Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Ako ďalej v informačnej
bezpečnosti
Jún 2014
2 © 2013 Deloitte Slovensko
O štúdii (TMT Global Security Study)
• Face to face 122 TMT spoločností (47% Telekomunikácie, 21% Médiá,
32% Technológie)
• Malé 35%, Stredné 44%, Veľké 21%
Informačná bezpečnosť vo svete bez reálnych
Myslíte, že vás
nemôžu hacknúť?
Premyslite si to znovu.
4 © 2013 Deloitte Slovensko
Externé hrozby
• Prehnané sebavedomie organizácií o ich úrovni informačnej bezpečnosti
• 88 % opýtaných organizácií je si istých, že sú dostatočne chránený pred
externými hrozbami
• ―Sofistikované útoky zostávajú nepozorované― (NSA USA)
• Viac ako polovica opýtaných potvrdila, že u nich došlo k bezpečnostným
incidentom.
• Každá organizácia je zraniteľná. 100%-ná prevencia neexistuje,
• Nová hrozby „hacktivizmus― (popularizovaná cez sociálne siete), SCADA
systémy.
Informačná bezpečnosť vo svete bez reálnych
5 © 2013 Deloitte Slovensko
Externé hrozby
Informačná bezpečnosť vo svete bez reálnych
Bezpečnostné
incidenty
u tretích strán
DOS útoky Pochybenia
zamestnancov
59%Zaznamenalo
narušenie
12% závažný dopad
58% stredný dopad
30% nízky dopad
Percento respondentov, ktorý
zaznamenali narušenie bezpečnosti Dopad narušenia bezpečnosti
Externé hrozby
Prevencia je dôležitým prvým krokom, žiadna
organizácia nie je 100% zabezpečená voči
útokom.
Robustná detekcia, pokročilá príprava a
plánovanie môže zabrániť tomu, aby incident
neprerástol na krízu.
Nové technológie –
nové riziká ich
používania
8 © 2013 Deloitte Slovensko
Ľudský element
• Moderné technológie prinášajú mnoho výhod a zjednodušení
• Bezpečnostné opatrenia nedokážu nasledovať rýchlosť rozvoja
technológií
• Ľudský element je jedným z najväčších zdrojov bezpečnostných rizík
• Nedostatočné bezpečnostné povedomie zamestnancov je príčinou
úspešných útokov
• Možné dôsledky sú poškodenie dobrého mena, finančné straty, strata
konkurenčnej výhody alebo sankcie a pod.
Informačná bezpečnosť vo svete bez reálnych
9 © 2013 Deloitte Slovensko
Ľudia a technológie
Informačná bezpečnosť vo svete bez reálnych
78%
Počet a rozmanitosť služieb
tretích strán
74%
Rozšírené používanie mobilných technológií
70%
Nedostatočné bezpečnostné povedomie zamestnancov
Ľudia sú súčasťou
problému, takže musia
byť aj súčasťou
riešenia.
11 © 2013 Deloitte Slovensko
Mobilné zariadenia
• Nekontrolované používanie
• Trend používania vlastných zariadení (BYOD)
• Postupne nahrádzajú klasické nástroje
• Presadzovanie bezpečnosti na zariadeniach
zamestnancov
• Ignorovanie bezpečnostných politík
• Rastúci počet škodlivého kódu
• 52 % opýtaných organizácií má prijaté politiky
pre používanie vlastných mobilných zariadení
• 10 % opýtaných organizácií nezohľadňujú
riziká vyplývajúce z používania vlastných
mobilných zariadení.
Informačná bezpečnosť vo svete bez reálnych
12 © 2013 Deloitte Slovensko
Cloudové služby
• Osobný cloud – široká škála dostupných
bezplatných služieb
• Veľmi obľúbené využívanie aj pre pracovné
činnosti
• Najpoužívanejšie sú Webmail, dátové úložiská
• Osobne používané aj na ukladanie citlivých dát
• 39% opýtaných organizácií uchováva kritické
informácie v cloude
• Špecifické bezpečnostné riziká pre cloudové
služby
• Dôležitý proces výberu dodávateľa a
nastavenie podmienok (vrátane
bezpečnostných).
Informačná bezpečnosť vo svete bez reálnych
13 © 2013 Deloitte Slovensko
Tretie strany
• Spolupráca s tretími stranami prináša výhody,
ale aj riziká
• Nedostatočné riadenie informačnej bezpečnosti
pri spolupráci s tretími stranami
• Nakladanie s dátami
• Nejasné zodpovednosti a kontrola
bezpečnostných rizík
• Spoliehanie sa na zmluvy
• Zneužívané útočníkmi ako jedno zo slabých
miest.
Informačná bezpečnosť vo svete bez reálnych
Otázka nie je či ste
boli hacknutý, ale kedy
a ako si s tým poradiť.
15 © 2013 Deloitte Slovensko
Zero Trust koncept
• Predstavený spoločnosťou Forrester Research
• Data-centrický prístup
• Eliminuje ideu dôveryhodnej internej siete a nedôveryhodnej
externej siete
• Mení ―Dôveruje, ale preveruj‖ na―Preveruje, ale nikdy
nedôveruj‖.
• Ku všetkým zdrojom musí byť pristupované bezpečne bez
ohľadu na miesto, kde sa nachádzajú.
• Riadenie prístupu je založené na princípe ―need-to-know‖ , ktorý
je striktne presadzovaný
• Komplexná kontrola a logovanie sieťovej prevádzky.
• Zjednotenie prevádzkovej a analytickej bezpečnosti
Changing the Security Game
16 © 2013 Deloitte Slovensko
Perimeter- centrická bezpečnosť
Changing the Security Game
Source: Source: Forrester Research, Inc.
17 © 2013 Deloitte Slovensko
Data-centrická bezpečnosť
• Data control — schopnosť
aplikovať univerzálne
bezpečnostné politiky na
ochranu dát bez ohľadu na
miesto, druh zariadenia, model
prevádzky a druhu používateľa
• Intelligence — Kombinácia
real-time analýzy a vizualizácie
s kontextovými informáciami
pre identifikáciu hrozieb,
adresovanie zraniteľností a
identifikáciu prebiehajúcich
bezpečnostných incidentov.
Changing the Security Game
Source: Forrester Research, Inc.
18 © 2013 Deloitte Slovensko
Deloitte in Cyber Security
Informačná bezpečnosť vo svete bez reálnych
• Približne 11.000 information and technology
risk management profesionálov globálne,
1.600 v Európe;
• Viac ako 1.100 CISSP (Certified Information
Systems Security Professionals)
profesionálov;
• Viac ako 2.000 Certified Information Systems
Auditors (CISA) / Certified Information
Security Managers (CISM), alebo CGEIT
profesionálov globálne;
• Viac ako 50 ISO 27000 kvalifikovaných lead
audítorov;
• Certifikovaný profesionáli v iných oblastiach
(napr. privacy certified, PMP certified,
forensics certified).
19 © 2013 Deloitte Slovensko
Deloitte cyber services portfolio
Informačná bezpečnosť vo svete bez reálnych
Deloitte označuje jednu, resp. viacero spoločností Deloitte Touche Tohmatsu
Limited, britskej súkromnej spoločnosti s ručením obmedzeným zárukou (UK
private company limited by guarantee), a jej členských firiem. Každá z týchto
firiem predstavuje samostatný a nezávislý právny subjekt. Podrobný opis
právnej štruktúry spoločnosti Deloitte Touche Tohmatsu Limited a jej členských
firiem sa uvádza na adrese www.deloitte.com/sk/o-nas.
© 2013 Deloitte Slovensko