Ako ďalej v informačnej bezpečnosti - ISACA · Informačná bezpečnosť vo svete bez reálnych. Myslíte, že vás nemôžu hacknúť? ... (popularizovaná cez sociálne siete),

Ako ďalej v informačnej

bezpečnosti

Jún 2014

2 © 2013 Deloitte Slovensko

O štúdii (TMT Global Security Study)

• Face to face 122 TMT spoločností (47% Telekomunikácie, 21% Médiá,

32% Technológie)

• Malé 35%, Stredné 44%, Veľké 21%

Informačná bezpečnosť vo svete bez reálnych

Myslíte, že vás

nemôžu hacknúť?

Premyslite si to znovu.


Externé hrozby

• Prehnané sebavedomie organizácií o ich úrovni informačnej bezpečnosti

• 88 % opýtaných organizácií je si istých, že sú dostatočne chránený pred

externými hrozbami

• ―Sofistikované útoky zostávajú nepozorované― (NSA USA)

• Viac ako polovica opýtaných potvrdila, že u nich došlo k bezpečnostným

incidentom.

• Každá organizácia je zraniteľná. 100%-ná prevencia neexistuje,

• Nová hrozby „hacktivizmus― (popularizovaná cez sociálne siete), SCADA

systémy.



Externé hrozby


Bezpečnostné

incidenty

u tretích strán

DOS útoky Pochybenia

zamestnancov

59%Zaznamenalo

narušenie

12% závažný dopad

58% stredný dopad

30% nízky dopad

Percento respondentov, ktorý

zaznamenali narušenie bezpečnosti Dopad narušenia bezpečnosti

Externé hrozby

Prevencia je dôležitým prvým krokom, žiadna

organizácia nie je 100% zabezpečená voči

útokom.

Robustná detekcia, pokročilá príprava a

plánovanie môže zabrániť tomu, aby incident

neprerástol na krízu.

Nové technológie –

nové riziká ich

používania


Ľudský element

• Moderné technológie prinášajú mnoho výhod a zjednodušení

• Bezpečnostné opatrenia nedokážu nasledovať rýchlosť rozvoja

technológií

• Ľudský element je jedným z najväčších zdrojov bezpečnostných rizík

• Nedostatočné bezpečnostné povedomie zamestnancov je príčinou

úspešných útokov

• Možné dôsledky sú poškodenie dobrého mena, finančné straty, strata

konkurenčnej výhody alebo sankcie a pod.



Ľudia a technológie


78%

Počet a rozmanitosť služieb

tretích strán

74%

Rozšírené používanie mobilných technológií

70%

Nedostatočné bezpečnostné povedomie zamestnancov

Ľudia sú súčasťou

problému, takže musia

byť aj súčasťou

riešenia.


Mobilné zariadenia

• Nekontrolované používanie

• Trend používania vlastných zariadení (BYOD)

• Postupne nahrádzajú klasické nástroje

• Presadzovanie bezpečnosti na zariadeniach

zamestnancov

• Ignorovanie bezpečnostných politík

• Rastúci počet škodlivého kódu

• 52 % opýtaných organizácií má prijaté politiky

pre používanie vlastných mobilných zariadení

• 10 % opýtaných organizácií nezohľadňujú

riziká vyplývajúce z používania vlastných

mobilných zariadení.



Cloudové služby

• Osobný cloud – široká škála dostupných

bezplatných služieb

• Veľmi obľúbené využívanie aj pre pracovné

činnosti

• Najpoužívanejšie sú Webmail, dátové úložiská

• Osobne používané aj na ukladanie citlivých dát

• 39% opýtaných organizácií uchováva kritické

informácie v cloude

• Špecifické bezpečnostné riziká pre cloudové

služby

• Dôležitý proces výberu dodávateľa a

nastavenie podmienok (vrátane

bezpečnostných).



Tretie strany

• Spolupráca s tretími stranami prináša výhody,

ale aj riziká

• Nedostatočné riadenie informačnej bezpečnosti

pri spolupráci s tretími stranami

• Nakladanie s dátami

• Nejasné zodpovednosti a kontrola

bezpečnostných rizík

• Spoliehanie sa na zmluvy

• Zneužívané útočníkmi ako jedno zo slabých

miest.


Otázka nie je či ste

boli hacknutý, ale kedy

a ako si s tým poradiť.


Zero Trust koncept

• Predstavený spoločnosťou Forrester Research

• Data-centrický prístup

• Eliminuje ideu dôveryhodnej internej siete a nedôveryhodnej

externej siete

• Mení ―Dôveruje, ale preveruj‖ na―Preveruje, ale nikdy

nedôveruj‖.

• Ku všetkým zdrojom musí byť pristupované bezpečne bez

ohľadu na miesto, kde sa nachádzajú.

• Riadenie prístupu je založené na princípe ―need-to-know‖ , ktorý

je striktne presadzovaný

• Komplexná kontrola a logovanie sieťovej prevádzky.

• Zjednotenie prevádzkovej a analytickej bezpečnosti

Changing the Security Game


Perimeter- centrická bezpečnosť


Source: Source: Forrester Research, Inc.


Data-centrická bezpečnosť

• Data control — schopnosť

aplikovať univerzálne

bezpečnostné politiky na

ochranu dát bez ohľadu na

miesto, druh zariadenia, model

prevádzky a druhu používateľa

• Intelligence — Kombinácia

real-time analýzy a vizualizácie

s kontextovými informáciami

pre identifikáciu hrozieb,

adresovanie zraniteľností a

identifikáciu prebiehajúcich

bezpečnostných incidentov.


Source: Forrester Research, Inc.


Deloitte in Cyber Security


• Približne 11.000 information and technology

risk management profesionálov globálne,

1.600 v Európe;

• Viac ako 1.100 CISSP (Certified Information

Systems Security Professionals)

profesionálov;

• Viac ako 2.000 Certified Information Systems

Auditors (CISA) / Certified Information

Security Managers (CISM), alebo CGEIT

profesionálov globálne;

• Viac ako 50 ISO 27000 kvalifikovaných lead

audítorov;

• Certifikovaný profesionáli v iných oblastiach

(napr. privacy certified, PMP certified,

forensics certified).


Deloitte cyber services portfolio


Deloitte označuje jednu, resp. viacero spoločností Deloitte Touche Tohmatsu

Limited, britskej súkromnej spoločnosti s ručením obmedzeným zárukou (UK

private company limited by guarantee), a jej členských firiem. Každá z týchto

firiem predstavuje samostatný a nezávislý právny subjekt. Podrobný opis

právnej štruktúry spoločnosti Deloitte Touche Tohmatsu Limited a jej členských

firiem sa uvádza na adrese www.deloitte.com/sk/o-nas.

© 2013 Deloitte Slovensko

Documents

Ako ďalej v informačnej bezpečnosti - ISACA · Informačná bezpečnosť vo svete bez reálnych. Myslíte, že vás nemôžu hacknúť? ... (popularizovaná cez sociálne siete),