© 2013 InfoTrust Consulting. Toate drepturile rezervate.
GESTIONAREA RISCURILOR DE
SECURITATE A INFORMAȚIEI
02 OCTOMBRIE 2...
GESTIUNEA RISCURILOR DE SECURITATE ESTE
ZONA DE EXPERTIZĂ CHEIE
Experiență SC InfoTrust Consulting
 Servicii de consultan...
A FOST REALIZATĂ O CHESTIONARE PE
EȘANTION ȚINTĂ
4
55
respondenți
42
organizații
Sectorul
guvernamental:
36 respondenți
28...
SUBIECTE EXTRASE DIN CHESTIONAR
 Perceperea importanței securității informației
 Conștientizarea amenințărilor de securi...
IMPORTANȚA SECURITĂȚII INFORMAȚIEI
Din chestionar:
 ”Considerați că organizația Dumneavoastră acordă suficientă
importanț...
IMPORTANȚA SECURITĂȚII INFORMAȚIEI
Din experiența noastră:
 Perceperea importanței securității informației este diferită ...
CONȘTIENTIZARE
Din chestionar:
 ”Cea mai populară practică (din cele menționate) aplicată de
organizația Dumneavoastră pe...
PERCEPEREAAMENINȚĂRILOR DE SECURITATE
Din chestionar:
 Credeți că organizația dumneavoastră poate fi ținta unui atac
cibe...
Din experiența noastră:
 Orice organizație ce deține sisteme TI poate fi ținta unui atac
cibernetic
 Se produce migrarea...
CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
Din chestionar:
 ”Cea mai populară practică (din cele menționate) aplicată de
organiz...
Din experiența noastră:
 Atitudine reactivă pentru securitatea informației
 Analiza riscurilor (documentată) în scop de ...
CUM SELECTĂM MĂSURILE DE PROTECȚIE
Din chestionar:
 ”Care sunt cele mai frecvente practici aplicate de organizația
Dumnea...
Din experiența noastră:
 Orientarea spre măsuri tehnice de securitate
 Abordare insulară a măsurilor de securitate vs in...
APRECIEREA NIVELULUI DE MATURITATE
Din chestionar:
 ”Cum apreciați nivelul de maturitate al organizației pe următoarele
z...
GESTIUNEA RISCURILOR DE SECURITATE
16
Stabilire
context
Inventariere
și clasificare
resurse TI
Planificare
analiză la
risc...
ANALIZA RISCURILOR DE SECURITATE
17
Din experiența noastră:
Din experiența noastră:
1. Stabiliți priorități
2. Țineți lucrurile simple
3. Conectați securitatea la business
4. Aplicaț...
VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE
19
KEEP
STRONG
MOLDOVA
MULȚUMESC
20
Marin Prisăcaru
Tel: +373 22 882550
Mob: + 373 69 010448
Email: marin.prisacaru@infotrust.md
Web: www.infotru...
Upcoming SlideShare
Loading in...5
×

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

249

Published on

GESTIONAREA RISCURILOR DE
SECURITATE A INFORMAȚIEI
Marin Prisăcaru

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
249
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

  1. 1. © 2013 InfoTrust Consulting. Toate drepturile rezervate. GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI 02 OCTOMBRIE 2013 Marin Prisăcaru Tel: +373 22 882550 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md
  2. 2. GESTIUNEA RISCURILOR DE SECURITATE ESTE ZONA DE EXPERTIZĂ CHEIE Experiență SC InfoTrust Consulting  Servicii de consultanță managerială din 2009  Peste 20 de clienți în portofoliu  Peste 30 de proiecte realizate în consultanță și audite de securitate / TI, SMSI, BCP, ITSM, cerințe pentru sisteme TI Experiență personală  Sunt în domeniu de 10 ani  CISA, CISM, CRISC  CISM Worldwide Excellence Award 2010  Experiență de audit, supraveghere bancară, management TI  Peste 50 de misiuni de audit și analiză la riscuri de securitate 3
  3. 3. A FOST REALIZATĂ O CHESTIONARE PE EȘANTION ȚINTĂ 4 55 respondenți 42 organizații Sectorul guvernamental: 36 respondenți 28 organizații Sectorul bancar: 19 respondenți 13 organizații 15 Responsabili de securitatea TI 18 Responsabili de sisteme TI 19 Conducători 2 (nedeterminat) Maturitatea abordării pentru securitatea informației
  4. 4. SUBIECTE EXTRASE DIN CHESTIONAR  Perceperea importanței securității informației  Conștientizarea amenințărilor de securitate  Cum ne asigurăm că suntem protejați  Cum selectăm măsurile de protecție  Cum gestiunea riscurilor face lucrurile mai bune 5
  5. 5. IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din chestionar:  ”Considerați că organizația Dumneavoastră acordă suficientă importanță securității informației?” 6 Sectorul guvernamental Sectorul bancar DA – 46% DA – 74% NU – 43% NU – 26% Nu stiu – 11% Nu stiu – 0%  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” Sectorul guvernamental Sectorul bancar Bine și Foarte bine – 63% Bine și Foarte bine – 84% Rău și Foarte rău – 37% Rău și Foarte rău – 16%
  6. 6. IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din experiența noastră:  Perceperea importanței securității informației este diferită la nivel de sector și la nivelul organizațiilor din același sector  Importanța securității informației trebuie să fie direct proporțională rolului informației și al tehnologiei pentru afacerea organizației. Factori pentru a fi considerați  Suport managerial  Comunicare  Conștientizare 7
  7. 7. CONȘTIENTIZARE Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că salariații organizației au un comportament adecvat la accesarea și utilizarea informației, este:” 8 Opțiuni Sectorul guvernamental Sectorul bancar Aprobarea regulilor de utilizare acceptabilă 35% 0% Sancționarea disciplinară pentru încălcări 12% 0% Implementarea programelor de instruire salariați și conștientizare 35% 79% Blocarea accesului la informație 18% 21%
  8. 8. PERCEPEREAAMENINȚĂRILOR DE SECURITATE Din chestionar:  Credeți că organizația dumneavoastră poate fi ținta unui atac cibernetic în următoarele 6 luni? 9 Sectorul guvernamental Sectorul bancar DA – 41% DA – 47% NU – 31% NU – 42% Nu stiu – 28% Nu stiu – 11%  ”Ați paria pentru 1000 de lei că în următoarele 6 luni nu veți avea un incident de securitate vizibil în afara organizației?” Sectorul guvernamental Sectorul bancar DA – 18% DA – 56% NU – 82% NU – 44%
  9. 9. Din experiența noastră:  Orice organizație ce deține sisteme TI poate fi ținta unui atac cibernetic  Se produce migrarea de la conceptul ”mie nu mi se poate întâmpla”  A fi tina unui atac, nu înseamnă implicit că acesta va reuși Factori pentru a fi considerați  Acceptare  Pregătire  Detectare  Reacție planificată 10 PERCEPEREAAMENINȚĂRILOR DE SECURITATE
  10. 10. CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că serviciile electronice accesate de utilizatori din afara organizației sunt securizate, este:” 11 Opțiuni Sectorul guvernamental Sectorul bancar Responsabilizarea furnizorilor de soluții 11% 0% Responsabilizarea echipei TI interne 66% 53% Efectuarea auditărilor de securitate independente 14% 16% Stabilirea planurilor de gestiune a riscurilor de securitate 9% 31%
  11. 11. Din experiența noastră:  Atitudine reactivă pentru securitatea informației  Analiza riscurilor (documentată) în scop de conformare  Funcția de asigurare e delegată preponderent către TI  Este creată și crește rolul funcției de audit TI  Crește cererea pentru servicii profesionale externalizate Factori pentru a fi considerați  Atitudine proactivă  Alocarea resurselor potrivite  Revizuire și îmbunătățire 12 CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
  12. 12. CUM SELECTĂM MĂSURILE DE PROTECȚIE Din chestionar:  ”Care sunt cele mai frecvente practici aplicate de organizația Dumneavoastră pentru selectarea măsurilor de securitate ce trebuie să fie implementate?” Sunt aplicate ÎNTOTDEAUNA următoarele practici: 13 Opțiuni Sectorul guvernamental Sectorul bancar Considerarea incidentelor de securitate produse 43% 79% Considerarea cerințelor de reglementare 32% 79% Urmarea recomandărilor furnizorilor de soluții 32% 32% Considerarea rezultatelor analizei la riscuri 30% 89% Considerarea rezultatelor auditărilor de securitate 37% 79% Este sarcina administratorilor de sisteme TI 52% 26%
  13. 13. Din experiența noastră:  Orientarea spre măsuri tehnice de securitate  Abordare insulară a măsurilor de securitate vs integrat / multi layered  Delegare excesivă către responsabilii de sisteme TI  Conexiune insuficientă între măsurile de securitate și obiectivele de control (IT, dar și business orientate) Factori pentru a fi considerați  Analiza la riscuri  Decizii risc orientate  Abordare sistemică în raport cu obiectivele de control  Cost-eficiență 14 CUM SELECTĂM MĂSURILE DE PROTECȚIE
  14. 14. APRECIEREA NIVELULUI DE MATURITATE Din chestionar:  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” 15 Opțiuni Sectorul guvernamental Sectorul bancar Protecția la viruși 82% - Bine și foarte bine 100% - Bine și foarte bine Protecția rețelei corporative 79% - Bine și foarte bine 100% - Bine și foarte bine Lucrul la distanță și utilizarea dispozitivelor mobile 32% - Rău și foarte rău 32% - Rău și foarte rău Controlul suporților mobili de informație 55% - Rău și foarte rău 42% - Rău și foarte rău Monitorizarea de securitate 47% - Rău și foarte rău 36% - Rău și foarte rău Nivel insuficient pentru gestiunea riscurilor de securitate 82% - Rău și foarte rău 32% - Rău și foarte rău
  15. 15. GESTIUNEA RISCURILOR DE SECURITATE 16 Stabilire context Inventariere și clasificare resurse TI Planificare analiză la riscuri Analiză și evaluare riscuri Tratarea riscurilor Monitorizare și îmbunătățire continuă Din experiența noastră:
  16. 16. ANALIZA RISCURILOR DE SECURITATE 17 Din experiența noastră:
  17. 17. Din experiența noastră: 1. Stabiliți priorități 2. Țineți lucrurile simple 3. Conectați securitatea la business 4. Aplicați ”Security by design” pentru tot ce e nou 5. Implementați securitatea de bază (principiul pareto) 6. Implementați analiza la riscuri 7. Securitatea ≠ Tehnologie 8. Conștientizare și comunicare 9. Pentru GOV.MD – acționați în comun 18 RECOMANDĂRI
  18. 18. VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE 19 KEEP STRONG MOLDOVA
  19. 19. MULȚUMESC 20 Marin Prisăcaru Tel: +373 22 882550 Mob: + 373 69 010448 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×