Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.

Prezentace na téma: "Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola."— Transkript prezentace:

1 Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola

2 www.novasoft-consulting.cz www.iqi.cz 2 Příběh  Organizace dala výpověď dlouholetému zaměstnanci  Zaměstnanec se rozhodl zlepšit svoje postavení na trhu práce a pomstít se stávajícímu zaměstnavateli  Okopíroval si na několik CD s rozsáhlými soubory dat a způsobil tak zaměstnavateli velkou škodu

3 www.novasoft-consulting.cz www.iqi.cz 3 Proč se to stalo - pohled IT  Organizace nemá komplexní bezpečnostní politiku  Úsek informačních technologií nebyl upozorněn personálním oddělením na výpověd  Úsek informačních technologii nemohl včas monitorovat podezřelou činnost pracovníka ve výpovědi  Úsek informačních technologii nemohl včas pracovníkovi ve výpovědi zrušit přístup v rámci počítačové sítě

4 www.novasoft-consulting.cz www.iqi.cz 4 Proč se to stalo - pohled HR  Při výběrovém řízení nepoužity validní zdroje ke získání informací o zaměstnanci  Při postupu na vyšší pozici nerealizován benchmarking  Neakceptace pravidel bezpečnosti  Slabé Bezpečnostní povědomí  Pravděpodobná neznalost důsledků bezpečnostního incidentu pro zaměstnance

5 www.novasoft-consulting.cz www.iqi.cz 5 Proč se to stalo - pohled bezpečnosti  Nevhodné procesy při propouštění- trvá přístup k datům  Málo účinné způsoby ochrany dat  Benevolence vlastníků aplikací v přidělování oprávnění k přístupu a rušení nepotřebných přístupů  Nedostatky v personální bezpečnosti  Neúčinné nástroje dohledu nad bezpečností IT provozu – nestandardní operace  Neefektivní bezpečnostní politika organizace a její implementace  Slabé bezpečnostní povědomí v organizaci

6 www.novasoft-consulting.cz www.iqi.cz 6 Řešení na základě analýzy - pohled IT  Základní bezpečnostní normy a směrnice:  bezpečnostní politika  provozní směrnice informačního systému  systém dalších vnitřních bezpečnostních předpisů  Budování bezpečnostního povědomí  Odpovídající ochrana dat a přístupů  Dohled nad provozem informačních technologií – spolupráce bezpečnostního útvaru s úsekem informačních technologií  Pravidelný reporting managementu organizace – preventivní opatření, poukázání na incidenty  Roční plánování finančních prostředků na prevenci a ochranu dat …. Moto:,,Porozumění a spolupráce“ ….

7 www.novasoft-consulting.cz www.iqi.cz 7 Řešení na základě analýzy - pohled HR  Screeningů osobnostních dimenzí nový zaměstnanec-povýšení-specifika  Pravidelný systém hodnocení a řízené interview  HR útvar vypracuje v součinnosti s útvary IT a interní bezpečnosti Interní směrnici postupů při rozvázání pracovního poměru  V projektu „Bezpečnostní management“ rozpracovány jednotlivé útvary specificky  HR útvar - profesionálně a validními metodami vybírá zaměstnance, kteří budou zacházet s confidential materiály a s Know How organizace …. Moto:,,Porozumění a spolupráce“ ….

8 www.novasoft-consulting.cz www.iqi.cz 8 Řešení na základě analýzy - pohled bezpečnosti  Bezpečnostní politika  Systém vnitřních bezpečnostních předpisů  Budování bezpečnostního povědomí  Odpovídající ochrana dat a přístupů  Bezpečnostní dohled nad IT provozem  Relevantní procesy …. Moto:,,Porozumění a spolupráce“ ….

9 www.novasoft-consulting.cz www.iqi.cz 9 Nabídka služeb - pohled IT  Praktická realizace HW a SW řešení v souladu se základními bezpečnostní normami a směrnicemi organizace:  bezpečnostní politikou  provozní směrnicí informačního systému  systém dalších vnitřních bezpečnostních a provozních předpisů  Vybudování rozsáhlého monitorovacího systému včetně odpovídající ochrany dat a přístupů  Kompletní analýza logů provozovaných systémů z pohledu bezpečnosti IT  Pravidelný reporting managementu organizace s upozorněním na preventivní opatření a stávající incidenty  Spolupráce při roční plánování finančních prostředků na prevenci a ochranu dat organizace

10 www.novasoft-consulting.cz www.iqi.cz 10 Nabídka služeb - pohled HR  Nový zaměstnanec  Profesionální řízené interview  Screening osobnostních dimenzí v kontextu Job Description  Profesionální Assessment Center  Efektivní systemizace  Procesní audit včetně nápravných opatření  Pozice jednoznačně popsány - Job Description dle EU ISO norem v rámci standardů Intosai  Eliminace neefektivního zdvojení činností – definovaná zastupitelnost  Zařazení zaměstnance do specifické pozice  Definice specifické pozice  Směrnice – bezpečnostní pravidla práce v těchto pozicích  Pravidelný screening a benchmarking zaměstnanců v těchto pozicích  Periodické bezpečnostní povědomí  Top managementem podporuje systém „Bezpečnostního managementu“  Participace všech útvarů organizace  Periodické bezpečnostní aktivity realizované výhradně interními zdroji  Personální audit  Analýza HR výkonných procesů z bezpečnostního pohledu  Analýza osobní struktury u vybraných pracovních pozic

11 www.novasoft-consulting.cz www.iqi.cz 11 Nabídka služeb - pohled bezpečnosti  Zpracování systémového řešení komplexní bezpečnosti  Zpracování systémového návrhu řešení IS, programové podpory a technických prostředků  Zpracování návrhu bezpečnostní politiky, řízené bezpečnosti IS a komplexu interních bezpečnostních norem, politik, směrnic a standardů  Zpravování návrhu bezpečnostních procesů a procesů souvisejících

12 www.novasoft-consulting.cz www.iqi.cz 12...... ale u vás se to stát nemůže, protože vy máte komplexní bezpečnost !Děkujeme za pozornost... ale u vás se to stát nemůže, protože vy máte komplexní bezpečnost !Děkujeme za pozornost …..ale u vás se to stát nemůže, protože vy máte komplexní bezpečnost ! Děkujeme za pozornost