Rytdienos informacijos
saugos grėsmės. Kaip joms
pasirengti šiandien?
Pagrindiniai The Global State of
Information Securit...
PwC
Informacijos saugumo aplinka
• Naujos grėsmės atsiranda greičiau nei vystomos saugumo strategijos
• Informacijos saugu...
PwC
Turinys
1. Tyrimo metodologija
2. Didžiausios informacijos saugumo grėsmės
3. Informacijos saugumo grėsmių prevencija
...
PwC
1. Tyrimo metodologija
4
Balandis 2014
PwC
Pasaulinis PwC, CIO ir CSO tyrimas
Atsakymų duomenys pagal
verslo šakas
Technologijos 1,226
Finansinės paslaugos 993
M...
PwC
2. Didžiausios informacijos saugumo
grėsmės
6
Balandis 2014
PwC
Saugumo incidentų skaičius per pastaruosius 12 mėnesių padidėjo 25%, o
vidutinė finansinė žala – 18%. Šis rodiklis ats...
PwC
Organizacijai pažįstami žmonės (esami ar buvę darbuotojai, tiekėjai ir kt.) yra didžiausias
saugumo incidentų šaltinis...
PwC
3. Informacijos saugumo grėsmių
prevencija
9
Balandis 2014
PwC
Respondentai, atsakę, kad šiuo metu žemiau pateikti saugikliai nėra nustatyti:
Saugikliai (angl. safeguards) – priemon...
PwC
Mobiliųjų įrenginių naudojimas organizacijose sparčiai
populiarėja, tačiau nespėjama tinkamai užtikrinti jų
saugumo
Iš...
PwC
4. Pasiruošimas ateities grėsmėms
12
Balandis 2014
PwC
Informacijos saugumo pritaikymas prie veiklos poreikių, standartų išoriniams partneriams
nustatymas, geresnė informaci...
PwC 14
Klausimas Nr. 14: „Kokių veiklos IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per art...
PwC
Daugelis informacijos saugumo lyderių supranta, kad viešojo ir privataus sektoriaus
partnerystė gali būti efektyvi pri...
PwC
5. Pasaulinės informacijos saugumo
lenktynės
16
Balandis 2014
PwC
Rusija taip pat demonstruoja stabilų progresą, nustatant saugiklius duomenų ir išteklių
stebėjimui. JAV ir Brazilija š...
PwC
Nei viena šalis kol kas dar nėra tiksliai įvertinusi naujųjų technologijų keliamų informacijos
saugumo grėsmių įtakos,...
PwC
6. Informacijos saugumo ateitis
19
Balandis 2014
PwC
Efektyvi informacijos saugumo programa reikalauja skirtingų technologinių, strateginių ir
žmogiškųjų saugiklių. Remian...
PwC
• Informacijos saugumas – veiklos būtinybė. Informacijos saugumas turi būti
numatytas organizacijos veiklos modelyje (...
PwC
Jūsų klausimai
22
Balandis 2014
Upcoming SlideShare
Loading in …5
×

Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas

389 views
248 views

Published on

IT security research conducted by PricewaterhouseCoopers.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
389
On SlideShare
0
From Embeds
0
Number of Embeds
85
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas

  1. 1. Rytdienos informacijos saugos grėsmės. Kaip joms pasirengti šiandien? Pagrindiniai The Global State of Information Security® 2014 tyrimo rezultatai 2014 m. balandis Audrius Cesiulis Direktorius, Konsultacijų skyrius www.pwc.com/security
  2. 2. PwC Informacijos saugumo aplinka • Naujos grėsmės atsiranda greičiau nei vystomos saugumo strategijos • Informacijos saugumui skiriama vis daugiau resursų, tačiau saugos incidentų kiekis didėja • Informacijos saugumo iššūkis – naujausių technologijų taikymas • Būtina nustatyti aiškius prioritetus ir užtikrinti kompleksinį požiūrį į informacijos saugumą (secure by design) • Naujajame informacijos saugumo modelyje svarbiausias elementas – žinios Balandis 2014 2
  3. 3. PwC Turinys 1. Tyrimo metodologija 2. Didžiausios informacijos saugumo grėsmės 3. Informacijos saugumo grėsmių prevencija 4. Pasiruošimas ateities grėsmėms 5. Pasaulinės informacijos saugumo lenktynės 6. Informacijos saugumo ateitis 3 Balandis 2014
  4. 4. PwC 1. Tyrimo metodologija 4 Balandis 2014
  5. 5. PwC Pasaulinis PwC, CIO ir CSO tyrimas Atsakymų duomenys pagal verslo šakas Technologijos 1,226 Finansinės paslaugos 993 Mažmeninė prekyba 820 Viešasis sektorius 694 Sunkioji pramonė 671 Telekomunikacijos 456 Sveikatos apsauga 398 Pramogos ir žiniasklaida 221 Automobilių pramonė 209 Aeronautikos ir gynybos pramonė 193 Energetika ir komunalinės paslaugos 143 Naftos ir dujų pramonė 107 Farmacijos pramonė 74 5 Balandis 2014 The Global State of Information Security® tyrimą pasauliniu mastu atliko PwC, CIO ir CSO žurnalai. Tyrimas buvo atliekamas 2013 m. vasario - balandžio mėn. • Tyrimas kas metus atliekamas jau 16-tą kartą • Tyrimo dalyviams užduodama daugiau nei 40 su IT saugumo priemonių ir verslo suderinamumu susijusių klausimų • Tyrimo dalyviai: - 36% iš Šiaurės Amerikos; - 26% iš Europos; - 21% iš Azijos ir Ramiojo vandenyno regiono; - 15% iš Pietų Amerikos; - 2% iš Artimųjų Rytų ir Afrikos regiono.
  6. 6. PwC 2. Didžiausios informacijos saugumo grėsmės 6 Balandis 2014
  7. 7. PwC Saugumo incidentų skaičius per pastaruosius 12 mėnesių padidėjo 25%, o vidutinė finansinė žala – 18%. Šis rodiklis atspindi šiandieninę, padidėjusios saugumo incidentų rizikos, informacijos saugumo aplinką. Nerimą kelia ir tai, kad per pastaruosius 2 metus padvigubėjo respondentų, nežinančių, kiek saugumo incidentų buvo užregistruota Nustatoma vis daugiau saugumo incidentų 7 Klausimas Nr.18: „Kiek saugumo incidentų užfiksavote per paskutinius 12 mėnesių?“ Balandis 2014 2011 2012 2013 2,562 2,989 3,741 Vidutinis informacijos saugumo incidentų skaičius per paskutinius 12 mėn. Nežino 9% Nežino 14% Nežino 18%
  8. 8. PwC Organizacijai pažįstami žmonės (esami ar buvę darbuotojai, tiekėjai ir kt.) yra didžiausias saugumo incidentų šaltinis Didžiausias saugumo incidentų šaltinis - darbuotojai Klausimas Nr. 21: „Galimi saugumo incidentų šaltiniai“ (Grafike analizuojami ne visi rezultatai.) 8 Galimi saugumo incidentų šaltiniai: Balandis 2014 10% 12% 13% 16% 27% 31% Informacijos tiekėjai Tiekėjai / verslo partneriai Buvę paslaugų tiekėjai / konsultantai / rangovai Esami paslaugų tiekėjai / konsultantai / rangovai Buvę darbuotojai Esami darbuotojai Darbuotojai Patikimi partneriai
  9. 9. PwC 3. Informacijos saugumo grėsmių prevencija 9 Balandis 2014
  10. 10. PwC Respondentai, atsakę, kad šiuo metu žemiau pateikti saugikliai nėra nustatyti: Saugikliai (angl. safeguards) – priemonės, kurios gali vykdyti nuolatinę informacijos saugumo pažeidžiamumo ir nuolat kintančių grėsmių stebėseną – vis dar naudojamos gana ribotai Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“ Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius yra nustačiusi jūsų organizacija? (Grafike analizuojami ne visi rezultatai.) 10 52% 46% 45% 42% 39% 37% 31% Elgsenos modeliavimas ir stebėsena Saugumo informacijos ir įvykių valdymo technologijos Virtualaus darbastalio sąsajos naudojimas Duomenų praradimo prevencinės priemonės Išteklių valdymo įrankiai Centralizuotos vartotojų duomenų saugyklos Aktyvi saugumo stebėsena ir analizė Dauguma organizacijų dar nespėjo prisitaikyti prie šiandieninių informacijos saugumo grėsmių Balandis 2014
  11. 11. PwC Mobiliųjų įrenginių naudojimas organizacijose sparčiai populiarėja, tačiau nespėjama tinkamai užtikrinti jų saugumo Išmaniųjų telefonų, planšetinių kompiuterių ir asmeninių prietaisų naudojimas daro įtaką padidėjusiai IT saugumo rizikai, tačiau pastangos įgyvendinti mobiliųjų įrenginių saugumo užtikrinimo programas kol kas nėra itin sėkmingos Klausimas Nr. 16: „Kokių iniciatyvų imasi jūsų organizacija mobiliųjų įrenginių saugumo rizikos mažinimui?“ (Grafike analizuojami ne visi rezultatai.) 19% 30% 35% 37% 39% 42% N/A 33% 31% 36% 38% 40% Naudoja geografinės kontrolės sistemą Draudimas naudotis asmeniniais prietaisais organizacijoje / interneto apribojimai Stiprus autentifikavimo mechanizmas El. pašto ir kalendoriaus apsauga asmeniniuose įrenginiuose Mobiliųjų įrenginių valdymo programinė įranga Mobiliųjų įrenginių saugumo strategija 2012 2013 11 Iniciatyvos nukreiptos mobiliųjų įrenginių saugumo užtikrinimui Balandis 2014
  12. 12. PwC 4. Pasiruošimas ateities grėsmėms 12 Balandis 2014
  13. 13. PwC Informacijos saugumo pritaikymas prie veiklos poreikių, standartų išoriniams partneriams nustatymas, geresnė informacijos saugumo komunikacija atskleidžia poreikį informacijos saugumo pagrindų keitimui 13 Informacijos saugumas – veiklos užtikrinimo būtinybė, o ne IT iššūkis 68% 60% 59% 59% 56% 81% 67% 65% 88% 66% Saugumo strategija pritaikyta prie veiklos poreikių Saugumo standartai išoriniams partneriams, klientams, tiekėjams, rangovams Centralizuotas IT saugumo valdymas Aukščiausiojo lygio vadovas atsakingas už IT saugumo komunkaciją IT saugumą koordinuoja įvairių sričių ekspertų komanda Visi respondentai Lyderiai Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“(Grafike analizuojami ne visi rezultatai.) Klausimas Nr. 29: „Ar jūsų organizacija turi aukščiausio lygio vadovą, kuris proaktyviai komunikuotų apie IT saugumo svarbą?“ Balandis 2014 Nustatytos saugumo strategijos ir saugikliai: visi respondentai palyginus su IT saugumo lyderiais
  14. 14. PwC 14 Klausimas Nr. 14: „Kokių veiklos IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?” Klausimas Nr. 15: „Kokių technologinių IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?“ (Grafike analizuojami ne visi rezultatai.) Program to identify sensitive assets Balandis 2014 Į kokias informacijos saugumo priemones ir veiklos procesus planuojama investuoti? Didžiausias prioritetas skiriamas investicijoms į technologijas, kurios ne tik apsaugotų svarbiausius išteklius, bet taip pat suteiktų konkurencinį pranašumą Prioritetiniai saugikliai artimiausiems 12 mėnesių 17% 22% 24% 17% 19% 25% Naudotojų prieigos valdymas Darbuotojų IT saugumo mokymo programa Saugumo principai / standartai išoriniams partneriams / klientams / tiekėjams / rangovams Išteklių valdymo įrankiai Centralizuotos vartotojų duomenų saugyklos Pažeidžiamiausių išteklių nustatymo programa Svarbiausių išteklių apsauga Infrastruktūros apsauga
  15. 15. PwC Daugelis informacijos saugumo lyderių supranta, kad viešojo ir privataus sektoriaus partnerystė gali būti efektyvi priemonė sparčiai kintančių informacijos saugumo grėsmių žvalgybai ir nustatymui Pasauliniai lyderiai įžvelgia potencialią bendradarbiavimo ir dalinimosi informacija naudą Klausimas Nr. 41: „Ar jūsų organizacija, siekdama sumažinti potencialias IT saugumo rizikas, bendradarbiauja su kitomis jūsų verslo šakos organizacijomis, įskaitant konkurentus?” 82% IT saugumo lyderių bendradarbiauja 15 Oficialiai bendradarbiauja IT saugumo klausimais su kitomis organizacijomis Balandis 2014 Taip 82% Ne 13% Nežino 5%
  16. 16. PwC 5. Pasaulinės informacijos saugumo lenktynės 16 Balandis 2014
  17. 17. PwC Rusija taip pat demonstruoja stabilų progresą, nustatant saugiklius duomenų ir išteklių stebėjimui. JAV ir Brazilija šioje srityje užima labai panašias pozicijas, o Indija – atsilieka Technologinių saugumo priemonių įgyvendinimo pranašumą turi Kinija Kinija Rusija JAV Brazilija Indija Centralizuotos vartotojų duomenų saugyklos 73% 68% 65% 64% 61% Elgsenos modeliavimas ir stebėsena 60% 48% 44% 57% 48% Išmaniųjų telefonų šifravimas 61% 51% 57% 52% 53% Įsilaužimo aptikimo įrankiai 65% 76% 67% 64% 68% Pažeidžiamumo tikrinimo įrankiai 72% 60% 63% 63% 58% Išteklių valdymo įrankiai 71% 60% 64% 59% 62% Virtualaus darbastalio sąsajos naudojimas 64% 61% 56% 55% 52% Apsaugos / aptikimo valdymo sprendimai 62% 56% 56% 54% 48% Saugumo informacijos ir įvykių valdymo technologijos 66% 59% 57% 54% 48% 17 Balandis 2014 Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius esate nustatę? (Grafike analizuojami ne visi rezultatai.)
  18. 18. PwC Nei viena šalis kol kas dar nėra tiksliai įvertinusi naujųjų technologijų keliamų informacijos saugumo grėsmių įtakos, tačiau Kinija ir JAV jau pirmauja nustatant šios srities saugumo strategijų įgyvendinimo tempą Debesų kompiuterija, mobilumas, asmeniniai prietaisai ir socialiniai tinklai – saugumo iššūkis visoms šalims 18 Balandis 2014 Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius esate nustatę savo organizacijoje?“ (Grafike analizuojami ne visi rezultatai.) Kinija JAV Rusija Brazilija Indija Debesų kompiuterijos saugumo strategija 51% 52% 45% 49% 47% Mobiliųjų įrenginių saugumo strategija 64% 57% 51% 49% 50% Socialinių tinklų saugumo strategija 59% 58% 47% 51% 50% Asmeninių prietaisų naudojimo organizacijoje saugumo strategija 71% 64% 56% 53% 54%
  19. 19. PwC 6. Informacijos saugumo ateitis 19 Balandis 2014
  20. 20. PwC Efektyvi informacijos saugumo programa reikalauja skirtingų technologinių, strateginių ir žmogiškųjų saugiklių. Remiantis tyrimo analize ir PwC pasaulinės informacijos saugumo praktikos patirtimi, išskyrėme 10 pagrindinių gairių. Pagrindiniai saugikliai, reikalingi efektyviai informacijos saugumo programai 20 Balandis 2014 Pagrindiniai saugikliai efektyvios IT saugumo strategijos įgyvendinimui 1 Dokumentuota saugumo politika 2 Rezervinės kopijos/įranga ir Veiklos atkūrimo/tęstinumo planai 3 Minimalus asmeninių duomenų rinkimas ir saugojimas, naudojant fizinius prieigos prie tokių duomenų apribojimus 4 Patikimi technologiniai saugikliai skirti prevencijai, aptikimui ir šifravimui 5 Tiksli informacija apie asmeninių duomenų rinkimo, perdavimo ir saugojimo priemones bei fizinę buvimo vietą (debesų kompiuterijos sprendimai ?) 6 Elektroninių ir popierinių įrašų privatumo, saugumo, konfidencialumo, integralumo rizikų (vidinių ir išorinių) vertinimas 7 Nuolatinė duomenų saugumo programos efektyvumo stebėsena ir vertinimas 8 Personalo patikimumo patikrinimas 9 Darbuotojų informacijos saugumo mokymo programa 10 Reikalauti darbuotojų ir trečiųjų asmenų laikytis konfidencialumo įsipareigojimų
  21. 21. PwC • Informacijos saugumas – veiklos būtinybė. Informacijos saugumas turi būti numatytas organizacijos veiklos modelyje (security by design) • Viešasis sektorius, skirtingai nei privatus, nekonkuruoja dėl informacijos – tai sudaro prielaidas kurti ir diegti efektyvius kompleksinius informacijos saugos prendimus • Būtina suvokti informacijos saugumo svarbą ir žinoti jo įtaką veiklai bei galimas pasekmes. Potencialios grėsmės turi būti numatomos žinant silpnąsias vietas ir proaktyviai valdant su jomis susijusias informacijos saugumo rizikas • Svarbiausių išteklių / informacijos nustatymas. Planuojant informacijos saugumo strategiją, būtina nustatyti vertingiausius išteklius / informaciją ir jų saugumui pritaikyti atitinkamus saugiklius • Bendradarbiavimas tarp organizacijų kuriant ir diegiant kompleksinius informacijos saugumo sprendimus (pvz. informacinių išteklių valdymo centralizavimas, horizontalių IT sprendimų saugumo optimizavimas ir pan.) Naujas požiūris į informacijos saugumą 21 Balandis 2014
  22. 22. PwC Jūsų klausimai 22 Balandis 2014

×