gestionarea riscurilor de securitate a informaȚiei
DESCRIPTION
GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI Marin PrisăcaruTRANSCRIPT
© 2013 InfoTrust Consulting. Toate drepturile rezervate.
GESTIONAREA RISCURILOR DE
SECURITATE A INFORMAȚIEI
02 OCTOMBRIE 2013
Marin Prisăcaru
Tel: +373 22 882550
Email: [email protected]
Web: www.infotrust.md
GESTIUNEA RISCURILOR DE SECURITATE ESTE
ZONA DE EXPERTIZĂ CHEIE
Experiență SC InfoTrust Consulting
Servicii de consultanță managerială din 2009
Peste 20 de clienți în portofoliu
Peste 30 de proiecte realizate în consultanță și audite de securitate /
TI, SMSI, BCP, ITSM, cerințe pentru sisteme TI
Experiență personală
Sunt în domeniu de 10 ani
CISA, CISM, CRISC
CISM Worldwide Excellence Award 2010
Experiență de audit, supraveghere bancară, management TI
Peste 50 de misiuni de audit și analiză la riscuri de securitate
3
A FOST REALIZATĂ O CHESTIONARE PE
EȘANTION ȚINTĂ
4
55 respondenți
42 organizații
Sectorul guvernamental:
36 respondenți
28 organizații
Sectorul bancar:
19 respondenți
13 organizații
15 Responsabili de securitatea TI
18 Responsabili de sisteme TI
19 Conducători
2 (nedeterminat)
Maturitatea abordării pentru securitatea informației
SUBIECTE EXTRASE DIN CHESTIONAR
Perceperea importanței securității informației
Conștientizarea amenințărilor de securitate
Cum ne asigurăm că suntem protejați
Cum selectăm măsurile de protecție
Cum gestiunea riscurilor face lucrurile mai bune
5
IMPORTANȚA SECURITĂȚII INFORMAȚIEI
Din chestionar:
”Considerați că organizația Dumneavoastră acordă suficientă
importanță securității informației?”
6
Sectorul guvernamental Sectorul bancar
DA – 46% DA – 74%
NU – 43% NU – 26%
Nu stiu – 11% Nu stiu – 0%
”Cum apreciați nivelul de maturitate al organizației pe următoarele
zone:”
Sectorul guvernamental Sectorul bancar
Bine și Foarte bine – 63% Bine și Foarte bine – 84%
Rău și Foarte rău – 37% Rău și Foarte rău – 16%
IMPORTANȚA SECURITĂȚII INFORMAȚIEI
Din experiența noastră:
Perceperea importanței securității informației este diferită la
nivel de sector și la nivelul organizațiilor din același sector
Importanța securității informației trebuie să fie direct
proporțională rolului informației și al tehnologiei pentru
afacerea organizației.
Factori pentru a fi considerați
Suport managerial
Comunicare
Conștientizare
7
CONȘTIENTIZARE
Din chestionar:
”Cea mai populară practică (din cele menționate) aplicată de
organizația Dumneavoastră pentru a se asigura că salariații
organizației au un comportament adecvat la accesarea și utilizarea
informației, este:”
8
Opțiuni Sectorul
guvernamental
Sectorul bancar
Aprobarea regulilor de utilizare
acceptabilă
35% 0%
Sancționarea disciplinară pentru
încălcări
12% 0%
Implementarea programelor de
instruire salariați și conștientizare
35% 79%
Blocarea accesului la informație 18% 21%
PERCEPEREA AMENINȚĂRILOR DE SECURITATE
Din chestionar:
Credeți că organizația dumneavoastră poate fi ținta unui atac
cibernetic în următoarele 6 luni?
9
Sectorul guvernamental Sectorul bancar
DA – 41% DA – 47%
NU – 31% NU – 42%
Nu stiu – 28% Nu stiu – 11%
”Ați paria pentru 1000 de lei că în următoarele 6 luni nu veți avea un
incident de securitate vizibil în afara organizației?”
Sectorul guvernamental Sectorul bancar
DA – 18% DA – 56%
NU – 82% NU – 44%
Din experiența noastră:
Orice organizație ce deține sisteme TI poate fi ținta unui atac
cibernetic
Se produce migrarea de la conceptul ”mie nu mi se poate
întâmpla”
A fi tina unui atac, nu înseamnă implicit că acesta va reuși
Factori pentru a fi considerați
Acceptare
Pregătire
Detectare
Reacție planificată
10
PERCEPEREA AMENINȚĂRILOR DE SECURITATE
CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
Din chestionar:
”Cea mai populară practică (din cele menționate) aplicată de
organizația Dumneavoastră pentru a se asigura că serviciile
electronice accesate de utilizatori din afara organizației sunt
securizate, este:”
11
Opțiuni Sectorul
guvernamental
Sectorul bancar
Responsabilizarea furnizorilor de
soluții
11% 0%
Responsabilizarea echipei TI interne 66% 53%
Efectuarea auditărilor de securitate
independente
14% 16%
Stabilirea planurilor de gestiune a
riscurilor de securitate
9% 31%
Din experiența noastră:
Atitudine reactivă pentru securitatea informației
Analiza riscurilor (documentată) în scop de conformare
Funcția de asigurare e delegată preponderent către TI
Este creată și crește rolul funcției de audit TI
Crește cererea pentru servicii profesionale externalizate
Factori pentru a fi considerați
Atitudine proactivă
Alocarea resurselor potrivite
Revizuire și îmbunătățire
12
CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
CUM SELECTĂM MĂSURILE DE PROTECȚIE
Din chestionar:
”Care sunt cele mai frecvente practici aplicate de organizația
Dumneavoastră pentru selectarea măsurilor de securitate ce trebuie
să fie implementate?”
Sunt aplicate ÎNTOTDEAUNA următoarele practici:
13
Opțiuni Sectorul
guvernamental
Sectorul bancar
Considerarea incidentelor de securitate
produse
43% 79%
Considerarea cerințelor de reglementare 32% 79%
Urmarea recomandărilor furnizorilor de
soluții
32% 32%
Considerarea rezultatelor analizei la riscuri 30% 89%
Considerarea rezultatelor auditărilor de
securitate
37% 79%
Este sarcina administratorilor de sisteme TI 52% 26%
Din experiența noastră:
Orientarea spre măsuri tehnice de securitate
Abordare insulară a măsurilor de securitate vs integrat / multi layered
Delegare excesivă către responsabilii de sisteme TI
Conexiune insuficientă între măsurile de securitate și obiectivele de control (IT, dar și business orientate)
Factori pentru a fi considerați
Analiza la riscuri
Decizii risc orientate
Abordare sistemică în raport cu obiectivele de control
Cost-eficiență
14
CUM SELECTĂM MĂSURILE DE PROTECȚIE
APRECIEREA NIVELULUI DE MATURITATE
Din chestionar:
”Cum apreciați nivelul de maturitate al organizației pe următoarele
zone:”
15
Opțiuni Sectorul
guvernamental
Sectorul bancar
Protecția la viruși 82% - Bine și foarte
bine
100% - Bine și
foarte bine
Protecția rețelei corporative 79% - Bine și foarte
bine
100% - Bine și
foarte bine
Lucrul la distanță și utilizarea dispozitivelor
mobile
32% - Rău și foarte
rău
32% - Rău și foarte
rău
Controlul suporților mobili de informație 55% - Rău și foarte
rău
42% - Rău și foarte
rău
Monitorizarea de securitate 47% - Rău și foarte
rău
36% - Rău și foarte
rău
Nivel insuficient pentru gestiunea riscurilor
de securitate
82% - Rău și foarte
rău
32% - Rău și foarte
rău
GESTIUNEA RISCURILOR DE SECURITATE
16
Stabilire context
Inventariere și clasificare resurse TI
Planificare analiză la
riscuri
Analiză și evaluare
riscuri
Tratarea riscurilor
Monitorizare și îmbunătățire continuă
Din experiența noastră:
ANALIZA RISCURILOR DE SECURITATE
17
Din experiența noastră:
Din experiența noastră:
1. Stabiliți priorități
2. Țineți lucrurile simple
3. Conectați securitatea la business
4. Aplicați ”Security by design” pentru tot ce e nou
5. Implementați securitatea de bază (principiul pareto)
6. Implementați analiza la riscuri
7. Securitatea ≠ Tehnologie
8. Conștientizare și comunicare
9. Pentru GOV.MD – acționați în comun
18
RECOMANDĂRI
VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE
19
KEEPSTRONG
MOLDOVA
MULȚUMESC
20
Marin Prisăcaru
Tel: +373 22 882550
Mob: + 373 69 010448
Email: [email protected]
Web: www.infotrust.md