Переход в облака, выход из тумана

Переход в облака, выход из тумана
Результаты глобального исследования по информационной
безопасности

SECURITY INNOVATION FORUM 2011
29 ноября 2011

Глобальное Исследование по Информационной Безопасности

Введение
► Одно из наиболее долгоживущих исследований в своем Переход в облака, выход из тумана
роде, проводится на протяжении 14 лет Наблюдение за мобильными
устройствами
► В этом году приняло участие более 1700 респондентов Прозрачность облаков
из 52 стран мира Связь через социальные сети
► Позволяет сфокусироваться на наиболее критических Устранение утечек информации
рисках Подготовка к худшему
► Позволяет оценить важность вопросов Глядя в будущее
информационной безопасности Итоги результатов исследования
Преобразование программы
Демографические данные

© 2011 Ernst & Young LLC, All Rights Reserved Глобальное исследование по информационной безопасности 2011 | 1

Введение

► Все больше и больше компаний переходит в виртуальный мир, это поддерживается
новыми технологиями и обусловлено необходимостью сокращения издержек.
Наше исследование определяет три различные тенденции, которые вместе влияют и
будут продолжать оказывать значительное влияние на роль и значение
информационной безопасности
► Во-первых, физические границы компании все больше исчезают по мере
увеличения передачи данных через Интернет. В прошлогоднем исследование мы уже
отмечали эту тенденцию, и она продолжает быть одной из ключевых областей внимания
► Во-вторых, темпы изменений продолжают ускоряться, зафиксированы
технологические трансформации целых отраслей промышленности – от автомобильной
до издательской или розничной торговли. Происходит изменение бизнес моделей,
переход бизнес моделей на более «цифровые»
► Наконец, компании переходят от более традиционных аутсорсинговых контрактов к
предоставлению «облачных» услуг. Так как организации понимают преимущества
использования модели предоставления услуг в «облаке», эти бизнес модели
продолжают распространяться
► Организации переносят все более важные процессы, а иногда и всю свою ИТ
инфраструктуру и платформы приложений в облаке - тем самым навсегда изменив свои
бизнес модели и ИТ функции


Результаты исследования


Уровень рисков ИБ остается высоким, компании пытаются выработать стратегию,
чтобы приспособиться к постоянно меняющимся условиям, а также в ответ на угрозы

Каким образом риски среды, в которой вы работаете изменились за последние
12 месяцев?
72% опрошенных видят
повышение уровня Мы видим увеличение уровня риска
в связи с ростом внешних угроз 72%
риска в связи с ростом
внешних угроз. Мы видим увеличение уровня риска
в связи с ростом внутренних угроз 46%

Мы видим уменьшение уровня риска
в связи с ростом внутренних угроз 21%

Мы видим уменьшение уровня риска
в связи с ростом внешних угроз 9%


Ресурсы, которые выделяются на программы информационной безопасности

Говоря в общем, что из перечисленного описывает запланированный в
59% опрошенных вашей организации общий бюджет информационной безопасности на
ожидают увеличения ближайшие 12 месяцев?
бюджета
информационной
безопасности по
сравнению с
предыдущим годом. Будет расти
35%
59%

Уменьшиться

Останется прежним
6%


Несмотря на усилия направленные на рост возможностей информационной
безопасности, разрыв с требованиями сохраняется

Убеждены ли вы что функции информационной безопасности удовлетворяют
В то время как 49% потребности вашей организации?
опрошенных заявили
что функции системы
безопасности Да 49%
удовлетворяют нужды
их организации, 51% Нет, в первую очередь из-за
ограниченности бюджета 17%
заявляет обратное.
Нет, в первую очередь из-за отсутствия
13%
квалифицированных сотрудников

Нет, в первую очередь из-за отсутствия 9%
эффективной поддержки

Нет, по другим причинам 11%



• Вынесение вопроса информационной безопасности на
Наши прогнозы уровень высшего правления, что сделает его более важным
• Определение стратегии, которая будет защищать бизнес,
одновременно добавив ему большую ценность за счет
соответствия потребностям бизнеса
• Формирование информационной безопасности, как
неотъемлемой части сервиса и продукта
• Фокусирование ресурсов информационной безопасности на
защите наиболее существенных активов, таких как
информация о клиентах и интеллектуальная собственность
• Если Ваша информационная безопасность не является
адекватной, почему клиенты должны доверять Вам, как
бизнесу?


Наблюдение за мобильными устройствами


В то время как личная адаптация растет, адаптация бизнеса запаздывает.

Позволяет ли ваша организация в настоящее время использовать планшетные
Каждый пятый
компьютеры для целей бизнеса?
опрошенный указал что
его организация не
позволяет в настоящее Не позволяет, или позволяет в очень ограниченном виде
время использовать
планшеты для целей Нет, и не планируется в ближайшие 12 месяцев

бизнеса, и не имеет на Да, широко используется и официально поддерживается
организацией
это планов в течении Нет, но запланировано в течении следующих 12 месяцев
ближайшего года
Да, широко используется, но официально не
поддерживается организацией


Поскольку использование планшетных устройств продолжает расти, компании
пытаются найти способы, чтобы идти в ногу с вопросами безопасности, которые
приходят вместе с мобильными устройствами

Какие из следующих элементов управления осуществляются вами для
57% опрошенных снижения новых или увеличившихся рисков, связанных с использованием
сделали корректировку мобильных устройств?
политики для снижения
рисков, связанных с Корректировки политики 57%

мобильными Деятельность по повышению осведомленности 52%
устройствами
Методы шифрования 47%

Разрешение на использование корпоративных
35%
планшетов и смартфонов вместо собственных

Изменения архитектуры 30%

Новое программное обеспечение для
28%
управления мобильными устройствами
Увеличение возможностей аудита 27%

Улучшение процессов управления
26%
инцидентами

Введение дисциплинарных мер 13%

Ничего 11%

Запрет на использование всех смартфонов и
7%
планшетных устройств



► Внедрение стратегического управления и руководства по
Наши прогнозы использованию мобильных устройств и связанных с ними
продуктов для обеспечения безопасности соответствующего
программного обеспечения
► Использование шифрования как основного механизма
контроля. Так как меньше половины опрошенных используют
шифрование, организациям следует рассмотреть вопрос его
внедрения
► Выполнение тестов на проникновение для мобильных
приложений перед развертыванием, чтобы снизить
подверженность организации соответствующим рискам


Прозрачность облаков


Даже при том что популярность и интерес к облакам продолжают расти, сохраняется
отсутствие ясности в вопросе последствий для информационной безопасности и
необходимых мер для уменьшения рисков

Пользуется ли Ваша организация в настоящее время услугами облачных
61% респондентов в вычислений?
настоящее время
используют, оценивают
или планируют
использовать облачные Да, использует в настоящее время

вычисления в течение
следующего года.
Да, оцениваем их использование

Нет, но планируем использовать в ближайшие
12 месяцев

Нет, и не планируем использовать в
ближайшие 12 месяцев


В то время как популярность и интерес к облачным вычислениям продолжают расти,
меры, предпринимаемые службами информационной безопасности организаций, не
успевают за темпами развития облачных сервисов

Более половины Какие из следующих элементов управления осуществляются вами для понижения
новых или увеличившихся рисков, связанных с использованием облачных
опрошенных
вычислений?
практически ничего не
сделали для снижения Ничего 52%

новых или Усиление контроля управления контрактами с поставщиками 22%

увеличившихся рисков, Увеличение осведомленности сервис провайдеров 21%
Усиление процесса управления доступом и
связанных с идентификацией 19%

использованием Технологии шифрования 18%

облачных вычислений Инспекция вашей команды по безопасности/ИТ рискам 16%

Увеличение аудита предоставления облачных услуг 15%
Зависимость облачных сервисов от сертификации 13%
Договоренность с третьей стороной по аудиту
13%

Ответственность поставщиков облачных сервисов фиксируется в контрактах 11%

Улучшение процессов управления инцидентами 11%

Финансовые санкции в случае нарушения безопасности 8%


Организации ищут способы, повышения доверия и уверенности в облачных
вычислениях

Сможет ли внешняя сертификация поставщиков облачных услуг
увеличить доверие к облачным вычислениям?
Почти 90% опрошенных
считают, что внешние
сертификации приведут Да , если сертификат основан на согласованном стандарте 45%

к увеличению доверия к
Да, но если орган сертификации прошел аккредитацию 24%
облачным вычислениям.
Да, в любом случае 20%

Нет 12%



• Выполнение проверки поставщиков вместо простого
Наши прогнозы доверия
• Определение ответственности относительно рисков перед
подписанием договоров об использовании облачных сервисов
• Планирование обеспечения непрерывности бизнеса и
выбора поставщиков, которые демонстрируют прозрачность
относительно внедрения планов обеспечения непрерывности
деятельности
• При использовании стандартных процессов и методов
безопасности выбор тех, которые эффективно работали на
других технологиях в прошлом
• Согласование бизнес стратегии и стратегии в области
информационной безопасности, а также постоянная оценка
рисков для соблюдения стандартов


Связь через социальные сети


Организации пытаются выявить лучший путь для уменьшения угроз безопасности в
этой открытой, динамичной и зарождающейся индустрии, которая затрагивает
практически все аспекты деятельности
Какие из следующих элементов управления используются вами для
53% респондентов понижения новых или увеличившихся рисков, связанных с
ограничили или использованием социальных сетей?
запретили доступ к
сайтам социальных Ограничение доступам к сайтам
53%
социальных сетей
сетей для снижения
рисков, связанных с Корректировка политики 46%

социальными сетями
Программа осведомленности 39%

Усиление мониторинга использования Интернета 38%

Применение дисциплинарных мер 12%

Коррекция процесса управления инцидентами 11%

15%
Ничего



• Переосмысление использования жесткого ограничения
использования социальных сетей. Использование вместо
Наши прогнозы
этого мониторинга социальных сетей
• Принятие всех преимуществ социальных сетей. Отказ от
социальных сетей не позволят компаниям идти в ногу с
конкурентами и могут привести к возникновению чувства
недоверия у сотрудников
• Тестирование и использование технических решений,
которые усиливают требования политики информационной
безопасности относительно социальных сетей
• Проведение собственной разведки, чтобы лучше понять, что
потенциальные злоумышленники могут найти в социальных
сетях


Устранение утечек информации


Организации вводят политики, процедуры и информационные кампании, чтобы помочь
идентифицировать каналы, через которые можно «слить» данные, но эффективность
этого сомнительна

Что касается реализации DLP-инструментов, как бы вы описали их
66% респондентов не развертывание?
реализовывали
инструменты Мы не применяли инструменты DLP 66%

предотвращения потери Пользователи в основном не заметили применения DLP 15%
данных (DLP) Наша реализация была успешной 14%

Выполнение прошло гладко и в соответствии с графиком 14%

Для реализации потребовалось больше времени чем ожидалось 12%

Пользователи были недовольны влиянием на ежедневные операции 6%

Наша реализация не была успешной как ожидалось 4%


Организации полагаются в первую очередь на политику безопасности и программы
осведомленности как на первую линию обороны против потери данных и утечки
информации

74% респондентов
определили политику Какие из следующих действий предприняты вашей организацией, для
контроля утечки конфиденциальной информации?
классификации и
обработки
конфиденциальных Определены политики в отношении классификации и обработки конфиденциальной
информации 74%

данных, как контроль Внедрена программа повышения осведомленности 69%
утечки информации Реализованы дополнительные механизмы, например, шифрование 60%

Используется внутренний аудит для тестирования элементов управления 45%

Ограничено использование некоторых аппаратных компонент (например USB накопителей) 45%

Определены правила для удаленной работы с документами компании 43%

Внедрены инструменты анализа журналов 39%

Внедрены инструменты предотвращения утечки данных 38%

Ограничено использование коммуникаторов и электронной почты 35%

Ограничено использование видеоаппаратуры в конфиденциальных зонах 24%

Ограниченный доступ к конфиденциальной информации в периоды времени 15%



• Понимание и оценивание многих потенциальных рисков, а также
каналов утечки информации
Наши прогнозы • Определение и классификация конфиденциальной информации для
целей настройки DLP инструментов для защиты наиболее уязвимых
данных в первую очередь
• Применение целостного подхода для предотвращения потери
данных путем определения ключевых DLP контролей и измерения из
эффективности. Необходимо понять все примененные DLP контроли
для адекватной оценки рисков
• При организации DLP контролей учет всех данных: данные в пути,
хранимые данные и обрабатываемые данные
• При ведении расследования инцидентов, сбор сильной команды для
работы с DLP и получение поддержки руководства
• Принятие во внимание третьих лиц, имеющих доступ к
конфиденциальной информации компании
• Понимание того, какие данные передаются третьим лицам, как они
передается и безопасен ли механизм передачи


Подготовка к худшему
Результаты исследований


Непрерывность бизнеса остается главным приоритетом для финансирования

Какие из следующих областей информационной безопасности получат
Почти в три раза больше наибольшее финансирование в течении ближайших 12 месяцев?
респондентов оценили
BCM как высший
приоритет Обеспечение непрерывности бизнеса

финансирования, чем Технологии и процессы предотвращения утечек данных

как второстепенный. Мониторинг соответствия требованиям регуляторов и стандартам

Технологии и процессы управления идентификацией и доступом

Поддержка новых технологий (облачные вычисления, виртуализация)

Управления рисками информационной безопасности

Реализация стандартов безопасности (например, ISO/IEC 27002:2005) 1 приоритет

Тестирование безопасности 2 приоритет

Технологии и процессы управлениями уязвимостями 3 приоритет

Обучение и ознакомление с нормами безопасности 4 приоритет

Аутсорсинг функций безопасности 5 приоритет

Планы и функции реагирования на инциденты

Проведение расследований случаев мошенничества

Безопасность процесса разработки

Безопасность процесса производства

Безопасность относительно персонала

0% 20% 40% 60% 80%


В то время как реализация плана обеспечения непрерывности бизнеса и ресурсы для
поддержки плана продолжает быть приоритетом, большинство компаний по-прежнему
не готовы к катастрофам

На протяжении двух лет Какое из следующих утверждений относится к планам обеспечения
непрерывности бизнеса для вашей организации?
респонденты
указывают, что Программа обеспечения непрерывности бизнеса утверждена
56%
непрерывность бизнеса, Существуют процедуры управления инцидентами и кризисом
55%
является их главным Существуют процедуры обеспечения безотказности ИТ
приоритетом инфраструктуры 55%
Существуют процедуры обеспечения непрерывности критичных
финансирования. бизнес процессов 55%
Существуют процедуры защиты персонала
55%
Программа обеспечения непрерывности бизнеса охватывает все
критичные процессы 53%
Программа обеспечения непрерывности бизнеса улучшается
49%
Время восстановления критичных процессов определено
49%
Программа обеспечения непрерывности бизнеса изложена в
документах 47%
Угрозы и риски постоянно выявляются и оцениваются
39%
Отношения с локальными группами реакции на ЧС установлены
38%
Риски непрерывности постоянно отслеживаются
33%
Программа обеспечения непрерывности бизнеса не существует
18%

0% 10% 20% 30% 40% 50% 60%



• Подготовка и планирование непрерывности бизнеса для
Наши прогнозы рисков с высоким ущербом и малой вероятностью
возникновения, включение рисков обеспечения непрерывности
в более широкую структуру управления рисками
• Оценка уровня зрелости плана обеспечения непрерывности
деятельности с учетом новых тенденций и технологий
• Проведение тестирований плана обеспечения
непрерывности бизнеса организации с целью определения
отказоустойчивости бизнеса на практике
• Поддержка высшим руководством и аудиторским комитетом
программы обеспечения непрерывности бизнеса


Глядя в будущее


Многие компании приступают к введению информационной безопасности без должного
планирования

Имеет ли ваша организация формально представленную в
Почти половина из документах стратегию информационной безопасности на
ответивших ближайшие 1-3 года?
организаций не имеет
стратегии обеспечения

Нет Да


Почти половина организаций не имеет стратегии информационной безопасности, а у
остальных планы продолжают развиваться, вопреки тому что они могут быть не
эффективными

56% респондентов Какое из следующих утверждений наиболее точно описывает стратегию
указали, что их информационной безопасности вашей организации в отношении угроз
существующих на сегодняшний день?
нынешняя стратегия
безопасности должна
быть изменена или Наша теперешняя стратегия адекватно
реагирует на риски
нуждается в
дальнейшем 23%
Нам необходимо модифицировать стратегию для
исследовании 43%
реакции на новые риски

Нам необходимы дальнейшие исследования
для понимания рисков
33%

Мы не видим новых или увеличившихся рисков


Почти треть респондентов указывают, что они купили решения, у которых со временем
показали свои неэффективность

Приобрела ли ваша организация программное и / или аппаратное обеспечение
для поддержки инициатив информационной безопасности в последние 18
месяцев, которые не оправдали ожиданий?
31% респондентов
указали, что их
организация недавно
приобрела решения по
безопасности, которые Нет, все наши
не оправдали ожиданий технологии безопасности
успешно используются
31%

Да
69%


Большинство компаний признает важность планирования управления ИТ рисками

84% респондентов Есть ли у вас формализованная программа управления ИТ рисками
указали, что они имеют действующая в вашей организации?
действующую в
организации программу
Программа
управления ИТ рисками управления рисками
или будут 16% существует более 3
лет
рассматривают ее в 25%

течение предстоящего Программа
управления рисками
года существует менее 3
лет
28%

Программа
31% управления рисками
планируется в
ближайшее 12
месяцев



• Пересмотр стратегии информационной безопасности в
Наши прогнозы соответствии с текущими рисками
• Фокусировка на основах безопасности вместо приобретения
последних инструментов обеспечении безопасности
• Внедрение структурированного, прагматичного подхода к
управлению ИТ рисками для концентрации на наиболее
критичных рисках. Мы видим внедрение подходов к
управлению рисками и GRC (governance risk and compliance)
как основную инвестицию многих организаций
• Учет всего набора ИТ рисков в программе управления ИТ
рисками или программе GRC


Итоги по результатам исследования


Ключевые результаты исследования
§ 72% респондентов считают рост внешних угроз причиной повышение уровня риска
Введение § 49% респондентов заявили, что функции информационной безопасности удовлетворяют потребности их
организации

§ 61% респондентов используют или планируют использовать услуги облачных вычислений в течение
Облачные следующего года
вычисления § Почти 90% респондентов считают, что внешние сертификации приведут к увеличению доверия к облачным
вычислениям

§ 80% респондентов либо планируют либо уже используют планшетные компьютеры
Мобильные
§ 57% респондентов сделали корректировку политики для снижения рисков, связанных с мобильными
устройства
вычислениями

§ Почти 40% респондентов оценили риски связанные с социальными сетями, как сложные
Социальные
сети § 53% респондентов внедрили ограничения доступа к сайтам социальных сетей в качестве контроля для
снижения рисков, связанных с социальными сетями

§ 66% респондентов не внедряли инструменты предотвращения потерь информации
Предотвращение
§ 74% респондентов определили политику классификации и обработки конфиденциальных данных как
потери данных
контроль за рисками утечки информации

Управление § Второй год подряд, респонденты указали, что непрерывность бизнеса, является главным приоритетом
непрерывностью финансирования
бизнеса

Управление § 56% респондентов указали, что их нынешняя стратегия информационной безопасности должна быть
изменена или нуждается в дальнейшем исследовании
рисками
§ 31% респондентов указали, что их организация недавно приобрела решения по информационной
безопасности, которые оказались неэффективными


Демографические данные
Информация об участниках опроса


Участники опроса по географии
1,653 опрошенных из 52 стран


Участники исследования по отраслям
Аэрокосмический сектор и оборона 8
Авиалинии 11
Управление активами 40
Автопромышленность 54
Банки и рынки капитала 341
Химическая промышленность 36
Потребительские товары 98
Разнообразные товары промышленности 99
Правительственный и государственный сектор 131
Страхование 143
Науки о жизни 40
Медиа и развлечения 48
Металлургическая и горнодобывающая 26
Нефтегазовая 26
Другие 57
Энергетические и коммунальные 58
Частный капитал 2
Частные хозяйства 2
Профессиональные фирмы и услуги 45
Здравоохранение 31
Недвижимость 52
Розничная и оптовая торговля 104
Технологии 119
Телекоммуникации 68
Транспорт 44


Участники исследования согласно годовым доходам

Более 24 миллиарда дол. 64

10-24 миллиарда дол. 98

1-10 миллиардов дол. 404

500-999 миллионов дол. 163



Менее 100 миллионов дол. 418

Не применимо (неприбыльные организации) 120

0 50 100 150 200 250 300 350 400 450


Участники исследования по согласно занимаемым должностям

Руководитель подразделения ИТ 295

CIO 294

CEO 230

CISO 215

CSO 81

Директор внутреннего аудита 38

CTO 34

Администратор системы 24

Руководитель офиса 14

COO 13

CRO 11

CFO 10

CCO 7

Юрист 1

CPO 1

Другое 445

0 50 100 150 200 250 300 350 400 450 500


Преобразование программ безопасности
Наши услуги


Преобразование программы информационной безопасности

Вопросы к руководству

► Знаете ли вы, какой ущерб
может принести уязвимость
в системе безопасности
вашей репутации или
Выявление Защита бренду?
существующих рисков
наиболее ценного ► Учитываются ли при
создании стратегии
безопасности внутренние и
внешние угрозы с вашими
действиями по управлению
Создание рисками?
эффективного ► Как выстраиваются
бизнеса ключевые приоритеты
управления рисками по
отношению к расходам?

Определен ли приемлемый
Поддержка Оптимизация
►
уровень риска и как это
программы предприятия для повышения влияет на управление
рисками?
эффективности
► Как стратегия управления
ИТ рисками связана с
общей стратегией бизнеса?


Подход для связи программы информационной безопасности с
целями бизнеса
Руководство рисками безопасности и управление рисками
Культура управления рисками Политики

Руководство

Возможности интеграции
Движущие силы Полномочия, люди и организации
бизнеса
Стратегия и архитектура Интеграция и использование Информирование и обучение

Методы и процессы безопасности

Идентификация и доступ Человеческие ресурсы Угрозы и уязвимости
Комплексная
Информация, данные и Непрерывность бизнеса и
Активы
конфиденциальность восстановление после сбоев программа
Взаимодействие с третьими безопасности
Инциденты Операции и разработка
сторонами
Физическая безопасность и
Ведение журналов и мониторинг Коммуникации
безопасность среды

Внешние
факторы Обеспечение технологий безопасности
Приложения Данные Инфраструктура

Внутренний аудит

Соответствие Отчеты и метрики

Уровень эффективности бизнеса

Услуги Ernst & Young в области информационной безопасности
сосредоточены решениях по улучшению бизнеса
Оценка Изменение Поддержка

Ресурсы Результаты для клиентов
• Фокус на бизнесе и • Преобразование программы
различных секторах Управление программой безопасности
безопасности улучшает
индустрии эффективность бизнеса
• Стратегия безопасности и план • Отчеты и метрики безопасности
развития • Управление непрерывностью • Комплексный подход к
• Технические
• Организация и управление бизнеса информационной безопасности
исследования в
• Оценка рисков информационной • Управление рисками и ИТ рискам во всей
Центрах безопасности связанными с третьей стороной организации
Исследования
Безопасности
Управление угрозами и уязвимостями
• Различный опыт
• Идентификация и оценка
сотрудников,
• Тесты на проникновение • Тестирование приложений и внутренних и внешних рисков
выполняющих
проекты позволяет • Расследования инцидентов безопасность разработки • Оптимизированные меры
принимать, • Управление уязвимостями • Система внутренних контролей противодействия угрозам
основанные на
фактах, творческие
решения по
улучшению бизнеса Управление идентификацией и доступом • Понимание того, кто имеет или
требует доступ к важным
• Собственная • Стратегия и руководство • Пересмотр и сертификация данным и приложениям
методология и • Запросы и подтверждения • Управление ролями и правилами
инструменты, • Согласование • Устойчивые, соответствующие
• Предоставление и деактивация
передовые • Усиление • Доклад и анализ требованиям регуляторов
исследования процессы управления доступом

• Культура компаний
большой четверки Защита информации и защита персональной информации
соответствует • Защита важной информации и
культуре многих обнаружение утечек
глобальных • Стратегия защиты информации • Предотвращение утечек данных
• Механизмы защиты • Оценка выполнения требований по • Соответствия требований
компаний персональной информации защите персональных данных и регуляторов
рекомендации по улучшению


Вопросы?

Андрей Лысюк, CISM, CISA, CCIE, CISSP
Старший консультант отдела услуг в области ИТ и ИТ рисков Ernst & Young
+380 (67) 500-5181
Andriy.Lysyuk@ua.ey.com
http://www.ey.com/UA/uk/Home


Переход в облака, выход из тумана

Recommended

Recommended

More Related Content

Similar to Переход в облака, выход из тумана

Similar to Переход в облака, выход из тумана (20)

Переход в облака, выход из тумана