SlideShare une entreprise Scribd logo

2010 giss results_global and ua_2010

Vladimir Matviychuk
Vladimir Matviychuk
1  sur  49
Télécharger pour lire hors ligne
Безопасность без границ Международное исследование в области информационной безопасности за 2010г., проведенное компанией Ernst & Young
Международное исследование «Эрнст энд Янг» в области информационной безопасности Уже 13й год подряд компания «Эрнст энд Янг» проводит Международное исследование в области информационной Вступление безопасности. Исследование является наиболее долго существующим среди аналогичных исследований в этой Ключевые результаты исследования сфере и одним из наиболее признанных участниками рынка. Данное исследование дает организациям возможность сравнить себя с другими организациями по важным вопросам Безопасность без границ информационной безопасности, а также получить сведения, которые могут помочь в принятии важных решений. Мобильные вычисления В 2010 году исследование проводилось с 1 июня по 31 июля. В нем приняли участие 1,598 организаций, функционирующих во всех основных отраслях промышленности, из 56 стран. Облачные вычисления Социальные сети Наши рекомендации © 2010 EYGM Limited 2010 Global Information Security Survey | 1 All Rights Reserved
Информация об участниках исследования © 2010 EYGM Limited 2010 Global Information Security Survey | 2 All Rights Reserved
Участники исследования в географическом разрезе 1,598 участников из 56 стран 45 Финляндия 12 76 Россия 13 Нидерланды Ирландия 11 40 Польша16 48 Беларусь Британия Бельгия 19 Германия 43 35 Швейцария 32 Люксембург35 Украина 310 Франция 12 35 США 80 Греция 28 Корея Италия Турция 67 Китай 13 91 Егирет 146 Мексика 13 Индия Барбадос 25 24 Филипины 14 15 Малазия Колумбия 19 Шри-Ланка Уганда 30 Сингапур 36 Бразилия 107 Австралия Примечание: 22 прочих страны принимали участие в исследовании, но количество 31 участников каждой из стран составило не более 10 Новая Зеландия Указано количество участников © 2010 EYGM Limited 2010 Global Information Security Survey | 3 All Rights Reserved
Участники исследования в разрезе областей деятельности Авиакосмические и оборонные организации 30 Авиакомпании 13 Компании Управления Активами 43 Автомобильные компании 48 Банки и финансовые рынки 329 Химические компании 20 Компании по производству продуктов потребления 88 Компании по производству промышленных продуктов 77 Правительство и общественные организации 126 Страховые компании 137 Организации здравоохранения 33 СМИ и индустрия развлечений 48 Горнодобывающие и металлургические компании 20 Компании нефтегазового сектора 40 Энергетические и коммунальные компании 53 Компании по предоставлению профессиональных услуг 41 Компании по снабжению 29 Компании недвижимости (строительство, отели и курорты) 44 Розничные компании 76 Технологические компании 139 Телекоммуникационные компании 67 Транспортные компании 33 Прочее 64 Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 4 All Rights Reserved
Участники исследования в разрезе уровня доходов Свыше 24 млрд. долларов 81 От 10 млрд. долларов до 24 млрд. 98 долларов От 1 млрд. долларов до 9 млрд. долларов 333 От 500 млн. долларов до 999 млн. 141 долларов От 250 млн. долларов до 499 млн. 137 долларов От 100 млн. долларов до 249 млн. 212 долларов Менее 100 млн. долларов 459 Неприменимо (например, государственная, 137 некоммерческая) Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 5 All Rights Reserved
Участники исследования в разрезе должностей Директор по информационным технологиям 273 Специалист по информационной безопасности 208 Специалист по информационным технологиям 204 Директор по информационной безопасности 185 Директор по безопасности 70 Руководитель службы внутреннего аудита 46 Технический директор 38 Операционный директор 20 Другое 554 © 2010 EYGM Limited 2010 Global Information Security Survey | 6 All Rights Reserved
Информация об участниках исследования: Украина © 2010 EYGM Limited 2010 Global Information Security Survey | 7 All Rights Reserved
Участники исследования в разрезе областей деятельности Горнодобывающие и металлургические компании 13% Телекоммуникационные компании 6% Технологические компании 3% Розничные компании 3% Компании по предоставлению профессиональных услуг 3% Компании по производству промышленных продуктов 6% Автомобильные компании 6% Банки и финансовые рынки 50% Энергетические и коммунальные компании 9% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 8 All Rights Reserved
Участники исследования в разрезе уровня доходов От 1 млрд. долларов до 9 млрд. долларов 9% От 500 млн. долларов до 999 млн. 6% долларов От 250 млн. долларов до 499 млн. 3% долларов От 100 млн. долларов до 249 млн. 28% долларов Менее 100 млн. долларов 53% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 9 All Rights Reserved
Вступление В течение прошлого года мы наблюдали значительный рост использования услуг внешних поставщиков в организациях, а также внедрение новых технологий в бизнесе, таких как облачные вычисления, социальные сети и Web 2.0. Мы также отметили продвижение технологий, которые предоставили практически безграничные возможности для мобильных сотрудников в плане взаимодействия с коллегами, заказчиками и клиентами. Эти технологии расширили возможности компаний, размывая границы между офисом и домом, между коллегами и конкурентами, тем самым разрушая традиционные представления об организации офисного труда. Именно на этих изменениях в бизнес-среде сосредоточено наше исследование в области информационной безопасности за 2010 год. Исследование рассматривает, каким образом организации адаптируют и реализуют потребности в области информационной безопасности в связи с внедрением новых технологий. © 2010 EYGM Limited 2010 Global Information Security Survey | 10 All Rights Reserved
Результаты исследования Безопасность без границ © 2010 EYGM Limited 2010 Global Information Security Survey | 11 All Rights Reserved
Безопасность без границ Новые технологии означают новые риски Учитывая текущие тенденции по использованию в организациях таких 60% респондентов ощутили технологий как социальные сети, облачные вычисления, персональные рост уровня рисков, устройства, наблюдали ли Вы изменения в среде рисков, с которыми связанных с сталкивается Ваша организация? использованием социальных сетей, облачных вычислений и персональных устройств, используемых в 37% организации Да, уровень риска увеличился Нет, уровень риска уменьшился 60% Относительно постоянный уровень риска 3% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 12 All Rights Reserved
Безопасность без границ Новые технологии означают новые риски Учитывая текущие тенденции по использованию в организациях таких 50% респондентов в технологий как социальные сети, облачные вычисления, персональные Украине ощутили рост устройства, наблюдали ли Вы изменения в среде рисков, с которыми уровня рисков, связанных с сталкивается Ваша организация? использованием социальных сетей, облачных вычислений и персональных устройств, используемых в организации 43.75% Да, уровень риска увеличился 50.00% Нет, уровень риска уменьшился Относительно постоянный уровень риска 6.25% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 13 All Rights Reserved
Безопасность без границ Организации повышают свои расходы на обеспечение защиты от новых угроз информационной безопасности Какое из перечисленных высказываний лучше всего характеризует долю 46% респондентов отметили ежегодных инвестиций в информационную безопасность в общих расходах увеличение ежегодных вашей организации? инвестиций в информационную безопасность. Только 6% из опрошенных планируют сократить расходы на информационную Увеличение доли в общих безопасность в своей расходах организации организации 46% 48% Снижение доли в общих расходах организации Относительно постоянная доля в общих расходах организации 6% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 14 All Rights Reserved
Безопасность без границ 34% украинских Какое из перечисленных высказываний лучше всего характеризует долю респондентов отметили ежегодных инвестиций в информационную безопасность в общих расходах увеличение ежегодных вашей организации? инвестиций в информационную безопасность. 13% из опрошенных планируют сократить расходы на 34% информационную Увеличение доли в общих безопасность в своей расходах организации организации 50% Снижение доли в общих расходах организации Относительно постоянная доля в общих расходах организации 13% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 15 All Rights Reserved
Безопасность без границ • Создание всеобъемлющей программы управления ИТ-рисками, Наши рекомендации которая определяет и устраняет риски, связанные с новым и развивающимися технологиями • Проведение оценки рисков для выявления потенциальных угроз и принятие соответствующих превентивных мер по результатам оценки • Принятие "информационно-ориентированного" подхода к управлению безопасностью, который наиболее соответствует целям бизнеса Наши рекомендации © 2010 EYGM Limited 2010 Global Information Security Survey | 16 All Rights Reserved
Результаты исследования Мобильные вычисления © 2010 EYGM Limited 2010 Global Information Security Survey | 17 All Rights Reserved
Мобильные вычисления Потребности мобильных сотрудников вызывают необходимость изменения способов поддержки и защиты потоков информации в организации Оцените уровень влияния факторов, приведенных ниже, на реализацию инициатив в области информационной безопасности в вашей организации 53% респондентов Уровень осведомленности персонала по вопросам 22% 42% 27% 8%1% отметили, что увеличение безопасности мобильности сотрудников Наличие квалифицированных ресурсов 20% 39% 27% 10% 4% значительно затрудняет Адекватный бюджет 23% 31% 28% 12% 6% эффективную реализацию Увеличение мобильности сотрудников (например, инициатив в области мобильные устройства, ноутбуки) 17% 36% 29% 14% 4% информационной Осведомленность руководства и поддержка со стороны 17% 31% 29% 17% 6% безопасности руководства Организационные изменения 13% 28% 34% 19% 6% Новые технологии (например, облачные вычисления, 7% 28% 36% 22% 7% виртуализация) Изменения или отсутствие ясности в нормативных и 8% 25% 36% 22% 9% законодательных актах Социальные сети (например, FaceBook, LinkedIn, 9% 24% 32% 21% 14% Twitter) Неопределенность в бизнесе 7% 20% 35% 25% 13% Существенная проблема 4 3 2 Не существенная проблема Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 18 All Rights Reserved
Мобильные вычисления Оцените уровень влияния факторов, приведенных ниже, на реализацию инициатив в области информационной безопасности в вашей организации В Украине лишь 33% Социальные сети (например, FaceBook, LinkedIn, 35% 26% 19% 13% 6% респондентов отметили, что Twitter) увеличение мобильности Новые технологии (например, облачные 22% 28% 25% 25% 0% вычисления, виртуализация) сотрудников значительно Изменения или отсутствие ясности в нормативных затрудняет эффективную и законодательных актах 16% 26% 26% 29% 3% реализацию инициатив в Неопределенность в бизнесе 16% 13% 35% 29% 6% области информационной Увеличение мобильности сотрудников (например, безопасности мобильные устройства, ноутбуки) 10% 23% 35% 23% 10% Организационные изменения 9% 28% 38% 16% 9% Наличие квалифицированных ресурсов 9% 16% 19% 25% 31% Осведомленность руководства и поддержка со 3% 13% 35% 29% 19% стороны руководства Адекватный бюджет 3%6% 23% 39% 29% Уровень осведомленности персонала по вопросам 3% 9% 31% 38% 19% безопасности Существенная проблема 4 3 2 Не проблема Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 19 All Rights Reserved
Мобильные вычисления Наиболее высоким риском, связанным с использованием мобильных устройств, является утечка бизнес информации Из приведенного ниже списка, какие 5 областей ИТ рисков являются наиболее 64% респондентов критичными для Вашей организации? отметили, что данные Обеспечение доступности критичных ИТ ресурсов (например, 31% 16% 11% 7% 6% приложения, инфраструктура) являются одной из Данные (например, искажение данных, разглашение критичных 19% 18% 13% 8% 6% наиболее критичных данных) Приложения и базы данных (например, приложения без поддержки, областей ИТ рисков системные сбои) 14% 14% 10% 9% 8% Поставки третьих сторон и аутсорсинг (например, отсутствие 5% 7% 8% 9% 12% требований безопасности, отсутствие гарантий) Операционные риски (например, ошибки оператора, нарушения 4% 7% 9% 10% 10% операционного процесса) Юридические и регуляторные риски (например, несоответствие 6% 7% 8% 8% 7% требованиям регулятора или условиям контракта) Обеспечение персоналом (например, несоответствие 3% 5% 6% 9% 10% квалификации, потеря ключевых ресурсов) Инфраструктура (например, неправильная конфигурация 3% 6% 8% 10% 6% оборудования, негибкая архитектура) Программы и проекты (например, перерасход бюджета, задержки, 4% 4% 7% 9% 8% плохое качество) Стратегия и согласование (например, различные приоритеты, 4%4% 6% 6% 8% отсутствие корпоративной ответственности) Мошенничество и кражи (например, кража ноутбуков и серверов, 4% 6% 5% 7% 6% умышленная подмена данных) Физическая среда (например, сбои оборудования, природные 3%4% 4% 6% катастрофы) Технология (например, неправильный выбор технологии, 3%4% 6% неудачное использование новых технологий) Основной риск 2й 3й 4й 5й по критичности Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 20 All Rights Reserved
Мобильные вычисления Из приведенного ниже списка, какие 5 областей ИТ рисков являются наиболее 75% респондентов в критичными для Вашей организации? Украине так же считают, Обеспечение доступности критичных ИТ ресурсов (например, 25% 25% 6% 9% 9% приложения, инфраструктура) что данные являются одной Данные (например, искажение данных, разглашение критичных 22% 22% 28% 0% 3% из наиболее критичных данных) областей ИТ рисков Приложения и базы данных (например, приложения без поддержки, 28% 16% 9% 13% 9% системные сбои) Мошенничество и кражи (например, кража ноутбуков и серверов, 9% 3% 6% 9% 19% умышленная подмена данных) Обеспечение персоналом (например, несоответствие 0% 13% 16% 3% 6% квалификации, потеря ключевых ресурсов) Операционные риски (например, ошибки оператора, нарушения 3% 9% 6% 6% 9% операционного процесса) Юридические и регуляторные риски (например, несоответствие 3% 3% 3% 13% 3% требованиям регулятора или условиям контракта) Программы и проекты (например, перерасход бюджета, задержки, 3% 3% 6% 9% 3% плохое качество) Физическая среда (например, сбои оборудования, природные 6% 0% 6% 13% катастрофы) Стратегия и согласование (например, различные приоритеты, 0% 6% 6% 9% отсутствие корпоративной ответственности) Поставки третьих сторон и аутсорсинг (например, отсутствие 0% 6% 6% 6% требований безопасности, отсутствие гарантий) Инфраструктура (например, неправильная конфигурация 3% 3% 13% 0% оборудования, негибкая архитектура) Технология (например, неправильный выбор технологии, 3% 3% 9% неудачное использование новых технологий) Основной риск 2й 3й 4й 5й по критичности Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 21 All Rights Reserved
Мобильные вычисления Организации осознают риски, связанные с использованием персональных устройств и предпринимают шаги с целью минимизации этих рисков По сравнению с текущим годом, планируется ли в Вашей организации 50% респондентов в увеличение или уменьшение объема расходов на перечисленные ниже следующем году планируют мероприятия в следующем году? Указан процент участников увеличение затрат на Внедрение или совершенствование технологий и процессов DLP 50% 46% 4% технологии и процессы Планы и средства обеспечения восстановления после сбоев / обеспечения … 50% 45% 5% предотвращения Внедрение или совершенствование технологий и процессов управления … 48% 45% 7% утечки/потери данных Обеспечение безопасности новых технологий (например, облачных… 44% 50% 6% Программы повышения осведомленности и обучения сотрудников вопросам … 42% 53% 5% Соблюдение нормативных требований регуляторов 41% 55% 4% Управление рисками информационной безопасности 41% 55% 4% Тестирование функции обеспечения информационной безопасности … 36% 58% 6% Защита персональной информации 34% 61% 5% Технологии и процессы управления уязвимостями 33% 63% 4% Защита интеллектуальной собственности 32% 64% 4% Внедрение метрик информационной безопасности и отчетности по ним 32% 64% 4% Внедрение стандартов безопасности (например, ISO/IEC 27002:2005) 30% 61% 9% Внедрение или улучшение внутренних процессов разработки ПО (например,… 30% 63% 7% Соблюдение нормативных требований организации 28% 67% 5% Планы и средства реакции на инциденты 26% 68% 6% Найм сотрудников информационной безопасности 22% 63% 15% Поддержка расследований по информационной безопасности / борьба с… 18% 74% 8% Передача функций информационной безопасности на аутсорсинг 17% 64% 19% Увеличение затрат Без изменений Сокращение затрат © 2010 EYGM Limited 2010 Global Information Security Survey | 22 All Rights Reserved
Мобильные вычисления По сравнению с текущим годом, планируется ли в Вашей организации Лишь 35% респондентов в увеличение или уменьшение объема расходов на перечисленные ниже Украине в следующем году мероприятия в следующем году? Указан процент участников планируют увеличение Внедрение или совершенствование технологий и процессов управления доступом и… 48% 48% 4% затрат на технологии и Планы и средства обеспечения восстановления после сбоев / обеспечения … 42% 54% 4% процессы предотвращения Защита персональной информации 41% 55% 5% утечки/потери данных Обеспечение безопасности новых технологий (например, облачных вычислений; … 39% 57% 4% Внедрение или совершенствование технологий и процессов DLP 35% 50% 15% Тестирование функции обеспечения информационной безопасности (например, … 32% 64% 5% Программы повышения осведомленности и обучения сотрудников вопросам безопасности 31% 58% 12% Найм сотрудников информационной безопасности 29% 57% 14% Технологии и процессы управления уязвимостями 27% 73% 0% Планы и средства реакции на инциденты 27% 64% 9% Внедрение стандартов безопасности (например, ISO/IEC 27002:2005) 27% 64% 9% Управление рисками информационной безопасности 27% 62% 12% Соблюдение нормативных требований регуляторов 26% 74% 0% Внедрение метрик информационной безопасности и отчетности по ним 26% 65% 9% Защита интеллектуальной собственности 24% 67% 10% Поддержка расследований по информационной безопасности / борьба с мошенничеством 21% 79% 0% Внедрение или улучшение внутренних процессов разработки ПО (например, процесса… 19% 62% 19% Соблюдение нормативных требований организации 17% 71% 13% Передача функций информационной безопасности на аутсорсинг 5% 70% 25% Увеличение затрат Без изменений Сокращение затрат © 2010 EYGM Limited 2010 Global Information Security Survey | 23 All Rights Reserved
Мобильные вычисления Организации вносят корректировки в политики, осуществляют повышение осведомленности сотрудников по вопросам безопасности, внедряют технологии шифрования и контроли управления идентификацией и доступом Какие из следующих контролей Вы внедрили для уменьшения новых или 39% респондентов возросших рисков? пересматривают и корректируют политики с Корректировка политик 39% целью уменьшения новых Усиление действий по повышению осведомленности по 38% или возросших рисков вопросам безопасности Технологии шифрования 29% Усиление контролей по управлению идентификацией и 28% доступом Усиленные средства аудита 25% Архитектурные изменения 24% Корректировка процесса управления инцидентами 19% Усиленный процесс управления контрактами 19% Усиление контроля поставщиков услуг 18% Новые дисциплинарные процессы 11% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 24 All Rights Reserved
Мобильные вычисления 65% респондентов в Какие из следующих контролей Вы внедрили для уменьшения новых или Украине с целью возросших рисков? уменьшения новых или возросших рисков Технологии шифрования 65% внедряют технологии Новые дисциплинарные процессы 65% шифрования и усиливают дисциплинарные процессы Корректировка политик 59% Усиление действий по повышению осведомленности по 53% вопросам безопасности Усиленные средства аудита 47% Корректировка процесса управления инцидентами 41% Усиление контролей по управлению идентификацией и 35% доступом Архитектурные изменения 29% Усиленный процесс управления контрактами 18% Усиление контроля поставщиков услуг 12% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 25 All Rights Reserved
Мобильные вычисления • Увеличение инвестиций в технологии предотвращения утечки Наши рекомендации данных, шифрование и решения по управлению идентификацией и доступом • Идентификация рисков, связанных с использованием новых технологий - в том числе технологий, используемых сотрудниками как в личных целях, так и в целях бизнеса • Пересмотр и надлежащая корректировка политик информационной безопасности, предусматривающих ограничения в использовании мобильных вычислительных устройств • Усиление мероприятий, нацеленных на повышение осведомленности мобильных сотрудников в вопросах информационной безопасности • Усиление контролей безопасности на уровне мобильных Наши рекомендации устройств с целью защиты конфиденциальной бизнес информации и обеспечения целостной картины рисков, присущих организации © 2010 EYGM Limited 2010 Global Information Security Survey | 26 All Rights Reserved
Результаты исследования Облачные вычисления © 2010 EYGM Limited 2010 Global Information Security Survey | 27 All Rights Reserved
Облачные вычисления Сервисы, использующие облачные вычисления, приобретают популярность, а поставщики расширяют спектр предлагаемых услуг в этом направлении Использует ли Ваша организация в данный момент решения на основе облачных вычислений? 45% респондентов на данный момент используют Да, в данный момент использует 23% либо планируют использование решений на основе облачных вычислений в течение Да, использует в тестовом режиме 7% следующих 12 месяцев Нет, но планирует использовать в течение 15% следующих 12 месяцев Нет, и не планируется использование в течение 55% следующих 12 месяцев Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 28 All Rights Reserved
Облачные вычисления Использует ли Ваша организация в данный момент решения на основе облачных вычислений? Только15% респондентов в Украине на данный момент используют либо планируют Да, в данный момент использует 6.25% использование решений на основе облачных вычислений в течение Да, использует в тестовом режиме 6.25% следующих 12 месяцев Нет, но планирует использовать в течение 3.125% следующих 12 месяцев Нет, и не планируется использование в течение 84.375% следующих 12 месяцев Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 29 All Rights Reserved
Облачные вычисления Организации внедряют технологии облачных вычислений, осознавая несовершенство организации модели доверия в сервисах, использующих «публичное облако» Какую модель вычислений Вы используете или планируете к использованию? 54% респондентов используют модель вычислений «частное Частное облако 54% облако». Инкапсулированное облако (обслуживается 45% провайдером, но отделено от других клиентов) Публичное облако 29% Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 30 All Rights Reserved
Облачные вычисления Какую модель вычислений Вы используете или планируете к использованию? Ни один из респондентов в Украине не готов доверить данные публичному облаку Частное облако 67% Инкапсулированное облако (обслуживается 33% провайдером, но отделено от других клиентов) Публичное облако 0% Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 31 All Rights Reserved
Облачные вычисления Риски, связанные с облачными вычислениями должны быть идентифицированы и минимизированы до использования «публичного облака» в бизнес-приложениях Какие “новые” или возросшие риски Вы обнаружили? 39% респондентов упомянули, что потеря Риски утечки данных 52% “общей картины” Потеря “общей картины” относительно того, что относительно того, что происходит с данными компании 39% происходит с данными Неавторизованный доступ 34% компании является риском, возросшим в связи с Сложности с техническим и процедурным 29% использованием облачных мониторингом вычислений Повышение уровня сотрудничества с лицами за 22% пределами организации Риски нарушения условий контракта 18% Риск нарушения доступности 17% Сложности с обновлением планов внутреннего аудита 15% и плана обеспечения соответствия Риск управления производственными мощностями 13% Риски управления производительностью 11% Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 32 All Rights Reserved
Облачные вычисления Какие “новые” или возросшие риски Вы обнаружили? 41% украинских респондентов упомянули, что Риски утечки данных 88% потеря “общей картины” относительно того, что Неавторизованный доступ 47% происходит с данными Потеря “общей картины” относительно того, что 41% компании является риском, происходит с данными компании возросшим в связи с Сложности с техническим и процедурным мониторингом 41% использованием облачных вычислений Повышение уровня сотрудничества с лицами за 29% пределами организации Риск нарушения доступности 24% Риск управления производственными мощностями 12% Риски управления производительностью 12% Риски нарушения условий контракта 6% Сложности с обновлением планов внутреннего аудита и 6% плана обеспечения соответствия Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 33 All Rights Reserved
Облачные вычисления Сертификация поставщиков сервисов, использующих облачные вычисления, позволит оценить и удостовериться в адекватности контролей информационной безопасности, а также повысит доверие к поставщикам Повлияет ли внешняя сертификация провайдера “облачных” сервисов на Ваше 85% респондентов доверие к “облачным” вычислениям? отметили, что внешняя сертификация поставщиков повысила бы уровень Да, но только если этот сертификат 43% основан на общепринятом стандарте доверия к облачным вычислениям Да, но только если сертифицирующая организация сможет продемонстрировать 22% аккредитацию Да, в любом случае 20% Нет 15% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 34 All Rights Reserved
Облачные вычисления Повлияет ли внешняя сертификация провайдера “облачных” сервисов на Ваше 60% респондентов доверие к “облачным” вычислениям? отметили, что внешняя сертификация поставщиков повысила бы уровень Да, но только если этот сертификат 20.00% основан на общепринятом стандарте доверия к облачным вычислениям Да, но только если сертифицирующая организация сможет продемонстрировать 20.00% аккредитацию Да, в любом случае 20.00% Нет 40.00% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 35 All Rights Reserved
Облачные вычисления • Оценка правовых, организационных и технологических рисков, Наши рекомендации а также вопросов безопасности, связанных с размещением информации в «публичном облаке» • Разработка стратегии компании, модели управления и оперативного подхода к использованию облачных вычислений, в том числе функции защиты информации, с целью внедрения необходимых процедур и политик • Внедрение стандартов и минимальных требований, которые позволят обеспечить безопасность Вашей организации при использовании облачных вычислений Наши рекомендации © 2010 EYGM Limited 2010 Global Information Security Survey | 36 All Rights Reserved
Результаты исследования Социальные сети © 2010 EYGM Limited 2010 Global Information Security Survey | 37 All Rights Reserved
Социальные сети Немногие компании провели тщательный анализ вопроса использования социальных сетей и определили подход балансирующий возможности для бизнеса с подверженностью риску Насколько важны вопросы информационной безопасности в обеспечении Только 10% респондентов следующих направлений деятельности вашей организации? отметили, что изучение новых и развивающихся Обеспечение соблюдения нормативных требований 56% 26% 2% 12% 4% технологий является Защита репутации и бренда 53% 29% 13% 4% 1% важной задачей информационной Обеспечение защиты персональных данных 45% 36% 15% 3% 1% безопасности Обеспечение соответствия внутренним политикам 42% 33% 18% 2% 5% Управление операционными и/или корпоративными 34% 43% 18% 4% 1% рисками Защита интеллектуальной собственности 31% 30% 25% 10% 4% Повышение доверия со стороны заинтересованных 25% 34% 25% 11% 5% лиц Повышение эффективности управления ИТ и 21% 40% 27% 10%2% операционной деятельности Управление взаимодействием с внешними 16% 37% 31% 12% 4% поставщиками Обеспечение поддержки при запуске новой услуги 14% 30% 34% 15% 7% или продукта Содействие в ходе слияний, поглощений и продажи 12% 20% 26% 20% 22% активов организации Изучение новых и развивающихся технологий 10% 33% 38% 15% 4% Очень важно 4 3 2 Не важно Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 38 All Rights Reserved
Социальные сети Насколько важны вопросы информационной безопасности в обеспечении Только 3% респондентов в следующих направлений деятельности вашей организации? Украине отметили, что изучение новых и Обеспечение защиты персональных данных 53% 25% 19% 0% 3% развивающихся технологий Защита репутации и бренда 48% 35% 6% 6% 3% является важной задачей информационной Обеспечение соблюдения нормативных требований 30% 27% 33% 0% 10% безопасности Повышение доверия со стороны заинтересованных 29% 39% 19% 6% 6% лиц Управление операционными и/или корпоративными 27% 33% 23% 10% 7% рисками Обеспечение соответствия внутренним политикам 23% 52% 19% 3% 3% Повышение эффективности управления ИТ и 23% 35% 32% 3%6% операционной деятельности Обеспечение поддержки при запуске новой услуги или 23% 32% 23% 16% 6% продукта Содействие в ходе слияний, поглощений и продажи 14% 17% 10% 17% 41% активов организации Защита интеллектуальной собственности 13% 27% 43% 10% 7% Управление взаимодействием с внешними 3% 17% 37% 30% 13% поставщиками Изучение новых и развивающихся технологий 3% 32% 42% 10% 13% Очень важно 4 3 2 Не важно Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 39 All Rights Reserved
Социальные сети Организациям следует проводить обновления политик безопасности и повышать осведомленность сотрудников относительно рисков, связанных с использованием социальных сетей 34% респондентов Какие аспекты в настоящее время рассматриваются в программе повышения включают информационные осведомленности сотрудников по вопросам безопасности, принятой в вашей обновления по рискам, организации? связанным с социальными Повышение осведомленности сотрудников по вопросам сетями, в программу безопасности в целом 76% повышения Проверка и согласование соблюдения действующих политик и осведомленности стандартов в области безопасности 47% сотрудников Информационные обновления по рискам, связанным с мобильными вычислениями 45% Прямые и частые обновления / оповещения по текущим угрозам для организации 43% Проведение специальных мероприятий или тренингов в области безопасности для пользователей, входящих в группы высокого риска 34% Информационные обновления по рискам, связанным с социальными сетями в рабочей среде 34% Измерение эффективности действий по повышению осведомленности 21% У нас нет программы повышения осведомленности по вопросам безопасности 15% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 40 All Rights Reserved
Социальные сети 32% Украинских Какие аспекты в настоящее время рассматриваются в программе повышения респондентов включают осведомленности сотрудников по вопросам безопасности, принятой в вашей информационные организации? обновления по рискам, Повышение осведомленности сотрудников по вопросам связанным с социальными безопасности в целом 79% сетями, в программу Информационные обновления по рискам, связанным с мобильными повышения вычислениями 45% осведомленности сотрудников Прямые и частые обновления / оповещения по текущим угрозам для 43% организации Проведение специальных мероприятий или тренингов в области 32% безопасности для пользователей, входящих в группы высокого риска Информационные обновления по рискам, связанным с социальными 32% сетями в рабочей среде Проверка и согласование соблюдения действующих политик и 28% стандартов в области безопасности Измерение эффективности действий по повышению 21% осведомленности У нас нет программы повышения осведомленности по вопросам 13% безопасности Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 41 All Rights Reserved
2010 giss results_global and ua_2010
2010 giss results_global and ua_2010
2010 giss results_global and ua_2010
2010 giss results_global and ua_2010
2010 giss results_global and ua_2010
2010 giss results_global and ua_2010
2010 giss results_global and ua_2010

Recommandé

Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииVladimir Matviychuk
 
쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피sinbi 장상미
 
Thinking outside the box (SOX)
Thinking outside the box (SOX)Thinking outside the box (SOX)
Thinking outside the box (SOX)Vladimir Matviychuk
 
Sorochenkovapresentation
SorochenkovapresentationSorochenkovapresentation
SorochenkovapresentationSorochenkova
 
Sports massage sydney - Shin splints
Sports massage sydney - Shin splintsSports massage sydney - Shin splints
Sports massage sydney - Shin splintsmike
 
дети в интернете
дети в интернетедети в интернете
дети в интернетеVladimir Matviychuk
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions Vladimir Matviychuk
 
Insights on it risk bcm
Insights on it risk bcmInsights on it risk bcm
Insights on it risk bcmVladimir Matviychuk
 

Recommandé

Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииVladimir Matviychuk
 
쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피쿠퍼탈모예방샴푸레시피
쿠퍼탈모예방샴푸레시피sinbi 장상미
 
Thinking outside the box (SOX)
Thinking outside the box (SOX)Thinking outside the box (SOX)
Thinking outside the box (SOX)Vladimir Matviychuk
 
Sorochenkovapresentation
SorochenkovapresentationSorochenkovapresentation
SorochenkovapresentationSorochenkova
 
Sports massage sydney - Shin splints
Sports massage sydney - Shin splintsSports massage sydney - Shin splints
Sports massage sydney - Shin splintsmike
 
дети в интернете
дети в интернетедети в интернете
дети в интернетеVladimir Matviychuk
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions Vladimir Matviychuk
 
Insights on it risk bcm
Insights on it risk bcmInsights on it risk bcm
Insights on it risk bcmVladimir Matviychuk
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscapeVladimir Matviychuk
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacksVladimir Matviychuk
 
Privacy trends 2011
Privacy trends 2011Privacy trends 2011
Privacy trends 2011Vladimir Matviychuk
 
Effective risk management
Effective risk managementEffective risk management
Effective risk managementVladimir Matviychuk
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный SlаVladimir Matviychuk
 
BCP intro
BCP introBCP intro
BCP introVladimir Matviychuk
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EYVladimir Matviychuk
 
Continious auditing
Continious auditingContinious auditing
Continious auditingVladimir Matviychuk
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overviewVladimir Matviychuk
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0Vladimir Matviychuk
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation ForumVladimir Matviychuk
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 

Contenu connexe

Plus de Vladimir Matviychuk

Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscapeVladimir Matviychuk
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacksVladimir Matviychuk
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный SlаVladimir Matviychuk
 

Plus de Vladimir Matviychuk (14)

Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscape
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacks
 
Privacy trends 2011
Privacy trends 2011Privacy trends 2011
Privacy trends 2011
 
Effective risk management
Effective risk managementEffective risk management
Effective risk management
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный Slа
 
BCP intro
BCP introBCP intro
BCP intro
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EY
 
Continious auditing
Continious auditingContinious auditing
Continious auditing
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overview
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 

2010 giss results_global and ua_2010

  • 1. Безопасность без границ Международное исследование в области информационной безопасности за 2010г., проведенное компанией Ernst & Young
  • 2. Международное исследование «Эрнст энд Янг» в области информационной безопасности Уже 13й год подряд компания «Эрнст энд Янг» проводит Международное исследование в области информационной Вступление безопасности. Исследование является наиболее долго существующим среди аналогичных исследований в этой Ключевые результаты исследования сфере и одним из наиболее признанных участниками рынка. Данное исследование дает организациям возможность сравнить себя с другими организациями по важным вопросам Безопасность без границ информационной безопасности, а также получить сведения, которые могут помочь в принятии важных решений. Мобильные вычисления В 2010 году исследование проводилось с 1 июня по 31 июля. В нем приняли участие 1,598 организаций, функционирующих во всех основных отраслях промышленности, из 56 стран. Облачные вычисления Социальные сети Наши рекомендации © 2010 EYGM Limited 2010 Global Information Security Survey | 1 All Rights Reserved
  • 3. Информация об участниках исследования © 2010 EYGM Limited 2010 Global Information Security Survey | 2 All Rights Reserved
  • 4. Участники исследования в географическом разрезе 1,598 участников из 56 стран 45 Финляндия 12 76 Россия 13 Нидерланды Ирландия 11 40 Польша16 48 Беларусь Британия Бельгия 19 Германия 43 35 Швейцария 32 Люксембург35 Украина 310 Франция 12 35 США 80 Греция 28 Корея Италия Турция 67 Китай 13 91 Егирет 146 Мексика 13 Индия Барбадос 25 24 Филипины 14 15 Малазия Колумбия 19 Шри-Ланка Уганда 30 Сингапур 36 Бразилия 107 Австралия Примечание: 22 прочих страны принимали участие в исследовании, но количество 31 участников каждой из стран составило не более 10 Новая Зеландия Указано количество участников © 2010 EYGM Limited 2010 Global Information Security Survey | 3 All Rights Reserved
  • 5. Участники исследования в разрезе областей деятельности Авиакосмические и оборонные организации 30 Авиакомпании 13 Компании Управления Активами 43 Автомобильные компании 48 Банки и финансовые рынки 329 Химические компании 20 Компании по производству продуктов потребления 88 Компании по производству промышленных продуктов 77 Правительство и общественные организации 126 Страховые компании 137 Организации здравоохранения 33 СМИ и индустрия развлечений 48 Горнодобывающие и металлургические компании 20 Компании нефтегазового сектора 40 Энергетические и коммунальные компании 53 Компании по предоставлению профессиональных услуг 41 Компании по снабжению 29 Компании недвижимости (строительство, отели и курорты) 44 Розничные компании 76 Технологические компании 139 Телекоммуникационные компании 67 Транспортные компании 33 Прочее 64 Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 4 All Rights Reserved
  • 6. Участники исследования в разрезе уровня доходов Свыше 24 млрд. долларов 81 От 10 млрд. долларов до 24 млрд. 98 долларов От 1 млрд. долларов до 9 млрд. долларов 333 От 500 млн. долларов до 999 млн. 141 долларов От 250 млн. долларов до 499 млн. 137 долларов От 100 млн. долларов до 249 млн. 212 долларов Менее 100 млн. долларов 459 Неприменимо (например, государственная, 137 некоммерческая) Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 5 All Rights Reserved
  • 7. Участники исследования в разрезе должностей Директор по информационным технологиям 273 Специалист по информационной безопасности 208 Специалист по информационным технологиям 204 Директор по информационной безопасности 185 Директор по безопасности 70 Руководитель службы внутреннего аудита 46 Технический директор 38 Операционный директор 20 Другое 554 © 2010 EYGM Limited 2010 Global Information Security Survey | 6 All Rights Reserved
  • 8. Информация об участниках исследования: Украина © 2010 EYGM Limited 2010 Global Information Security Survey | 7 All Rights Reserved
  • 9. Участники исследования в разрезе областей деятельности Горнодобывающие и металлургические компании 13% Телекоммуникационные компании 6% Технологические компании 3% Розничные компании 3% Компании по предоставлению профессиональных услуг 3% Компании по производству промышленных продуктов 6% Автомобильные компании 6% Банки и финансовые рынки 50% Энергетические и коммунальные компании 9% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 8 All Rights Reserved
  • 10. Участники исследования в разрезе уровня доходов От 1 млрд. долларов до 9 млрд. долларов 9% От 500 млн. долларов до 999 млн. 6% долларов От 250 млн. долларов до 499 млн. 3% долларов От 100 млн. долларов до 249 млн. 28% долларов Менее 100 млн. долларов 53% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 9 All Rights Reserved
  • 11. Вступление В течение прошлого года мы наблюдали значительный рост использования услуг внешних поставщиков в организациях, а также внедрение новых технологий в бизнесе, таких как облачные вычисления, социальные сети и Web 2.0. Мы также отметили продвижение технологий, которые предоставили практически безграничные возможности для мобильных сотрудников в плане взаимодействия с коллегами, заказчиками и клиентами. Эти технологии расширили возможности компаний, размывая границы между офисом и домом, между коллегами и конкурентами, тем самым разрушая традиционные представления об организации офисного труда. Именно на этих изменениях в бизнес-среде сосредоточено наше исследование в области информационной безопасности за 2010 год. Исследование рассматривает, каким образом организации адаптируют и реализуют потребности в области информационной безопасности в связи с внедрением новых технологий. © 2010 EYGM Limited 2010 Global Information Security Survey | 10 All Rights Reserved
  • 12. Результаты исследования Безопасность без границ © 2010 EYGM Limited 2010 Global Information Security Survey | 11 All Rights Reserved
  • 13. Безопасность без границ Новые технологии означают новые риски Учитывая текущие тенденции по использованию в организациях таких 60% респондентов ощутили технологий как социальные сети, облачные вычисления, персональные рост уровня рисков, устройства, наблюдали ли Вы изменения в среде рисков, с которыми связанных с сталкивается Ваша организация? использованием социальных сетей, облачных вычислений и персональных устройств, используемых в 37% организации Да, уровень риска увеличился Нет, уровень риска уменьшился 60% Относительно постоянный уровень риска 3% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 12 All Rights Reserved
  • 14. Безопасность без границ Новые технологии означают новые риски Учитывая текущие тенденции по использованию в организациях таких 50% респондентов в технологий как социальные сети, облачные вычисления, персональные Украине ощутили рост устройства, наблюдали ли Вы изменения в среде рисков, с которыми уровня рисков, связанных с сталкивается Ваша организация? использованием социальных сетей, облачных вычислений и персональных устройств, используемых в организации 43.75% Да, уровень риска увеличился 50.00% Нет, уровень риска уменьшился Относительно постоянный уровень риска 6.25% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 13 All Rights Reserved
  • 15. Безопасность без границ Организации повышают свои расходы на обеспечение защиты от новых угроз информационной безопасности Какое из перечисленных высказываний лучше всего характеризует долю 46% респондентов отметили ежегодных инвестиций в информационную безопасность в общих расходах увеличение ежегодных вашей организации? инвестиций в информационную безопасность. Только 6% из опрошенных планируют сократить расходы на информационную Увеличение доли в общих безопасность в своей расходах организации организации 46% 48% Снижение доли в общих расходах организации Относительно постоянная доля в общих расходах организации 6% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 14 All Rights Reserved
  • 16. Безопасность без границ 34% украинских Какое из перечисленных высказываний лучше всего характеризует долю респондентов отметили ежегодных инвестиций в информационную безопасность в общих расходах увеличение ежегодных вашей организации? инвестиций в информационную безопасность. 13% из опрошенных планируют сократить расходы на 34% информационную Увеличение доли в общих безопасность в своей расходах организации организации 50% Снижение доли в общих расходах организации Относительно постоянная доля в общих расходах организации 13% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 15 All Rights Reserved
  • 17. Безопасность без границ • Создание всеобъемлющей программы управления ИТ-рисками, Наши рекомендации которая определяет и устраняет риски, связанные с новым и развивающимися технологиями • Проведение оценки рисков для выявления потенциальных угроз и принятие соответствующих превентивных мер по результатам оценки • Принятие "информационно-ориентированного" подхода к управлению безопасностью, который наиболее соответствует целям бизнеса Наши рекомендации © 2010 EYGM Limited 2010 Global Information Security Survey | 16 All Rights Reserved
  • 18. Результаты исследования Мобильные вычисления © 2010 EYGM Limited 2010 Global Information Security Survey | 17 All Rights Reserved
  • 19. Мобильные вычисления Потребности мобильных сотрудников вызывают необходимость изменения способов поддержки и защиты потоков информации в организации Оцените уровень влияния факторов, приведенных ниже, на реализацию инициатив в области информационной безопасности в вашей организации 53% респондентов Уровень осведомленности персонала по вопросам 22% 42% 27% 8%1% отметили, что увеличение безопасности мобильности сотрудников Наличие квалифицированных ресурсов 20% 39% 27% 10% 4% значительно затрудняет Адекватный бюджет 23% 31% 28% 12% 6% эффективную реализацию Увеличение мобильности сотрудников (например, инициатив в области мобильные устройства, ноутбуки) 17% 36% 29% 14% 4% информационной Осведомленность руководства и поддержка со стороны 17% 31% 29% 17% 6% безопасности руководства Организационные изменения 13% 28% 34% 19% 6% Новые технологии (например, облачные вычисления, 7% 28% 36% 22% 7% виртуализация) Изменения или отсутствие ясности в нормативных и 8% 25% 36% 22% 9% законодательных актах Социальные сети (например, FaceBook, LinkedIn, 9% 24% 32% 21% 14% Twitter) Неопределенность в бизнесе 7% 20% 35% 25% 13% Существенная проблема 4 3 2 Не существенная проблема Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 18 All Rights Reserved
  • 20. Мобильные вычисления Оцените уровень влияния факторов, приведенных ниже, на реализацию инициатив в области информационной безопасности в вашей организации В Украине лишь 33% Социальные сети (например, FaceBook, LinkedIn, 35% 26% 19% 13% 6% респондентов отметили, что Twitter) увеличение мобильности Новые технологии (например, облачные 22% 28% 25% 25% 0% вычисления, виртуализация) сотрудников значительно Изменения или отсутствие ясности в нормативных затрудняет эффективную и законодательных актах 16% 26% 26% 29% 3% реализацию инициатив в Неопределенность в бизнесе 16% 13% 35% 29% 6% области информационной Увеличение мобильности сотрудников (например, безопасности мобильные устройства, ноутбуки) 10% 23% 35% 23% 10% Организационные изменения 9% 28% 38% 16% 9% Наличие квалифицированных ресурсов 9% 16% 19% 25% 31% Осведомленность руководства и поддержка со 3% 13% 35% 29% 19% стороны руководства Адекватный бюджет 3%6% 23% 39% 29% Уровень осведомленности персонала по вопросам 3% 9% 31% 38% 19% безопасности Существенная проблема 4 3 2 Не проблема Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 19 All Rights Reserved
  • 21. Мобильные вычисления Наиболее высоким риском, связанным с использованием мобильных устройств, является утечка бизнес информации Из приведенного ниже списка, какие 5 областей ИТ рисков являются наиболее 64% респондентов критичными для Вашей организации? отметили, что данные Обеспечение доступности критичных ИТ ресурсов (например, 31% 16% 11% 7% 6% приложения, инфраструктура) являются одной из Данные (например, искажение данных, разглашение критичных 19% 18% 13% 8% 6% наиболее критичных данных) Приложения и базы данных (например, приложения без поддержки, областей ИТ рисков системные сбои) 14% 14% 10% 9% 8% Поставки третьих сторон и аутсорсинг (например, отсутствие 5% 7% 8% 9% 12% требований безопасности, отсутствие гарантий) Операционные риски (например, ошибки оператора, нарушения 4% 7% 9% 10% 10% операционного процесса) Юридические и регуляторные риски (например, несоответствие 6% 7% 8% 8% 7% требованиям регулятора или условиям контракта) Обеспечение персоналом (например, несоответствие 3% 5% 6% 9% 10% квалификации, потеря ключевых ресурсов) Инфраструктура (например, неправильная конфигурация 3% 6% 8% 10% 6% оборудования, негибкая архитектура) Программы и проекты (например, перерасход бюджета, задержки, 4% 4% 7% 9% 8% плохое качество) Стратегия и согласование (например, различные приоритеты, 4%4% 6% 6% 8% отсутствие корпоративной ответственности) Мошенничество и кражи (например, кража ноутбуков и серверов, 4% 6% 5% 7% 6% умышленная подмена данных) Физическая среда (например, сбои оборудования, природные 3%4% 4% 6% катастрофы) Технология (например, неправильный выбор технологии, 3%4% 6% неудачное использование новых технологий) Основной риск 2й 3й 4й 5й по критичности Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 20 All Rights Reserved
  • 22. Мобильные вычисления Из приведенного ниже списка, какие 5 областей ИТ рисков являются наиболее 75% респондентов в критичными для Вашей организации? Украине так же считают, Обеспечение доступности критичных ИТ ресурсов (например, 25% 25% 6% 9% 9% приложения, инфраструктура) что данные являются одной Данные (например, искажение данных, разглашение критичных 22% 22% 28% 0% 3% из наиболее критичных данных) областей ИТ рисков Приложения и базы данных (например, приложения без поддержки, 28% 16% 9% 13% 9% системные сбои) Мошенничество и кражи (например, кража ноутбуков и серверов, 9% 3% 6% 9% 19% умышленная подмена данных) Обеспечение персоналом (например, несоответствие 0% 13% 16% 3% 6% квалификации, потеря ключевых ресурсов) Операционные риски (например, ошибки оператора, нарушения 3% 9% 6% 6% 9% операционного процесса) Юридические и регуляторные риски (например, несоответствие 3% 3% 3% 13% 3% требованиям регулятора или условиям контракта) Программы и проекты (например, перерасход бюджета, задержки, 3% 3% 6% 9% 3% плохое качество) Физическая среда (например, сбои оборудования, природные 6% 0% 6% 13% катастрофы) Стратегия и согласование (например, различные приоритеты, 0% 6% 6% 9% отсутствие корпоративной ответственности) Поставки третьих сторон и аутсорсинг (например, отсутствие 0% 6% 6% 6% требований безопасности, отсутствие гарантий) Инфраструктура (например, неправильная конфигурация 3% 3% 13% 0% оборудования, негибкая архитектура) Технология (например, неправильный выбор технологии, 3% 3% 9% неудачное использование новых технологий) Основной риск 2й 3й 4й 5й по критичности Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 21 All Rights Reserved
  • 23. Мобильные вычисления Организации осознают риски, связанные с использованием персональных устройств и предпринимают шаги с целью минимизации этих рисков По сравнению с текущим годом, планируется ли в Вашей организации 50% респондентов в увеличение или уменьшение объема расходов на перечисленные ниже следующем году планируют мероприятия в следующем году? Указан процент участников увеличение затрат на Внедрение или совершенствование технологий и процессов DLP 50% 46% 4% технологии и процессы Планы и средства обеспечения восстановления после сбоев / обеспечения … 50% 45% 5% предотвращения Внедрение или совершенствование технологий и процессов управления … 48% 45% 7% утечки/потери данных Обеспечение безопасности новых технологий (например, облачных… 44% 50% 6% Программы повышения осведомленности и обучения сотрудников вопросам … 42% 53% 5% Соблюдение нормативных требований регуляторов 41% 55% 4% Управление рисками информационной безопасности 41% 55% 4% Тестирование функции обеспечения информационной безопасности … 36% 58% 6% Защита персональной информации 34% 61% 5% Технологии и процессы управления уязвимостями 33% 63% 4% Защита интеллектуальной собственности 32% 64% 4% Внедрение метрик информационной безопасности и отчетности по ним 32% 64% 4% Внедрение стандартов безопасности (например, ISO/IEC 27002:2005) 30% 61% 9% Внедрение или улучшение внутренних процессов разработки ПО (например,… 30% 63% 7% Соблюдение нормативных требований организации 28% 67% 5% Планы и средства реакции на инциденты 26% 68% 6% Найм сотрудников информационной безопасности 22% 63% 15% Поддержка расследований по информационной безопасности / борьба с… 18% 74% 8% Передача функций информационной безопасности на аутсорсинг 17% 64% 19% Увеличение затрат Без изменений Сокращение затрат © 2010 EYGM Limited 2010 Global Information Security Survey | 22 All Rights Reserved
  • 24. Мобильные вычисления По сравнению с текущим годом, планируется ли в Вашей организации Лишь 35% респондентов в увеличение или уменьшение объема расходов на перечисленные ниже Украине в следующем году мероприятия в следующем году? Указан процент участников планируют увеличение Внедрение или совершенствование технологий и процессов управления доступом и… 48% 48% 4% затрат на технологии и Планы и средства обеспечения восстановления после сбоев / обеспечения … 42% 54% 4% процессы предотвращения Защита персональной информации 41% 55% 5% утечки/потери данных Обеспечение безопасности новых технологий (например, облачных вычислений; … 39% 57% 4% Внедрение или совершенствование технологий и процессов DLP 35% 50% 15% Тестирование функции обеспечения информационной безопасности (например, … 32% 64% 5% Программы повышения осведомленности и обучения сотрудников вопросам безопасности 31% 58% 12% Найм сотрудников информационной безопасности 29% 57% 14% Технологии и процессы управления уязвимостями 27% 73% 0% Планы и средства реакции на инциденты 27% 64% 9% Внедрение стандартов безопасности (например, ISO/IEC 27002:2005) 27% 64% 9% Управление рисками информационной безопасности 27% 62% 12% Соблюдение нормативных требований регуляторов 26% 74% 0% Внедрение метрик информационной безопасности и отчетности по ним 26% 65% 9% Защита интеллектуальной собственности 24% 67% 10% Поддержка расследований по информационной безопасности / борьба с мошенничеством 21% 79% 0% Внедрение или улучшение внутренних процессов разработки ПО (например, процесса… 19% 62% 19% Соблюдение нормативных требований организации 17% 71% 13% Передача функций информационной безопасности на аутсорсинг 5% 70% 25% Увеличение затрат Без изменений Сокращение затрат © 2010 EYGM Limited 2010 Global Information Security Survey | 23 All Rights Reserved
  • 25. Мобильные вычисления Организации вносят корректировки в политики, осуществляют повышение осведомленности сотрудников по вопросам безопасности, внедряют технологии шифрования и контроли управления идентификацией и доступом Какие из следующих контролей Вы внедрили для уменьшения новых или 39% респондентов возросших рисков? пересматривают и корректируют политики с Корректировка политик 39% целью уменьшения новых Усиление действий по повышению осведомленности по 38% или возросших рисков вопросам безопасности Технологии шифрования 29% Усиление контролей по управлению идентификацией и 28% доступом Усиленные средства аудита 25% Архитектурные изменения 24% Корректировка процесса управления инцидентами 19% Усиленный процесс управления контрактами 19% Усиление контроля поставщиков услуг 18% Новые дисциплинарные процессы 11% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 24 All Rights Reserved
  • 26. Мобильные вычисления 65% респондентов в Какие из следующих контролей Вы внедрили для уменьшения новых или Украине с целью возросших рисков? уменьшения новых или возросших рисков Технологии шифрования 65% внедряют технологии Новые дисциплинарные процессы 65% шифрования и усиливают дисциплинарные процессы Корректировка политик 59% Усиление действий по повышению осведомленности по 53% вопросам безопасности Усиленные средства аудита 47% Корректировка процесса управления инцидентами 41% Усиление контролей по управлению идентификацией и 35% доступом Архитектурные изменения 29% Усиленный процесс управления контрактами 18% Усиление контроля поставщиков услуг 12% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 25 All Rights Reserved
  • 27. Мобильные вычисления • Увеличение инвестиций в технологии предотвращения утечки Наши рекомендации данных, шифрование и решения по управлению идентификацией и доступом • Идентификация рисков, связанных с использованием новых технологий - в том числе технологий, используемых сотрудниками как в личных целях, так и в целях бизнеса • Пересмотр и надлежащая корректировка политик информационной безопасности, предусматривающих ограничения в использовании мобильных вычислительных устройств • Усиление мероприятий, нацеленных на повышение осведомленности мобильных сотрудников в вопросах информационной безопасности • Усиление контролей безопасности на уровне мобильных Наши рекомендации устройств с целью защиты конфиденциальной бизнес информации и обеспечения целостной картины рисков, присущих организации © 2010 EYGM Limited 2010 Global Information Security Survey | 26 All Rights Reserved
  • 28. Результаты исследования Облачные вычисления © 2010 EYGM Limited 2010 Global Information Security Survey | 27 All Rights Reserved
  • 29. Облачные вычисления Сервисы, использующие облачные вычисления, приобретают популярность, а поставщики расширяют спектр предлагаемых услуг в этом направлении Использует ли Ваша организация в данный момент решения на основе облачных вычислений? 45% респондентов на данный момент используют Да, в данный момент использует 23% либо планируют использование решений на основе облачных вычислений в течение Да, использует в тестовом режиме 7% следующих 12 месяцев Нет, но планирует использовать в течение 15% следующих 12 месяцев Нет, и не планируется использование в течение 55% следующих 12 месяцев Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 28 All Rights Reserved
  • 30. Облачные вычисления Использует ли Ваша организация в данный момент решения на основе облачных вычислений? Только15% респондентов в Украине на данный момент используют либо планируют Да, в данный момент использует 6.25% использование решений на основе облачных вычислений в течение Да, использует в тестовом режиме 6.25% следующих 12 месяцев Нет, но планирует использовать в течение 3.125% следующих 12 месяцев Нет, и не планируется использование в течение 84.375% следующих 12 месяцев Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 29 All Rights Reserved
  • 31. Облачные вычисления Организации внедряют технологии облачных вычислений, осознавая несовершенство организации модели доверия в сервисах, использующих «публичное облако» Какую модель вычислений Вы используете или планируете к использованию? 54% респондентов используют модель вычислений «частное Частное облако 54% облако». Инкапсулированное облако (обслуживается 45% провайдером, но отделено от других клиентов) Публичное облако 29% Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 30 All Rights Reserved
  • 32. Облачные вычисления Какую модель вычислений Вы используете или планируете к использованию? Ни один из респондентов в Украине не готов доверить данные публичному облаку Частное облако 67% Инкапсулированное облако (обслуживается 33% провайдером, но отделено от других клиентов) Публичное облако 0% Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 31 All Rights Reserved
  • 33. Облачные вычисления Риски, связанные с облачными вычислениями должны быть идентифицированы и минимизированы до использования «публичного облака» в бизнес-приложениях Какие “новые” или возросшие риски Вы обнаружили? 39% респондентов упомянули, что потеря Риски утечки данных 52% “общей картины” Потеря “общей картины” относительно того, что относительно того, что происходит с данными компании 39% происходит с данными Неавторизованный доступ 34% компании является риском, возросшим в связи с Сложности с техническим и процедурным 29% использованием облачных мониторингом вычислений Повышение уровня сотрудничества с лицами за 22% пределами организации Риски нарушения условий контракта 18% Риск нарушения доступности 17% Сложности с обновлением планов внутреннего аудита 15% и плана обеспечения соответствия Риск управления производственными мощностями 13% Риски управления производительностью 11% Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 32 All Rights Reserved
  • 34. Облачные вычисления Какие “новые” или возросшие риски Вы обнаружили? 41% украинских респондентов упомянули, что Риски утечки данных 88% потеря “общей картины” относительно того, что Неавторизованный доступ 47% происходит с данными Потеря “общей картины” относительно того, что 41% компании является риском, происходит с данными компании возросшим в связи с Сложности с техническим и процедурным мониторингом 41% использованием облачных вычислений Повышение уровня сотрудничества с лицами за 29% пределами организации Риск нарушения доступности 24% Риск управления производственными мощностями 12% Риски управления производительностью 12% Риски нарушения условий контракта 6% Сложности с обновлением планов внутреннего аудита и 6% плана обеспечения соответствия Примечание: Допускается несколько ответов от одного респондента Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 33 All Rights Reserved
  • 35. Облачные вычисления Сертификация поставщиков сервисов, использующих облачные вычисления, позволит оценить и удостовериться в адекватности контролей информационной безопасности, а также повысит доверие к поставщикам Повлияет ли внешняя сертификация провайдера “облачных” сервисов на Ваше 85% респондентов доверие к “облачным” вычислениям? отметили, что внешняя сертификация поставщиков повысила бы уровень Да, но только если этот сертификат 43% основан на общепринятом стандарте доверия к облачным вычислениям Да, но только если сертифицирующая организация сможет продемонстрировать 22% аккредитацию Да, в любом случае 20% Нет 15% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 34 All Rights Reserved
  • 36. Облачные вычисления Повлияет ли внешняя сертификация провайдера “облачных” сервисов на Ваше 60% респондентов доверие к “облачным” вычислениям? отметили, что внешняя сертификация поставщиков повысила бы уровень Да, но только если этот сертификат 20.00% основан на общепринятом стандарте доверия к облачным вычислениям Да, но только если сертифицирующая организация сможет продемонстрировать 20.00% аккредитацию Да, в любом случае 20.00% Нет 40.00% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 35 All Rights Reserved
  • 37. Облачные вычисления • Оценка правовых, организационных и технологических рисков, Наши рекомендации а также вопросов безопасности, связанных с размещением информации в «публичном облаке» • Разработка стратегии компании, модели управления и оперативного подхода к использованию облачных вычислений, в том числе функции защиты информации, с целью внедрения необходимых процедур и политик • Внедрение стандартов и минимальных требований, которые позволят обеспечить безопасность Вашей организации при использовании облачных вычислений Наши рекомендации © 2010 EYGM Limited 2010 Global Information Security Survey | 36 All Rights Reserved
  • 38. Результаты исследования Социальные сети © 2010 EYGM Limited 2010 Global Information Security Survey | 37 All Rights Reserved
  • 39. Социальные сети Немногие компании провели тщательный анализ вопроса использования социальных сетей и определили подход балансирующий возможности для бизнеса с подверженностью риску Насколько важны вопросы информационной безопасности в обеспечении Только 10% респондентов следующих направлений деятельности вашей организации? отметили, что изучение новых и развивающихся Обеспечение соблюдения нормативных требований 56% 26% 2% 12% 4% технологий является Защита репутации и бренда 53% 29% 13% 4% 1% важной задачей информационной Обеспечение защиты персональных данных 45% 36% 15% 3% 1% безопасности Обеспечение соответствия внутренним политикам 42% 33% 18% 2% 5% Управление операционными и/или корпоративными 34% 43% 18% 4% 1% рисками Защита интеллектуальной собственности 31% 30% 25% 10% 4% Повышение доверия со стороны заинтересованных 25% 34% 25% 11% 5% лиц Повышение эффективности управления ИТ и 21% 40% 27% 10%2% операционной деятельности Управление взаимодействием с внешними 16% 37% 31% 12% 4% поставщиками Обеспечение поддержки при запуске новой услуги 14% 30% 34% 15% 7% или продукта Содействие в ходе слияний, поглощений и продажи 12% 20% 26% 20% 22% активов организации Изучение новых и развивающихся технологий 10% 33% 38% 15% 4% Очень важно 4 3 2 Не важно Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 38 All Rights Reserved
  • 40. Социальные сети Насколько важны вопросы информационной безопасности в обеспечении Только 3% респондентов в следующих направлений деятельности вашей организации? Украине отметили, что изучение новых и Обеспечение защиты персональных данных 53% 25% 19% 0% 3% развивающихся технологий Защита репутации и бренда 48% 35% 6% 6% 3% является важной задачей информационной Обеспечение соблюдения нормативных требований 30% 27% 33% 0% 10% безопасности Повышение доверия со стороны заинтересованных 29% 39% 19% 6% 6% лиц Управление операционными и/или корпоративными 27% 33% 23% 10% 7% рисками Обеспечение соответствия внутренним политикам 23% 52% 19% 3% 3% Повышение эффективности управления ИТ и 23% 35% 32% 3%6% операционной деятельности Обеспечение поддержки при запуске новой услуги или 23% 32% 23% 16% 6% продукта Содействие в ходе слияний, поглощений и продажи 14% 17% 10% 17% 41% активов организации Защита интеллектуальной собственности 13% 27% 43% 10% 7% Управление взаимодействием с внешними 3% 17% 37% 30% 13% поставщиками Изучение новых и развивающихся технологий 3% 32% 42% 10% 13% Очень важно 4 3 2 Не важно Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 39 All Rights Reserved
  • 41. Социальные сети Организациям следует проводить обновления политик безопасности и повышать осведомленность сотрудников относительно рисков, связанных с использованием социальных сетей 34% респондентов Какие аспекты в настоящее время рассматриваются в программе повышения включают информационные осведомленности сотрудников по вопросам безопасности, принятой в вашей обновления по рискам, организации? связанным с социальными Повышение осведомленности сотрудников по вопросам сетями, в программу безопасности в целом 76% повышения Проверка и согласование соблюдения действующих политик и осведомленности стандартов в области безопасности 47% сотрудников Информационные обновления по рискам, связанным с мобильными вычислениями 45% Прямые и частые обновления / оповещения по текущим угрозам для организации 43% Проведение специальных мероприятий или тренингов в области безопасности для пользователей, входящих в группы высокого риска 34% Информационные обновления по рискам, связанным с социальными сетями в рабочей среде 34% Измерение эффективности действий по повышению осведомленности 21% У нас нет программы повышения осведомленности по вопросам безопасности 15% Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 40 All Rights Reserved
  • 42. Социальные сети 32% Украинских Какие аспекты в настоящее время рассматриваются в программе повышения респондентов включают осведомленности сотрудников по вопросам безопасности, принятой в вашей информационные организации? обновления по рискам, Повышение осведомленности сотрудников по вопросам связанным с социальными безопасности в целом 79% сетями, в программу Информационные обновления по рискам, связанным с мобильными повышения вычислениями 45% осведомленности сотрудников Прямые и частые обновления / оповещения по текущим угрозам для 43% организации Проведение специальных мероприятий или тренингов в области 32% безопасности для пользователей, входящих в группы высокого риска Информационные обновления по рискам, связанным с социальными 32% сетями в рабочей среде Проверка и согласование соблюдения действующих политик и 28% стандартов в области безопасности Измерение эффективности действий по повышению 21% осведомленности У нас нет программы повышения осведомленности по вопросам 13% безопасности Указан процент участников © 2010 EYGM Limited 2010 Global Information Security Survey | 41 All Rights Reserved