1. Rytdienos informacijos
saugos grėsmės. Kaip joms
pasirengti šiandien?
Pagrindiniai The Global State of
Information Security® 2014 tyrimo rezultatai
2014 m. balandis
Audrius Cesiulis
Direktorius, Konsultacijų skyrius
www.pwc.com/security
2. PwC
Informacijos saugumo aplinka
• Naujos grėsmės atsiranda greičiau nei vystomos saugumo strategijos
• Informacijos saugumui skiriama vis daugiau resursų, tačiau saugos
incidentų kiekis didėja
• Informacijos saugumo iššūkis – naujausių technologijų taikymas
• Būtina nustatyti aiškius prioritetus ir užtikrinti kompleksinį požiūrį į
informacijos saugumą (secure by design)
• Naujajame informacijos saugumo modelyje svarbiausias elementas
– žinios
Balandis 2014
2
3. PwC
Turinys
1. Tyrimo metodologija
2. Didžiausios informacijos saugumo grėsmės
3. Informacijos saugumo grėsmių prevencija
4. Pasiruošimas ateities grėsmėms
5. Pasaulinės informacijos saugumo lenktynės
6. Informacijos saugumo ateitis
3
Balandis 2014
5. PwC
Pasaulinis PwC, CIO ir CSO tyrimas
Atsakymų duomenys pagal
verslo šakas
Technologijos 1,226
Finansinės paslaugos 993
Mažmeninė prekyba 820
Viešasis sektorius 694
Sunkioji pramonė 671
Telekomunikacijos 456
Sveikatos apsauga 398
Pramogos ir žiniasklaida 221
Automobilių pramonė 209
Aeronautikos ir gynybos
pramonė
193
Energetika ir komunalinės
paslaugos
143
Naftos ir dujų pramonė 107
Farmacijos pramonė 74
5
Balandis 2014
The Global State of Information Security®
tyrimą pasauliniu mastu atliko PwC, CIO ir
CSO žurnalai. Tyrimas buvo atliekamas 2013
m. vasario - balandžio mėn.
• Tyrimas kas metus atliekamas jau 16-tą
kartą
• Tyrimo dalyviams užduodama daugiau nei
40 su IT saugumo priemonių ir verslo
suderinamumu susijusių klausimų
• Tyrimo dalyviai:
- 36% iš Šiaurės Amerikos;
- 26% iš Europos;
- 21% iš Azijos ir Ramiojo vandenyno regiono;
- 15% iš Pietų Amerikos;
- 2% iš Artimųjų Rytų ir Afrikos regiono.
7. PwC
Saugumo incidentų skaičius per pastaruosius 12 mėnesių padidėjo 25%, o
vidutinė finansinė žala – 18%. Šis rodiklis atspindi šiandieninę, padidėjusios
saugumo incidentų rizikos, informacijos saugumo aplinką. Nerimą kelia ir tai, kad per
pastaruosius 2 metus padvigubėjo respondentų, nežinančių, kiek saugumo incidentų
buvo užregistruota
Nustatoma vis daugiau saugumo incidentų
7
Klausimas Nr.18: „Kiek saugumo incidentų užfiksavote per paskutinius 12 mėnesių?“
Balandis 2014
2011 2012 2013
2,562
2,989
3,741
Vidutinis informacijos saugumo incidentų skaičius per paskutinius 12 mėn.
Nežino
9%
Nežino
14%
Nežino
18%
8. PwC
Organizacijai pažįstami žmonės (esami ar buvę darbuotojai, tiekėjai ir kt.) yra didžiausias
saugumo incidentų šaltinis
Didžiausias saugumo incidentų šaltinis - darbuotojai
Klausimas Nr. 21: „Galimi saugumo incidentų šaltiniai“ (Grafike analizuojami ne visi rezultatai.)
8
Galimi saugumo incidentų šaltiniai:
Balandis 2014
10%
12%
13%
16%
27%
31%
Informacijos tiekėjai
Tiekėjai / verslo partneriai
Buvę paslaugų tiekėjai / konsultantai / rangovai
Esami paslaugų tiekėjai / konsultantai / rangovai
Buvę darbuotojai
Esami darbuotojai
Darbuotojai
Patikimi partneriai
10. PwC
Respondentai, atsakę, kad šiuo metu žemiau pateikti saugikliai nėra nustatyti:
Saugikliai (angl. safeguards) – priemonės, kurios gali vykdyti nuolatinę informacijos
saugumo pažeidžiamumo ir nuolat kintančių grėsmių stebėseną – vis dar naudojamos
gana ribotai
Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“ Klausimas Nr. 15: „Kokius technologinius IT
saugumo saugiklius yra nustačiusi jūsų organizacija? (Grafike analizuojami ne visi rezultatai.)
10
52%
46% 45%
42%
39%
37%
31%
Elgsenos
modeliavimas ir
stebėsena
Saugumo
informacijos ir
įvykių valdymo
technologijos
Virtualaus
darbastalio
sąsajos
naudojimas
Duomenų
praradimo
prevencinės
priemonės
Išteklių valdymo
įrankiai
Centralizuotos
vartotojų
duomenų
saugyklos
Aktyvi saugumo
stebėsena ir
analizė
Dauguma organizacijų dar nespėjo prisitaikyti prie
šiandieninių informacijos saugumo grėsmių
Balandis 2014
11. PwC
Mobiliųjų įrenginių naudojimas organizacijose sparčiai
populiarėja, tačiau nespėjama tinkamai užtikrinti jų
saugumo
Išmaniųjų telefonų, planšetinių kompiuterių ir asmeninių prietaisų naudojimas daro
įtaką padidėjusiai IT saugumo rizikai, tačiau pastangos įgyvendinti mobiliųjų įrenginių
saugumo užtikrinimo programas kol kas nėra itin sėkmingos
Klausimas Nr. 16: „Kokių iniciatyvų imasi jūsų organizacija mobiliųjų įrenginių saugumo rizikos mažinimui?“ (Grafike analizuojami ne visi
rezultatai.)
19%
30%
35%
37%
39%
42%
N/A
33%
31%
36%
38%
40%
Naudoja geografinės kontrolės sistemą
Draudimas naudotis asmeniniais prietaisais
organizacijoje / interneto apribojimai
Stiprus autentifikavimo mechanizmas
El. pašto ir kalendoriaus apsauga
asmeniniuose įrenginiuose
Mobiliųjų įrenginių valdymo programinė
įranga
Mobiliųjų įrenginių saugumo strategija
2012 2013
11
Iniciatyvos nukreiptos mobiliųjų įrenginių saugumo užtikrinimui
Balandis 2014
13. PwC
Informacijos saugumo pritaikymas prie veiklos poreikių, standartų išoriniams partneriams
nustatymas, geresnė informacijos saugumo komunikacija atskleidžia poreikį informacijos
saugumo pagrindų keitimui
13
Informacijos saugumas – veiklos užtikrinimo būtinybė, o ne
IT iššūkis
68%
60% 59% 59% 56%
81%
67% 65%
88%
66%
Saugumo strategija
pritaikyta prie veiklos
poreikių
Saugumo standartai
išoriniams partneriams,
klientams, tiekėjams,
rangovams
Centralizuotas IT
saugumo valdymas
Aukščiausiojo lygio
vadovas atsakingas už
IT saugumo komunkaciją
IT saugumą koordinuoja
įvairių sričių ekspertų
komanda
Visi respondentai Lyderiai
Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“(Grafike analizuojami ne visi rezultatai.) Klausimas Nr.
29: „Ar jūsų organizacija turi aukščiausio lygio vadovą, kuris proaktyviai komunikuotų apie IT saugumo svarbą?“
Balandis 2014
Nustatytos saugumo strategijos ir saugikliai: visi respondentai palyginus su IT saugumo lyderiais
14. PwC 14
Klausimas Nr. 14: „Kokių veiklos IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?”
Klausimas Nr. 15: „Kokių technologinių IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?“
(Grafike analizuojami ne visi rezultatai.)
Program to identify sensitive assets
Balandis 2014
Į kokias informacijos saugumo priemones ir veiklos
procesus planuojama investuoti?
Didžiausias prioritetas skiriamas investicijoms į technologijas, kurios ne tik apsaugotų
svarbiausius išteklius, bet taip pat suteiktų konkurencinį pranašumą
Prioritetiniai saugikliai artimiausiems 12 mėnesių
17%
22%
24%
17%
19%
25%
Naudotojų prieigos valdymas
Darbuotojų IT saugumo mokymo programa
Saugumo principai / standartai išoriniams partneriams /
klientams / tiekėjams / rangovams
Išteklių valdymo įrankiai
Centralizuotos vartotojų duomenų saugyklos
Pažeidžiamiausių išteklių nustatymo programa
Svarbiausių išteklių apsauga
Infrastruktūros apsauga
15. PwC
Daugelis informacijos saugumo lyderių supranta, kad viešojo ir privataus sektoriaus
partnerystė gali būti efektyvi priemonė sparčiai kintančių informacijos saugumo grėsmių
žvalgybai ir nustatymui
Pasauliniai lyderiai įžvelgia potencialią bendradarbiavimo
ir dalinimosi informacija naudą
Klausimas Nr. 41: „Ar jūsų organizacija, siekdama sumažinti potencialias IT saugumo rizikas, bendradarbiauja su kitomis jūsų verslo šakos
organizacijomis, įskaitant konkurentus?”
82% IT saugumo lyderių
bendradarbiauja
15
Oficialiai bendradarbiauja IT saugumo klausimais su kitomis organizacijomis
Balandis 2014
Taip
82%
Ne
13%
Nežino
5%
17. PwC
Rusija taip pat demonstruoja stabilų progresą, nustatant saugiklius duomenų ir išteklių
stebėjimui. JAV ir Brazilija šioje srityje užima labai panašias pozicijas, o Indija – atsilieka
Technologinių saugumo priemonių įgyvendinimo
pranašumą turi Kinija
Kinija Rusija JAV Brazilija Indija
Centralizuotos vartotojų duomenų saugyklos 73% 68% 65% 64% 61%
Elgsenos modeliavimas ir stebėsena 60% 48% 44% 57% 48%
Išmaniųjų telefonų šifravimas 61% 51% 57% 52% 53%
Įsilaužimo aptikimo įrankiai 65% 76% 67% 64% 68%
Pažeidžiamumo tikrinimo įrankiai 72% 60% 63% 63% 58%
Išteklių valdymo įrankiai 71% 60% 64% 59% 62%
Virtualaus darbastalio sąsajos naudojimas 64% 61% 56% 55% 52%
Apsaugos / aptikimo valdymo sprendimai 62% 56% 56% 54% 48%
Saugumo informacijos ir įvykių valdymo technologijos 66% 59% 57% 54% 48%
17
Balandis 2014
Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius esate nustatę? (Grafike analizuojami ne visi rezultatai.)
18. PwC
Nei viena šalis kol kas dar nėra tiksliai įvertinusi naujųjų technologijų keliamų informacijos
saugumo grėsmių įtakos, tačiau Kinija ir JAV jau pirmauja nustatant šios srities saugumo
strategijų įgyvendinimo tempą
Debesų kompiuterija, mobilumas, asmeniniai prietaisai ir
socialiniai tinklai – saugumo iššūkis visoms šalims
18
Balandis 2014
Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius esate nustatę savo organizacijoje?“ (Grafike analizuojami ne visi rezultatai.)
Kinija JAV Rusija Brazilija Indija
Debesų kompiuterijos saugumo strategija 51% 52% 45% 49% 47%
Mobiliųjų įrenginių saugumo strategija 64% 57% 51% 49% 50%
Socialinių tinklų saugumo strategija 59% 58% 47% 51% 50%
Asmeninių prietaisų naudojimo organizacijoje saugumo strategija 71% 64% 56% 53% 54%
20. PwC
Efektyvi informacijos saugumo programa reikalauja skirtingų technologinių, strateginių ir
žmogiškųjų saugiklių. Remiantis tyrimo analize ir PwC pasaulinės informacijos saugumo
praktikos patirtimi, išskyrėme 10 pagrindinių gairių.
Pagrindiniai saugikliai, reikalingi efektyviai informacijos
saugumo programai
20
Balandis 2014
Pagrindiniai saugikliai efektyvios IT saugumo strategijos įgyvendinimui
1 Dokumentuota saugumo politika
2 Rezervinės kopijos/įranga ir Veiklos atkūrimo/tęstinumo planai
3
Minimalus asmeninių duomenų rinkimas ir saugojimas, naudojant fizinius prieigos prie
tokių duomenų apribojimus
4 Patikimi technologiniai saugikliai skirti prevencijai, aptikimui ir šifravimui
5
Tiksli informacija apie asmeninių duomenų rinkimo, perdavimo ir saugojimo priemones bei
fizinę buvimo vietą (debesų kompiuterijos sprendimai ?)
6
Elektroninių ir popierinių įrašų privatumo, saugumo, konfidencialumo, integralumo rizikų
(vidinių ir išorinių) vertinimas
7 Nuolatinė duomenų saugumo programos efektyvumo stebėsena ir vertinimas
8 Personalo patikimumo patikrinimas
9 Darbuotojų informacijos saugumo mokymo programa
10 Reikalauti darbuotojų ir trečiųjų asmenų laikytis konfidencialumo įsipareigojimų
21. PwC
• Informacijos saugumas – veiklos būtinybė. Informacijos saugumas turi būti
numatytas organizacijos veiklos modelyje (security by design)
• Viešasis sektorius, skirtingai nei privatus, nekonkuruoja dėl informacijos – tai sudaro
prielaidas kurti ir diegti efektyvius kompleksinius informacijos saugos prendimus
• Būtina suvokti informacijos saugumo svarbą ir žinoti jo įtaką veiklai bei galimas
pasekmes. Potencialios grėsmės turi būti numatomos žinant silpnąsias vietas ir
proaktyviai valdant su jomis susijusias informacijos saugumo rizikas
• Svarbiausių išteklių / informacijos nustatymas. Planuojant informacijos saugumo
strategiją, būtina nustatyti vertingiausius išteklius / informaciją ir jų saugumui
pritaikyti atitinkamus saugiklius
• Bendradarbiavimas tarp organizacijų kuriant ir diegiant kompleksinius informacijos
saugumo sprendimus (pvz. informacinių išteklių valdymo centralizavimas,
horizontalių IT sprendimų saugumo optimizavimas ir pan.)
Naujas požiūris į informacijos saugumą
21
Balandis 2014