• Save
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса

  • 805 views
Uploaded on

 

More in: Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
805
On Slideshare
559
From Embeds
246
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 246

http://mj89sp3sau2k7lj1eg3k40hkeppguj6j-a-sites-opensocial.googleusercontent.com 246

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. В поисках взаимопонимания ИБ и БизнесаКонференцияUkrainian Information Security Group UISGv7Владимир Гнинюкген. директор ООО «Глобал АйТи Сервис»
  • 2. Проблемы сегодняшнего дняПостиндустриальное общество• От производства товаров к производству услуг• Производственным ресурсом становятся информация и знанияГлобализация• рост конкуренции – расширение территорий – расширение возможностей в технологиях продаж• непрерывность бизнеса• конфиденциальность© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 2Сервис». All rights reserved.
  • 3. Как это отражается на бизнесеКомпьютер на каждом столеАвтоматизация всех основных бизнес-процессовНовые возможности (но и новые опасности):• удаленная работа• системы B2B, B2P, «электронная торговля»• объединение геораспределенных подразделений в единое информационное пространство)• удаленное управление финансами• VoIP• и т.д.© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 3Сервис». All rights reserved.
  • 4. Но денег не дают… «Денег не дают потому как ИБ - затратная статья...» Неизвестный БезопасникА почему тогда дают деньги на• забор вокруг предприятия• офисные и складские помещения• закупку сырья• уплату зарплаты© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 4Сервис». All rights reserved.
  • 5. Что такое ИБ? Терминология «Верно определяйте слова, и вы освободите мир от половины недоразумений» Рене ДекартХорошая формулировка для "технарей", ноплохая для BDM:"The protection of information and information systems fromunauthorized access, use, disclosure, disruption, modification, ordestruction in order to provide confidentiality, integrity, andavailability. (Committee on National Security Systems. CNSSInstruction No. 4009 26 April 2010)© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 5Сервис». All rights reserved.
  • 6. Что такое ИБ? ТерминологияІнформаційна безпека (information security)Збереження конфіденційності, цілісності тадоступності інформації; крім того, можутьвраховуватися інші властивості, такі, якавтентичність, спостержність, неспростовність танадійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010)Інформаційна безпека - це захист інформації відширокого діапазону загроз з метою забезпеченнябезперервності бізнесу, мінімізації бізнес-ризику іотримання максимальних рентабельності інвестиційі бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010)© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 6Сервис». All rights reserved.
  • 7. Что такое ИБ? ТерминологияМое видение:«Информационная безопасность - это виддеятельности направленный на защитуличности, общества, государства от угроз,возникающих в результате владения и/илиобработки Информации.»Бизнес – частный случай!© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 7Сервис». All rights reserved.
  • 8. Источники проблем• Управление организацией (УО)• Техники, которые мы используем• Психология безопасности© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 8Сервис». All rights reserved.
  • 9. УО: Картина мира - Общие критерииПонятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002 (не ISO/IEC 15408-1:2009)© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 9Сервис». All rights reserved.
  • 10. УО: Картина мира - BMISBusiness Model for Information Security от ISACA (2010)© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 10Сервис». All rights reserved.
  • 11. УО: Позиционирование - ПроблемыСиндром ИТ-шника – работаю «скрытно» – самый умный, самый трудолюбивый, жертвоприношение – презрение к окружающим – боязнь остаться без работыУтаивание инцидентов – инциденты идут в "пассив", отсутствие инцидентов - никуда не идет© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 11Сервис». All rights reserved.
  • 12. УО: Позиционирование - Решение Система прав и полномочий Корпоративное Система ценностей и ожиданий акционеров управление Система показателей стоимости компании Миссия, система целей и стратегий Стратегическое Планы развития компании управление Система стратегических показателей Организационная структура Операционное Процессы управления управление Показатели операционной эффективности• Кому должен быть подчинен C(I)SO• «Сверху вниз» vs «Снизу вверх»© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 12Сервис». All rights reserved.
  • 13. УО: Вовлеченность - ПроблемыНизкая вовлеченность Бизнеса и Персонала впроцессы управления ИБ• устаревшие принципы управления• отсутствие метрик эффективности БИЗНЕСА (KPI)• недооценка формализации (политики, процедуры, бизнес-процессы…)• осведомленность (Картина Мира)© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 13Сервис». All rights reserved.
  • 14. УО: Вовлеченность - Решения• принципы управления – Процессный подход – Внедрение БИЗНЕС-метрик – Формализация – Риск-менеджмент, Compliance-Management• осведомленность – Картина Мира: ВСЕГО ПЕРСОНАЛА – Инцидент менеджмент: ПРЕМИЯ ЗА ИНЦИДЕНТ – ИБ: присутствие на ВСЕХ собраниях и заседаниях© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 14Сервис». All rights reserved.
  • 15. Процессно-ориентировнный подход© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 15Сервис». All rights reserved.
  • 16. Связь ИБ и Основной деятельностиИсточник : книга Курило А.П. Аудит информационной безопасности© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 16Сервис». All rights reserved.
  • 17. Цености: Классификация КатегоризацияИсточники проблем• Личные цели vs Общественных• референтные классы - Reference class problemПути решения• вовлеченность персонала – периодическая «перекрестная» переоценка• отражение в бизнес-процесах© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 17Сервис». All rights reserved.
  • 18. Риск-Менеджмент: Проблемы (поправимые)• дуальность: потери vs возможности• анализ рисков пока не ведется (обработка рисков происходит всегда, другое дело "зрелость" (формализация, CMMI))• несвоевременный анализ «Половина риск-менеджеров хотят расчеты рыночного рискадля новых сделок за 10 секунд, но только 20 процентов могутдобиться этого, а 40 процентов должны работать целую ночь…»(http://www.forbes.com/sites/tomgroenfeldt/2011/10/25/banks-move-toward-global-risk-management-one-local-step-at-a-time/)• не знание "аппетита"© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 18Сервис». All rights reserved.
  • 19. Риск-Менеджмент: Проблемы (концептуальные)• Количественные vs Качественных• Невозможность практической проверки результатов• «Черные лебеди»• Сомнительность предсказания будущего, на знаниях о прошлом• Неопределенность бывает разная• Проблема референтных классов© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 19Сервис». All rights reserved.
  • 20. Риск-Менеджмент: Возможные Решения• смещение акцентов с Угроз на Активы• использование различных методик• управление рисками должно «пронизывать» всю организацию• использование PESTLE и сценарного анализов© ООО «Глобал АйТи Сервис». All rights reserved. Конференция UISGv7 Страница 20
  • 21. Техники: PESTLE-анализАспекты внешней среды, которые влияют на Бизнес:Political - политическиеEconomic - экономическиеSocial - социальныеTechnological - технологическиеLegal - правовыеEnvironmental – окружающая среда© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 21Сервис». All rights reserved.
  • 22. Техники: Сценарный анализмощный инструмент для пониманиянеопределенности и развития стратегий• расширяет границы мышления• указывает на (почти) неизбежные ситуации, что нас ожидают (демография, економика, неустойчевые тенденции, запланированные события)• защищает от "группового" мышления• позволяют бросить вызов общепринятому© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 22Сервис». All rights reserved.
  • 23. Framing BiasСитуация 1:• Решение А: гарантированное получение - $5000• Решение B: получение с 50% вероятн. - $11000Ситуация 2:• Решение C: гарантированная потеря - $5000• Решение D: потеря с 50% вероятн. - $11000© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 23Сервис». All rights reserved.
  • 24. Когнитивные искажения: ПримерыКогнитивные искажения — это систематическиеошибки в мышлении или шаблонные отклонения всуждениях, которые происходят в определённых ситуациях.(Wikipedia)© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 24Сервис». All rights reserved.
  • 25. Когнитивные искажения: ПримерыПрофессиональная деформацияЭффект повального увлечения (конформизм)Эвристика доступностиОшибка, связанная с частными примерамиПредвзятость подтвержденияЭффект привязкиСопротивление, «дух противоречия»Предпочтение нулевого рискаПодчинение авторитетуНедооценка бездействия© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 25Сервис». All rights reserved.
  • 26. Результат: Восприятие Риска Преувеличиваем ПреуменьшаемПроизводят глубокое Не привлекают вниманиевпечатлениеСлучаются редко Являются обычнымиПерсонифицированы АнонимныОбсуждаются Не обсуждаютсяРукотворные ЕстественныеУгрожают непосредственно Угрожают в будущемВнезапны Развиваются медленноНовые и незнакомые ЗнакомыеНепонятные Понятные© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 26Сервис». All rights reserved.
  • 27. Итоги• Безопасник-менеджер это очень мало, он должен быть лидером• Подарите директору открытку• Внедряйте процессный подход• Изучайте Бизнес. Присутствуйте на собраниях всех подразделений• ИБ должна пронизывать все предприятие• Используйте Риск-ориентированные подходы• Используйте технику сценариев• Учитесь понимать Людей их Цели и Поступки© 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 27Сервис». All rights reserved.
  • 28. В поисках взаимопонимания ИБ и БизнесаВопросы Владимир Гнинюк e-mail: vgninyuk@global-it-service.com.ua Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44