Embed Size (px)
DESCRIPTION
IT security research conducted by PricewaterhouseCoopers.
Citation preview
Rytdienos informacijos saugos grėsmės. Kaip joms pasirengti šiandien?
Pagrindiniai The Global State of Information Security® 2014 tyrimo rezultatai
2014 m. balandis
Audrius CesiulisDirektorius, Konsultacijų skyrius
www.pwc.com/security
PwC
Informacijos saugumo aplinka
• Naujos grėsmės atsiranda greičiau nei vystomos saugumo strategijos
• Informacijos saugumui skiriama vis daugiau resursų, tačiau saugos incidentų kiekis didėja
• Informacijos saugumo iššūkis – naujausių technologijų taikymas
• Būtina nustatyti aiškius prioritetus ir užtikrinti kompleksinį požiūrį į informacijos saugumą (secure by design)
• Naujajame informacijos saugumo modelyje svarbiausias elementas – žinios
Balandis 2014
2
PwC
Turinys
1. Tyrimo metodologija
2. Didžiausios informacijos saugumo grėsmės
3. Informacijos saugumo grėsmių prevencija
4. Pasiruošimas ateities grėsmėms
5. Pasaulinės informacijos saugumo lenktynės
6. Informacijos saugumo ateitis
3
Balandis 2014
PwC
1. Tyrimo metodologija
4
Balandis 2014
PwC
Pasaulinis PwC, CIO ir CSO tyrimas
Atsakymų duomenys pagal verslo šakas
Technologijos 1,226
Finansinės paslaugos 993
Mažmeninė prekyba 820
Viešasis sektorius 694
Sunkioji pramonė 671
Telekomunikacijos 456
Sveikatos apsauga 398
Pramogos ir žiniasklaida 221
Automobilių pramonė 209
Aeronautikos ir gynybos pramonė
193
Energetika ir komunalinės paslaugos
143
Naftos ir dujų pramonė 107
Farmacijos pramonė 74
5
Balandis 2014
The Global State of Information Security®
tyrimą pasauliniu mastu atliko PwC, CIO ir CSO žurnalai. Tyrimas buvo atliekamas 2013 m. vasario - balandžio mėn.
• Tyrimas kas metus atliekamas jau 16-tą kartą
• Tyrimo dalyviams užduodama daugiau nei40 su IT saugumo priemonių ir verslo suderinamumu susijusių klausimų
• Tyrimo dalyviai:
- 36% iš Šiaurės Amerikos;
- 26% iš Europos;
- 21% iš Azijos ir Ramiojo vandenyno regiono;
- 15% iš Pietų Amerikos;
- 2% iš Artimųjų Rytų ir Afrikos regiono.
PwC
2. Didžiausios informacijos saugumo grėsmės
6
Balandis 2014
PwC
Saugumo incidentų skaičius per pastaruosius 12 mėnesių padidėjo 25%, ovidutinė finansinė žala – 18%. Šis rodiklis atspindi šiandieninę, padidėjusiossaugumo incidentų rizikos, informacijos saugumo aplinką. Nerimą kelia ir tai, kad perpastaruosius 2 metus padvigubėjo respondentų, nežinančių, kiek saugumo incidentųbuvo užregistruota
Nustatoma vis daugiau saugumo incidentų
7
Klausimas Nr.18: „Kiek saugumo incidentų užfiksavote per paskutinius 12 mėnesių?“
Balandis 2014
2011 2012 2013
2,562
2,989
3,741Vidutinis informacijos saugumo incidentų skaičius per paskutinius 12 mėn.
Nežino
9%
Nežino
14%
Nežino
18%
PwC
Organizacijai pažįstami žmonės (esami ar buvę darbuotojai, tiekėjai ir kt.) yra didžiausias saugumo incidentų šaltinis
Didžiausias saugumo incidentų šaltinis - darbuotojai
Klausimas Nr. 21: „Galimi saugumo incidentų šaltiniai“ (Grafike analizuojami ne visi rezultatai.)
8
Galimi saugumo incidentų šaltiniai:
Balandis 2014
10%
12%
13%
16%
27%
31%
Informacijos tiekėjai
Tiekėjai / verslo partneriai
Buvę paslaugų tiekėjai / konsultantai / rangovai
Esami paslaugų tiekėjai / konsultantai / rangovai
Buvę darbuotojai
Esami darbuotojai
Darbuotojai
Patikimi partneriai
PwC
3. Informacijos saugumo grėsmių prevencija
9
Balandis 2014
PwC
Respondentai, atsakę, kad šiuo metu žemiau pateikti saugikliai nėra nustatyti:
Saugikliai (angl. safeguards) – priemonės, kurios gali vykdyti nuolatinę informacijossaugumo pažeidžiamumo ir nuolat kintančių grėsmių stebėseną – vis dar naudojamosgana ribotai
Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“ Klausimas Nr. 15: „Kokius technologinius IT
saugumo saugiklius yra nustačiusi jūsų organizacija? (Grafike analizuojami ne visi rezultatai.)
10
52%
46% 45%42%
39%37%
31%
Elgsenosmodeliavimas ir
stebėsena
Saugumoinformacijos irįvykių valdymotechnologijos
Virtualausdarbastalio
sąsajosnaudojimas
Duomenųpraradimo
prevencinėspriemonės
Išteklių valdymoįrankiai
Centralizuotosvartotojųduomenųsaugyklos
Aktyvi saugumostebėsena ir
analizė
Dauguma organizacijų dar nespėjo prisitaikyti prie šiandieninių informacijos saugumo grėsmių
Balandis 2014
PwC
Mobiliųjų įrenginių naudojimas organizacijose sparčiai populiarėja, tačiau nespėjama tinkamai užtikrinti jų saugumoIšmaniųjų telefonų, planšetinių kompiuterių ir asmeninių prietaisų naudojimas daroįtaką padidėjusiai IT saugumo rizikai, tačiau pastangos įgyvendinti mobiliųjų įrenginiųsaugumo užtikrinimo programas kol kas nėra itin sėkmingos
Klausimas Nr. 16: „Kokių iniciatyvų imasi jūsų organizacija mobiliųjų įrenginių saugumo rizikos mažinimui?“ (Grafike analizuojami ne visi
rezultatai.)
19%
30%
35%
37%
39%
42%
N/A
33%
31%
36%
38%
40%
Naudoja geografinės kontrolės sistemą
Draudimas naudotis asmeniniais prietaisaisorganizacijoje / interneto apribojimai
Stiprus autentifikavimo mechanizmas
El. pašto ir kalendoriaus apsaugaasmeniniuose įrenginiuose
Mobiliųjų įrenginių valdymo programinėįranga
Mobiliųjų įrenginių saugumo strategija
2012 2013
11
Iniciatyvos nukreiptos mobiliųjų įrenginių saugumo užtikrinimui
Balandis 2014
PwC
4. Pasiruošimas ateities grėsmėms
12
Balandis 2014
PwC
Informacijos saugumo pritaikymas prie veiklos poreikių, standartų išoriniams partneriams nustatymas, geresnė informacijos saugumo komunikacija atskleidžia poreikį informacijos saugumo pagrindų keitimui
13
Informacijos saugumas – veiklos užtikrinimo būtinybė, o ne IT iššūkis
68%60% 59% 59% 56%
81%
67% 65%
88%
66%
Saugumo strategijapritaikyta prie veiklos
poreikių
Saugumo standartaiišoriniams partneriams,klientams, tiekėjams,
rangovams
Centralizuotas ITsaugumo valdymas
Aukščiausiojo lygiovadovas atsakingas už
IT saugumo komunkaciją
IT saugumą koordinuojaįvairių sričių ekspertų
komanda
Visi respondentai Lyderiai
Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“(Grafike analizuojami ne visi rezultatai.) Klausimas Nr.
29: „Ar jūsų organizacija turi aukščiausio lygio vadovą, kuris proaktyviai komunikuotų apie IT saugumo svarbą?“
Balandis 2014
Nustatytos saugumo strategijos ir saugikliai: visi respondentai palyginus su IT saugumo lyderiais
PwC 14
Klausimas Nr. 14: „Kokių veiklos IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?”
Klausimas Nr. 15: „Kokių technologinių IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?“
(Grafike analizuojami ne visi rezultatai.)
Program to identify sensitive assets
Balandis 2014
Į kokias informacijos saugumo priemones ir veiklos procesus planuojama investuoti?
Didžiausias prioritetas skiriamas investicijoms į technologijas, kurios ne tik apsaugotųsvarbiausius išteklius, bet taip pat suteiktų konkurencinį pranašumą
Prioritetiniai saugikliai artimiausiems 12 mėnesių
17%
22%
24%
17%
19%
25%
Naudotojų prieigos valdymas
Darbuotojų IT saugumo mokymo programa
Saugumo principai / standartai išoriniams partneriams /klientams / tiekėjams / rangovams
Išteklių valdymo įrankiai
Centralizuotos vartotojų duomenų saugyklos
Pažeidžiamiausių išteklių nustatymo programa
Svarbiausių išteklių apsauga
Infrastruktūros apsauga
PwC
Daugelis informacijos saugumo lyderių supranta, kad viešojo ir privataus sektoriauspartnerystė gali būti efektyvi priemonė sparčiai kintančių informacijos saugumo grėsmiųžvalgybai ir nustatymui
Pasauliniai lyderiai įžvelgia potencialią bendradarbiavimo ir dalinimosi informacija naudą
Klausimas Nr. 41: „Ar jūsų organizacija, siekdama sumažinti potencialias IT saugumo rizikas, bendradarbiauja su kitomis jūsų verslo šakos
organizacijomis, įskaitant konkurentus?”
82% IT saugumo lyderių bendradarbiauja
15
Oficialiai bendradarbiauja IT saugumo klausimais su kitomis organizacijomis
Balandis 2014
Taip82%
Ne13%
Nežino5%
PwC
5. Pasaulinės informacijos saugumo lenktynės
16
Balandis 2014
PwC
Rusija taip pat demonstruoja stabilų progresą, nustatant saugiklius duomenų ir išteklių stebėjimui. JAV ir Brazilija šioje srityje užima labai panašias pozicijas, o Indija – atsilieka
Technologinių saugumo priemonių įgyvendinimo pranašumą turi Kinija
Kinija Rusija JAV Brazilija Indija
Centralizuotos vartotojų duomenų saugyklos 73% 68% 65% 64% 61%
Elgsenos modeliavimas ir stebėsena 60% 48% 44% 57% 48%
Išmaniųjų telefonų šifravimas 61% 51% 57% 52% 53%
Įsilaužimo aptikimo įrankiai 65% 76% 67% 64% 68%
Pažeidžiamumo tikrinimo įrankiai 72% 60% 63% 63% 58%
Išteklių valdymo įrankiai 71% 60% 64% 59% 62%
Virtualaus darbastalio sąsajos naudojimas 64% 61% 56% 55% 52%
Apsaugos / aptikimo valdymo sprendimai 62% 56% 56% 54% 48%
Saugumo informacijos ir įvykių valdymo technologijos 66% 59% 57% 54% 48%
17
Balandis 2014
Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius esate nustatę? (Grafike analizuojami ne visi rezultatai.)
PwC
Nei viena šalis kol kas dar nėra tiksliai įvertinusi naujųjų technologijų keliamų informacijossaugumo grėsmių įtakos, tačiau Kinija ir JAV jau pirmauja nustatant šios srities saugumostrategijų įgyvendinimo tempą
Debesų kompiuterija, mobilumas, asmeniniai prietaisai ir socialiniai tinklai – saugumo iššūkis visoms šalims
18
Balandis 2014
Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius esate nustatę savo organizacijoje?“ (Grafike analizuojami ne visi rezultatai.)
Kinija JAV Rusija Brazilija Indija
Debesų kompiuterijos saugumo strategija 51% 52% 45% 49% 47%
Mobiliųjų įrenginių saugumo strategija 64% 57% 51% 49% 50%
Socialinių tinklų saugumo strategija 59% 58% 47% 51% 50%
Asmeninių prietaisų naudojimo organizacijoje saugumo strategija 71% 64% 56% 53% 54%
PwC
6. Informacijos saugumo ateitis
19
Balandis 2014
PwC
Efektyvi informacijos saugumo programa reikalauja skirtingų technologinių, strateginių ir žmogiškųjų saugiklių. Remiantis tyrimo analize ir PwC pasaulinės informacijos saugumo praktikos patirtimi, išskyrėme 10 pagrindinių gairių.
Pagrindiniai saugikliai, reikalingi efektyviai informacijos saugumo programai
20
Balandis 2014
Pagrindiniai saugikliai efektyvios IT saugumo strategijos įgyvendinimui
1 Dokumentuota saugumo politika
2 Rezervinės kopijos/įranga ir Veiklos atkūrimo/tęstinumo planai
3Minimalus asmeninių duomenų rinkimas ir saugojimas, naudojant fizinius prieigos prie
tokių duomenų apribojimus
4 Patikimi technologiniai saugikliai skirti prevencijai, aptikimui ir šifravimui
5Tiksli informacija apie asmeninių duomenų rinkimo, perdavimo ir saugojimo priemones bei
fizinę buvimo vietą (debesų kompiuterijos sprendimai ?)
6Elektroninių ir popierinių įrašų privatumo, saugumo, konfidencialumo, integralumo rizikų
(vidinių ir išorinių) vertinimas
7 Nuolatinė duomenų saugumo programos efektyvumo stebėsena ir vertinimas
8 Personalo patikimumo patikrinimas
9 Darbuotojų informacijos saugumo mokymo programa
10 Reikalauti darbuotojų ir trečiųjų asmenų laikytis konfidencialumo įsipareigojimų
PwC
• Informacijos saugumas – veiklos būtinybė. Informacijos saugumas turi būti numatytas organizacijos veiklos modelyje (security by design)
• Viešasis sektorius, skirtingai nei privatus, nekonkuruoja dėl informacijos – tai sudaro prielaidas kurti ir diegti efektyvius kompleksinius informacijos saugos prendimus
• Būtina suvokti informacijos saugumo svarbą ir žinoti jo įtaką veiklai bei galimas pasekmes. Potencialios grėsmės turi būti numatomos žinant silpnąsias vietas irproaktyviai valdant su jomis susijusias informacijos saugumo rizikas
• Svarbiausių išteklių / informacijos nustatymas. Planuojant informacijos saugumo strategiją, būtina nustatyti vertingiausius išteklius / informaciją ir jų saugumui pritaikyti atitinkamus saugiklius
• Bendradarbiavimas tarp organizacijų kuriant ir diegiant kompleksinius informacijos saugumo sprendimus (pvz. informacinių išteklių valdymo centralizavimas, horizontalių IT sprendimų saugumo optimizavimas ir pan.)
Naujas požiūris į informacijos saugumą
21
Balandis 2014
PwC
Jūsų klausimai
22
Balandis 2014
