SlideShare a Scribd company logo

OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

SecuRing
SecuRing

Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce. Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka? Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013. Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.

Technology
1 of 23
Download to read offline
OWASP Poland Chapter Leader Wojciech Dworakowski OWASP CISO Survey 2014 Wstępne wyniki polskiego badania
Misja: Poprawa stanu bezpieczeństwa aplikacji 100+ Local Chapters Standardy, przewodniki, narzędzia Lokalne spotkania, konferencje W Polsce od 2007 – Warszawa, Kraków, Poznań
Ankieta dotycząca zarządzania bezpieczeństwem aplikacji Kierowana do CISO Ponad 500 respondentów z całego Świata 64 ankiety z Polski Uwaga: Poniżej wstępne porównanie wyników z Polski z 2014 z wynikami globalnymi z 2013 OWASP CISO Survey 2014
62% - manager ds. bezpieczeństwa IT 18% - manager ds. IT 15% - network/systems administrator 6% - inne Stanowisko
Obowiązki
Polska Świat Organizacje biorące udział w badaniu Administracja państwowa eCommerce Media i rozrywka Nieruchomości Technologia Telekomunikacja Firmy i usługi profesjonalne Inne Bankowość i rynki kapitałowe 0,0% 10,0% 20,0% 30,0% 40,0% 0 10 20 30 Automotive Chemicals Real Estate Transportation Retail & Wholesale Technology Consumer Products Aerospace and Defense Oil & Gas Power & Utilities Media & Entertainment Telecommunications Government & Public Sector… Professional Firms & Services Technology Other (please specify) Banking & Capital Markets
Polska Świat Organizacje biorące udział w badaniu (zasięg działania) Krajowy 56% Regionalny 19% Globalny 25% National; 47 Regional; 26 Global; 74
Zagrożenia - przewidywania 17% 42% 85% 80% 71% 50% 13% 20% 12% 8% 2% Świat Polska Świat Polska Wewnętrzne Zewnętrzne Wzrost Bez zmian Spadek
Jakiego rodzaju osoby mogą zaatakować firmę? Hakerzy amatorzy Grupy przestępcze/ profesjonalni oszuści Osoby wewnątrz firmy/ pracownicy Osoby zaangażowane w szpiegostwo korporacyjne/… Aktywiści / Osoby anonimowe Konkurenci Szpiedzy sponsorowani przez państwo Dostawcy/ partnerzy
Źródła ryzyka dla aplikacji (top 5) Polska Świat 1 Brak świadomości w kwestiach bezpieczeństwa aplikacji w firmie Lack of awareness of application security issues within the organization 2 Tworzenie niebezpiecznego kodu źródłowego Insecure source code development 3 Dostawcy zewnętrzni i outsourcing (np. brak bezpieczeństwa, brak kontroli) Poor/inadequate testing methodologies 4 Brak budżetu na wsparcie inicjatyw z zakresu bezpieczeństwa aplikacji Lack of budget to support application security initiatives 5 Kadry (np. brak kompetencji w zakresie bezpieczeństwa w zespole) Staffing (e.g., lack of security skills within team)
Cel ataków / Obszary ryzyka 51% 51% 25% 36% Polska Świat Aplikacje Infrastruktura Inne
Polska Świat Liczba incydentów związanych z aplikacjami Żadnego; 42,1% 1 2 5 10 20 Ponad 100
1.Przerwanie działania 2.Naruszenie reputacji 3.Bezpośrednia strata finansowa 4.Utrata lub narażenie danych osobowych 5.Utrata danych klienta Główne typy szkód spowodowane atakami (PL)
Inwestycje w bezpieczeństwo IT 43% 47% 36% 38% 50% 40% 55% 52% 7% 13% 10% 10% Polska Świat Polska Świat bezpieczeństwo aplikacji bezpieczeństwo infrastruktury Zwiększają się Na tym samym poziomie Zmniejszają się
1 Zarządzanie ryzykiem IT / bezpieczeństwa informacji 2 Zapobieganie wyciekowi / utracie danych 3 Wdrażanie standardów bezpieczeństwa 4 Przeglądy kodu 5 Infrastruktura bezpieczeństwa aplikacji (np. WAF) Bezpieczeństwo urządzeń mobilnych Bezpieczeństwo infrastruktury (np. programy antywirusowe, IDS, IPS, wgrywanie poprawek) Technologie i procesy zarządzania podatnościami warstwy aplikacji Umiejętności w zakresie reakcji na incydenty Testy penetracyjne Priorytety w zakresie bezpieczeństwa IT (na nadchodzące 12 miesięcy)
Priorytety w zakresie bezpieczeństwa aplikacji (na nadchodzące 12 miesięcy) Polska Świat 1 Przeglądy kodu Security awareness and training for developers [PL #7] 2 Wdrożenie infrastruktury bezpieczeństwa aplikacji (np. WAF) SDLC - Secure development lifecycle processes (e.g., secure coding, QA) 3 Technologie i procesy zarządzania podatnościami warstwy aplikacji Security testing of applications (dynamic analysis, runtime observation) 4 Testy bezpieczeństwa aplikacji (analizy dynamiczne, na uruchomionej aplikacji) Application layer vulnerability management technologies and processes 5 SDLC – bezpieczeństwo w cyklu wytwarzania oprogramowania (np. bezpieczne kodowanie, procesy QA) Code review
W trakcie realizacji inicjatyw z zakresu bezpieczeństwa aplikacji w Państwa organizacji, jak duże wyzwanie stanowią poniższe kwestie? Polska Świat 1 Odpowiedni budżet Availability of skilled resources 2 Dostępność wykwalifikowanych zasobów Level of security awareness by the developers 3 Świadomość kadry zarządzającej i sponsorowanie Management awareness and sponsorship 4 Poziom świadomości bezpieczeństwa u programistów Adequate budget 5 Sprzeczne wymagania biznesowe Organizational change
Narzędzia wspomagające 61% 48% 22% 19% 21% 27% 33% 15% 18% 24% 44% 65% Skanery podatności aplikacji Web application firewall (WAF) Skanery lub analizatory kodu źródłowego Analizatory „runtime” Obecnie używane Planowane (12-18 miesięcy) Nie planujemy stosowania
Polska Świat OWASP Top-10 Application Security FAQ CISO Guide Testing Guide Zed Attack Proxy (ZAP) Application Security Verification Standard (ASVS) OWASP Top-10 Cheatsheets Development Guide Secure Coding Practices Quick Reference Application Security FAQ Najbardziej przydatne projekty OWASP
Większość trendów pokrywa się Incydenty: Polska 58%, Świat 21% Priorytety w zakresie bezpieczeństwa aplikacji Świat: Szkolenie developerów, SDLC Polska: Przeglądy kodu, infrastruktura zabezpieczeń Największym wyzwaniem w Polsce jest budżet Polska vs Świat
Tłumaczenie wyników lokalnych na angielski Agregacja wyników z wersji zlokalizowanych Analiza wyników globalnych i publikacja raportu z całości badania (Q2 2015) Analiza wyników polskich, porównanie z globalnymi i publikacja raportu (Q2 2015) OWASP CISO Survey 2014 – co dalej?
Informacje o raportach i innych działaniach OWASP Poland: WWW Lista 23 https://www.owasp.org/index.php/Poland https://lists.owasp.org/mailman/listinfo/owasp-poland https://www.linkedin.com/groups/OWASP-Poland-8179731 https://twitter.com/owasppoland https://www.facebook.com/pages/OWASP-Poland-Local-Chapter
Pytania ankietowe: https://www.owasp.org/index.php/CISO_Survey_2014_Questionnaire Informacje o projekcie i raport z 2013: https://www.owasp.org/index.php/OWASP_CISO_Survey_Project OWASP CISO Guide: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs OWASP OpenSAMM: http://www.opensamm.org/ Pytania i uwagi: wojciech.dworakowski@owasp.org Materiały dodatkowe

Recommended

OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
LeszekMis
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
Pabiszczak Błażej
 
Bezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleBezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źle
SecuRing
 
YetiForce OWASP ASVS
YetiForce OWASP ASVSYetiForce OWASP ASVS
YetiForce OWASP ASVS
YetiForce Sp. z o.o.
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
OWASP
 
Application security verification standard
Application security verification standardApplication security verification standard
Application security verification standard
SecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowaniaRaport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
SecuRing
 

Recommended

OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
LeszekMis
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
Pabiszczak Błażej
 
Bezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleBezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źle
SecuRing
 
YetiForce OWASP ASVS
YetiForce OWASP ASVSYetiForce OWASP ASVS
YetiForce OWASP ASVS
YetiForce Sp. z o.o.
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
OWASP
 
Application security verification standard
Application security verification standardApplication security verification standard
Application security verification standard
SecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowaniaRaport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
SecuRing
 
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązaniaAutomatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
SecuRing
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
Foros
ForosForos
Foros
Raymond Marquina
 
Bezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2MBezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2M
SecuRing
 
4developers utrzymanie bezpieczenstwa
4developers utrzymanie bezpieczenstwa4developers utrzymanie bezpieczenstwa
4developers utrzymanie bezpieczenstwa
SecuRing
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilne
SecuRing
 
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
SecuRing
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
SecuRing
 
Big problems with big data – Hadoop interfaces security
Big problems with big data – Hadoop interfaces securityBig problems with big data – Hadoop interfaces security
Big problems with big data – Hadoop interfaces security
SecuRing
 
Normas para el uso educativo de chat y foros
Normas para el uso educativo de chat y forosNormas para el uso educativo de chat y foros
Normas para el uso educativo de chat y foroslherrera49
 
Uso De Foros
Uso De ForosUso De Foros
Uso De Foros
Nereyda
 
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
SecuRing
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania
QualityIn.IT
 
Foros y su uso educativo
Foros y su uso educativoForos y su uso educativo
Foros y su uso educativo
cris-lili
 
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Restaurant Accountants/ Bookkeepers - Different Roles and ResponsibilitiesRestaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Cogneesol
 
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
BRYULLOV, Karl Pavlovich,Featured Paintings in DetailBRYULLOV, Karl Pavlovich,Featured Paintings in Detail
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
guimera
 
Insurance Accounting: A Quick Guide for Beginners
Insurance Accounting: A Quick Guide for BeginnersInsurance Accounting: A Quick Guide for Beginners
Insurance Accounting: A Quick Guide for Beginners
Cogneesol
 
So you want to quit your day job and make a connected product
So you want to quit your day job and make a connected productSo you want to quit your day job and make a connected product
So you want to quit your day job and make a connected product
Alexandra Deschamps-Sonsino
 
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
The New Assembly Line: 3 Best Practices for Building (Secure) Connected CarsThe New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
Lookout
 
The Automotive Industry Through the lens of social
The Automotive Industry Through the lens of socialThe Automotive Industry Through the lens of social
The Automotive Industry Through the lens of social
Brandwatch
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PROIDEA
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
Jerzy Łabuda
 

More Related Content

Viewers also liked

Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązaniaAutomatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
SecuRing
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
SecuRing
 
Foros
ForosForos
Foros
Raymond Marquina
 
Bezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2MBezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2M
SecuRing
 
4developers utrzymanie bezpieczenstwa
4developers utrzymanie bezpieczenstwa4developers utrzymanie bezpieczenstwa
4developers utrzymanie bezpieczenstwa
SecuRing
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilne
SecuRing
 
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
SecuRing
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
SecuRing
 
Big problems with big data – Hadoop interfaces security
Big problems with big data – Hadoop interfaces securityBig problems with big data – Hadoop interfaces security
Big problems with big data – Hadoop interfaces security
SecuRing
 
Normas para el uso educativo de chat y foros
Normas para el uso educativo de chat y forosNormas para el uso educativo de chat y foros
Normas para el uso educativo de chat y foroslherrera49
 
Uso De Foros
Uso De ForosUso De Foros
Uso De Foros
Nereyda
 
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
SecuRing
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania
QualityIn.IT
 
Foros y su uso educativo
Foros y su uso educativoForos y su uso educativo
Foros y su uso educativo
cris-lili
 
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Restaurant Accountants/ Bookkeepers - Different Roles and ResponsibilitiesRestaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Cogneesol
 
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
BRYULLOV, Karl Pavlovich,Featured Paintings in DetailBRYULLOV, Karl Pavlovich,Featured Paintings in Detail
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
guimera
 
Insurance Accounting: A Quick Guide for Beginners
Insurance Accounting: A Quick Guide for BeginnersInsurance Accounting: A Quick Guide for Beginners
Insurance Accounting: A Quick Guide for Beginners
Cogneesol
 
So you want to quit your day job and make a connected product
So you want to quit your day job and make a connected productSo you want to quit your day job and make a connected product
So you want to quit your day job and make a connected product
Alexandra Deschamps-Sonsino
 
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
The New Assembly Line: 3 Best Practices for Building (Secure) Connected CarsThe New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
Lookout
 
The Automotive Industry Through the lens of social
The Automotive Industry Through the lens of socialThe Automotive Industry Through the lens of social
The Automotive Industry Through the lens of social
Brandwatch
 

Viewers also liked (20)

Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązaniaAutomatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
Foros
ForosForos
Foros
 
Bezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2MBezpieczeństwo rozwiązań Iot/M2M
Bezpieczeństwo rozwiązań Iot/M2M
 
4developers utrzymanie bezpieczenstwa
4developers utrzymanie bezpieczenstwa4developers utrzymanie bezpieczenstwa
4developers utrzymanie bezpieczenstwa
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilne
 
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
 
Big problems with big data – Hadoop interfaces security
Big problems with big data – Hadoop interfaces securityBig problems with big data – Hadoop interfaces security
Big problems with big data – Hadoop interfaces security
 
Normas para el uso educativo de chat y foros
Normas para el uso educativo de chat y forosNormas para el uso educativo de chat y foros
Normas para el uso educativo de chat y foros
 
Uso De Foros
Uso De ForosUso De Foros
Uso De Foros
 
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania
 
Foros y su uso educativo
Foros y su uso educativoForos y su uso educativo
Foros y su uso educativo
 
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Restaurant Accountants/ Bookkeepers - Different Roles and ResponsibilitiesRestaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
 
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
BRYULLOV, Karl Pavlovich,Featured Paintings in DetailBRYULLOV, Karl Pavlovich,Featured Paintings in Detail
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
 
Insurance Accounting: A Quick Guide for Beginners
Insurance Accounting: A Quick Guide for BeginnersInsurance Accounting: A Quick Guide for Beginners
Insurance Accounting: A Quick Guide for Beginners
 
So you want to quit your day job and make a connected product
So you want to quit your day job and make a connected productSo you want to quit your day job and make a connected product
So you want to quit your day job and make a connected product
 
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
The New Assembly Line: 3 Best Practices for Building (Secure) Connected CarsThe New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
 
The Automotive Industry Through the lens of social
The Automotive Industry Through the lens of socialThe Automotive Industry Through the lens of social
The Automotive Industry Through the lens of social
 

Similar to OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PROIDEA
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
Jerzy Łabuda
 
Kluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacjiKluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacji
Breachcomber by Hostersi
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
EYPoland
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
Karol Chwastowski
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PROIDEA
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
SecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Logicaltrust pl
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]
CEO Magazyn Polska
 
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowychIBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
Szymon Dowgwillowicz-Nowicki
 
Jakość i wiarygodność OSS
Jakość i wiarygodność OSSJakość i wiarygodność OSS
Jakość i wiarygodność OSSbartekel
 
Modelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnychModelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnych
SecuRing
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Rafal
 

Similar to OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce (20)

PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 
Kluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacjiKluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacji
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]
 
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowychIBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
 
Jakość i wiarygodność OSS
Jakość i wiarygodność OSSJakość i wiarygodność OSS
Jakość i wiarygodność OSS
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 
Modelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnychModelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnych
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
 

More from SecuRing

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
SecuRing
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
SecuRing
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON Name
SecuRing
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
SecuRing
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
SecuRing
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
SecuRing
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 edition
SecuRing
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms
SecuRing
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?
SecuRing
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
SecuRing
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defense
SecuRing
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS apps
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scale
SecuRing
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
SecuRing
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
SecuRing
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOS
SecuRing
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
SecuRing
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS Apps
SecuRing
 

More from SecuRing (20)

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON Name
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 edition
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defense
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS apps
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scale
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOS
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS Apps
 

OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

  • 1. OWASP Poland Chapter Leader Wojciech Dworakowski OWASP CISO Survey 2014 Wstępne wyniki polskiego badania
  • 2. Misja: Poprawa stanu bezpieczeństwa aplikacji 100+ Local Chapters Standardy, przewodniki, narzędzia Lokalne spotkania, konferencje W Polsce od 2007 – Warszawa, Kraków, Poznań
  • 3. Ankieta dotycząca zarządzania bezpieczeństwem aplikacji Kierowana do CISO Ponad 500 respondentów z całego Świata 64 ankiety z Polski Uwaga: Poniżej wstępne porównanie wyników z Polski z 2014 z wynikami globalnymi z 2013 OWASP CISO Survey 2014
  • 4. 62% - manager ds. bezpieczeństwa IT 18% - manager ds. IT 15% - network/systems administrator 6% - inne Stanowisko
  • 6. Polska Świat Organizacje biorące udział w badaniu Administracja państwowa eCommerce Media i rozrywka Nieruchomości Technologia Telekomunikacja Firmy i usługi profesjonalne Inne Bankowość i rynki kapitałowe 0,0% 10,0% 20,0% 30,0% 40,0% 0 10 20 30 Automotive Chemicals Real Estate Transportation Retail & Wholesale Technology Consumer Products Aerospace and Defense Oil & Gas Power & Utilities Media & Entertainment Telecommunications Government & Public Sector… Professional Firms & Services Technology Other (please specify) Banking & Capital Markets
  • 7. Polska Świat Organizacje biorące udział w badaniu (zasięg działania) Krajowy 56% Regionalny 19% Globalny 25% National; 47 Regional; 26 Global; 74
  • 8. Zagrożenia - przewidywania 17% 42% 85% 80% 71% 50% 13% 20% 12% 8% 2% Świat Polska Świat Polska Wewnętrzne Zewnętrzne Wzrost Bez zmian Spadek
  • 9. Jakiego rodzaju osoby mogą zaatakować firmę? Hakerzy amatorzy Grupy przestępcze/ profesjonalni oszuści Osoby wewnątrz firmy/ pracownicy Osoby zaangażowane w szpiegostwo korporacyjne/… Aktywiści / Osoby anonimowe Konkurenci Szpiedzy sponsorowani przez państwo Dostawcy/ partnerzy
  • 10. Źródła ryzyka dla aplikacji (top 5) Polska Świat 1 Brak świadomości w kwestiach bezpieczeństwa aplikacji w firmie Lack of awareness of application security issues within the organization 2 Tworzenie niebezpiecznego kodu źródłowego Insecure source code development 3 Dostawcy zewnętrzni i outsourcing (np. brak bezpieczeństwa, brak kontroli) Poor/inadequate testing methodologies 4 Brak budżetu na wsparcie inicjatyw z zakresu bezpieczeństwa aplikacji Lack of budget to support application security initiatives 5 Kadry (np. brak kompetencji w zakresie bezpieczeństwa w zespole) Staffing (e.g., lack of security skills within team)
  • 11. Cel ataków / Obszary ryzyka 51% 51% 25% 36% Polska Świat Aplikacje Infrastruktura Inne
  • 12. Polska Świat Liczba incydentów związanych z aplikacjami Żadnego; 42,1% 1 2 5 10 20 Ponad 100
  • 13. 1.Przerwanie działania 2.Naruszenie reputacji 3.Bezpośrednia strata finansowa 4.Utrata lub narażenie danych osobowych 5.Utrata danych klienta Główne typy szkód spowodowane atakami (PL)
  • 14. Inwestycje w bezpieczeństwo IT 43% 47% 36% 38% 50% 40% 55% 52% 7% 13% 10% 10% Polska Świat Polska Świat bezpieczeństwo aplikacji bezpieczeństwo infrastruktury Zwiększają się Na tym samym poziomie Zmniejszają się
  • 15. 1 Zarządzanie ryzykiem IT / bezpieczeństwa informacji 2 Zapobieganie wyciekowi / utracie danych 3 Wdrażanie standardów bezpieczeństwa 4 Przeglądy kodu 5 Infrastruktura bezpieczeństwa aplikacji (np. WAF) Bezpieczeństwo urządzeń mobilnych Bezpieczeństwo infrastruktury (np. programy antywirusowe, IDS, IPS, wgrywanie poprawek) Technologie i procesy zarządzania podatnościami warstwy aplikacji Umiejętności w zakresie reakcji na incydenty Testy penetracyjne Priorytety w zakresie bezpieczeństwa IT (na nadchodzące 12 miesięcy)
  • 16. Priorytety w zakresie bezpieczeństwa aplikacji (na nadchodzące 12 miesięcy) Polska Świat 1 Przeglądy kodu Security awareness and training for developers [PL #7] 2 Wdrożenie infrastruktury bezpieczeństwa aplikacji (np. WAF) SDLC - Secure development lifecycle processes (e.g., secure coding, QA) 3 Technologie i procesy zarządzania podatnościami warstwy aplikacji Security testing of applications (dynamic analysis, runtime observation) 4 Testy bezpieczeństwa aplikacji (analizy dynamiczne, na uruchomionej aplikacji) Application layer vulnerability management technologies and processes 5 SDLC – bezpieczeństwo w cyklu wytwarzania oprogramowania (np. bezpieczne kodowanie, procesy QA) Code review
  • 17. W trakcie realizacji inicjatyw z zakresu bezpieczeństwa aplikacji w Państwa organizacji, jak duże wyzwanie stanowią poniższe kwestie? Polska Świat 1 Odpowiedni budżet Availability of skilled resources 2 Dostępność wykwalifikowanych zasobów Level of security awareness by the developers 3 Świadomość kadry zarządzającej i sponsorowanie Management awareness and sponsorship 4 Poziom świadomości bezpieczeństwa u programistów Adequate budget 5 Sprzeczne wymagania biznesowe Organizational change
  • 18. Narzędzia wspomagające 61% 48% 22% 19% 21% 27% 33% 15% 18% 24% 44% 65% Skanery podatności aplikacji Web application firewall (WAF) Skanery lub analizatory kodu źródłowego Analizatory „runtime” Obecnie używane Planowane (12-18 miesięcy) Nie planujemy stosowania
  • 19. Polska Świat OWASP Top-10 Application Security FAQ CISO Guide Testing Guide Zed Attack Proxy (ZAP) Application Security Verification Standard (ASVS) OWASP Top-10 Cheatsheets Development Guide Secure Coding Practices Quick Reference Application Security FAQ Najbardziej przydatne projekty OWASP
  • 20. Większość trendów pokrywa się Incydenty: Polska 58%, Świat 21% Priorytety w zakresie bezpieczeństwa aplikacji Świat: Szkolenie developerów, SDLC Polska: Przeglądy kodu, infrastruktura zabezpieczeń Największym wyzwaniem w Polsce jest budżet Polska vs Świat
  • 21. Tłumaczenie wyników lokalnych na angielski Agregacja wyników z wersji zlokalizowanych Analiza wyników globalnych i publikacja raportu z całości badania (Q2 2015) Analiza wyników polskich, porównanie z globalnymi i publikacja raportu (Q2 2015) OWASP CISO Survey 2014 – co dalej?
  • 22. Informacje o raportach i innych działaniach OWASP Poland: WWW Lista 23 https://www.owasp.org/index.php/Poland https://lists.owasp.org/mailman/listinfo/owasp-poland https://www.linkedin.com/groups/OWASP-Poland-8179731 https://twitter.com/owasppoland https://www.facebook.com/pages/OWASP-Poland-Local-Chapter
  • 23. Pytania ankietowe: https://www.owasp.org/index.php/CISO_Survey_2014_Questionnaire Informacje o projekcie i raport z 2013: https://www.owasp.org/index.php/OWASP_CISO_Survey_Project OWASP CISO Guide: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs OWASP OpenSAMM: http://www.opensamm.org/ Pytania i uwagi: wojciech.dworakowski@owasp.org Materiały dodatkowe