• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
GESTIONAREA RISCURILOR DE  SECURITATE A INFORMAȚIEI
 

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

on

  • 179 views

GESTIONAREA RISCURILOR DE

GESTIONAREA RISCURILOR DE
SECURITATE A INFORMAȚIEI
Marin Prisăcaru

Statistics

Views

Total Views
179
Views on SlideShare
179
Embed Views
0

Actions

Likes
0
Downloads
2
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    GESTIONAREA RISCURILOR DE  SECURITATE A INFORMAȚIEI GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI Presentation Transcript

    • © 2013 InfoTrust Consulting. Toate drepturile rezervate. GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI 02 OCTOMBRIE 2013 Marin Prisăcaru Tel: +373 22 882550 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md
    • GESTIUNEA RISCURILOR DE SECURITATE ESTE ZONA DE EXPERTIZĂ CHEIE Experiență SC InfoTrust Consulting  Servicii de consultanță managerială din 2009  Peste 20 de clienți în portofoliu  Peste 30 de proiecte realizate în consultanță și audite de securitate / TI, SMSI, BCP, ITSM, cerințe pentru sisteme TI Experiență personală  Sunt în domeniu de 10 ani  CISA, CISM, CRISC  CISM Worldwide Excellence Award 2010  Experiență de audit, supraveghere bancară, management TI  Peste 50 de misiuni de audit și analiză la riscuri de securitate 3
    • A FOST REALIZATĂ O CHESTIONARE PE EȘANTION ȚINTĂ 4 55 respondenți 42 organizații Sectorul guvernamental: 36 respondenți 28 organizații Sectorul bancar: 19 respondenți 13 organizații 15 Responsabili de securitatea TI 18 Responsabili de sisteme TI 19 Conducători 2 (nedeterminat) Maturitatea abordării pentru securitatea informației
    • SUBIECTE EXTRASE DIN CHESTIONAR  Perceperea importanței securității informației  Conștientizarea amenințărilor de securitate  Cum ne asigurăm că suntem protejați  Cum selectăm măsurile de protecție  Cum gestiunea riscurilor face lucrurile mai bune 5
    • IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din chestionar:  ”Considerați că organizația Dumneavoastră acordă suficientă importanță securității informației?” 6 Sectorul guvernamental Sectorul bancar DA – 46% DA – 74% NU – 43% NU – 26% Nu stiu – 11% Nu stiu – 0%  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” Sectorul guvernamental Sectorul bancar Bine și Foarte bine – 63% Bine și Foarte bine – 84% Rău și Foarte rău – 37% Rău și Foarte rău – 16%
    • IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din experiența noastră:  Perceperea importanței securității informației este diferită la nivel de sector și la nivelul organizațiilor din același sector  Importanța securității informației trebuie să fie direct proporțională rolului informației și al tehnologiei pentru afacerea organizației. Factori pentru a fi considerați  Suport managerial  Comunicare  Conștientizare 7
    • CONȘTIENTIZARE Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că salariații organizației au un comportament adecvat la accesarea și utilizarea informației, este:” 8 Opțiuni Sectorul guvernamental Sectorul bancar Aprobarea regulilor de utilizare acceptabilă 35% 0% Sancționarea disciplinară pentru încălcări 12% 0% Implementarea programelor de instruire salariați și conștientizare 35% 79% Blocarea accesului la informație 18% 21%
    • PERCEPEREAAMENINȚĂRILOR DE SECURITATE Din chestionar:  Credeți că organizația dumneavoastră poate fi ținta unui atac cibernetic în următoarele 6 luni? 9 Sectorul guvernamental Sectorul bancar DA – 41% DA – 47% NU – 31% NU – 42% Nu stiu – 28% Nu stiu – 11%  ”Ați paria pentru 1000 de lei că în următoarele 6 luni nu veți avea un incident de securitate vizibil în afara organizației?” Sectorul guvernamental Sectorul bancar DA – 18% DA – 56% NU – 82% NU – 44%
    • Din experiența noastră:  Orice organizație ce deține sisteme TI poate fi ținta unui atac cibernetic  Se produce migrarea de la conceptul ”mie nu mi se poate întâmpla”  A fi tina unui atac, nu înseamnă implicit că acesta va reuși Factori pentru a fi considerați  Acceptare  Pregătire  Detectare  Reacție planificată 10 PERCEPEREAAMENINȚĂRILOR DE SECURITATE
    • CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că serviciile electronice accesate de utilizatori din afara organizației sunt securizate, este:” 11 Opțiuni Sectorul guvernamental Sectorul bancar Responsabilizarea furnizorilor de soluții 11% 0% Responsabilizarea echipei TI interne 66% 53% Efectuarea auditărilor de securitate independente 14% 16% Stabilirea planurilor de gestiune a riscurilor de securitate 9% 31%
    • Din experiența noastră:  Atitudine reactivă pentru securitatea informației  Analiza riscurilor (documentată) în scop de conformare  Funcția de asigurare e delegată preponderent către TI  Este creată și crește rolul funcției de audit TI  Crește cererea pentru servicii profesionale externalizate Factori pentru a fi considerați  Atitudine proactivă  Alocarea resurselor potrivite  Revizuire și îmbunătățire 12 CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
    • CUM SELECTĂM MĂSURILE DE PROTECȚIE Din chestionar:  ”Care sunt cele mai frecvente practici aplicate de organizația Dumneavoastră pentru selectarea măsurilor de securitate ce trebuie să fie implementate?” Sunt aplicate ÎNTOTDEAUNA următoarele practici: 13 Opțiuni Sectorul guvernamental Sectorul bancar Considerarea incidentelor de securitate produse 43% 79% Considerarea cerințelor de reglementare 32% 79% Urmarea recomandărilor furnizorilor de soluții 32% 32% Considerarea rezultatelor analizei la riscuri 30% 89% Considerarea rezultatelor auditărilor de securitate 37% 79% Este sarcina administratorilor de sisteme TI 52% 26%
    • Din experiența noastră:  Orientarea spre măsuri tehnice de securitate  Abordare insulară a măsurilor de securitate vs integrat / multi layered  Delegare excesivă către responsabilii de sisteme TI  Conexiune insuficientă între măsurile de securitate și obiectivele de control (IT, dar și business orientate) Factori pentru a fi considerați  Analiza la riscuri  Decizii risc orientate  Abordare sistemică în raport cu obiectivele de control  Cost-eficiență 14 CUM SELECTĂM MĂSURILE DE PROTECȚIE
    • APRECIEREA NIVELULUI DE MATURITATE Din chestionar:  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” 15 Opțiuni Sectorul guvernamental Sectorul bancar Protecția la viruși 82% - Bine și foarte bine 100% - Bine și foarte bine Protecția rețelei corporative 79% - Bine și foarte bine 100% - Bine și foarte bine Lucrul la distanță și utilizarea dispozitivelor mobile 32% - Rău și foarte rău 32% - Rău și foarte rău Controlul suporților mobili de informație 55% - Rău și foarte rău 42% - Rău și foarte rău Monitorizarea de securitate 47% - Rău și foarte rău 36% - Rău și foarte rău Nivel insuficient pentru gestiunea riscurilor de securitate 82% - Rău și foarte rău 32% - Rău și foarte rău
    • GESTIUNEA RISCURILOR DE SECURITATE 16 Stabilire context Inventariere și clasificare resurse TI Planificare analiză la riscuri Analiză și evaluare riscuri Tratarea riscurilor Monitorizare și îmbunătățire continuă Din experiența noastră:
    • ANALIZA RISCURILOR DE SECURITATE 17 Din experiența noastră:
    • Din experiența noastră: 1. Stabiliți priorități 2. Țineți lucrurile simple 3. Conectați securitatea la business 4. Aplicați ”Security by design” pentru tot ce e nou 5. Implementați securitatea de bază (principiul pareto) 6. Implementați analiza la riscuri 7. Securitatea ≠ Tehnologie 8. Conștientizare și comunicare 9. Pentru GOV.MD – acționați în comun 18 RECOMANDĂRI
    • VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE 19 KEEP STRONG MOLDOVA
    • MULȚUMESC 20 Marin Prisăcaru Tel: +373 22 882550 Mob: + 373 69 010448 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md