Contenu connexe Similaire à [Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана Similaire à [Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана (20) [Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана1. Переход в облака, выход из тумана
Результаты глобального исследования по информационной
безопасности
Андрей Лысюк, CISM, CISA, CCIE, CISSP
Старший консультант отдела услуг в области ИТ и ИТ рисков Ernst & Young
2 декабря 2011 года, 7 конференция UISG
2. Глобальное Исследование по Информационной Безопасности
Введение
► Одно из наиболее долгоживущих исследований в своем Переход в облака, выход из тумана
роде, проводится на протяжении 14 лет Наблюдение за мобильными
устройствами
► В этом году приняло участие более 1700 респондентов Прозрачность облаков
из 52 стран мира Связь через социальные сети
► Позволяет сфокусироваться на наиболее критических Устранение утечек информации
рисках Подготовка к худшему
► Позволяет оценить важность вопросов Глядя в будущее
информационной безопасности Итоги результатов исследования
Преобразование программы
безопасности
Демографические данные
© 2011 EYGM Limited 2011 Global Information Security Survey | 1
All Rights Reserved
3. Введение
► Все больше и больше компаний переходит в виртуальный мир, это поддерживается
новыми технологиями и обусловлено необходимостью сокращения издержек.
Наше исследование определяет три различные тенденции, которые вместе влияют и
будут продолжать оказывать значительное влияние на роль и значение
информационной безопасности
► Во-первых, физические границы компании все больше исчезают по мере
увеличения передачи данных через Интернет. В прошлогоднем исследование мы уже
отмечали эту тенденцию, и она продолжает быть одной из ключевых областей внимания
► Во-вторых, темпы изменений продолжают ускоряться, зафиксированы
технологические трансформации целых отраслей промышленности – от автомобильной
до издательской или розничной торговли. Происходит изменение бизнес моделей,
переход бизнес моделей на более «цифровые»
► Наконец, компании переходят от более традиционных аутсорсинговых контрактов к
предоставлению «облачных» услуг. Так как организации понимают преимущества
использования модели предоставления услуг в «облаке», эти бизнес модели
продолжают распространяться
► Организации переносят все более важные процессы, а иногда и всю свою ИТ
инфраструктуру и платформы приложений в облаке - тем самым навсегда изменив свои
бизнес модели и ИТ функции
© 2011 EYGM Limited 2011 Global Information Security Survey | 2
All Rights Reserved
4. Переход в облака, выход из тумана
Результаты исследования
© 2011 EYGM Limited 2011 Global Information Security Survey | 3
All Rights Reserved
5. Переход в облака, выход из тумана
Уровень рисков ИБ остается высоким, компании пытаются выработать стратегию,
чтобы приспособиться к постоянно меняющимся условиям, а также в ответ на угрозы
безопасности
Каким образом риски среды, в которой вы работаете изменились за последние
12 месяцев?
72% опрошенных видят
повышение уровня Мы видим увеличение уровня риска
в связи с ростом внешних угроз 72%
риска в связи с ростом
внешних угроз. Мы видим увеличение уровня риска
в связи с ростом внутренних угроз 46%
Мы видим уменьшение уровня риска
в связи с ростом внутренних угроз 21%
Мы видим уменьшение уровня риска
в связи с ростом внешних угроз 9%
© 2011 EYGM Limited 2011 Global Information Security Survey | 4
All Rights Reserved
6. Переход в облака, выход из тумана
Ресурсы, которые выделяются на программы информационной безопасности
Говоря в общем, что из перечисленного описывает запланированный в
59% опрошенных вашей организации общий бюджет информационной безопасности на
ожидают увеличения ближайшие 12 месяцев?
бюджета
информационной
безопасности по
сравнению с
предыдущим годом. Будет расти
35%
59%
Уменьшиться
Останется прежним
6%
© 2011 EYGM Limited 2011 Global Information Security Survey | 5
All Rights Reserved
7. Переход в облака, выход из тумана
Несмотря на усилия направленные на рост возможностей информационной
безопасности, разрыв с требованиями сохраняется
Убеждены ли вы что функции информационной безопасности удовлетворяют
В то время как 49% потребности вашей организации?
опрошенных заявили
что функции системы
безопасности Да 49%
удовлетворяют нужды
их организации, 51% Нет, в первую очередь из-за
ограниченности бюджета 17%
заявляет обратное.
Нет, в первую очередь из-за отсутствия
13%
квалифицированных сотрудников
Нет, в первую очередь из-за отсутствия 9%
эффективной поддержки
Нет, по другим причинам 11%
© 2011 EYGM Limited 2011 Global Information Security Survey | 6
All Rights Reserved
8. Переход в облака, выход из тумана
• Вынесение вопроса информационной безопасности на
Наши прогнозы уровень высшего правления, что сделает его более важным
• Определение стратегии, которая будет защищать бизнес,
одновременно добавив ему большую ценность за счет
соответствия потребностям бизнеса
• Формирование информационной безопасности, как
неотъемлемой части сервиса и продукта
• Фокусирование ресурсов информационной безопасности на
защите наиболее существенных активов, таких как
информация о клиентах и интеллектуальная собственность
• Если Ваша информационная безопасность не является
адекватной, почему клиенты должны доверять Вам, как
бизнесу?
© 2011 EYGM Limited 2011 Global Information Security Survey | 7
All Rights Reserved
9. Наблюдение за мобильными устройствами
Результаты исследования
© 2011 EYGM Limited 2011 Global Information Security Survey | 8
All Rights Reserved
10. Наблюдение за мобильными устройствами
В то время как личная адаптация растет, адаптация бизнеса запаздывает.
Позволяет ли ваша организация в настоящее время использовать планшетные
Каждый пятый
компьютеры для целей бизнеса?
опрошенный указал что
его организация не
позволяет в настоящее Не позволяет, или позволяет в очень ограниченном виде
время использовать
планшеты для целей Нет, и не планируется в ближайшие 12 месяцев
бизнеса, и не имеет на Да, широко используется и официально поддерживается
организацией
это планов в течении Нет, но запланировано в течении следующих 12 месяцев
ближайшего года
Да, широко используется, но официально не
поддерживается организацией
© 2011 EYGM Limited 2011 Global Information Security Survey | 9
All Rights Reserved
11. Наблюдение за мобильными устройствами
Поскольку использование планшетных устройств продолжает расти, компании
пытаются найти способы, чтобы идти в ногу с вопросами безопасности, которые
приходят вместе с мобильными устройствами
Какие из следующих элементов управления осуществляются вами для
57% опрошенных снижения новых или увеличившихся рисков, связанных с использованием
сделали корректировку мобильных устройств?
политики для снижения
рисков, связанных с Корректировки политики 57%
мобильными Деятельность по повышению осведомленности 52%
устройствами
Методы шифрования 47%
Разрешение на использование корпоративных
35%
планшетов и смартфонов вместо собственных
Изменения архитектуры 30%
Новое программное обеспечение для
28%
управления мобильными устройствами
Увеличение возможностей аудита 27%
Улучшение процессов управления
26%
инцидентами
Введение дисциплинарных мер 13%
Ничего 11%
Запрет на использование всех смартфонов и
7%
планшетных устройств
© 2011 EYGM Limited 2011 Global Information Security Survey | 10
All Rights Reserved
12. Наблюдение за мобильными устройствами
► Внедрение стратегического управления и руководства по
Наши прогнозы использованию мобильных устройств и связанных с ними
продуктов для обеспечения безопасности соответствующего
программного обеспечения
► Использование шифрования как основного механизма
контроля. Так как меньше половины опрошенных используют
шифрование, организациям следует рассмотреть вопрос его
внедрения
► Выполнение тестов на проникновение для мобильных
приложений перед развертыванием, чтобы снизить
подверженность организации соответствующим рискам
© 2011 EYGM Limited 2011 Global Information Security Survey | 11
All Rights Reserved
13. Прозрачность облаков
Результаты исследования
© 2011 EYGM Limited 2011 Global Information Security Survey | 12
All Rights Reserved
14. Прозрачность облаков
Даже при том что популярность и интерес к облакам продолжают расти, сохраняется
отсутствие ясности в вопросе последствий для информационной безопасности и
необходимых мер для уменьшения рисков
Пользуется ли Ваша организация в настоящее время услугами облачных
61% респондентов в вычислений?
настоящее время
используют, оценивают
или планируют
использовать облачные Да, использует в настоящее время
вычисления в течение
следующего года.
Да, оцениваем их использование
Нет, но планируем использовать в ближайшие
12 месяцев
Нет, и не планируем использовать в
ближайшие 12 месяцев
© 2011 EYGM Limited 2011 Global Information Security Survey | 13
All Rights Reserved
15. Прозрачность облаков
В то время как популярность и интерес к облачным вычислениям продолжают расти,
меры, предпринимаемые службами информационной безопасности организаций, не
успевают за темпами развития облачных сервисов
Более половины Какие из следующих элементов управления осуществляются вами для понижения
новых или увеличившихся рисков, связанных с использованием облачных
опрошенных
вычислений?
практически ничего не
сделали для снижения Ничего 52%
новых или Усиление контроля управления контрактами с поставщиками 22%
увеличившихся рисков, Увеличение осведомленности сервис провайдеров 21%
Усиление процесса управления доступом и
связанных с идентификацией 19%
использованием Технологии шифрования 18%
облачных вычислений Инспекция вашей команды по безопасности/ИТ рискам 16%
Увеличение аудита предоставления облачных услуг 15%
Зависимость облачных сервисов от сертификации 13%
Договоренность с третьей стороной по аудиту
13%
Ответственность поставщиков облачных сервисов фиксируется в контрактах 11%
Улучшение процессов управления инцидентами 11%
Финансовые санкции в случае нарушения безопасности 8%
© 2011 EYGM Limited 2011 Global Information Security Survey | 14
All Rights Reserved
16. Прозрачность облаков
Организации ищут способы, повышения доверия и уверенности в облачных
вычислениях
Сможет ли внешняя сертификация поставщиков облачных услуг
увеличить доверие к облачным вычислениям?
Почти 90% опрошенных
считают, что внешние
сертификации приведут Да , если сертификат основан на согласованном стандарте 45%
к увеличению доверия к
Да, но если орган сертификации прошел аккредитацию 24%
облачным вычислениям.
Да, в любом случае 20%
Нет 12%
© 2011 EYGM Limited 2011 Global Information Security Survey | 15
All Rights Reserved
17. Прозрачность облаков
• Выполнение проверки поставщиков вместо простого
Наши прогнозы доверия
• Определение ответственности относительно рисков перед
подписанием договоров об использовании облачных сервисов
• Планирование обеспечения непрерывности бизнеса и
выбора поставщиков, которые демонстрируют прозрачность
относительно внедрения планов обеспечения непрерывности
деятельности
• При использовании стандартных процессов и методов
безопасности выбор тех, которые эффективно работали на
других технологиях в прошлом
• Согласование бизнес стратегии и стратегии в области
информационной безопасности, а также постоянная оценка
рисков для соблюдения стандартов
© 2011 EYGM Limited 2011 Global Information Security Survey | 16
All Rights Reserved
18. Связь через социальные сети
Результаты исследования
© 2011 EYGM Limited 2011 Global Information Security Survey | 17
All Rights Reserved
19. Связь через социальные сети
Организации пытаются выявить лучший путь для уменьшения угроз безопасности в
этой открытой, динамичной и зарождающейся индустрии, которая затрагивает
практически все аспекты деятельности
Какие из следующих элементов управления используются вами для
53% респондентов понижения новых или увеличившихся рисков, связанных с
ограничили или использованием социальных сетей?
запретили доступ к
сайтам социальных Ограничение доступам к сайтам
53%
социальных сетей
сетей для снижения
рисков, связанных с Корректировка политики 46%
социальными сетями
Программа осведомленности 39%
Усиление мониторинга использования Интернета 38%
Применение дисциплинарных мер 12%
Коррекция процесса управления инцидентами 11%
15%
Ничего
20. Связь через социальные сети
• Переосмысление использования жесткого ограничения
использования социальных сетей. Использование вместо
Наши прогнозы
этого мониторинга социальных сетей
• Принятие всех преимуществ социальных сетей. Отказ от
социальных сетей не позволят компаниям идти в ногу с
конкурентами и могут привести к возникновению чувства
недоверия у сотрудников
• Тестирование и использование технических решений,
которые усиливают требования политики информационной
безопасности относительно социальных сетей
• Проведение собственной разведки, чтобы лучше понять, что
потенциальные злоумышленники могут найти в социальных
сетях
© 2011 EYGM Limited 2011 Global Information Security Survey | 19
All Rights Reserved
21. Устранение утечек информации
Результаты исследования
© 2011 EYGM Limited 2011 Global Information Security Survey | 20
All Rights Reserved
22. Устранение утечек информации
Организации вводят политики, процедуры и информационные кампании, чтобы помочь
идентифицировать каналы, через которые можно «слить» данные, но эффективность
этого сомнительна
Что касается реализации DLP-инструментов, как бы вы описали их
66% респондентов не развертывание?
реализовывали
инструменты Мы не применяли инструменты DLP 66%
предотвращения потери Пользователи в основном не заметили применения DLP 15%
данных (DLP) Наша реализация была успешной 14%
Выполнение прошло гладко и в соответствии с графиком 14%
Для реализации потребовалось больше времени чем ожидалось 12%
Пользователи были недовольны влиянием на ежедневные операции 6%
Наша реализация не была успешной как ожидалось 4%
© 2011 EYGM Limited 2011 Global Information Security Survey | 21
All Rights Reserved
23. Устранение утечек информации
Организации полагаются в первую очередь на политику безопасности и программы
осведомленности как на первую линию обороны против потери данных и утечки
информации
74% респондентов
определили политику Какие из следующих действий предприняты вашей организацией, для
контроля утечки конфиденциальной информации?
классификации и
обработки
конфиденциальных Определены политики в отношении классификации и обработки конфиденциальной
информации 74%
данных, как контроль Внедрена программа повышения осведомленности 69%
утечки информации Реализованы дополнительные механизмы, например, шифрование 60%
Используется внутренний аудит для тестирования элементов управления 45%
Ограничено использование некоторых аппаратных компонент (например USB накопителей) 45%
Определены правила для удаленной работы с документами компании 43%
Внедрены инструменты анализа журналов 39%
Внедрены инструменты предотвращения утечки данных 38%
Ограничено использование коммуникаторов и электронной почты 35%
Ограничено использование видеоаппаратуры в конфиденциальных зонах 24%
Ограниченный доступ к конфиденциальной информации в периоды времени 15%
© 2011 EYGM Limited 2011 Global Information Security Survey | 22
All Rights Reserved
24. Устранение утечек информации
• Понимание и оценивание многих потенциальных рисков, а также
каналов утечки информации
Наши прогнозы • Определение и классификация конфиденциальной информации для
целей настройки DLP инструментов для защиты наиболее уязвимых
данных в первую очередь
• Применение целостного подхода для предотвращения потери
данных путем определения ключевых DLP контролей и измерения из
эффективности. Необходимо понять все примененные DLP контроли
для адекватной оценки рисков
• При организации DLP контролей учет всех данных: данные в пути,
хранимые данные и обрабатываемые данные
• При ведении расследования инцидентов, сбор сильной команды для
работы с DLP и получение поддержки руководства
• Принятие во внимание третьих лиц, имеющих доступ к
конфиденциальной информации компании
• Понимание того, какие данные передаются третьим лицам, как они
передается и безопасен ли механизм передачи
© 2011 EYGM Limited 2011 Global Information Security Survey | 23
All Rights Reserved
25. Подготовка к худшему
Результаты исследований
© 2011 EYGM Limited 2011 Global Information Security Survey | 24
All Rights Reserved
26. Подготовка к худшему
Непрерывность бизнеса остается главным приоритетом для финансирования
Какие из следующих областей информационной безопасности получат
Почти в три раза больше наибольшее финансирование в течении ближайших 12 месяцев?
респондентов оценили
BCM как высший
приоритет Обеспечение непрерывности бизнеса
финансирования, чем Технологии и процессы предотвращения утечек данных
как второстепенный. Мониторинг соответствия требованиям регуляторов и стандартам
Технологии и процессы управления идентификацией и доступом
Поддержка новых технологий (облачные вычисления, виртуализация)
Управления рисками информационной безопасности
Реализация стандартов безопасности (например, ISO/IEC 27002:2005) 1 приоритет
Тестирование безопасности 2 приоритет
Технологии и процессы управлениями уязвимостями 3 приоритет
Обучение и ознакомление с нормами безопасности 4 приоритет
Аутсорсинг функций безопасности 5 приоритет
Планы и функции реагирования на инциденты
Проведение расследований случаев мошенничества
Безопасность процесса разработки
Безопасность процесса производства
Безопасность относительно персонала
0% 20% 40% 60% 80%
© 2011 EYGM Limited 2011 Global Information Security Survey | 25
All Rights Reserved
27. Подготовка к худшему
В то время как реализация плана обеспечения непрерывности бизнеса и ресурсы для
поддержки плана продолжает быть приоритетом, большинство компаний по-прежнему
не готовы к катастрофам
На протяжении двух лет Какое из следующих утверждений относится к планам обеспечения
непрерывности бизнеса для вашей организации?
респонденты
указывают, что Программа обеспечения непрерывности бизнеса утверждена
56%
непрерывность бизнеса, Существуют процедуры управления инцидентами и кризисом
55%
является их главным Существуют процедуры обеспечения безотказности ИТ
приоритетом инфраструктуры 55%
Существуют процедуры обеспечения непрерывности критичных
финансирования. бизнес процессов 55%
Существуют процедуры защиты персонала
55%
Программа обеспечения непрерывности бизнеса охватывает все
критичные процессы 53%
Программа обеспечения непрерывности бизнеса улучшается
49%
Время восстановления критичных процессов определено
49%
Программа обеспечения непрерывности бизнеса изложена в
документах 47%
Угрозы и риски постоянно выявляются и оцениваются
39%
Отношения с локальными группами реакции на ЧС установлены
38%
Риски непрерывности постоянно отслеживаются
33%
Программа обеспечения непрерывности бизнеса не существует
18%
0% 10% 20% 30% 40% 50% 60%
© 2011 EYGM Limited 2011 Global Information Security Survey | 26
All Rights Reserved
28. Подготовка к худшему
• Подготовка и планирование непрерывности бизнеса для
Наши прогнозы рисков с высоким ущербом и малой вероятностью
возникновения, включение рисков обеспечения непрерывности
в более широкую структуру управления рисками
• Оценка уровня зрелости плана обеспечения непрерывности
деятельности с учетом новых тенденций и технологий
• Проведение тестирований плана обеспечения
непрерывности бизнеса организации с целью определения
отказоустойчивости бизнеса на практике
• Поддержка высшим руководством и аудиторским комитетом
программы обеспечения непрерывности бизнеса
© 2011 EYGM Limited 2011 Global Information Security Survey | 27
All Rights Reserved
29. Глядя в будущее
Результаты исследования
© 2011 EYGM Limited 2011 Global Information Security Survey | 28
All Rights Reserved
30. Глядя в будущее
Многие компании приступают к введению информационной безопасности без должного
планирования
Имеет ли ваша организация формально представленную в
Почти половина из документах стратегию информационной безопасности на
ответивших ближайшие 1-3 года?
организаций не имеет
стратегии обеспечения
информационной
безопасности
Нет Да
© 2011 EYGM Limited 2011 Global Information Security Survey | 29
All Rights Reserved
31. Глядя в будущее
Почти половина организаций не имеет стратегии информационной безопасности, а у
остальных планы продолжают развиваться, вопреки тому что они могут быть не
эффективными
56% респондентов Какое из следующих утверждений наиболее точно описывает стратегию
указали, что их информационной безопасности вашей организации в отношении угроз
существующих на сегодняшний день?
нынешняя стратегия
информационной
безопасности должна
быть изменена или Наша теперешняя стратегия адекватно
реагирует на риски
нуждается в
дальнейшем 23%
Нам необходимо модифицировать стратегию для
исследовании 43%
реакции на новые риски
Нам необходимы дальнейшие исследования
для понимания рисков
33%
Мы не видим новых или увеличившихся рисков
© 2011 EYGM Limited 2011 Global Information Security Survey | 30
All Rights Reserved
32. Глядя в будущее
Почти треть респондентов указывают, что они купили решения, у которых со временем
показали свои неэффективность
Приобрела ли ваша организация программное и / или аппаратное обеспечение
для поддержки инициатив информационной безопасности в последние 18
месяцев, которые не оправдали ожиданий?
31% респондентов
указали, что их
организация недавно
приобрела решения по
информационной
безопасности, которые Нет, все наши
не оправдали ожиданий технологии безопасности
успешно используются
31%
Да
69%
© 2011 EYGM Limited 2011 Global Information Security Survey | 31
All Rights Reserved
33. Глядя в будущее
Большинство компаний признает важность планирования управления ИТ рисками
84% респондентов Есть ли у вас формализованная программа управления ИТ рисками
указали, что они имеют действующая в вашей организации?
действующую в
организации программу
Программа
управления ИТ рисками управления рисками
или будут 16% существует более 3
лет
рассматривают ее в 25%
течение предстоящего Программа
управления рисками
года существует менее 3
лет
28%
Программа
31% управления рисками
планируется в
ближайшее 12
месяцев
© 2011 EYGM Limited 2011 Global Information Security Survey | 32
All Rights Reserved
34. Глядя в будущее
• Пересмотр стратегии информационной безопасности в
Наши прогнозы соответствии с текущими рисками
• Фокусировка на основах безопасности вместо приобретения
последних инструментов обеспечении безопасности
• Внедрение структурированного, прагматичного подхода к
управлению ИТ рисками для концентрации на наиболее
критичных рисках. Мы видим внедрение подходов к
управлению рисками и GRC (governance risk and compliance)
как основную инвестицию многих организаций
• Учет всего набора ИТ рисков в программе управления ИТ
рисками или программе GRC
© 2011 EYGM Limited 2011 Global Information Security Survey | 33
All Rights Reserved
35. Итоги по результатам исследования
© 2011 EYGM Limited 2011 Global Information Security Survey | 34
All Rights Reserved
36. Ключевые результаты исследования
§ 72% респондентов считают рост внешних угроз причиной повышение уровня риска
Введение § 49% респондентов заявили, что функции информационной безопасности удовлетворяют потребности их
организации
§ 61% респондентов используют или планируют использовать услуги облачных вычислений в течение
Облачные следующего года
вычисления § Почти 90% респондентов считают, что внешние сертификации приведут к увеличению доверия к облачным
вычислениям
§ 80% респондентов либо планируют либо уже используют планшетные компьютеры
Мобильные
§ 57% респондентов сделали корректировку политики для снижения рисков, связанных с мобильными
устройства
вычислениями
§ Почти 40% респондентов оценили риски связанные с социальными сетями, как сложные
Социальные
сети § 53% респондентов внедрили ограничения доступа к сайтам социальных сетей в качестве контроля для
снижения рисков, связанных с социальными сетями
§ 66% респондентов не внедряли инструменты предотвращения потерь информации
Предотвращение
§ 74% респондентов определили политику классификации и обработки конфиденциальных данных как
потери данных
контроль за рисками утечки информации
Управление § Второй год подряд, респонденты указали, что непрерывность бизнеса, является главным приоритетом
непрерывностью финансирования
бизнеса
Управление § 56% респондентов указали, что их нынешняя стратегия информационной безопасности должна быть
изменена или нуждается в дальнейшем исследовании
рисками
§ 31% респондентов указали, что их организация недавно приобрела решения по информационной
безопасности, которые оказались неэффективными
© 2011 EYGM Limited 2011 Global Information Security Survey | 35
All Rights Reserved
37. Демографические данные
Информация об участниках опроса
© 2011 EYGM Limited 2011 Global Information Security Survey | 36
All Rights Reserved
38. Участники опроса по географии
1,653 опрошенных из 52 стран
© 2011 EYGM Limited 2011 Global Information Security Survey | 37
All Rights Reserved
39. Участники исследования по отраслям
Аэрокосмический сектор и оборона 8
Авиалинии 11
Управление активами 40
Автопромышленность 54
Банки и рынки капитала 341
Химическая промышленность 36
Потребительские товары 98
Разнообразные товары промышленности 99
Правительственный и государственный сектор 131
Страхование 143
Науки о жизни 40
Медиа и развлечения 48
Металлургическая и горнодобывающая 26
Нефтегазовая 26
Другие 57
Энергетические и коммунальные 58
Частный капитал 2
Частные хозяйства 2
Профессиональные фирмы и услуги 45
Здравоохранение 31
Недвижимость 52
Розничная и оптовая торговля 104
Технологии 119
Телекоммуникации 68
Транспорт 44
© 2011 EYGM Limited 2011 Global Information Security Survey | 38
All Rights Reserved
40. Участники исследования согласно годовым доходам
Более 24 миллиарда дол. 64
10-24 миллиарда дол. 98
1-10 миллиардов дол. 404
500-999 миллионов дол. 163
250-499 миллионов дол. 165
100-249 миллионов дол. 221
Менее 100 миллионов дол. 418
Не применимо (неприбыльные организации) 120
0 50 100 150 200 250 300 350 400 450
© 2011 EYGM Limited 2011 Global Information Security Survey | 39
All Rights Reserved
41. Участники исследования по согласно занимаемым должностям
Руководитель подразделения ИТ 295
CIO 294
CEO 230
CISO 215
CSO 81
Директор внутреннего аудита 38
CTO 34
Администратор системы 24
Руководитель офиса 14
COO 13
CRO 11
CFO 10
CCO 7
Юрист 1
CPO 1
Другое 445
0 50 100 150 200 250 300 350 400 450 500
© 2011 EYGM Limited 2011 Global Information Security Survey | 40
All Rights Reserved
43. Преобразование программы информационной безопасности
Вопросы к руководству
► Знаете ли вы, какой ущерб
может принести уязвимость
в системе безопасности
вашей репутации или
Выявление Защита бренду?
существующих рисков
наиболее ценного ► Учитываются ли при
создании стратегии
безопасности внутренние и
внешние угрозы с вашими
действиями по управлению
Создание рисками?
эффективного ► Как выстраиваются
бизнеса ключевые приоритеты
управления рисками по
отношению к расходам?
Определен ли приемлемый
Поддержка Оптимизация
►
уровень риска и как это
программы предприятия для повышения влияет на управление
рисками?
эффективности
► Как стратегия управления
ИТ рисками связана с
общей стратегией бизнеса?
© 2011 EYGM Limited 2011 Global Information Security Survey | 42
All Rights Reserved
44. Подход для связи программы информационной безопасности с
целями бизнеса
Руководство рисками безопасности и управление рисками
Культура управления рисками Политики
Руководство
Возможности интеграции
Движущие силы Полномочия, люди и организации
бизнеса
Стратегия и архитектура Интеграция и использование Информирование и обучение
Методы и процессы безопасности
Идентификация и доступ Человеческие ресурсы Угрозы и уязвимости
Комплексная
Информация, данные и Непрерывность бизнеса и
Активы
конфиденциальность восстановление после сбоев программа
Взаимодействие с третьими безопасности
Инциденты Операции и разработка
сторонами
Физическая безопасность и
Ведение журналов и мониторинг Коммуникации
безопасность среды
Внешние
факторы Обеспечение технологий безопасности
Приложения Данные Инфраструктура
Внутренний аудит
Соответствие Отчеты и метрики
Уровень эффективности бизнеса
© 2011 EYGM Limited 2011 Global Information Security Survey | 43
All Rights Reserved
45. Услуги Ernst & Young в области информационной безопасности
сосредоточены решениях по улучшению бизнеса
Оценка Изменение Поддержка
Ресурсы Результаты для клиентов
• Фокус на бизнесе и • Преобразование программы
различных секторах Управление программой безопасности
безопасности улучшает
индустрии эффективность бизнеса
• Стратегия безопасности и план • Отчеты и метрики безопасности
развития • Управление непрерывностью • Комплексный подход к
• Технические
• Организация и управление бизнеса информационной безопасности
исследования в
• Оценка рисков информационной • Управление рисками и ИТ рискам во всей
Центрах безопасности связанными с третьей стороной организации
Исследования
Безопасности
Управление угрозами и уязвимостями
• Различный опыт
• Идентификация и оценка
сотрудников,
• Тесты на проникновение • Тестирование приложений и внутренних и внешних рисков
выполняющих
проекты позволяет • Расследования инцидентов безопасность разработки • Оптимизированные меры
принимать, • Управление уязвимостями • Система внутренних контролей противодействия угрозам
основанные на
фактах, творческие
решения по
улучшению бизнеса Управление идентификацией и доступом • Понимание того, кто имеет или
требует доступ к важным
• Собственная • Стратегия и руководство • Пересмотр и сертификация данным и приложениям
методология и • Запросы и подтверждения • Управление ролями и правилами
инструменты, • Согласование • Устойчивые, соответствующие
• Предоставление и деактивация
передовые • Усиление • Доклад и анализ требованиям регуляторов
исследования процессы управления доступом
• Культура компаний
большой четверки Защита информации и защита персональной информации
соответствует • Защита важной информации и
культуре многих обнаружение утечек
глобальных • Стратегия защиты информации • Предотвращение утечек данных
• Механизмы защиты • Оценка выполнения требований по • Соответствия требованиям
компаний персональной информации защите персональных данных и регуляторов
рекомендации по улучшению
© 2011 EYGM Limited 2011 Global Information Security Survey | 44
All Rights Reserved
46. Вопросы?
Андрей Лысюк, CISM, CISA, CCIE, CISSP
Старший консультант отдела услуг в области ИТ и ИТ рисков Ernst & Young
+380 (67) 500-5181
Andriy.Lysyuk@ua.ey.com
http://www.ey.com/UA/uk/Home
© 2011 EYGM Limited 2011 Global Information Security Survey | 45
All Rights Reserved