how to safe your company from having a security breach

How to save your company from having a security breach

Matej Zachar Project & Security Manager

Ota Čermák Business Development

Manager

SAFETICA TECHNOLOGIES • ESET Technology Alliance Partner

• Czech company

• 60 employees

• Developing security software since 2009

• 30 000 protected devices in 50 countries with over 300 customers

Předvádějící

Poznámky prezentace

Vývojem IT security řešením se zabýváme od roku 2009. Sídlíme v Brně a poskytujeme tedy tu výhodu, že můžeme vyjet na instalaci, implementaci či odladit případné problémy přímo v prostředí zákazníka. Chráněná zařízení = počet stanic s klientem Safetica.

Předvádějící


Problém medzi stoličkou a klávesnicou Externý útočník napadne (phishing) Email na zlú adresu, vystavenie na web Otvorenie dverí

• Human error

• Abuse / fraud

• Problems in processes

ROOT CAUSES OF DATA LEAKAGE

• Chelsea and Westminster Hospital NHS Foundation Trust has been fined £180,000 after revealing the email addresses of more than 700 users of HIV service. The incident happened when a member of staff was sending newsletter and used field CC: instead of BCC:

• (9.5.2016, ico.org.uk)

HUMAN ERROR

Předvádějící


NHS je organizácia spravujúca nemocnice Anglicko – rovnaká legislatíva, ale veľké vynucovanie a pokuty Povinné zverejňovanie incidentov Citlivé zdravotné informácie 10 MINÚT

• 78 % of companies have already had a data leak

caused by an internal source

• 50 % of employees take sensitive data with them

when leaving a job

• 80 % of these plan to use this data in their new job

• (Ponemon Institute)

ABUSE / FRAUD

Předvádějící


... Ten zvyšok už ich dávno má alebo nemá čo odniesť

• Missing policies / guidelines

• E.g. data transfer

• Insufficient user awareness

• Lack of control mechanisms

PROCESSES

Předvádějící


Telco – najväčší malajzijský telekomunikačný operátor Telekom Malaysia Tender Evaluation Centre Tendrová dokumentácia Správa externých šifrovaných zariadení, kontrola procesov okolo využívania interného storage na uloženie dokumentov Každý deň dostanú zašifrované externé zariadenie na prenos, každý deň sa bezpečne skartuje + kontrola prístupov, fyzické opatrenia, ... Gorila autorizujúca flashky

• June 2016: Massive data leak • 1.2 million customer records • Insider sold the data • 133.000€ Fine • Front page headlines

• They admitted incident • (But played it down) X • Crisis communication • Remediation • Transparency

AUTOMOTIVE

Předvádějící


Za riaditeľom prišiel obchodník od konkurencie Dáta z CRM Každý export je kontrolovaný, obmedzený pohyb Controlling rieši dohľad nad rizikami IT spravuje systém, využíva audit IT prostriedkov

ENGINEERING

Předvádějící


CSA – konstruktér prodal plány na letadlo. Ted ho vyrabi konkurence jenom pod jinym nazvem, aniž by měli jakékoliv standardní výdaje na vývoj (kromě uplacení toho člověka) Takhle vzniká konkurence, firmy si ji v mnoha případech vychovají sami. Iná výrobná firma Vyrábajú obalové materiály na mieru Šéf vývoja si preposlal na súkromný webmail všetky výrobné plány a kontakty na zákazníkov Založil novú firmu Všeobecne – CADy, výkresy a exporty sa môžu pohybovať len v zóne firmy

• Every company.

WHO IS THE TARGET?

• Production companies and manufacturing

• Private Health care • Logistics • Automotive • Public sector • Financial sector, insurance,

advisory

• Law firms • Security forces, military

and suppliers • Utilities • Services • Pharmacy • Food and Beverages

WHO IS THE TARGET?

• Every company.

• Personal data - GDPR

• Know-how

• Financial data

• Employees

WHO IS THE TARGET?

Předvádějící


Personal data – General Data Protection Act Povinné oznamovanie Pokuty až 2% resp. 4% ročného obratu Know-how – môžem zobrať a založiť si vlastnú firmu Účtovníctvo – aj interne do firmy Česká spořitelna – údaje o odmenách a plate managementu Zamestnanci Odchádzajúci – produktivita, vyhľadávanie práce, odchádza s dátami Ľudia v skúšobnej lehote

• Get support from board • Identify risks • Classify the data • Secure their perimeter • Implement policies • Provide training

HOW TO DO IT

• „Open“ companies

• Agile development

• „Closed“ firms

• Hybrid approach

• Startups, young companies

CHOOSE THE RIGHT APPROACH

• Access to data

• Secure transfer

• User behavior

• Insider threat

FIND AND SOLVE ISSUES

• Be open to your employees

• Implement policies

• Train users

• Be aware of new and leaving staff

• Discuss everything!

DEVELOP RESPONSIBILITY

• Data Loss Prevention

• Security audit

• Encryption

• Mobile security

IMPLEMENT TECHNOLOGY

Předvádějící


Chrániš firmu = chrániš aj sám seba svoje miesto Zabezpečenie firmy Nikto nás nemôže napadnúť cez túto otvorenú cestu Ak nás už napadnú, nedostanú sa ku všetkému Ochrana zdieľaných zariadení napr. s rodinou, deťmi Ochrana pred chybou Nemusíš stále myslieť na to čo môžeš a čo nie Systém ťa varuje a vedie správnym smerom Ochrana „zvonku“ Útočník má obmedzené cesty ako k nám dostať malware – napr. nie USB Správne komunikovať false positives – žiaden systém nie je dokonalý – napr. zablokuje sa mi zoznam.sk kvôli XXX obsahu

• Based in Czech republic

• Creating products for physical security

• Management realizes

the importance of data

Předvádějící



1. Policies

2. Training using DLP notifications

3. Step-by-step protection of know-how

4. Monitoring of leaving employees

Předvádějící



THANK YOU FOR YOUR TIME

[email protected]

Matej Zachar Project & Security Manager

Ota Čermák Channel Sales Manager

[email protected]

mailto:[email protected]

mailto:[email protected]

how to safe your company from having a security breach

Software