Dr. Kollár Csaba PhD.: Az információbiztonság-tudatosság fejlesztése a vezetők körében a GDPR fókuszában
Megújulás és fenntarthatóság - VIII. Országos Tanácsadói Konferencia
2016. október 26.
Budapesti Kereskedelmi és Iparkamara
Budapest
Kutatási módszerek a had-, rendészet-, és biztonságtudományokban
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők körében
1. Dr. Kollár Csaba PhD.
Az információbiztonság-tudatosság fejlesztése
a vezetők körében a GDPR fókuszában
M e g ú j u l á s é s fe n n t a r t h a t ó s á g
V I I I . O r s z á g o s Ta n á c s a d ó i K o n fe r e n c i a
2 0 1 6 . o k t ó b e r 2 6 .
B u d a p e s t i Ke r e s ke d e l m i é s I p a r k a m a ra
B u d a p e s t
2. Miről lesz szó?
• Elméleti alapvetés
• GDPR, személyes adatok, információvédelem
• A vezetők véleménye a digitális korról és az
információbiztonságról
• Alapvető social engineering technikák és
megelőzési lehetőségek
• Az információbiztonság-tudatosság fejlesztése
5. Az adatot körbe vevő rendszerelemek*
Személyi
környe-
zet
Fizikai
környezet
és infra-
struktúra
Hardver-
és
szoftver-
rendszer
Kommuni-
kációs és
hálózati
rendszerek
Adat-
hordozók
Dokumen-
tumok és
dokumen-
táció
*Muha Lajos
ADAT
7. Emberi erőforrás kritikus területei*
Tudatlanság, szakképzetlenség,
Emberi hanyagság és figyelmetlenség
Segítőkészség
Hiszékenység, naivság
Befolyásolhatóság
Bosszúállás
Kényelmesség
*Oroszi Eszter
8. Általános adatvédelmi rendelet
A természetes személyek személyes adataik
kezelésével összefüggő védelme alapvető jog.
99. cikk – Hatálybalépés és alkalmazás:
Ezt a rendeletet 2018. május 25-től kell alkalmazni.
83. cikk – A közigazgatási bírságok kiszabása:
Valamennyi felügyeleti hatóság biztosítja, hogy a
kiszabott közigazgatási bírságok minden egyes esetben
hatékonyak, arányosak és visszatartó erejűek legyenek.
A rendelkezések megsértése legfeljebb 10.000.000 EUR
összegű közigazgatási bírsággal, illetve a vállalkozások
esetében az előző pénzügyi év teljes éves világpiaci
forgalmának legfeljebb 2 %-át kitevő összeggel sújtható;
a kettő közül a magasabb összeget kell kiszabni.
10. Alapvetés
Szervezetek a digitális korban
2015. december – 2016. január
Nagymintás online kutatás
406 értékelhető kérdőív
Vezetők körében
11. Alapadatok
Átlagéletkor: 36 év
Legfiatalabb: 22, legidősebb 75 éves
Felsőfokú végzettség: 85%
Egytizedük dolgozik az információ és a
kommunikáció területén
12. Vállalatirányítás
Önállóság a legfontosabb
Döntésekbe bevonni másokat is (52%)
Világos, autoriter vezetés (18%)
Hosszú távra történő tervezés és kiszámíthatóság (33%)
Teljesítményalapon történő értékelés alapján (33%)
Fiatalabbaknál (életkor alsó negyede): munkáért járó
azonnali elismerés
Javadalmazás
13. Lojalitás
60%-a lojális, de nyitott a változásra, ha:
Versenyképes ajánlatot kap (41%)
Esélyei nem csökkennek (27%)
Hangsúly: elvégzett munka és a projektszemlélet (25%)
Csoportmunka
14. Mit jelent a technológia
Internet és az interaktív megoldások jelentik a
technológiát (55%)
Technológia áll a fókuszban (17%)
(Belső) híreket osztanak meg egymással intraneten, e-mail-
en keresztül
A vállalatot folyamatosan átalakítják a digitális kor
igényeinek megfelelően
A közösségi média használatának vállalati szintű elindítása
Vezető viszonya a digitális korhoz
16. Vezetők egy kisebb része nem tudja, mi az
Tudja, mi az: bárhonnani elérhetőség,
platformfüggetlenség, hozzáférési jogok…
1%-nál kevesebb írt a veszélyekről és az
információbiztonságról
Felhő
Big Data analitika
20-25% nem ismeri
Ismeri: szofisztikált adatbányászat, algoritmusok használata,
megalapozottabb döntések támogatása
17. Vezetők tájékozottabbak a többi területhez képest
Használják az eszközöket
Egy részük ismeri és rendszeresen használja az alapvető
alkalmazásokat
Mobileszközök és -alkalmazások
Közösségi média
Fiatalabbak jól ismerik
Idősebbek: „jobban kellene ismernem”, „én már ebből
kinőttem”
18. „A jövő eszköze”, „A jövő lehetősége”
Kiterjesztett valóság
Biztonság
Adatvédelem
Hálózati biztonság
Informatikai rendszer
Belépési kódok
Vírusvédelem
Nem került említésre: információbiztonság humán
aspektusa, social engineering
20. A vállalat közvetlen környezetében levő helyeken
információszerzés a munkatársaktól
munkatársak felkészítése az ilyen szituációkra,
a beszélgetésből a csoportba nem illő idegen személyek
kizárása,
a beszélgetés témái nem a vállalathoz, hanem pl. a kollégák
érdeklődési köréhez kötődnek,
a kollégák belépési kártyáit (névvel, arcképpel ellátott
igazolványok) a beléptetésen/azonosításon kívül úgy kell
magánál tartania, hogy a rajta levő adatokat senki ne lássa.
Ha a belépési kártya elveszik, azonnal jelenteni kell,
mellőzni kell az üzleti ebédeket olyan helyeken, ahol nem
biztosítható a beszélgetés intimitása (bár technikailag
valamennyi étteremben könnyen le lehet hallgatni a
beszélgető feleket).
21. Illetéktelen behatolás a vállalat védett/őrzött területeire
szigorú beléptetési rend (pl.: személyi azonosító okmányok
elkérése), a látogató szűkszavú tájékoztatása (nem kell
elmondani a cég történetét és a pletykákat),
a látogatottat fogadó kolléga telefonos felhívása annak
érdekében, hogy valóban vár-e látogatót,
látogatók nevének leadása a biztonsági szolgálatnak a
látogatást megelőzően, az üresen hagyott irodák kulccsal
zárása,
az üresen hagyott irodában levő számítógépek kikapcsolása,
vagy alvó állapotba helyezése oly módon, hogy az alvó
állapot csak jelszó begépelése után oldható fel,
az irodában keletkezett irodai hulladék (pl.: szerződések,
tervezetek, beszámolók) szakszerű megsemmisítése.
22. Illetéktelen behatolás a távmunkában (is) dolgozó személyek
otthonába, otthoni irodájába
tudatosítani a munkavállalóban a támadás lehetőségét,
a munkaeszközként használt vállalati info-kommunikációs
eszközök fokozott védelme (pl.: jelszavas belépés, ellopás
esetén nyomkövetés, kamera és/vagy mikrofon távolról
vezérelhető bekapcsolása),
szükség esetén anyagilag is támogatni a munkavállaló
otthoni munkakörnyezetének a védelmét, illetve
iratmegsemmisítő beszerzését,
szabályozni, hogy a távmunkában dolgozó munkavállaló
mely platformokat mely helyszíneken használhat
munkavégzésre.
23. Partnertől (pl.: beszállító, szervezeti vásárló) érkező támadás
szándékos támadás a partner részéről
a partner jóhiszeműségét, figyelmét kihasználó támadás,
amikor a fenti esetek valamelyike révén a támadó nem a
csak a vállalatot, hanem annak partnereit is megtámadja
24. Nem a fizikai világban levő…
munka- és szabadidős tevékenységek végzésére,
azok regisztrálására, kapcsolattartásra, stb.
alkalmas felületek
Vezető kapcsolatrendszere
család
rokonok
egykori iskolatársak
stb…