Embed Size (px)
DESCRIPTION
Teodor Cimpoeşu Managing Director, Kaspersky Lab România&Bulgaria Solepad – Timisoara 10 iunie 1. Navigând pe timp de furtună o Gestiunea costurile IT o O abordare diferită a securității informatice 3. Plan de acțiune 2. Investițiile în securitatea business-ului o Înțelegerea poziției curente o Selectarea proiectelor Germany France UK Benelux Poland Spain Italy Romania Sweden Russia Ukraine Kazakhstan Turkey UAE China Korea Japan Malaysia Australia India
Citation preview
Solepad – Timisoara 10 iunie
O abordare diferită: soluții pentru securitatea business-ului
Teodor CimpoeşuManaging Director, Kaspersky Lab România&Bulgaria
Agenda
1. Navigând pe timp de furtunăo Riscurile unei afaceri din perspectiva ITo Infrastructură și securitate
2. Investițiile în securitatea business-uluio Gestiunea costurile ITo O abordare diferită a securității informatice
3. Plan de acțiuneo Înțelegerea poziției curenteo Selectarea proiectelor
Kaspersky Lab
TurkeyUAE
USAPanamaBrazilMexicoArgentina
ChinaKoreaJapanMalaysiaAustraliaIndia
GermanyFranceUKBeneluxPolandSpainItalyRomaniaSweden
RussiaUkraineKazakhstan
Riscurile din perspectiva IT
Cum reacționează companiile în recesiune? Prima țintă – reducerea cheltuielilor; Strategiile se ajustează pentru perioade mult mai
scurte de timp, nimic nu este predictibil; Reducerea activității, părăsirea unor piețe sau
segmente de piață; Focus financiar accentuat: FCF, profitabilitate,
îndatorare.
Cu ce consecințe? Abandonarea unor proiecte pe termen lung; Scăderea nivelul serviciilor oferite clienților – externi
sau interni și supraexpunerea la noi riscuri; Pierderea oamenilor valoroși prin restrângerile de
personal; Afectarea directă a sănătății propriei afaceri.
Consecințele fiind o creștere a expunerii la riscurile asociate criminalității informatice
C Cum este afectată securitatea business-ului?• Amenințările cunoscute sunt ignorate, auditurile sunt amânate;
• Prin derogarea de la principii de IT Governance, anterior valide;
• Bunurile intangibile (reflectate sau nu în contabilitate) sunt expuse la furt sau distrugere;
Riscurile din perspectiva IT (2)
1. Atacuri și scurgeri de informații confidențiale din interiorul companiei
2. Malware – programele periculoase sunt pe un trend exponențial
3. Exploatarea de vulnerabilități în aplicațiile existente
4. Ingineria socială5. Angajați ce nu respectă
normele de securitate
6. Reducerea bugetelor alocate securizării infrastructurii informatice
7. Angajații mobili, conexiunile externe
8. Vendorii 3rd party9. Instalarea și folosirea de
aplicații nepermise, inclusiv de transfer P2P
10.Riscuri legale asociate prezenței angajaților in mediile online externe companiei
Riscurile din perspectiva IT (3)
Topul celor mai prevalent 10 amenințări în 2009
1. Navigând pe timp de furtunăo Riscurile unei afaceri din perspectivă ITo Infrastructura și securitate
2. Investițiile în securitatea business-uluio O abordare diferită a securității informaticeo Propunerea Kaspersky Lab
3. Plan de acțiuneo Înțelegerea poziției curenteo Selectarea proiectelor
Investițiile în securitatea business-ului
Paradigma propusă: nu cheltuieli cu IT-ul ci investiții în infrastructură și managementul riscului
Cereți CIO/CSIO un business case pentru orice cheltuială majoră
Inițiatorul trebuie să fie pregătit să treacă pragul celor 5 “de ce?”
Directorii executivi, operaționali, financiari înțeleg foarte bine limbajul business și termenii unei investiții. Acela trebuie folosit!
Instrumente de monetizare a riscului:• Identificarea și evaluarea activelor (AV)• SLE = AV (asset value) x EF (exposure factor)
• SLE – Single Loss Expectancy• EF – procent de distrugere/depreciere a bunului
în urma unui incident
• ARO – Annualized Rate of Occurrence -frecvența (ca probabilitate) cu care un incident sau amenințare poate apărea/produce.• ALE = SLE x ARO
• ALE – Annual Loss Expectancy
• CCC – Current Cost of Control – costuri asociate cu supravegherea și controlul curente• ROSI = ALE – CCC
• ROSI – Return On Security Investments
Exemplu de evaluare a unei investiții în securitate
Investițiile în securitatea business-ului (2)
Propunerea Kaspersky Lab
• Identificați ce bunuri trebuieprotejate, ce nivel de securitateeste necesar și ce alte soluții desecurizare a lor aveți dejaimplementate.
• Atât stațiile de lucru și servereleinterne, cât și laptop-urile saudispozitivele mobile inteligentesunt încadrate în perimetre desecuritate, cu administrarecentralizată și politici specifice.
Open Space Security
1. Navigând pe timp de furtunăo Riscurile unei afaceri din perspectivă ITo Infrastructura și securitate
2. Investițiile în securitatea business-uluio Gestiunea costurile ITo O abordare diferită a securității informatice
3. Plan de acțiuneo Înțelegerea poziției curenteo Selectarea și implementarea proiectelor
Piața a suferit o schimbare de la un volum mare pe un fond economic favorabil în prima jumătate a anului, la un ritm foarte lent, dominat de panică, incertitudine și reținere. Software-ul pentru infrastructura IT (SIS) a reprezentat o piață de 15% din totalul cheltuielilor IT. Comparativ, în Europe de Vest acest segment se situează în medie la nu mai mult de 5.5%. Infrastructura IT este încă precară - soluțiile de office automation reprezintă 26% din piața de aplicații software – în Europa de Vest media este de 14%.Mare parte din sectorul comercial este format din SME care sunt foarte sensibile și dependente de climatul economic general și creșterea economică. Aceste companii renunță foarte ușor la propriile inițiative IT, mai ales pentru că investițiile in IT sunt considerate opționale pentru marea majoritate a companiilor mici și medii.(Source: IBP – Romanian Business Digest, 2008)
Investiții IT în 2008
Tehnici și instrumente:• Analiza Gap• Analiza vulnerabilităților• Analiza calitativă a vectorilor de
atac• OCTAVE - Operationally Critical
Threat, Asset and Vulnerability Evaluation
• Evaluarea ROSI – return on security investments
3. Plan de acțiune
Înțelegerea poziției curente
Este actuala structură organizațională adecvată? Avem politicile necesare?
Selectarea și prospectarea de standarde de securitate adecvate
ISO 27000, ITIL, CobIT, ISF
Pregătirea oricărui proiect IT ca pe o investiție strategică
ROI/ROSI, Impact asupra LOB, TCO, impact asupra riscurilor
Gestiunea și controlul programului de investiții in IT
(Sursa: Intel, Measuring the Returns on IT Security Investments)
Care sunt primele 10 priorități IT și de securitate?
Care sunt primele 10 proiecte cele mai rentabile ca impact finaciar?
Care 3 din ele au o pondere de 70-80%?
3. Plan de acțiune (2)
Investiți inteligent și pe termen lung! Este un bun moment pentru a crește, și pentru a
depăși concurența!
