How to save your company from having a security breach
Matej Zachar Project & Security Manager
Ota Čermák Business Development
Manager
SAFETICA TECHNOLOGIES • ESET Technology Alliance Partner
• Czech company
• 60 employees
• Developing security software since 2009
• 30 000 protected devices in 50 countries with over 300 customers
Předvádějící
Poznámky prezentace
Vývojem IT security řešením se zabýváme od roku 2009. Sídlíme v Brně a poskytujeme tedy tu výhodu, že můžeme vyjet na instalaci, implementaci či odladit případné problémy přímo v prostředí zákazníka. Chráněná zařízení = počet stanic s klientem Safetica.
Předvádějící
Poznámky prezentace
Problém medzi stoličkou a klávesnicou Externý útočník napadne (phishing) Email na zlú adresu, vystavenie na web Otvorenie dverí
• Human error
• Abuse / fraud
• Problems in processes
ROOT CAUSES OF DATA LEAKAGE
• Chelsea and Westminster Hospital NHS Foundation Trust has been fined £180,000 after revealing the email addresses of more than 700 users of HIV service. The incident happened when a member of staff was sending newsletter and used field CC: instead of BCC:
• (9.5.2016, ico.org.uk)
HUMAN ERROR
Předvádějící
Poznámky prezentace
NHS je organizácia spravujúca nemocnice Anglicko – rovnaká legislatíva, ale veľké vynucovanie a pokuty Povinné zverejňovanie incidentov Citlivé zdravotné informácie 10 MINÚT
• 78 % of companies have already had a data leak
caused by an internal source
• 50 % of employees take sensitive data with them
when leaving a job
• 80 % of these plan to use this data in their new job
• (Ponemon Institute)
ABUSE / FRAUD
Předvádějící
Poznámky prezentace
... Ten zvyšok už ich dávno má alebo nemá čo odniesť
• Missing policies / guidelines
• E.g. data transfer
• Insufficient user awareness
• Lack of control mechanisms
PROCESSES
Předvádějící
Poznámky prezentace
Telco – najväčší malajzijský telekomunikačný operátor Telekom Malaysia Tender Evaluation Centre Tendrová dokumentácia Správa externých šifrovaných zariadení, kontrola procesov okolo využívania interného storage na uloženie dokumentov Každý deň dostanú zašifrované externé zariadenie na prenos, každý deň sa bezpečne skartuje + kontrola prístupov, fyzické opatrenia, ... Gorila autorizujúca flashky
• June 2016: Massive data leak • 1.2 million customer records • Insider sold the data • 133.000€ Fine • Front page headlines
• They admitted incident • (But played it down) X • Crisis communication • Remediation • Transparency
AUTOMOTIVE
Předvádějící
Poznámky prezentace
Za riaditeľom prišiel obchodník od konkurencie Dáta z CRM Každý export je kontrolovaný, obmedzený pohyb Controlling rieši dohľad nad rizikami IT spravuje systém, využíva audit IT prostriedkov
ENGINEERING
Předvádějící
Poznámky prezentace
CSA – konstruktér prodal plány na letadlo. Ted ho vyrabi konkurence jenom pod jinym nazvem, aniž by měli jakékoliv standardní výdaje na vývoj (kromě uplacení toho člověka) Takhle vzniká konkurence, firmy si ji v mnoha případech vychovají sami. Iná výrobná firma Vyrábajú obalové materiály na mieru Šéf vývoja si preposlal na súkromný webmail všetky výrobné plány a kontakty na zákazníkov Založil novú firmu Všeobecne – CADy, výkresy a exporty sa môžu pohybovať len v zóne firmy
• Every company.
WHO IS THE TARGET?
• Production companies and manufacturing
• Private Health care • Logistics • Automotive • Public sector • Financial sector, insurance,
advisory
• Law firms • Security forces, military
and suppliers • Utilities • Services • Pharmacy • Food and Beverages
WHO IS THE TARGET?
• Every company.
• Personal data - GDPR
• Know-how
• Financial data
• Employees
WHO IS THE TARGET?
Předvádějící
Poznámky prezentace
Personal data – General Data Protection Act Povinné oznamovanie Pokuty až 2% resp. 4% ročného obratu Know-how – môžem zobrať a založiť si vlastnú firmu Účtovníctvo – aj interne do firmy Česká spořitelna – údaje o odmenách a plate managementu Zamestnanci Odchádzajúci – produktivita, vyhľadávanie práce, odchádza s dátami Ľudia v skúšobnej lehote
• Get support from board • Identify risks • Classify the data • Secure their perimeter • Implement policies • Provide training
HOW TO DO IT
• „Open“ companies
• Agile development
• „Closed“ firms
• Hybrid approach
• Startups, young companies
CHOOSE THE RIGHT APPROACH
• Access to data
• Secure transfer
• User behavior
• Insider threat
FIND AND SOLVE ISSUES
• Be open to your employees
• Implement policies
• Train users
• Be aware of new and leaving staff
• Discuss everything!
DEVELOP RESPONSIBILITY
• Data Loss Prevention
• Security audit
• Encryption
• Mobile security
IMPLEMENT TECHNOLOGY
Předvádějící
Poznámky prezentace
Chrániš firmu = chrániš aj sám seba svoje miesto Zabezpečenie firmy Nikto nás nemôže napadnúť cez túto otvorenú cestu Ak nás už napadnú, nedostanú sa ku všetkému Ochrana zdieľaných zariadení napr. s rodinou, deťmi Ochrana pred chybou Nemusíš stále myslieť na to čo môžeš a čo nie Systém ťa varuje a vedie správnym smerom Ochrana „zvonku“ Útočník má obmedzené cesty ako k nám dostať malware – napr. nie USB Správne komunikovať false positives – žiaden systém nie je dokonalý – napr. zablokuje sa mi zoznam.sk kvôli XXX obsahu
• Based in Czech republic
• Creating products for physical security
• Management realizes
the importance of data
Předvádějící
Poznámky prezentace
Chrániš firmu = chrániš aj sám seba svoje miesto Zabezpečenie firmy Nikto nás nemôže napadnúť cez túto otvorenú cestu Ak nás už napadnú, nedostanú sa ku všetkému Ochrana zdieľaných zariadení napr. s rodinou, deťmi Ochrana pred chybou Nemusíš stále myslieť na to čo môžeš a čo nie Systém ťa varuje a vedie správnym smerom Ochrana „zvonku“ Útočník má obmedzené cesty ako k nám dostať malware – napr. nie USB Správne komunikovať false positives – žiaden systém nie je dokonalý – napr. zablokuje sa mi zoznam.sk kvôli XXX obsahu
1. Policies
2. Training using DLP notifications
3. Step-by-step protection of know-how
4. Monitoring of leaving employees
Předvádějící
Poznámky prezentace
Chrániš firmu = chrániš aj sám seba svoje miesto Zabezpečenie firmy Nikto nás nemôže napadnúť cez túto otvorenú cestu Ak nás už napadnú, nedostanú sa ku všetkému Ochrana zdieľaných zariadení napr. s rodinou, deťmi Ochrana pred chybou Nemusíš stále myslieť na to čo môžeš a čo nie Systém ťa varuje a vedie správnym smerom Ochrana „zvonku“ Útočník má obmedzené cesty ako k nám dostať malware – napr. nie USB Správne komunikovať false positives – žiaden systém nie je dokonalý – napr. zablokuje sa mi zoznam.sk kvôli XXX obsahu