Переход в облака, выход из тумана

SECURITY INNOVATION FORUM 201129 ноября 2011

Переход в облака, выход из туманаРезультаты глобального исследования по информационной безопасности

Глобальное исследование по информационной безопасности 2011 | 1© 2011 Ernst & Young LLC, All Rights Reserved

Глобальное Исследование по Информационной Безопасности

ВведениеПереход в облака, выход из туманаНаблюдение за мобильными устройствами Прозрачность облаковСвязь через социальные сетиУстранение утечек информацииПодготовка к худшемуГлядя в будущееИтоги результатов исследованияПреобразование программы безопасностиДемографические данные

► Одно из наиболее долгоживущих исследований в своем роде, проводится на протяжении 14 лет

► В этом году приняло участие более 1700 респондентов из 52 стран мира► Позволяет сфокусироваться на наиболее критических рисках► Позволяет оценить важность вопросов информационной безопасности


Введение

► Все больше и больше компаний переходит в виртуальный мир, это поддерживается новыми технологиями и обусловлено необходимостью сокращения издержек. Наше исследование определяет три различные тенденции, которые вместе влияют и будут продолжать оказывать значительное влияние на роль и значение информационной безопасности► Во-первых, физические границы компании все больше исчезают по мере увеличения передачи данных через Интернет. В прошлогоднем исследование мы уже отмечали эту тенденцию, и она продолжает быть одной из ключевых областей внимания► Во-вторых, темпы изменений продолжают ускоряться, зафиксированы технологические трансформации целых отраслей промышленности – от автомобильной до издательской или розничной торговли. Происходит изменение бизнес моделей, переход бизнес моделей на более «цифровые»

► Наконец, компании переходят от более традиционных аутсорсинговых контрактов к предоставлению «облачных» услуг. Так как организации понимают преимущества использования модели предоставления услуг в «облаке», эти бизнес модели продолжают распространяться► Организации переносят все более важные процессы, а иногда и всю свою ИТ инфраструктуру и платформы приложений в облаке - тем самым навсегда изменив свои бизнес модели и ИТ функции


Переход в облака, выход из туманаРезультаты исследования


Переход в облака, выход из туманаУровень рисков ИБ остается высоким, компании пытаются выработать стратегию, чтобы приспособиться к постоянно меняющимся условиям, а также в ответ на угрозы безопасности

72% опрошенных видят повышение уровня риска в связи с ростом внешних угроз.

Каким образом риски среды, в которой вы работаете изменились за последние 12 месяцев?

72%

46%

21%

9%

Мы видим увеличение уровня риска в связи с ростом внешних угроз

Мы видим увеличение уровня риска в связи с ростом внутренних угроз

Мы видим уменьшение уровня риска в связи с ростом внутренних угроз

Мы видим уменьшение уровня риска в связи с ростом внешних угроз


Переход в облака, выход из тумана Ресурсы, которые выделяются на программы информационной безопасности

59% опрошенных ожидают увеличения бюджета информационной безопасности по сравнению с предыдущим годом.

Говоря в общем, что из перечисленного описывает запланированный в вашей организации общий бюджет информационной безопасности на ближайшие 12 месяцев?

59%

6%

35%Будет расти

Уменьшиться

Останется прежним


Переход в облака, выход из тумана Несмотря на усилия направленные на рост возможностей информационной безопасности, разрыв с требованиями сохраняется

В то время как 49% опрошенных заявили что функции системы безопасности удовлетворяют нужды их организации, 51% заявляет обратное.

Убеждены ли вы что функции информационной безопасности удовлетворяют потребности вашей организации?

49%

17%

13%

9%

11%

Да

Нет, в первую очередь из-за ограниченности бюджета

Нет, в первую очередь из-за отсутствия квалифицированных сотрудников

Нет, в первую очередь из-за отсутствия эффективной поддержки

Нет, по другим причинам


Переход в облака, выход из тумана

• Вынесение вопроса информационной безопасности на уровень высшего правления, что сделает его более важным• Определение стратегии, которая будет защищать бизнес, одновременно добавив ему большую ценность за счет соответствия потребностям бизнеса• Формирование информационной безопасности, как неотъемлемой части сервиса и продукта• Фокусирование ресурсов информационной безопасности на защите наиболее существенных активов, таких как информация о клиентах и интеллектуальная собственность• Если Ваша информационная безопасность не является адекватной, почему клиенты должны доверять Вам, как бизнесу?

Наши прогнозы


Наблюдение за мобильными устройствамиРезультаты исследования


Наблюдение за мобильными устройствами В то время как личная адаптация растет, адаптация бизнеса запаздывает.

Каждый пятый опрошенный указал что его организация не позволяет в настоящее время использовать планшеты для целей бизнеса, и не имеет на это планов в течении ближайшего года

Позволяет ли ваша организация в настоящее время использовать планшетные компьютеры для целей бизнеса?

Не позволяет, или позволяет в очень ограниченном виде

Нет, и не планируется в ближайшие 12 месяцев

Да, широко используется и официально поддерживается организацией

Нет, но запланировано в течении следующих 12 месяцев

Да, широко используется, но официально не поддерживается организацией


Наблюдение за мобильными устройствами Поскольку использование планшетных устройств продолжает расти, компании пытаются найти способы, чтобы идти в ногу с вопросами безопасности, которые приходят вместе с мобильными устройствами

57% опрошенных сделали корректировку политики для снижения рисков, связанных с мобильными устройствами

Какие из следующих элементов управления осуществляются вами для снижения новых или увеличившихся рисков, связанных с использованием мобильных устройств?

7%

11%

13%

26%

27%

28%

30%

35%

47%

52%

57%

Запрет на использование всех смартфонов и планшетных устройств

Ничего

Введение дисциплинарных мер

Улучшение процессов управления инцидентами

Увеличение возможностей аудита

Новое программное обеспечение для управления мобильными устройствами

Изменения архитектуры

Разрешение на использование корпоративных планшетов и смартфонов вместо собственных

Методы шифрования

Деятельность по повышению осведомленности

Корректировки политики


Наблюдение за мобильными устройствами

► Внедрение стратегического управления и руководства по использованию мобильных устройств и связанных с ними продуктов для обеспечения безопасности соответствующего программного обеспечения► Использование шифрования как основного механизма контроля. Так как меньше половины опрошенных используют шифрование, организациям следует рассмотреть вопрос его внедрения► Выполнение тестов на проникновение для мобильных приложений перед развертыванием, чтобы снизить подверженность организации соответствующим рискам



Прозрачность облаковРезультаты исследования


Прозрачность облаковДаже при том что популярность и интерес к облакам продолжают расти, сохраняется отсутствие ясности в вопросе последствий для информационной безопасности и необходимых мер для уменьшения рисков

61% респондентов в настоящее время используют, оценивают или планируют использовать облачные вычисления в течение следующего года.

Пользуется ли Ваша организация в настоящее время услугами облачных вычислений?

Да, использует в настоящее время

Да, оцениваем их использование

Нет, но планируем использовать в ближайшие 12 месяцев

Нет, и не планируем использовать в ближайшие 12 месяцев


Прозрачность облаков В то время как популярность и интерес к облачным вычислениям продолжают расти, меры, предпринимаемые службами информационной безопасности организаций, не успевают за темпами развития облачных сервисов

Более половины опрошенных практически ничего не сделали для снижения новых или увеличившихся рисков, связанных с использованием облачных вычислений

Какие из следующих элементов управления осуществляются вами для понижения новых или увеличившихся рисков, связанных с использованием облачных вычислений?

52%

22%

21%

19%

18%

16%

15%

13%

13%

11%

11%

8%

Ничего

Усиление контроля управления контрактами с поставщиками

Увеличение осведомленности сервис провайдеровУсиление процесса управления доступом и

идентификацией

Технологии шифрования

Инспекция вашей команды по безопасности/ИТ рискам

Увеличение аудита предоставления облачных услуг

Зависимость облачных сервисов от сертификации

Договоренность с третьей стороной по аудиту

Ответственность поставщиков облачных сервисов фиксируется в контрактах

Улучшение процессов управления инцидентами

Финансовые санкции в случае нарушения безопасности


Прозрачность облаков Организации ищут способы, повышения доверия и уверенности в облачных вычислениях

Почти 90% опрошенных считают, что внешние сертификации приведут к увеличению доверия к облачным вычислениям.

Сможет ли внешняя сертификация поставщиков облачных услуг увеличить доверие к облачным вычислениям?

45%

24%

20%

12%

Да , если сертификат основан на согласованном стандарте

Да, но если орган сертификации прошел аккредитацию

Да, в любом случае

Нет


Прозрачность облаков

• Выполнение проверки поставщиков вместо простого доверия• Определение ответственности относительно рисков перед подписанием договоров об использовании облачных сервисов• Планирование обеспечения непрерывности бизнеса и выбора поставщиков, которые демонстрируют прозрачность относительно внедрения планов обеспечения непрерывности деятельности • При использовании стандартных процессов и методов безопасности выбор тех, которые эффективно работали на других технологиях в прошлом• Согласование бизнес стратегии и стратегии в области информационной безопасности, а также постоянная оценка рисков для соблюдения стандартов



Связь через социальные сети Результаты исследования


Связь через социальные сети

53% респондентов ограничили или запретили доступ к сайтам социальных сетей для снижения рисков, связанных с социальными сетями

Какие из следующих элементов управления используются вами для понижения новых или увеличившихся рисков, связанных с использованием социальных сетей?

53%

46%

39%

38%

12%

11%

15%

Ограничение доступам к сайтам социальных сетей

Корректировка политики

Программа осведомленности

Усиление мониторинга использования Интернета

Применение дисциплинарных мер

Коррекция процесса управления инцидентами

Ничего

Организации пытаются выявить лучший путь для уменьшения угроз безопасности в этой открытой, динамичной и зарождающейся индустрии, которая затрагивает практически все аспекты деятельности


Связь через социальные сети

• Переосмысление использования жесткого ограничения использования социальных сетей. Использование вместо этого мониторинга социальных сетей

• Принятие всех преимуществ социальных сетей. Отказ от социальных сетей не позволят компаниям идти в ногу с конкурентами и могут привести к возникновению чувства недоверия у сотрудников

• Тестирование и использование технических решений, которые усиливают требования политики информационной безопасности относительно социальных сетей

• Проведение собственной разведки, чтобы лучше понять, что потенциальные злоумышленники могут найти в социальных сетях



Устранение утечек информации Результаты исследования


Устранение утечек информацииОрганизации вводят политики, процедуры и информационные кампании, чтобы помочь идентифицировать каналы, через которые можно «слить» данные, но эффективность этого сомнительна

66% респондентов не реализовывали инструменты предотвращения потери данных (DLP)

Что касается реализации DLP-инструментов, как бы вы описали их развертывание?

66%

15%

14%

14%

12%

6%

4%

Мы не применяли инструменты DLP

Пользователи в основном не заметили применения DLP

Наша реализация была успешной

Выполнение прошло гладко и в соответствии с графиком

Для реализации потребовалось больше времени чем ожидалось

Пользователи были недовольны влиянием на ежедневные операции

Наша реализация не была успешной как ожидалось


Устранение утечек информацииОрганизации полагаются в первую очередь на политику безопасности и программы осведомленности как на первую линию обороны против потери данных и утечки информации

Какие из следующих действий предприняты вашей организацией, для контроля утечки конфиденциальной информации?

74% респондентов определили политику классификации и обработки конфиденциальных данных, как контроль утечки информации

15%

24%

35%

38%

39%

43%

45%

45%

60%

69%

74%

Ограниченный доступ к конфиденциальной информации в периоды времени

Ограничено использование видеоаппаратуры в конфиденциальных зонах

Ограничено использование коммуникаторов и электронной почты

Внедрены инструменты предотвращения утечки данных

Внедрены инструменты анализа журналов

Определены правила для удаленной работы с документами компании

Ограничено использование некоторых аппаратных компонент (например USB накопителей)

Используется внутренний аудит для тестирования элементов управления

Реализованы дополнительные механизмы, например, шифрование

Внедрена программа повышения осведомленности

Определены политики в отношении классификации и обработки конфиденциальной информации


Устранение утечек информации

• Понимание и оценивание многих потенциальных рисков, а также каналов утечки информации• Определение и классификация конфиденциальной информации для целей настройки DLP инструментов для защиты наиболее уязвимых данных в первую очередь• Применение целостного подхода для предотвращения потери данных путем определения ключевых DLP контролей и измерения из эффективности. Необходимо понять все примененные DLP контроли для адекватной оценки рисков• При организации DLP контролей учет всех данных: данные в пути, хранимые данные и обрабатываемые данные• При ведении расследования инцидентов, сбор сильной команды для работы с DLP и получение поддержки руководства• Принятие во внимание третьих лиц, имеющих доступ к конфиденциальной информации компании• Понимание того, какие данные передаются третьим лицам, как они передается и безопасен ли механизм передачи



Подготовка к худшемуРезультаты исследований


Подготовка к худшему

Непрерывность бизнеса остается главным приоритетом для финансирования

Почти в три раза больше респондентов оценили BCM как высший приоритет финансирования, чем как второстепенный.

Какие из следующих областей информационной безопасности получат наибольшее финансирование в течении ближайших 12 месяцев?

0% 20% 40% 60% 80%

Безопасность относительно персонала

Безопасность процесса производства

Безопасность процесса разработки

Проведение расследований случаев мошенничества

Планы и функции реагирования на инциденты

Аутсорсинг функций безопасности

Обучение и ознакомление с нормами безопасности

Технологии и процессы управлениями уязвимостями

Тестирование безопасности

Реализация стандартов безопасности (например, ISO/IEC 27002:2005)

Управления рисками информационной безопасности

Поддержка новых технологий (облачные вычисления, виртуализация)

Технологии и процессы управления идентификацией и доступом

Мониторинг соответствия требованиям регуляторов и стандартам

Технологии и процессы предотвращения утечек данных

Обеспечение непрерывности бизнеса

1 приоритет






Подготовка к худшемуВ то время как реализация плана обеспечения непрерывности бизнеса и ресурсы для поддержки плана продолжает быть приоритетом, большинство компаний по-прежнему не готовы к катастрофам

На протяжении двух лет респонденты указывают, что непрерывность бизнеса, является их главным приоритетом финансирования.

Какое из следующих утверждений относится к планам обеспечения непрерывности бизнеса для вашей организации?

18%

33%

38%

39%

47%

49%

49%

53%

55%

55%

55%

55%

56%

0% 10% 20% 30% 40% 50% 60%

Программа обеспечения непрерывности бизнеса не существует

Риски непрерывности постоянно отслеживаются

Отношения с локальными группами реакции на ЧС установлены

Угрозы и риски постоянно выявляются и оцениваются

Программа обеспечения непрерывности бизнеса изложена в документах

Время восстановления критичных процессов определено

Программа обеспечения непрерывности бизнеса улучшается

Программа обеспечения непрерывности бизнеса охватывает все критичные процессы

Существуют процедуры защиты персонала

Существуют процедуры обеспечения непрерывности критичных бизнес процессов

Существуют процедуры обеспечения безотказности ИТ инфраструктуры

Существуют процедуры управления инцидентами и кризисом

Программа обеспечения непрерывности бизнеса утверждена


Подготовка к худшему

• Подготовка и планирование непрерывности бизнеса для рисков с высоким ущербом и малой вероятностью возникновения, включение рисков обеспечения непрерывности в более широкую структуру управления рисками• Оценка уровня зрелости плана обеспечения непрерывности деятельности с учетом новых тенденций и технологий• Проведение тестирований плана обеспечения непрерывности бизнеса организации с целью определения отказоустойчивости бизнеса на практике• Поддержка высшим руководством и аудиторским комитетом программы обеспечения непрерывности бизнеса



Глядя в будущее Результаты исследования


Глядя в будущее Многие компании приступают к введению информационной безопасности без должного планирования

Почти половина из ответивших организаций не имеет стратегии обеспечения информационной безопасности

Имеет ли ваша организация формально представленную в документах стратегию информационной безопасности на ближайшие 1-3 года?

Нет Да


Глядя в будущее Почти половина организаций не имеет стратегии информационной безопасности, а у остальных планы продолжают развиваться, вопреки тому что они могут быть не эффективными

56% респондентов указали, что их нынешняя стратегия информационной безопасности должна быть изменена или нуждается в дальнейшем исследовании

Какое из следующих утверждений наиболее точно описывает стратегию информационной безопасности вашей организации в отношении угроз существующих на сегодняшний день?

43%

33%

23%

Наша теперешняя стратегия адекватно реагирует на риски

Нам необходимо модифицировать стратегию для реакции на новые риски

Нам необходимы дальнейшие исследованиядля понимания рисков

Мы не видим новых или увеличившихся рисков


Глядя в будущее Почти треть респондентов указывают, что они купили решения, у которых со временем показали свои неэффективность

31% респондентов указали, что их организация недавно приобрела решения по информационной безопасности, которые не оправдали ожиданий

Приобрела ли ваша организация программное и / или аппаратное обеспечение для поддержки инициатив информационной безопасности в последние 18 месяцев, которые не оправдали ожиданий?

69%

31%

Нет, все наши технологии безопасности успешно используются

Да


Глядя в будущее Большинство компаний признает важность планирования управления ИТ рисками

84% респондентов указали, что они имеют действующую в организации программу управления ИТ рисками или будут рассматривают ее в течение предстоящего года

Есть ли у вас формализованная программа управления ИТ рисками действующая в вашей организации?

25%

31%

28%

16%

Программа управления рисками существует более 3 лет

Программа управления рисками существует менее 3 лет

Программа управления рисками планируется в ближайшее 12 месяцев


Глядя в будущее

• Пересмотр стратегии информационной безопасности в соответствии с текущими рисками• Фокусировка на основах безопасности вместо приобретения последних инструментов обеспечении безопасности• Внедрение структурированного, прагматичного подхода к управлению ИТ рисками для концентрации на наиболее критичных рисках. Мы видим внедрение подходов к управлению рисками и GRC (governance risk and compliance) как основную инвестицию многих организаций• Учет всего набора ИТ рисков в программе управления ИТ рисками или программе GRC



Итоги по результатам исследования


Ключевые результаты исследования

Введение

Облачные вычисления

Мобильные устройства

Социальные сети

Предотвращение потери данных

Управление непрерывностью

бизнеса

Управление рисками

§ 72% респондентов считают рост внешних угроз причиной повышение уровня риска

§ 49% респондентов заявили, что функции информационной безопасности удовлетворяют потребности их организации

§ 61% респондентов используют или планируют использовать услуги облачных вычислений в течение следующего года

§ Почти 90% респондентов считают, что внешние сертификации приведут к увеличению доверия к облачным вычислениям

§ 80% респондентов либо планируют либо уже используют планшетные компьютеры

§ 57% респондентов сделали корректировку политики для снижения рисков, связанных с мобильными вычислениями

§ Почти 40% респондентов оценили риски связанные с социальными сетями, как сложные

§ 53% респондентов внедрили ограничения доступа к сайтам социальных сетей в качестве контроля для снижения рисков, связанных с социальными сетями

§ 66% респондентов не внедряли инструменты предотвращения потерь информации

§ 74% респондентов определили политику классификации и обработки конфиденциальных данных как контроль за рисками утечки информации

§ Второй год подряд, респонденты указали, что непрерывность бизнеса, является главным приоритетом финансирования

§ 56% респондентов указали, что их нынешняя стратегия информационной безопасности должна быть изменена или нуждается в дальнейшем исследовании

§ 31% респондентов указали, что их организация недавно приобрела решения по информационной безопасности, которые оказались неэффективными


Демографические данныеИнформация об участниках опроса


Участники опроса по географии1,653 опрошенных из 52 стран


Участники исследования по отраслям

44

68

119

104

52

31

45

2

2

58

57

26

26

48

40

143

131

99

98

36

341

54

40

11

8

Транспорт

Телекоммуникации

Технологии

Розничная и оптовая торговля

Недвижимость

Здравоохранение

Профессиональные фирмы и услуги

Частные хозяйства

Частный капитал

Энергетические и коммунальные

Другие

Нефтегазовая

Металлургическая и горнодобывающая

Медиа и развлечения

Науки о жизни

Страхование

Правительственный и государственный сектор

Разнообразные товары промышленности

Потребительские товары

Химическая промышленность

Банки и рынки капитала

Автопромышленность

Управление активами

Авиалинии

Аэрокосмический сектор и оборона


Участники исследования согласно годовым доходам

120

418

221

165

163

404

98

64

0 50 100 150 200 250 300 350 400 450

Не применимо (неприбыльные организации)

Менее 100 миллионов дол.

100-249 миллионов дол.



1-10 миллиардов дол.

10-24 миллиарда дол.

Более 24 миллиарда дол.


Участники исследования по согласно занимаемым должностям

445

1

1

7

10

11

13

14

24

34

38

81

215

230

294

295

0 50 100 150 200 250 300 350 400 450 500

Другое

CPO

Юрист

CCO

CFO

CRO

COO

Руководитель офиса

Администратор системы

CTO

Директор внутреннего аудита

CSO

CISO

CEO

CIO

Руководитель подразделения ИТ


Преобразование программ безопасностиНаши услуги


Преобразование программы информационной безопасности

Выявлениесуществующих рисков

Защитанаиболее ценного

Оптимизациядля повышения эффективности

Поддержкапрограммы предприятия

Созданиеэффективного

бизнеса

Вопросы к руководству

► Знаете ли вы, какой ущерб может принести уязвимость в системе безопасности вашей репутации или бренду?

► Учитываются ли при создании стратегии безопасности внутренние и внешние угрозы с вашими действиями по управлению рисками?

► Как выстраиваются ключевые приоритеты управления рисками по отношению к расходам?

► Определен ли приемлемый уровень риска и как это влияет на управление рисками?

► Как стратегия управления ИТ рисками связана с общей стратегией бизнеса?


Уровень эффективности бизнеса

Подход для связи программы информационной безопасности с целями бизнеса

Обеспечение технологий безопасности

Приложения Данные Инфраструктура

Методы и процессы безопасности

Идентификация и доступ Человеческие ресурсы Угрозы и уязвимости

Активы Информация, данные и конфиденциальность

Непрерывность бизнеса и восстановление после сбоев

Инциденты Операции и разработка Взаимодействие с третьими сторонами

Ведение журналов и мониторинг Коммуникации Физическая безопасность и безопасность среды

Полномочия, люди и организации

Стратегия и архитектура Интеграция и использование Информирование и обучение

Комплексная программа

безопасности

Руководство рисками безопасности и управление рисками

Соответствие Отчеты и метрики

Культура управления рисками Политики

Движущие силы бизнеса

Внешние факторы

Руководство

Внутренний аудит

Возможности интеграции


Услуги Ernst & Young в области информационной безопасности сосредоточены решениях по улучшению бизнеса

Результаты для клиентов• Фокус на бизнесе и различных секторах индустрии

• Технические исследования в Центрах ИсследованияБезопасности

• Различный опыт сотрудников, выполняющих проекты позволяет принимать, основанные на фактах, творческие решения по улучшению бизнеса

• Собственная методология и инструменты, передовые исследования

• Культура компаний большой четверкисоответствует культуре многих глобальных компаний

• Преобразование программы безопасности улучшает эффективность бизнеса

• Комплексный подход к информационной безопасности и ИТ рискам во всей организации

• Идентификация и оценка внутренних и внешних рисков

• Оптимизированные меры противодействия угрозам

• Понимание того, кто имеет или требует доступ к важным данным и приложениям

• Устойчивые, соответствующие требованиям регуляторов процессы управления доступом

• Защита важной информации и обнаружение утечек

• Соответствия требований регуляторов

Ресурсы

Оценка Изменение Поддержка

Управление программой безопасности

Управление угрозами и уязвимостями

Управление идентификацией и доступом

Защита информации и защита персональной информации

• Стратегия безопасности и план развития

• Организация и управление• Оценка рисков информационной безопасности

• Отчеты и метрики безопасности• Управление непрерывностью бизнеса

• Управление рисками связанными с третьей стороной

• Тесты на проникновение• Расследования инцидентов• Управление уязвимостями

• Тестирование приложений и безопасность разработки

• Система внутренних контролей

• Стратегия и руководство• Запросы и подтверждения• Предоставление и деактивация• Усиление

• Пересмотр и сертификация• Управление ролями и правилами• Согласование• Доклад и анализ

• Стратегия защиты информации• Механизмы защиты персональной информации

• Предотвращение утечек данных• Оценка выполнения требований по защите персональных данных и рекомендации по улучшению


Вопросы?

Андрей Лысюк, CISM, CISA, CCIE, CISSPСтарший консультант отдела услуг в области ИТ и ИТ рисков Ernst & Young+380 (67) [email protected]://www.ey.com/UA/uk/Home

mailto:[email protected]

http://www.ey.com/UA/uk/Home

Documents

Переход в облака, выход из тумана