fbpx
+36 1 781 4842 info@fortix.hu

Szabó Zoltán

Információbiztonsági szakértő

Gyakorló üzemeltetőként kerültem egyre közelebb az információbiztonsághoz, először ISO27001 majd PCI-DSS később a bankkártyák gyártásánál alkalmazott PCI-CP elvárások kapcsán. Auditorként és Információbiztonsági felelősként elsősorban az volt, és ma is az a célom, hogy alkalmazható, operatív biztonsági környezet kerüljön kialakításra akár a vállalkozások informatikai környezetében, akár az otthon használt internetes eszközök használatakor.

Végzettségek

  • Informatika oktató (alapszak; BME)
  • Okleveles EIB (kiegészítő diploma – BKE)
  • ISO27001 belső auditor (DNV)

OKTATOTT TÁRGYAK

IAM – Identity and Access Management – Azonosítás és hozzáférés kezelés

Az előadás célja, hogy bemutassuk a felhasználók azonosításának technológiáját és lehetőségeit egy szervezetben. Megvizsgáljuk, melyek az elfogadható módszerek a hozzáféréskezelés kialakítására, amely biztosítja a megfelelő személyek számára, hogy a szükséges rendszerekhez, adatokhoz férjen hozzá oly módon, hogy az kellően biztonságos legyen, de elősegítse a feladatok elvégzését. Egy megfelelően kialakított IAM környezet biztosítja a szervezetnek, hogy különféle hozzáféréseket kezeljen egyszerűen és átláthatóan, a rendszergazdáktól a felhasználókon át akár az ideiglenes hozzáférésekig, legyen a célja valamilyen szoftverrendszer, hálózat vagy akár IoT eszköz.

Több szempontból is megközelítjük a témát:

Biztonsági oldalról – az általánosan alkalmazott jelszó alapú azonosításon keresztül a napainkban alkalmazott többfaktoros hitelesítésig megkeressük a megfelelő biztonságot adó megoldást többféle elvárásnak megfelelően. Megvizsgáljuk a kapcsolódó kockázatokat és megteremtjük az alapokat a hozzáférések kialakításához jogosultságcsoportokon, ideiglenes jóváhagyásokon keresztül.

Üzleti folyamatok oldaláról – megvizsgáljuk hogyan szükséges kialakítani a hozzáféréskezelő rendszert, hogy a jogosultak egyszerűen és megfelelően el tudják látni a feladataikat. Megbeszéljük, hogy milyen folyamatok kialakítása szükséges, hogy akár menedzsment, akár munkaügy oldaláról a hozzáférések és jogosultságok áttekinthetőek, kezelhetőek és megbízhatóak legyenek.

A gyakorlaton egyszerű felhasználókezelést alakítunk ki MS AD környezetben. Az alapvető biztonsági elvárásoknak megfelelő riportokat készítünk és ellenőrzési folyamatokat alakítunk ki. Megvizsgáljuk a különböző felhasználói típusokat, a kiemelt felhasználók kezelésének megfelelő gyakorlatát. Gyakoroljuk az alapvető információbiztonsághoz kapcsolódó feladatokat.

DLP – Data Leakage Prevention vagy Data Loss Prevention – adatszivárgás elleni védelem, vagy adatvesztés megelőzés

Az előadáson megbeszéljük az adatszivárgások kockázatait és hogy milyen módszerekkel, megoldásokkal lehet csökkenteni ezeket. Bár sokan csak „egy DLP rendszer” bevezetésére gondolnak mint elégséges védelem, fontos megérteni, hogy átfogó megoldás nem létezik, azt csak a folyamatokban gondolkodás és különféle eszközök és megoldások együttes alkalmazásával, rendszerszintű megoldással érhető el.

Az előadáson szó lesz különféle DLP megoldásokról, attól függően hol kerül alkalmazásra (végponti, vagy hálózati eszközön) a különféle tartalomelemzési megoldásokról, de érinteni fogjuk az információvédelem fizikai, logikai elvárásait és a hozzáféréskezelés alapjait is.