence vlastníků aplikací v přidělování oprávnění k přístupu a rušení nepotřebných přístupů Nedostatky v personální bezpečnosti Neúčinné nástroje dohledu nad bezpečností IT provozu – nestandardní operace Neefektivní bezpečnostní politika organizace a její implementace Slabé bezpečnostní povědomí v organizaci
6 Řešení na základě analýzy - pohled IT Základní bezpečnostní normy a směrnice: bezpečnostní politika provozní směrnice informačního systému systém dalších vnitřních bezpečnostních předpisů Budování bezpečnostního povědomí Odpovídající ochrana dat a přístupů Dohled nad provozem informačních technologií – spolupráce bezpečnostního útvaru s úsekem informačních technologií Pravidelný reporting managementu organizace – preventivní opatření, poukázání na incidenty Roční plánování finančních prostředků na prevenci a ochranu dat …. Moto:,,Porozumění a spolupráce“ ….
7 Řešení na základě analýzy - pohled HR Screeningů osobnostních dimenzí nový zaměstnanec-povýšení-specifika Pravidelný systém hodnocení a řízené interview HR útvar vypracuje v součinnosti s útvary IT a interní bezpečnosti Interní směrnici postupů při rozvázání pracovního poměru V projektu „Bezpečnostní management“ rozpracovány jednotlivé útvary specificky HR útvar - profesionálně a validními metodami vybírá zaměstnance, kteří budou zacházet s confidential materiály a s Know How organizace …. Moto:,,Porozumění a spolupráce“ ….
8 Řešení na základě analýzy - pohled bezpečnosti Bezpečnostní politika Systém vnitřních bezpečnostních předpisů Budování bezpečnostního povědomí Odpovídající ochrana dat a přístupů Bezpečnostní dohled nad IT provozem Relevantní procesy …. Moto:,,Porozumění a spolupráce“ ….
9 Nabídka služeb - pohled IT Praktická realizace HW a SW řešení v souladu se základními bezpečnostní normami a směrnicemi organizace: bezpečnostní politikou provozní směrnicí informačního systému systém dalších vnitřních bezpečnostních a provozních předpisů Vybudování rozsáhlého monitorovacího systému včetně odpovídající ochrany dat a přístupů Kompletní analýza logů provozovaných systémů z pohledu bezpečnosti IT Pravidelný reporting managementu organizace s upozorněním na preventivní opatření a stávající incidenty Spolupráce při roční plánování finančních prostředků na prevenci a ochranu dat organizace
Nabídka služeb - pohled HR Nový zaměstnanec Profesionální řízené interview Screening osobnostních dimenzí v kontextu Job Description Profesionální Assessment Center Efektivní systemizace Procesní audit včetně nápravných opatření Pozice jednoznačně popsány - Job Description dle EU ISO norem v rámci standardů Intosai Eliminace neefektivního zdvojení činností – definovaná zastupitelnost Zařazení zaměstnance do specifické pozice Definice specifické pozice Směrnice – bezpečnostní pravidla práce v těchto pozicích Pravidelný screening a benchmarking zaměstnanců v těchto pozicích Periodické bezpečnostní povědomí Top managementem podporuje systém „Bezpečnostního managementu“ Participace všech útvarů organizace Periodické bezpečnostní aktivity realizované výhradně interními zdroji Personální audit Analýza HR výkonných procesů z bezpečnostního pohledu Analýza osobní struktury u vybraných pracovních pozic
Nabídka služeb - pohled bezpečnosti Zpracování systémového řešení komplexní bezpečnosti Zpracování systémového návrhu řešení IS, programové podpory a technických prostředků Zpracování návrhu bezpečnostní politiky, řízené bezpečnosti IS a komplexu interních bezpečnostních norem, politik, směrnic a standardů Zpravování návrhu bezpečnostních procesů a procesů souvisejících
ale u vás se to stát nemůže, protože vy máte komplexní bezpečnost !Děkujeme za pozornost... ale u vás se to stát nemůže, protože vy máte komplexní bezpečnost !Děkujeme za pozornost …..ale u vás se to stát nemůže, protože vy máte komplexní bezpečnost ! Děkujeme za pozornost