Прозоров про угрозы BYOD

Угрозы BYOD
Прозоров Андрей,
блог «Жизнь 80 на 20»
http://80na20.blogspot.ru
Твиттер: @3dwave

Насколько актуальны угрозы?

Survey: Mobile Enterprise Report (MobileIron, 2013) - http://bit.ly/1m1YIBY

2013 Internet Security Threat Report, Volume 18 (Symantec, 2013) - http://bit.ly/19TpBCZ

Политика BYOD важна!

1. Кто может пользоваться мобильными устройствами?
2. Для чего? Какая информация обрабатывается?
Какие сервисы доступны?
3. Корпоративные или личные устройства?
4. Как будем управлять защищать?
5. Как будем обучать/повышать осведомленность пользователей?

• лишь у 20% компаний, где
практикуется BYOD, существуют
отдельные правила безопасности на
этот счет
• до 40% личных устройств
используются для работы с
корпоративными данными даже без
ведома руководителя или IT-служб
• только 17% компаний имеют
официальные правила безопасности
относительно работы на дому, а 67%
не обеспечили защищенный доступ к
внутренней сети компании

Аналитика ESET - http://bit.ly/1jhE7aZ

«Человеческий» фактор
• 43% владельцев используемых для
работы устройств не устанавливали
никакой защиты, а PIN-коды или пароли
на вход использовали только 31%
пользователей
• 46% владельцев таких устройств делят
их с членами семьи
• Около 31% пользователей признались,
что используют в работе незащищенные
сети Wi-Fi

Полезные ссылки:
«Securing Mobile Devices
Using COBIT 5 for Information
Security» - bit.ly/NxTor6
NIST (SP 800-124 Rev. 1 …) 1.usa.gov/1dpMObp

Подборка обзоров и
сравнений решений MDM bit.ly/1g2dhAs

Прозоров Андрей,
блог «Жизнь 80 на 20»
http://80na20.blogspot.ru
Твиттер: @3dwave

Петр Дубенсков, глава департамента развития ИТ-инфраструктурных продуктов IBS, сделал на InterLab Forum 2015 короткий обзор новых ИТ-технологий, которые в ближайшей перспективе окажут существенное влияние на корпоративный сектор. Отдельно спикер остановился на двух важных вопросах: 1. Насколько свежие прогнозы Gartner и IDC применимы к российским реалиям в ситуации сокращения ИТ-бюджетов и санкционных рисков? 2. Как жить настоящим, снижая расходы, и, при этом, адекватно реагировать на вызовы завтрашнего дня? Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS. Подробности: http://www.ibs.ru

Решения InfoWatch для контроля информационных потоков

Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ

Сергей Викторович Вихорев и Роман Кобцев рассуждают о проблемах импортозамещения в сфере обеспечения безопасности информации и информационных технологий в целом. Насколько росийские ИТ зависимы от импорта? Какие риски стоят за этим? Каковы прогнозы и перспективы импортозамещения в текущей ситуации?

InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"

Вопросы эффективности DLP-систем

Невиданные ранее темпы развития ИТ, электроники и телекоммуникаций последнего десятилетия в сочетании с активным проникновением в корпоративную информационную среду «личных» вычислительных устройств и программ для персонального использования принципиально изменили методы хранения, защиты, передачи и предоставления доступа к корпоративным данным.

Информационная безопасность в повседневной жизни

Набор простых рекомендаций для рядовых пользователей Интернет о том, как защитить себя от угрозы в Интернете - от подглядывания, от подсматривания, от кражи учеток и паролей, от кражи денег, от перехвата почты, от блокирования телефона...

Что нам ждать от законодательства по безопасности критической инфраструктуры

Астерит. Практический подход к реализации проектов по защите информации.

InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...

Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"

Курс по законодательству в области ИБ

Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...

Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...

Сети, связи и коммуникации – заговорить на русском. Владимир Дубинкин (IBS) н...

IBS

Анализ предложений российских производителей на рынке сетевых и коммуникационных решений. Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS. Подробности: http://www.ibs.ru

Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...

Advanced monitoring

пр Intro законодательство по иб и юр.практики 2014 09 small

Марат Хазиев (Астерит) - Аудит информационной безопасности

Астерит - практический подход к реализации проектов по защите информации

Anti-Malware. Илья Шабанов. "Тенденции по ИБ"

астерит код иб 25.09.2014Expolink

Мобильные устройства и информационная безопасность — ключевые риски и способы...

КРОК

Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company

What's hot

Аудит ИБ - всё начинается с него, но им не заканчивается!

пр аналитика по утечкам (Info watch)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Развитие безопасных технологий в России в условиях курса на импортозамещение

InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"

Вопросы эффективности DLP-систем

Информационная безопасность в повседневной жизни

Что нам ждать от законодательства по безопасности критической инфраструктуры

Астерит. Практический подход к реализации проектов по защите информации.

InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...

Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"

Курс по законодательству в области ИБ

Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...

Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...

Сети, связи и коммуникации – заговорить на русском. Владимир Дубинкин (IBS) н...

IBS

Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...

Advanced monitoring

пр Intro законодательство по иб и юр.практики 2014 09 small

Марат Хазиев (Астерит) - Аудит информационной безопасности

Астерит - практический подход к реализации проектов по защите информации

Anti-Malware. Илья Шабанов. "Тенденции по ИБ"

астерит код иб 25.09.2014Expolink

What's hot (20)

Аудит ИБ - всё начинается с него, но им не заканчивается!

пр аналитика по утечкам (Info watch)

Развитие безопасных технологий в России в условиях курса на импортозамещение

InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"

Вопросы эффективности DLP-систем

Информационная безопасность в повседневной жизни

Что нам ждать от законодательства по безопасности критической инфраструктуры

Астерит. Практический подход к реализации проектов по защите информации.

InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...

Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"

Курс по законодательству в области ИБ

Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...

Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...

Сети, связи и коммуникации – заговорить на русском. Владимир Дубинкин (IBS) н...

Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...

пр Intro законодательство по иб и юр.практики 2014 09 small

Марат Хазиев (Астерит) - Аудит информационной безопасности

Астерит - практический подход к реализации проектов по защите информации

Anti-Malware. Илья Шабанов. "Тенденции по ИБ"

астерит код иб 25.09.2014

Viewers also liked

Мобильные устройства и информационная безопасность — ключевые риски и способы...

КРОК

Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company

Требования по иб фстэк (госис, пдн, асу тп) V.1

пр 10 ошибок сотрудников small 2013 02-13Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)TalkaKvasova

Образец презентации бизнес-проекта Marina Linko

Ксения Шудрова - Защита персональных данных

Ksenia Shudrova

Viewers also liked (7)

Мобильные устройства и информационная безопасность — ключевые риски и способы...

Защита персональных данных. Презентация с вебинара 29.11.2012

Требования по иб фстэк (госис, пдн, асу тп) V.1

пр 10 ошибок сотрудников small 2013 02-13

презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)

Образец презентации бизнес-проекта

Ксения Шудрова - Защита персональных данных

Similar to Прозоров про угрозы BYOD

Chishinau

Vlad Bezmaly

Управление безопасностью мобильных устройств

SelectedPresentations

Борис Славин "Четыре тигра ИТ инноваций"Expolink

MesiVladimir Zuev

Безопасность мобильных устройств

Denis Bezkorovayny

Получение максимальной отдачи от межсетевого экрана нового поколенияCisco Russia

Мобильные угрозы и консьюмеризация в корпоративной среде

Denis Bezkorovayny

КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD

Dmitry Tikhovich

Еще два года назад создавалось такое впечатление, что каждая вторая статья была посвящена концепции использования собственных устройств сотрудниками (Bring Your Own Device, BYOD). Сейчас на первый план вышла концепция использования каких угодно устройств (Bring Your Own Anything, BYOx), которая заняла свою нишу на ИТ-рынке с учетом всевозрастающей мобильности.

Мобильные видеоконференции: преимущества и угрозы BYOD. Дмитрий Одинцов, True...

TrueConf

Kaspersky Security для мобильных устройств. Почему это необходимоСОФТКОМ

Forum CNews 2013, Мобильный бизнесStanislav Makarov

Современные технологии контроля и защиты мобильных устройств, тенденции рынка...

SelectedPresentations

CloudsNN 2013 Халяпин Сергей. Безопасность подхода Byod – мифы и реальностьClouds NN

Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа

Алексей Лукацкий: Secure mobile access step by-step

Безопасность мобильного доступа: пошаговое руководство

Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа

Daily Profit Digest №22

Daily Profit

Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...

IBS

Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS. Подробности: http://www.ibs.ru

Маркетинговые исследования Smart Home рынка

Azat Tukaev

Similar to Прозоров про угрозы BYOD (20)

Chishinau

Управление безопасностью мобильных устройств

Борис Славин "Четыре тигра ИТ инноваций"

Mesi

Безопасность мобильных устройств

Получение максимальной отдачи от межсетевого экрана нового поколения

Мобильные угрозы и консьюмеризация в корпоративной среде

КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD

Мобильные видеоконференции: преимущества и угрозы BYOD. Дмитрий Одинцов, True...

Kaspersky Security для мобильных устройств. Почему это необходимо

Forum CNews 2013, Мобильный бизнес

Современные технологии контроля и защиты мобильных устройств, тенденции рынка...

CloudsNN 2013 Халяпин Сергей. Безопасность подхода Byod – мифы и реальность

Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа

Алексей Лукацкий: Secure mobile access step by-step

Безопасность мобильного доступа: пошаговое руководство

Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа

Daily Profit Digest №22

Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...

Маркетинговые исследования Smart Home рынка

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

NIST Cybersecurity Framework (CSF) 2.0: What has changed?

NIST has updated the Cybersecurity Framework to version 2.0 (CSF 2.0). Key changes include a new "Govern" function, updated categories and subcategories, and expanded guidance on using profiles and implementation examples. CSF 2.0 also emphasizes supply chain risk management and alignment with other frameworks. The update aims to reflect the evolving cybersecurity landscape and help organizations better manage cybersecurity risks.

pr ISMS Documented Information (lite).pdf

ISO Survey 2022: ISO 27001 certificates (ISMS)

The document summarizes the results of the 2022 ISO Survey, which estimates the number of valid ISO management system certificates as of December 31, 2022. It finds that ISO 27001 certificates increased by 22% in 2022 to a total of 71,549 certificates covering 120,128 sites. The top countries for ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The largest sectors covered are information technology, transport/storage/communication, and other services.

12 Best Privacy Frameworks

The document provides an overview of 12 privacy frameworks that can be used to develop comprehensive privacy programs. It describes each framework, including its organization, cost, and key benefits. The top frameworks are ISO 29100, ISO 27701, the ICO Accountability Framework, and the TrustArc-Nymity Framework. They provide standards, guidelines and best practices for building privacy into products and governance. The document aims to help privacy professionals select the most appropriate framework for their needs without needing to reinvent existing approaches.

Cybersecurity Frameworks for DMZCON23 230905.pdf

This document discusses cybersecurity frameworks and provides an overview of the most popular frameworks. It begins by defining frameworks, regulations, standards and guidelines. Some of the main benefits of frameworks mentioned are providing a comprehensive security baseline, enabling measurement and benchmarking, and demonstrating maturity. Twelve of the most popular frameworks are then listed and described briefly. The document outlines different types of frameworks and provides tips for choosing an appropriate framework based on mandatory requirements, country practices, industry usage, certification needs, organization size and maturity. It also discusses mappings between frameworks and attributes of information security controls.

My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes

From NIST CSF 1.1 to 2.0.pdf

The document summarizes the journey of the NIST Cybersecurity Framework from version 1.1 to the upcoming version 2.0. It provides an overview of the key components of version 1.1 and the motivation for an update. Version 2.0 includes significant updates like a new "Govern" function, changes to categories and subcategories, more implementation guidance, and an emphasis on supply chain risk management. The draft of version 2.0 is available for public comment through November 2023, with the final version planned for early 2024.

ISO 27001 How to use the ISMS Implementation Toolkit.pdf

This document provides an agenda and overview for implementing an Information Security Management System (ISMS) using an ISMS Implementation Toolkit. It discusses what an ISMS toolkit is and important considerations when using one. It then lists the top 5 ISMS toolkits and provides details on the author's own toolkit. Finally, it outlines a 20+1 step process for implementing an ISMS using the toolkit, with each step briefly described.

ISO 27001 How to accelerate the implementation.pdf

How to use ChatGPT for an ISMS implementation.pdf

1. The document discusses how ChatGPT can be used to assist with implementing an Information Security Management System (ISMS) according to ISO 27001. It provides 8 ways ChatGPT may help including clarifying concepts, providing implementation guidance, assisting with policy development, and troubleshooting issues. 2. The document explains that while ChatGPT can offer assistance, it should not replace professional advice. Effective prompts are important to receive relevant responses, and all information from ChatGPT needs to be critically evaluated. 3. The document acknowledges some limitations of ChatGPT, like providing outdated references to the previous ISO 27001 version and failing to generate some example templates completely. Overall, ChatGPT is framed as

pr Privacy Principles 230405 small.pdf

This document discusses key privacy principles for protecting personally identifiable information. It outlines seven main privacy principles from standards like the GDPR and ISO: 1) Lawfulness, fairness and transparency, 2) Purpose limitation, 3) Data minimization, 4) Accuracy, 5) Storage limitation, 6) Integrity and confidentiality (security), and 7) Accountability. It explains each principle in 1-2 sentences and provides examples of how organizations can implement the principles in their privacy practices and policies.

ISO 27001:2022 Introduction

This document provides an overview and agenda for a presentation on ISO 27001 and information security management systems (ISMS). It introduces key terms like information security, the CIA triad of confidentiality, integrity and availability. It describes the components of an ISMS like policy, procedures, risk assessment and controls. It explains that ISO 27001 specifies requirements for establishing, implementing and maintaining an ISMS. The standard is popular because it can be used by all organizations to improve security, comply with regulations and build trust. Implementing an ISMS also increases awareness, reduces risks and justifies security spending.

ISO 27001_2022 What has changed 2.0 for ISACA.pdf

ISO 27005:2022 Overview 221028.pdf

This document provides an overview of changes between the 2018 and 2022 versions of ISO 27005, which provides guidance on managing information security risks. Some key changes include aligning terminology with ISO 31000:2018, adjusting the structure to match ISO 27001:2022, introducing risk scenario concepts, revising and restructuring annexes, and providing additional examples and models. The 2022 version contains 62 pages compared to 56 pages previously and has undergone terminology, process, and content updates to align with updated ISO standards and better support organizations in performing information security risk management.

ISO 27001:2022 What has changed.pdf

The document summarizes the key changes between ISO 27001:2022 and the previous 2013 version. Some of the main changes include: 1. A new name that includes cybersecurity and privacy protection. 2. Shorter at 19 pages compared to 23. 3. New terminology and structure for some clauses around objectives, communication, monitoring and management review. 4. A new annex with 93 controls categorized by type and security properties, compared to the previous 114 controls. 5. Organizations will need to evaluate their existing ISMS and make updates to address the new requirements and structure of ISO 27001:2022.

ISO Survey 2021: ISO 27001.pdf

The document summarizes the results of the 2021 ISO survey, reporting that as of December 31, 2021 there were 58,687 valid ISO 27001 information security certificates covering 99,755 sites globally. It provides breakdowns of the number of certificates and sites by country and sector. The countries with the most ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The sector with the most certificates is information technology.

All about a DPIA by Andrey Prozorov 2.0, 220518.pdf

This document provides information about Data Protection Impact Assessments (DPIAs). It begins with an introduction and agenda. It then covers the definition of a DPIA, why they are needed, when they are mandatory under GDPR, and what they should include. It discusses templates, methodologies, and examples of high risk factors that require a DPIA. It also provides the presenter's templates for a DPIA, including a lighter version, and discusses ways to improve the templates by making them more specific and complicated. The document is an overview of DPIAs aimed at helping organizations understand and comply with requirements.

Supply management 1.1.pdf

The document discusses standards and frameworks for managing information security risks in supplier relationships. It defines key terms related to acquirers, suppliers, and supply chains. It outlines controls from ISO 27001, NIST CSF, and NIST SP 800-53 related to supply chain risk management. These controls address supplier agreements, monitoring performance, and risk treatment. The document also discusses ISO 27036 which provides guidance for securing information in supplier relationships, and NIST SP 800-161 which provides practices for managing cybersecurity supply chain risks.

Employee Monitoring and Privacy.pdf

The document discusses employee monitoring and privacy. It covers surveillance methods used by organizations to monitor employees, including email, internet, software, video, and location monitoring. Specific considerations for remote work are outlined. Legal requirements for employee monitoring from the GDPR, local data protection and labor laws are examined. The document also discusses balancing security and privacy as seen from the perspectives of a CISO and DPO. Risks of inadequate monitoring and examples of GDPR fines for violations are provided. Principles for lawful employee monitoring and recommendations for internal policies are presented.

GDPR RACI.pdf