Your SlideShare is downloading. ×
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана

994
views

Published on

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
994
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Переход в облака, выход из туманаРезультаты глобального исследования по информационнойбезопасностиАндрей Лысюк, CISM, CISA, CCIE, CISSPСтарший консультант отдела услуг в области ИТ и ИТ рисков Ernst & Young2 декабря 2011 года, 7 конференция UISG
  • 2. Глобальное Исследование по Информационной Безопасности Введение ► Одно из наиболее долгоживущих исследований в своем Переход в облака, выход из тумана роде, проводится на протяжении 14 лет Наблюдение за мобильными устройствами ► В этом году приняло участие более 1700 респондентов Прозрачность облаков из 52 стран мира Связь через социальные сети ► Позволяет сфокусироваться на наиболее критических Устранение утечек информации рисках Подготовка к худшему ► Позволяет оценить важность вопросов Глядя в будущее информационной безопасности Итоги результатов исследования Преобразование программы безопасности Демографические данные© 2011 EYGM Limited 2011 Global Information Security Survey | 1All Rights Reserved
  • 3. Введение ► Все больше и больше компаний переходит в виртуальный мир, это поддерживается новыми технологиями и обусловлено необходимостью сокращения издержек. Наше исследование определяет три различные тенденции, которые вместе влияют и будут продолжать оказывать значительное влияние на роль и значение информационной безопасности ► Во-первых, физические границы компании все больше исчезают по мере увеличения передачи данных через Интернет. В прошлогоднем исследование мы уже отмечали эту тенденцию, и она продолжает быть одной из ключевых областей внимания ► Во-вторых, темпы изменений продолжают ускоряться, зафиксированы технологические трансформации целых отраслей промышленности – от автомобильной до издательской или розничной торговли. Происходит изменение бизнес моделей, переход бизнес моделей на более «цифровые» ► Наконец, компании переходят от более традиционных аутсорсинговых контрактов к предоставлению «облачных» услуг. Так как организации понимают преимущества использования модели предоставления услуг в «облаке», эти бизнес модели продолжают распространяться ► Организации переносят все более важные процессы, а иногда и всю свою ИТ инфраструктуру и платформы приложений в облаке - тем самым навсегда изменив свои бизнес модели и ИТ функции© 2011 EYGM Limited 2011 Global Information Security Survey | 2All Rights Reserved
  • 4. Переход в облака, выход из тумана Результаты исследования© 2011 EYGM Limited 2011 Global Information Security Survey | 3All Rights Reserved
  • 5. Переход в облака, выход из туманаУровень рисков ИБ остается высоким, компании пытаются выработать стратегию,чтобы приспособиться к постоянно меняющимся условиям, а также в ответ на угрозыбезопасности Каким образом риски среды, в которой вы работаете изменились за последние 12 месяцев?72% опрошенных видятповышение уровня Мы видим увеличение уровня риска в связи с ростом внешних угроз 72%риска в связи с ростомвнешних угроз. Мы видим увеличение уровня риска в связи с ростом внутренних угроз 46% Мы видим уменьшение уровня риска в связи с ростом внутренних угроз 21% Мы видим уменьшение уровня риска в связи с ростом внешних угроз 9%© 2011 EYGM Limited 2011 Global Information Security Survey | 4All Rights Reserved
  • 6. Переход в облака, выход из туманаРесурсы, которые выделяются на программы информационной безопасности Говоря в общем, что из перечисленного описывает запланированный в59% опрошенных вашей организации общий бюджет информационной безопасности наожидают увеличения ближайшие 12 месяцев?бюджетаинформационнойбезопасности посравнению спредыдущим годом. Будет расти 35% 59% Уменьшиться Останется прежним 6%© 2011 EYGM Limited 2011 Global Information Security Survey | 5All Rights Reserved
  • 7. Переход в облака, выход из туманаНесмотря на усилия направленные на рост возможностей информационнойбезопасности, разрыв с требованиями сохраняется Убеждены ли вы что функции информационной безопасности удовлетворяютВ то время как 49% потребности вашей организации?опрошенных заявиличто функции системыбезопасности Да 49%удовлетворяют нуждыих организации, 51% Нет, в первую очередь из-за ограниченности бюджета 17%заявляет обратное. Нет, в первую очередь из-за отсутствия 13% квалифицированных сотрудников Нет, в первую очередь из-за отсутствия 9% эффективной поддержки Нет, по другим причинам 11%© 2011 EYGM Limited 2011 Global Information Security Survey | 6All Rights Reserved
  • 8. Переход в облака, выход из тумана • Вынесение вопроса информационной безопасности наНаши прогнозы уровень высшего правления, что сделает его более важным • Определение стратегии, которая будет защищать бизнес, одновременно добавив ему большую ценность за счет соответствия потребностям бизнеса • Формирование информационной безопасности, как неотъемлемой части сервиса и продукта • Фокусирование ресурсов информационной безопасности на защите наиболее существенных активов, таких как информация о клиентах и интеллектуальная собственность • Если Ваша информационная безопасность не является адекватной, почему клиенты должны доверять Вам, как бизнесу?© 2011 EYGM Limited 2011 Global Information Security Survey | 7All Rights Reserved
  • 9. Наблюдение за мобильными устройствами Результаты исследования© 2011 EYGM Limited 2011 Global Information Security Survey | 8All Rights Reserved
  • 10. Наблюдение за мобильными устройствамиВ то время как личная адаптация растет, адаптация бизнеса запаздывает. Позволяет ли ваша организация в настоящее время использовать планшетныеКаждый пятый компьютеры для целей бизнеса?опрошенный указал чтоего организация непозволяет в настоящее Не позволяет, или позволяет в очень ограниченном видевремя использоватьпланшеты для целей Нет, и не планируется в ближайшие 12 месяцевбизнеса, и не имеет на Да, широко используется и официально поддерживается организациейэто планов в течении Нет, но запланировано в течении следующих 12 месяцевближайшего года Да, широко используется, но официально не поддерживается организацией© 2011 EYGM Limited 2011 Global Information Security Survey | 9All Rights Reserved
  • 11. Наблюдение за мобильными устройствамиПоскольку использование планшетных устройств продолжает расти, компаниипытаются найти способы, чтобы идти в ногу с вопросами безопасности, которыеприходят вместе с мобильными устройствами Какие из следующих элементов управления осуществляются вами для57% опрошенных снижения новых или увеличившихся рисков, связанных с использованиемсделали корректировку мобильных устройств?политики для снижениярисков, связанных с Корректировки политики 57%мобильными Деятельность по повышению осведомленности 52%устройствами Методы шифрования 47% Разрешение на использование корпоративных 35% планшетов и смартфонов вместо собственных Изменения архитектуры 30% Новое программное обеспечение для 28% управления мобильными устройствами Увеличение возможностей аудита 27% Улучшение процессов управления 26% инцидентами Введение дисциплинарных мер 13% Ничего 11% Запрет на использование всех смартфонов и 7% планшетных устройств© 2011 EYGM Limited 2011 Global Information Security Survey | 10All Rights Reserved
  • 12. Наблюдение за мобильными устройствами ► Внедрение стратегического управления и руководства поНаши прогнозы использованию мобильных устройств и связанных с ними продуктов для обеспечения безопасности соответствующего программного обеспечения ► Использование шифрования как основного механизма контроля. Так как меньше половины опрошенных используют шифрование, организациям следует рассмотреть вопрос его внедрения ► Выполнение тестов на проникновение для мобильных приложений перед развертыванием, чтобы снизить подверженность организации соответствующим рискам© 2011 EYGM Limited 2011 Global Information Security Survey | 11All Rights Reserved
  • 13. Прозрачность облаков Результаты исследования© 2011 EYGM Limited 2011 Global Information Security Survey | 12All Rights Reserved
  • 14. Прозрачность облаковДаже при том что популярность и интерес к облакам продолжают расти, сохраняетсяотсутствие ясности в вопросе последствий для информационной безопасности инеобходимых мер для уменьшения рисков Пользуется ли Ваша организация в настоящее время услугами облачных61% респондентов в вычислений?настоящее времяиспользуют, оцениваютили планируютиспользовать облачные Да, использует в настоящее времявычисления в течениеследующего года. Да, оцениваем их использование Нет, но планируем использовать в ближайшие 12 месяцев Нет, и не планируем использовать в ближайшие 12 месяцев© 2011 EYGM Limited 2011 Global Information Security Survey | 13All Rights Reserved
  • 15. Прозрачность облаковВ то время как популярность и интерес к облачным вычислениям продолжают расти,меры, предпринимаемые службами информационной безопасности организаций, неуспевают за темпами развития облачных сервисовБолее половины Какие из следующих элементов управления осуществляются вами для понижения новых или увеличившихся рисков, связанных с использованием облачныхопрошенных вычислений?практически ничего несделали для снижения Ничего 52%новых или Усиление контроля управления контрактами с поставщиками 22%увеличившихся рисков, Увеличение осведомленности сервис провайдеров 21% Усиление процесса управления доступом исвязанных с идентификацией 19%использованием Технологии шифрования 18%облачных вычислений Инспекция вашей команды по безопасности/ИТ рискам 16% Увеличение аудита предоставления облачных услуг 15% Зависимость облачных сервисов от сертификации 13% Договоренность с третьей стороной по аудиту 13% Ответственность поставщиков облачных сервисов фиксируется в контрактах 11% Улучшение процессов управления инцидентами 11% Финансовые санкции в случае нарушения безопасности 8%© 2011 EYGM Limited 2011 Global Information Security Survey | 14All Rights Reserved
  • 16. Прозрачность облаковОрганизации ищут способы, повышения доверия и уверенности в облачныхвычислениях Сможет ли внешняя сертификация поставщиков облачных услуг увеличить доверие к облачным вычислениям?Почти 90% опрошенныхсчитают, что внешниесертификации приведут Да , если сертификат основан на согласованном стандарте 45%к увеличению доверия к Да, но если орган сертификации прошел аккредитацию 24%облачным вычислениям. Да, в любом случае 20% Нет 12%© 2011 EYGM Limited 2011 Global Information Security Survey | 15All Rights Reserved
  • 17. Прозрачность облаков • Выполнение проверки поставщиков вместо простогоНаши прогнозы доверия • Определение ответственности относительно рисков перед подписанием договоров об использовании облачных сервисов • Планирование обеспечения непрерывности бизнеса и выбора поставщиков, которые демонстрируют прозрачность относительно внедрения планов обеспечения непрерывности деятельности • При использовании стандартных процессов и методов безопасности выбор тех, которые эффективно работали на других технологиях в прошлом • Согласование бизнес стратегии и стратегии в области информационной безопасности, а также постоянная оценка рисков для соблюдения стандартов© 2011 EYGM Limited 2011 Global Information Security Survey | 16All Rights Reserved
  • 18. Связь через социальные сети Результаты исследования© 2011 EYGM Limited 2011 Global Information Security Survey | 17All Rights Reserved
  • 19. Связь через социальные сетиОрганизации пытаются выявить лучший путь для уменьшения угроз безопасности вэтой открытой, динамичной и зарождающейся индустрии, которая затрагиваетпрактически все аспекты деятельности Какие из следующих элементов управления используются вами для53% респондентов понижения новых или увеличившихся рисков, связанных сограничили или использованием социальных сетей?запретили доступ ксайтам социальных Ограничение доступам к сайтам 53% социальных сетейсетей для снижениярисков, связанных с Корректировка политики 46%социальными сетями Программа осведомленности 39% Усиление мониторинга использования Интернета 38% Применение дисциплинарных мер 12% Коррекция процесса управления инцидентами 11% 15% Ничего
  • 20. Связь через социальные сети • Переосмысление использования жесткого ограничения использования социальных сетей. Использование вместоНаши прогнозы этого мониторинга социальных сетей • Принятие всех преимуществ социальных сетей. Отказ от социальных сетей не позволят компаниям идти в ногу с конкурентами и могут привести к возникновению чувства недоверия у сотрудников • Тестирование и использование технических решений, которые усиливают требования политики информационной безопасности относительно социальных сетей • Проведение собственной разведки, чтобы лучше понять, что потенциальные злоумышленники могут найти в социальных сетях© 2011 EYGM Limited 2011 Global Information Security Survey | 19All Rights Reserved
  • 21. Устранение утечек информации Результаты исследования© 2011 EYGM Limited 2011 Global Information Security Survey | 20All Rights Reserved
  • 22. Устранение утечек информацииОрганизации вводят политики, процедуры и информационные кампании, чтобы помочьидентифицировать каналы, через которые можно «слить» данные, но эффективностьэтого сомнительна Что касается реализации DLP-инструментов, как бы вы описали их66% респондентов не развертывание?реализовывалиинструменты Мы не применяли инструменты DLP 66%предотвращения потери Пользователи в основном не заметили применения DLP 15%данных (DLP) Наша реализация была успешной 14% Выполнение прошло гладко и в соответствии с графиком 14% Для реализации потребовалось больше времени чем ожидалось 12% Пользователи были недовольны влиянием на ежедневные операции 6% Наша реализация не была успешной как ожидалось 4%© 2011 EYGM Limited 2011 Global Information Security Survey | 21All Rights Reserved
  • 23. Устранение утечек информацииОрганизации полагаются в первую очередь на политику безопасности и программыосведомленности как на первую линию обороны против потери данных и утечкиинформации74% респондентовопределили политику Какие из следующих действий предприняты вашей организацией, для контроля утечки конфиденциальной информации?классификации иобработкиконфиденциальных Определены политики в отношении классификации и обработки конфиденциальной информации 74%данных, как контроль Внедрена программа повышения осведомленности 69%утечки информации Реализованы дополнительные механизмы, например, шифрование 60% Используется внутренний аудит для тестирования элементов управления 45% Ограничено использование некоторых аппаратных компонент (например USB накопителей) 45% Определены правила для удаленной работы с документами компании 43% Внедрены инструменты анализа журналов 39% Внедрены инструменты предотвращения утечки данных 38% Ограничено использование коммуникаторов и электронной почты 35% Ограничено использование видеоаппаратуры в конфиденциальных зонах 24% Ограниченный доступ к конфиденциальной информации в периоды времени 15%© 2011 EYGM Limited 2011 Global Information Security Survey | 22All Rights Reserved
  • 24. Устранение утечек информации • Понимание и оценивание многих потенциальных рисков, а также каналов утечки информацииНаши прогнозы • Определение и классификация конфиденциальной информации для целей настройки DLP инструментов для защиты наиболее уязвимых данных в первую очередь • Применение целостного подхода для предотвращения потери данных путем определения ключевых DLP контролей и измерения из эффективности. Необходимо понять все примененные DLP контроли для адекватной оценки рисков • При организации DLP контролей учет всех данных: данные в пути, хранимые данные и обрабатываемые данные • При ведении расследования инцидентов, сбор сильной команды для работы с DLP и получение поддержки руководства • Принятие во внимание третьих лиц, имеющих доступ к конфиденциальной информации компании • Понимание того, какие данные передаются третьим лицам, как они передается и безопасен ли механизм передачи© 2011 EYGM Limited 2011 Global Information Security Survey | 23All Rights Reserved
  • 25. Подготовка к худшему Результаты исследований© 2011 EYGM Limited 2011 Global Information Security Survey | 24All Rights Reserved
  • 26. Подготовка к худшемуНепрерывность бизнеса остается главным приоритетом для финансирования Какие из следующих областей информационной безопасности получатПочти в три раза больше наибольшее финансирование в течении ближайших 12 месяцев?респондентов оценилиBCM как высшийприоритет Обеспечение непрерывности бизнесафинансирования, чем Технологии и процессы предотвращения утечек данныхкак второстепенный. Мониторинг соответствия требованиям регуляторов и стандартам Технологии и процессы управления идентификацией и доступом Поддержка новых технологий (облачные вычисления, виртуализация) Управления рисками информационной безопасности Реализация стандартов безопасности (например, ISO/IEC 27002:2005) 1 приоритет Тестирование безопасности 2 приоритет Технологии и процессы управлениями уязвимостями 3 приоритет Обучение и ознакомление с нормами безопасности 4 приоритет Аутсорсинг функций безопасности 5 приоритет Планы и функции реагирования на инциденты Проведение расследований случаев мошенничества Безопасность процесса разработки Безопасность процесса производства Безопасность относительно персонала 0% 20% 40% 60% 80%© 2011 EYGM Limited 2011 Global Information Security Survey | 25All Rights Reserved
  • 27. Подготовка к худшемуВ то время как реализация плана обеспечения непрерывности бизнеса и ресурсы дляподдержки плана продолжает быть приоритетом, большинство компаний по-прежнемуне готовы к катастрофамНа протяжении двух лет Какое из следующих утверждений относится к планам обеспечения непрерывности бизнеса для вашей организации?респондентыуказывают, что Программа обеспечения непрерывности бизнеса утверждена 56%непрерывность бизнеса, Существуют процедуры управления инцидентами и кризисом 55%является их главным Существуют процедуры обеспечения безотказности ИТприоритетом инфраструктуры 55% Существуют процедуры обеспечения непрерывности критичныхфинансирования. бизнес процессов 55% Существуют процедуры защиты персонала 55% Программа обеспечения непрерывности бизнеса охватывает все критичные процессы 53% Программа обеспечения непрерывности бизнеса улучшается 49% Время восстановления критичных процессов определено 49% Программа обеспечения непрерывности бизнеса изложена в документах 47% Угрозы и риски постоянно выявляются и оцениваются 39% Отношения с локальными группами реакции на ЧС установлены 38% Риски непрерывности постоянно отслеживаются 33% Программа обеспечения непрерывности бизнеса не существует 18% 0% 10% 20% 30% 40% 50% 60%© 2011 EYGM Limited 2011 Global Information Security Survey | 26All Rights Reserved
  • 28. Подготовка к худшему • Подготовка и планирование непрерывности бизнеса дляНаши прогнозы рисков с высоким ущербом и малой вероятностью возникновения, включение рисков обеспечения непрерывности в более широкую структуру управления рисками • Оценка уровня зрелости плана обеспечения непрерывности деятельности с учетом новых тенденций и технологий • Проведение тестирований плана обеспечения непрерывности бизнеса организации с целью определения отказоустойчивости бизнеса на практике • Поддержка высшим руководством и аудиторским комитетом программы обеспечения непрерывности бизнеса© 2011 EYGM Limited 2011 Global Information Security Survey | 27All Rights Reserved
  • 29. Глядя в будущее Результаты исследования© 2011 EYGM Limited 2011 Global Information Security Survey | 28All Rights Reserved
  • 30. Глядя в будущееМногие компании приступают к введению информационной безопасности без должногопланирования Имеет ли ваша организация формально представленную вПочти половина из документах стратегию информационной безопасности наответивших ближайшие 1-3 года?организаций не имеетстратегии обеспеченияинформационнойбезопасности Нет Да© 2011 EYGM Limited 2011 Global Information Security Survey | 29All Rights Reserved
  • 31. Глядя в будущееПочти половина организаций не имеет стратегии информационной безопасности, а уостальных планы продолжают развиваться, вопреки тому что они могут быть неэффективными56% респондентов Какое из следующих утверждений наиболее точно описывает стратегиюуказали, что их информационной безопасности вашей организации в отношении угроз существующих на сегодняшний день?нынешняя стратегияинформационнойбезопасности должнабыть изменена или Наша теперешняя стратегия адекватно реагирует на рискинуждается вдальнейшем 23% Нам необходимо модифицировать стратегию дляисследовании 43% реакции на новые риски Нам необходимы дальнейшие исследования для понимания рисков 33% Мы не видим новых или увеличившихся рисков© 2011 EYGM Limited 2011 Global Information Security Survey | 30All Rights Reserved
  • 32. Глядя в будущееПочти треть респондентов указывают, что они купили решения, у которых со временемпоказали свои неэффективность Приобрела ли ваша организация программное и / или аппаратное обеспечение для поддержки инициатив информационной безопасности в последние 18 месяцев, которые не оправдали ожиданий?31% респондентовуказали, что ихорганизация недавноприобрела решения поинформационнойбезопасности, которые Нет, все нашине оправдали ожиданий технологии безопасности успешно используются 31% Да 69%© 2011 EYGM Limited 2011 Global Information Security Survey | 31All Rights Reserved
  • 33. Глядя в будущееБольшинство компаний признает важность планирования управления ИТ рисками84% респондентов Есть ли у вас формализованная программа управления ИТ рискамиуказали, что они имеют действующая в вашей организации?действующую ворганизации программу Программауправления ИТ рисками управления рискамиили будут 16% существует более 3 летрассматривают ее в 25%течение предстоящего Программа управления рискамигода существует менее 3 лет 28% Программа 31% управления рисками планируется в ближайшее 12 месяцев© 2011 EYGM Limited 2011 Global Information Security Survey | 32All Rights Reserved
  • 34. Глядя в будущее • Пересмотр стратегии информационной безопасности вНаши прогнозы соответствии с текущими рисками • Фокусировка на основах безопасности вместо приобретения последних инструментов обеспечении безопасности • Внедрение структурированного, прагматичного подхода к управлению ИТ рисками для концентрации на наиболее критичных рисках. Мы видим внедрение подходов к управлению рисками и GRC (governance risk and compliance) как основную инвестицию многих организаций • Учет всего набора ИТ рисков в программе управления ИТ рисками или программе GRC© 2011 EYGM Limited 2011 Global Information Security Survey | 33All Rights Reserved
  • 35. Итоги по результатам исследования© 2011 EYGM Limited 2011 Global Information Security Survey | 34All Rights Reserved
  • 36. Ключевые результаты исследования § 72% респондентов считают рост внешних угроз причиной повышение уровня риска Введение § 49% респондентов заявили, что функции информационной безопасности удовлетворяют потребности их организации § 61% респондентов используют или планируют использовать услуги облачных вычислений в течение Облачные следующего года вычисления § Почти 90% респондентов считают, что внешние сертификации приведут к увеличению доверия к облачным вычислениям § 80% респондентов либо планируют либо уже используют планшетные компьютеры Мобильные § 57% респондентов сделали корректировку политики для снижения рисков, связанных с мобильными устройства вычислениями § Почти 40% респондентов оценили риски связанные с социальными сетями, как сложные Социальные сети § 53% респондентов внедрили ограничения доступа к сайтам социальных сетей в качестве контроля для снижения рисков, связанных с социальными сетями § 66% респондентов не внедряли инструменты предотвращения потерь информации Предотвращение § 74% респондентов определили политику классификации и обработки конфиденциальных данных как потери данных контроль за рисками утечки информации Управление § Второй год подряд, респонденты указали, что непрерывность бизнеса, является главным приоритетом непрерывностью финансирования бизнеса Управление § 56% респондентов указали, что их нынешняя стратегия информационной безопасности должна быть изменена или нуждается в дальнейшем исследовании рисками § 31% респондентов указали, что их организация недавно приобрела решения по информационной безопасности, которые оказались неэффективными© 2011 EYGM Limited 2011 Global Information Security Survey | 35All Rights Reserved
  • 37. Демографические данные Информация об участниках опроса© 2011 EYGM Limited 2011 Global Information Security Survey | 36All Rights Reserved
  • 38. Участники опроса по географии 1,653 опрошенных из 52 стран© 2011 EYGM Limited 2011 Global Information Security Survey | 37All Rights Reserved
  • 39. Участники исследования по отраслям Аэрокосмический сектор и оборона 8 Авиалинии 11 Управление активами 40 Автопромышленность 54 Банки и рынки капитала 341 Химическая промышленность 36 Потребительские товары 98 Разнообразные товары промышленности 99 Правительственный и государственный сектор 131 Страхование 143 Науки о жизни 40 Медиа и развлечения 48 Металлургическая и горнодобывающая 26 Нефтегазовая 26 Другие 57 Энергетические и коммунальные 58 Частный капитал 2 Частные хозяйства 2 Профессиональные фирмы и услуги 45 Здравоохранение 31 Недвижимость 52 Розничная и оптовая торговля 104 Технологии 119 Телекоммуникации 68 Транспорт 44© 2011 EYGM Limited 2011 Global Information Security Survey | 38All Rights Reserved
  • 40. Участники исследования согласно годовым доходам Более 24 миллиарда дол. 64 10-24 миллиарда дол. 98 1-10 миллиардов дол. 404 500-999 миллионов дол. 163 250-499 миллионов дол. 165 100-249 миллионов дол. 221 Менее 100 миллионов дол. 418 Не применимо (неприбыльные организации) 120 0 50 100 150 200 250 300 350 400 450© 2011 EYGM Limited 2011 Global Information Security Survey | 39All Rights Reserved
  • 41. Участники исследования по согласно занимаемым должностям Руководитель подразделения ИТ 295 CIO 294 CEO 230 CISO 215 CSO 81 Директор внутреннего аудита 38 CTO 34 Администратор системы 24 Руководитель офиса 14 COO 13 CRO 11 CFO 10 CCO 7 Юрист 1 CPO 1 Другое 445 0 50 100 150 200 250 300 350 400 450 500© 2011 EYGM Limited 2011 Global Information Security Survey | 40All Rights Reserved
  • 42. Преобразование программ безопасности Наши услуги© 2011 EYGM Limited 2011 Global Information Security Survey | 41All Rights Reserved
  • 43. Преобразование программы информационной безопасности Вопросы к руководству ► Знаете ли вы, какой ущерб может принести уязвимость в системе безопасности вашей репутации или Выявление Защита бренду? существующих рисков наиболее ценного ► Учитываются ли при создании стратегии безопасности внутренние и внешние угрозы с вашими действиями по управлению Создание рисками? эффективного ► Как выстраиваются бизнеса ключевые приоритеты управления рисками по отношению к расходам? Определен ли приемлемый Поддержка Оптимизация ► уровень риска и как это программы предприятия для повышения влияет на управление рисками? эффективности ► Как стратегия управления ИТ рисками связана с общей стратегией бизнеса?© 2011 EYGM Limited 2011 Global Information Security Survey | 42All Rights Reserved
  • 44. Подход для связи программы информационной безопасности сцелями бизнеса Руководство рисками безопасности и управление рисками Культура управления рисками Политики Руководство Возможности интеграции Движущие силы Полномочия, люди и организации бизнеса Стратегия и архитектура Интеграция и использование Информирование и обучение Методы и процессы безопасности Идентификация и доступ Человеческие ресурсы Угрозы и уязвимости Комплексная Информация, данные и Непрерывность бизнеса и Активы конфиденциальность восстановление после сбоев программа Взаимодействие с третьими безопасности Инциденты Операции и разработка сторонами Физическая безопасность и Ведение журналов и мониторинг Коммуникации безопасность среды Внешние факторы Обеспечение технологий безопасности Приложения Данные Инфраструктура Внутренний аудит Соответствие Отчеты и метрики Уровень эффективности бизнеса© 2011 EYGM Limited 2011 Global Information Security Survey | 43All Rights Reserved
  • 45. Услуги Ernst & Young в области информационной безопасностисосредоточены решениях по улучшению бизнеса Оценка Изменение Поддержка Ресурсы Результаты для клиентов • Фокус на бизнесе и • Преобразование программы различных секторах Управление программой безопасности безопасности улучшает индустрии эффективность бизнеса • Стратегия безопасности и план • Отчеты и метрики безопасности развития • Управление непрерывностью • Комплексный подход к • Технические • Организация и управление бизнеса информационной безопасности исследования в • Оценка рисков информационной • Управление рисками и ИТ рискам во всей Центрах безопасности связанными с третьей стороной организации Исследования Безопасности Управление угрозами и уязвимостями • Различный опыт • Идентификация и оценка сотрудников, • Тесты на проникновение • Тестирование приложений и внутренних и внешних рисков выполняющих проекты позволяет • Расследования инцидентов безопасность разработки • Оптимизированные меры принимать, • Управление уязвимостями • Система внутренних контролей противодействия угрозам основанные на фактах, творческие решения по улучшению бизнеса Управление идентификацией и доступом • Понимание того, кто имеет или требует доступ к важным • Собственная • Стратегия и руководство • Пересмотр и сертификация данным и приложениям методология и • Запросы и подтверждения • Управление ролями и правилами инструменты, • Согласование • Устойчивые, соответствующие • Предоставление и деактивация передовые • Усиление • Доклад и анализ требованиям регуляторов исследования процессы управления доступом • Культура компаний большой четверки Защита информации и защита персональной информации соответствует • Защита важной информации и культуре многих обнаружение утечек глобальных • Стратегия защиты информации • Предотвращение утечек данных • Механизмы защиты • Оценка выполнения требований по • Соответствия требованиям компаний персональной информации защите персональных данных и регуляторов рекомендации по улучшению© 2011 EYGM Limited 2011 Global Information Security Survey | 44All Rights Reserved
  • 46. Вопросы?Андрей Лысюк, CISM, CISA, CCIE, CISSPСтарший консультант отдела услуг в области ИТ и ИТ рисков Ernst & Young+380 (67) 500-5181Andriy.Lysyuk@ua.ey.comhttp://www.ey.com/UA/uk/Home © 2011 EYGM Limited 2011 Global Information Security Survey | 45 All Rights Reserved