SlideShare ist ein Scribd-Unternehmen logo

Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas

Baltic Data Center (BDC)
Baltic Data Center (BDC)

IT security research conducted by PricewaterhouseCoopers.

Technologie
1 von 22
Downloaden Sie, um offline zu lesen
Rytdienos informacijos saugos grėsmės. Kaip joms pasirengti šiandien? Pagrindiniai The Global State of Information Security® 2014 tyrimo rezultatai 2014 m. balandis Audrius Cesiulis Direktorius, Konsultacijų skyrius www.pwc.com/security
PwC Informacijos saugumo aplinka • Naujos grėsmės atsiranda greičiau nei vystomos saugumo strategijos • Informacijos saugumui skiriama vis daugiau resursų, tačiau saugos incidentų kiekis didėja • Informacijos saugumo iššūkis – naujausių technologijų taikymas • Būtina nustatyti aiškius prioritetus ir užtikrinti kompleksinį požiūrį į informacijos saugumą (secure by design) • Naujajame informacijos saugumo modelyje svarbiausias elementas – žinios Balandis 2014 2
PwC Turinys 1. Tyrimo metodologija 2. Didžiausios informacijos saugumo grėsmės 3. Informacijos saugumo grėsmių prevencija 4. Pasiruošimas ateities grėsmėms 5. Pasaulinės informacijos saugumo lenktynės 6. Informacijos saugumo ateitis 3 Balandis 2014
PwC 1. Tyrimo metodologija 4 Balandis 2014
PwC Pasaulinis PwC, CIO ir CSO tyrimas Atsakymų duomenys pagal verslo šakas Technologijos 1,226 Finansinės paslaugos 993 Mažmeninė prekyba 820 Viešasis sektorius 694 Sunkioji pramonė 671 Telekomunikacijos 456 Sveikatos apsauga 398 Pramogos ir žiniasklaida 221 Automobilių pramonė 209 Aeronautikos ir gynybos pramonė 193 Energetika ir komunalinės paslaugos 143 Naftos ir dujų pramonė 107 Farmacijos pramonė 74 5 Balandis 2014 The Global State of Information Security® tyrimą pasauliniu mastu atliko PwC, CIO ir CSO žurnalai. Tyrimas buvo atliekamas 2013 m. vasario - balandžio mėn. • Tyrimas kas metus atliekamas jau 16-tą kartą • Tyrimo dalyviams užduodama daugiau nei 40 su IT saugumo priemonių ir verslo suderinamumu susijusių klausimų • Tyrimo dalyviai: - 36% iš Šiaurės Amerikos; - 26% iš Europos; - 21% iš Azijos ir Ramiojo vandenyno regiono; - 15% iš Pietų Amerikos; - 2% iš Artimųjų Rytų ir Afrikos regiono.
PwC 2. Didžiausios informacijos saugumo grėsmės 6 Balandis 2014
PwC Saugumo incidentų skaičius per pastaruosius 12 mėnesių padidėjo 25%, o vidutinė finansinė žala – 18%. Šis rodiklis atspindi šiandieninę, padidėjusios saugumo incidentų rizikos, informacijos saugumo aplinką. Nerimą kelia ir tai, kad per pastaruosius 2 metus padvigubėjo respondentų, nežinančių, kiek saugumo incidentų buvo užregistruota Nustatoma vis daugiau saugumo incidentų 7 Klausimas Nr.18: „Kiek saugumo incidentų užfiksavote per paskutinius 12 mėnesių?“ Balandis 2014 2011 2012 2013 2,562 2,989 3,741 Vidutinis informacijos saugumo incidentų skaičius per paskutinius 12 mėn. Nežino 9% Nežino 14% Nežino 18%
PwC Organizacijai pažįstami žmonės (esami ar buvę darbuotojai, tiekėjai ir kt.) yra didžiausias saugumo incidentų šaltinis Didžiausias saugumo incidentų šaltinis - darbuotojai Klausimas Nr. 21: „Galimi saugumo incidentų šaltiniai“ (Grafike analizuojami ne visi rezultatai.) 8 Galimi saugumo incidentų šaltiniai: Balandis 2014 10% 12% 13% 16% 27% 31% Informacijos tiekėjai Tiekėjai / verslo partneriai Buvę paslaugų tiekėjai / konsultantai / rangovai Esami paslaugų tiekėjai / konsultantai / rangovai Buvę darbuotojai Esami darbuotojai Darbuotojai Patikimi partneriai
PwC 3. Informacijos saugumo grėsmių prevencija 9 Balandis 2014
PwC Respondentai, atsakę, kad šiuo metu žemiau pateikti saugikliai nėra nustatyti: Saugikliai (angl. safeguards) – priemonės, kurios gali vykdyti nuolatinę informacijos saugumo pažeidžiamumo ir nuolat kintančių grėsmių stebėseną – vis dar naudojamos gana ribotai Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“ Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius yra nustačiusi jūsų organizacija? (Grafike analizuojami ne visi rezultatai.) 10 52% 46% 45% 42% 39% 37% 31% Elgsenos modeliavimas ir stebėsena Saugumo informacijos ir įvykių valdymo technologijos Virtualaus darbastalio sąsajos naudojimas Duomenų praradimo prevencinės priemonės Išteklių valdymo įrankiai Centralizuotos vartotojų duomenų saugyklos Aktyvi saugumo stebėsena ir analizė Dauguma organizacijų dar nespėjo prisitaikyti prie šiandieninių informacijos saugumo grėsmių Balandis 2014
PwC Mobiliųjų įrenginių naudojimas organizacijose sparčiai populiarėja, tačiau nespėjama tinkamai užtikrinti jų saugumo Išmaniųjų telefonų, planšetinių kompiuterių ir asmeninių prietaisų naudojimas daro įtaką padidėjusiai IT saugumo rizikai, tačiau pastangos įgyvendinti mobiliųjų įrenginių saugumo užtikrinimo programas kol kas nėra itin sėkmingos Klausimas Nr. 16: „Kokių iniciatyvų imasi jūsų organizacija mobiliųjų įrenginių saugumo rizikos mažinimui?“ (Grafike analizuojami ne visi rezultatai.) 19% 30% 35% 37% 39% 42% N/A 33% 31% 36% 38% 40% Naudoja geografinės kontrolės sistemą Draudimas naudotis asmeniniais prietaisais organizacijoje / interneto apribojimai Stiprus autentifikavimo mechanizmas El. pašto ir kalendoriaus apsauga asmeniniuose įrenginiuose Mobiliųjų įrenginių valdymo programinė įranga Mobiliųjų įrenginių saugumo strategija 2012 2013 11 Iniciatyvos nukreiptos mobiliųjų įrenginių saugumo užtikrinimui Balandis 2014
PwC 4. Pasiruošimas ateities grėsmėms 12 Balandis 2014
PwC Informacijos saugumo pritaikymas prie veiklos poreikių, standartų išoriniams partneriams nustatymas, geresnė informacijos saugumo komunikacija atskleidžia poreikį informacijos saugumo pagrindų keitimui 13 Informacijos saugumas – veiklos užtikrinimo būtinybė, o ne IT iššūkis 68% 60% 59% 59% 56% 81% 67% 65% 88% 66% Saugumo strategija pritaikyta prie veiklos poreikių Saugumo standartai išoriniams partneriams, klientams, tiekėjams, rangovams Centralizuotas IT saugumo valdymas Aukščiausiojo lygio vadovas atsakingas už IT saugumo komunkaciją IT saugumą koordinuoja įvairių sričių ekspertų komanda Visi respondentai Lyderiai Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“(Grafike analizuojami ne visi rezultatai.) Klausimas Nr. 29: „Ar jūsų organizacija turi aukščiausio lygio vadovą, kuris proaktyviai komunikuotų apie IT saugumo svarbą?“ Balandis 2014 Nustatytos saugumo strategijos ir saugikliai: visi respondentai palyginus su IT saugumo lyderiais
PwC 14 Klausimas Nr. 14: „Kokių veiklos IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?” Klausimas Nr. 15: „Kokių technologinių IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?“ (Grafike analizuojami ne visi rezultatai.) Program to identify sensitive assets Balandis 2014 Į kokias informacijos saugumo priemones ir veiklos procesus planuojama investuoti? Didžiausias prioritetas skiriamas investicijoms į technologijas, kurios ne tik apsaugotų svarbiausius išteklius, bet taip pat suteiktų konkurencinį pranašumą Prioritetiniai saugikliai artimiausiems 12 mėnesių 17% 22% 24% 17% 19% 25% Naudotojų prieigos valdymas Darbuotojų IT saugumo mokymo programa Saugumo principai / standartai išoriniams partneriams / klientams / tiekėjams / rangovams Išteklių valdymo įrankiai Centralizuotos vartotojų duomenų saugyklos Pažeidžiamiausių išteklių nustatymo programa Svarbiausių išteklių apsauga Infrastruktūros apsauga
PwC Daugelis informacijos saugumo lyderių supranta, kad viešojo ir privataus sektoriaus partnerystė gali būti efektyvi priemonė sparčiai kintančių informacijos saugumo grėsmių žvalgybai ir nustatymui Pasauliniai lyderiai įžvelgia potencialią bendradarbiavimo ir dalinimosi informacija naudą Klausimas Nr. 41: „Ar jūsų organizacija, siekdama sumažinti potencialias IT saugumo rizikas, bendradarbiauja su kitomis jūsų verslo šakos organizacijomis, įskaitant konkurentus?” 82% IT saugumo lyderių bendradarbiauja 15 Oficialiai bendradarbiauja IT saugumo klausimais su kitomis organizacijomis Balandis 2014 Taip 82% Ne 13% Nežino 5%
PwC 5. Pasaulinės informacijos saugumo lenktynės 16 Balandis 2014
PwC Rusija taip pat demonstruoja stabilų progresą, nustatant saugiklius duomenų ir išteklių stebėjimui. JAV ir Brazilija šioje srityje užima labai panašias pozicijas, o Indija – atsilieka Technologinių saugumo priemonių įgyvendinimo pranašumą turi Kinija Kinija Rusija JAV Brazilija Indija Centralizuotos vartotojų duomenų saugyklos 73% 68% 65% 64% 61% Elgsenos modeliavimas ir stebėsena 60% 48% 44% 57% 48% Išmaniųjų telefonų šifravimas 61% 51% 57% 52% 53% Įsilaužimo aptikimo įrankiai 65% 76% 67% 64% 68% Pažeidžiamumo tikrinimo įrankiai 72% 60% 63% 63% 58% Išteklių valdymo įrankiai 71% 60% 64% 59% 62% Virtualaus darbastalio sąsajos naudojimas 64% 61% 56% 55% 52% Apsaugos / aptikimo valdymo sprendimai 62% 56% 56% 54% 48% Saugumo informacijos ir įvykių valdymo technologijos 66% 59% 57% 54% 48% 17 Balandis 2014 Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius esate nustatę? (Grafike analizuojami ne visi rezultatai.)
PwC Nei viena šalis kol kas dar nėra tiksliai įvertinusi naujųjų technologijų keliamų informacijos saugumo grėsmių įtakos, tačiau Kinija ir JAV jau pirmauja nustatant šios srities saugumo strategijų įgyvendinimo tempą Debesų kompiuterija, mobilumas, asmeniniai prietaisai ir socialiniai tinklai – saugumo iššūkis visoms šalims 18 Balandis 2014 Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius esate nustatę savo organizacijoje?“ (Grafike analizuojami ne visi rezultatai.) Kinija JAV Rusija Brazilija Indija Debesų kompiuterijos saugumo strategija 51% 52% 45% 49% 47% Mobiliųjų įrenginių saugumo strategija 64% 57% 51% 49% 50% Socialinių tinklų saugumo strategija 59% 58% 47% 51% 50% Asmeninių prietaisų naudojimo organizacijoje saugumo strategija 71% 64% 56% 53% 54%
PwC 6. Informacijos saugumo ateitis 19 Balandis 2014
PwC Efektyvi informacijos saugumo programa reikalauja skirtingų technologinių, strateginių ir žmogiškųjų saugiklių. Remiantis tyrimo analize ir PwC pasaulinės informacijos saugumo praktikos patirtimi, išskyrėme 10 pagrindinių gairių. Pagrindiniai saugikliai, reikalingi efektyviai informacijos saugumo programai 20 Balandis 2014 Pagrindiniai saugikliai efektyvios IT saugumo strategijos įgyvendinimui 1 Dokumentuota saugumo politika 2 Rezervinės kopijos/įranga ir Veiklos atkūrimo/tęstinumo planai 3 Minimalus asmeninių duomenų rinkimas ir saugojimas, naudojant fizinius prieigos prie tokių duomenų apribojimus 4 Patikimi technologiniai saugikliai skirti prevencijai, aptikimui ir šifravimui 5 Tiksli informacija apie asmeninių duomenų rinkimo, perdavimo ir saugojimo priemones bei fizinę buvimo vietą (debesų kompiuterijos sprendimai ?) 6 Elektroninių ir popierinių įrašų privatumo, saugumo, konfidencialumo, integralumo rizikų (vidinių ir išorinių) vertinimas 7 Nuolatinė duomenų saugumo programos efektyvumo stebėsena ir vertinimas 8 Personalo patikimumo patikrinimas 9 Darbuotojų informacijos saugumo mokymo programa 10 Reikalauti darbuotojų ir trečiųjų asmenų laikytis konfidencialumo įsipareigojimų
PwC • Informacijos saugumas – veiklos būtinybė. Informacijos saugumas turi būti numatytas organizacijos veiklos modelyje (security by design) • Viešasis sektorius, skirtingai nei privatus, nekonkuruoja dėl informacijos – tai sudaro prielaidas kurti ir diegti efektyvius kompleksinius informacijos saugos prendimus • Būtina suvokti informacijos saugumo svarbą ir žinoti jo įtaką veiklai bei galimas pasekmes. Potencialios grėsmės turi būti numatomos žinant silpnąsias vietas ir proaktyviai valdant su jomis susijusias informacijos saugumo rizikas • Svarbiausių išteklių / informacijos nustatymas. Planuojant informacijos saugumo strategiją, būtina nustatyti vertingiausius išteklius / informaciją ir jų saugumui pritaikyti atitinkamus saugiklius • Bendradarbiavimas tarp organizacijų kuriant ir diegiant kompleksinius informacijos saugumo sprendimus (pvz. informacinių išteklių valdymo centralizavimas, horizontalių IT sprendimų saugumo optimizavimas ir pan.) Naujas požiūris į informacijos saugumą 21 Balandis 2014
PwC Jūsų klausimai 22 Balandis 2014

Empfohlen

Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasMiroslav Lučinskij
 
2013 04 25 ito tendencijos giedrius askoldavicius
2013 04 25 ito tendencijos giedrius askoldavicius2013 04 25 ito tendencijos giedrius askoldavicius
2013 04 25 ito tendencijos giedrius askoldaviciusBaltic Data Center (BDC)
 
2013 05 28 29 kyoto_vakaris stakauskas
2013 05 28 29 kyoto_vakaris stakauskas2013 05 28 29 kyoto_vakaris stakauskas
2013 05 28 29 kyoto_vakaris stakauskasBaltic Data Center (BDC)
 
HTML Marquee
HTML MarqueeHTML Marquee
HTML MarqueeHameda Hurmat
 
2013 0425 rimi sap migracijos aspektai_robertas_balkys
2013 0425 rimi sap migracijos aspektai_robertas_balkys2013 0425 rimi sap migracijos aspektai_robertas_balkys
2013 0425 rimi sap migracijos aspektai_robertas_balkysBaltic Data Center (BDC)
 
Shagnut v oblaco_v_meste_s-bdc
Shagnut v oblaco_v_meste_s-bdcShagnut v oblaco_v_meste_s-bdc
Shagnut v oblaco_v_meste_s-bdcBaltic Data Center (BDC)
 
Kyoto prezentacija 2013 05 15
Kyoto prezentacija 2013 05 15Kyoto prezentacija 2013 05 15
Kyoto prezentacija 2013 05 15Baltic Data Center (BDC)
 
Virtualių darbo vietų sprendimai.
Virtualių darbo vietų sprendimai. Virtualių darbo vietų sprendimai.
Virtualių darbo vietų sprendimai. Baltic Data Center (BDC)
 

Empfohlen

Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasMiroslav Lučinskij
 
2013 04 25 ito tendencijos giedrius askoldavicius
2013 04 25 ito tendencijos giedrius askoldavicius2013 04 25 ito tendencijos giedrius askoldavicius
2013 04 25 ito tendencijos giedrius askoldaviciusBaltic Data Center (BDC)
 
2013 05 28 29 kyoto_vakaris stakauskas
2013 05 28 29 kyoto_vakaris stakauskas2013 05 28 29 kyoto_vakaris stakauskas
2013 05 28 29 kyoto_vakaris stakauskasBaltic Data Center (BDC)
 
HTML Marquee
HTML MarqueeHTML Marquee
HTML MarqueeHameda Hurmat
 
2013 0425 rimi sap migracijos aspektai_robertas_balkys
2013 0425 rimi sap migracijos aspektai_robertas_balkys2013 0425 rimi sap migracijos aspektai_robertas_balkys
2013 0425 rimi sap migracijos aspektai_robertas_balkysBaltic Data Center (BDC)
 
Shagnut v oblaco_v_meste_s-bdc
Shagnut v oblaco_v_meste_s-bdcShagnut v oblaco_v_meste_s-bdc
Shagnut v oblaco_v_meste_s-bdcBaltic Data Center (BDC)
 
Kyoto prezentacija 2013 05 15
Kyoto prezentacija 2013 05 15Kyoto prezentacija 2013 05 15
Kyoto prezentacija 2013 05 15Baltic Data Center (BDC)
 
Virtualių darbo vietų sprendimai.
Virtualių darbo vietų sprendimai. Virtualių darbo vietų sprendimai.
Virtualių darbo vietų sprendimai. Baltic Data Center (BDC)
 
SAP prezentacija
SAP prezentacijaSAP prezentacija
SAP prezentacijaBaltic Data Center (BDC)
 
Rezerviniai duomenu centru sprendimai.
Rezerviniai duomenu centru sprendimai. Rezerviniai duomenu centru sprendimai.
Rezerviniai duomenu centru sprendimai. Baltic Data Center (BDC)
 
Bdc data centri dlia biznesa
Bdc data centri dlia biznesaBdc data centri dlia biznesa
Bdc data centri dlia biznesaBaltic Data Center (BDC)
 
Bdc future of business analytics final
Bdc future of business analytics finalBdc future of business analytics final
Bdc future of business analytics finalBaltic Data Center (BDC)
 
Waste management
Waste managementWaste management
Waste managementHameda Hurmat
 
Change management
Change managementChange management
Change managementHameda Hurmat
 
A kovaliov agile public procurement - pm days 2014
A kovaliov agile public procurement - pm days 2014A kovaliov agile public procurement - pm days 2014
A kovaliov agile public procurement - pm days 2014Baltic Data Center (BDC)
 
HTML Link - Image - Comments
HTML Link - Image - CommentsHTML Link - Image - Comments
HTML Link - Image - CommentsHameda Hurmat
 
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchovBaltic Data Center (BDC)
 
Penetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasPenetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasBaltic Data Center (BDC)
 
Kompiuterizuotu darbo vietu alternatyvos
Kompiuterizuotu darbo vietu alternatyvosKompiuterizuotu darbo vietu alternatyvos
Kompiuterizuotu darbo vietu alternatyvosBaltic Data Center (BDC)
 
معرفی کمپیوتر
معرفی کمپیوترمعرفی کمپیوتر
معرفی کمپیوترHameda Hurmat
 
Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeMiroslav Lučinskij
 
Lietuvos verslo pasirengimas įgyvendinti GDPR
Lietuvos verslo pasirengimas įgyvendinti GDPRLietuvos verslo pasirengimas įgyvendinti GDPR
Lietuvos verslo pasirengimas įgyvendinti GDPRMindaugas Kiskis
 
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisBKA (Baltijos kompiuteriu akademija)
 
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)ikv2009
 
Investicijos į IT
Investicijos į IT Investicijos į IT
Investicijos į IT BAIP
 
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjamsVilius Benetis
 
Ką apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasKą apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasBAIP
 
Marius ir Vladimiras (MRU)
Marius ir Vladimiras (MRU)Marius ir Vladimiras (MRU)
Marius ir Vladimiras (MRU)ikv2009
 
„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogasBaltimax
 
Dovilė Radeckytė (VU)
Dovilė Radeckytė (VU)Dovilė Radeckytė (VU)
Dovilė Radeckytė (VU)ikv2009
 

Weitere ähnliche Inhalte

Andere mochten auch

A kovaliov agile public procurement - pm days 2014
A kovaliov agile public procurement - pm days 2014A kovaliov agile public procurement - pm days 2014
A kovaliov agile public procurement - pm days 2014Baltic Data Center (BDC)
 
HTML Link - Image - Comments
HTML Link - Image - CommentsHTML Link - Image - Comments
HTML Link - Image - CommentsHameda Hurmat
 
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchovBaltic Data Center (BDC)
 
معرفی کمپیوتر
معرفی کمپیوترمعرفی کمپیوتر
معرفی کمپیوترHameda Hurmat
 

Andere mochten auch (12)

SAP prezentacija
SAP prezentacijaSAP prezentacija
SAP prezentacija
 
Rezerviniai duomenu centru sprendimai.
Rezerviniai duomenu centru sprendimai. Rezerviniai duomenu centru sprendimai.
Rezerviniai duomenu centru sprendimai.
 
Bdc data centri dlia biznesa
Bdc data centri dlia biznesaBdc data centri dlia biznesa
Bdc data centri dlia biznesa
 
Bdc future of business analytics final
Bdc future of business analytics finalBdc future of business analytics final
Bdc future of business analytics final
 
Waste management
Waste managementWaste management
Waste management
 
Change management
Change managementChange management
Change management
 
A kovaliov agile public procurement - pm days 2014
A kovaliov agile public procurement - pm days 2014A kovaliov agile public procurement - pm days 2014
A kovaliov agile public procurement - pm days 2014
 
HTML Link - Image - Comments
HTML Link - Image - CommentsHTML Link - Image - Comments
HTML Link - Image - Comments
 
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
 
Penetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasPenetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovas
 
Kompiuterizuotu darbo vietu alternatyvos
Kompiuterizuotu darbo vietu alternatyvosKompiuterizuotu darbo vietu alternatyvos
Kompiuterizuotu darbo vietu alternatyvos
 
معرفی کمپیوتر
معرفی کمپیوترمعرفی کمپیوتر
معرفی کمپیوتر
 

Ähnlich wie Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas

Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeMiroslav Lučinskij
 
Lietuvos verslo pasirengimas įgyvendinti GDPR
Lietuvos verslo pasirengimas įgyvendinti GDPRLietuvos verslo pasirengimas įgyvendinti GDPR
Lietuvos verslo pasirengimas įgyvendinti GDPRMindaugas Kiskis
 
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)ikv2009
 
Investicijos į IT
Investicijos į IT Investicijos į IT
Investicijos į IT BAIP
 
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjamsVilius Benetis
 
Ką apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasKą apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasBAIP
 
Marius ir Vladimiras (MRU)
Marius ir Vladimiras (MRU)Marius ir Vladimiras (MRU)
Marius ir Vladimiras (MRU)ikv2009
 
„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogasBaltimax
 
Dovilė Radeckytė (VU)
Dovilė Radeckytė (VU)Dovilė Radeckytė (VU)
Dovilė Radeckytė (VU)ikv2009
 
Biz miz o1 m4_u4.2_r6_lt
Biz miz o1 m4_u4.2_r6_ltBiz miz o1 m4_u4.2_r6_lt
Biz miz o1 m4_u4.2_r6_ltSiiviPahapill
 
Biz miz o1 m5_u5.1_r1_lt
Biz miz o1 m5_u5.1_r1_ltBiz miz o1 m5_u5.1_r1_lt
Biz miz o1 m5_u5.1_r1_ltSiiviPahapill
 
EI_8_Valstybes_duomenys_nepanaudotas_turtas.pptx
EI_8_Valstybes_duomenys_nepanaudotas_turtas.pptxEI_8_Valstybes_duomenys_nepanaudotas_turtas.pptx
EI_8_Valstybes_duomenys_nepanaudotas_turtas.pptxgeoportal.lt
 
Lean2S sisteminė analitika
Lean2S sisteminė analitikaLean2S sisteminė analitika
Lean2S sisteminė analitikaAndrius Gudaitis
 

Ähnlich wie Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas (16)

Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir Realybe
 
Lietuvos verslo pasirengimas įgyvendinti GDPR
Lietuvos verslo pasirengimas įgyvendinti GDPRLietuvos verslo pasirengimas įgyvendinti GDPR
Lietuvos verslo pasirengimas įgyvendinti GDPR
 
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
 
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)
 
Investicijos į IT
Investicijos į IT Investicijos į IT
Investicijos į IT
 
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
 
Ką apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasKą apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovas
 
Marius ir Vladimiras (MRU)
Marius ir Vladimiras (MRU)Marius ir Vladimiras (MRU)
Marius ir Vladimiras (MRU)
 
„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas
 
Dovilė Radeckytė (VU)
Dovilė Radeckytė (VU)Dovilė Radeckytė (VU)
Dovilė Radeckytė (VU)
 
Biz miz o1 m4_u4.2_r6_lt
Biz miz o1 m4_u4.2_r6_ltBiz miz o1 m4_u4.2_r6_lt
Biz miz o1 m4_u4.2_r6_lt
 
Biz miz o1 m5_u5.1_r1_lt
Biz miz o1 m5_u5.1_r1_ltBiz miz o1 m5_u5.1_r1_lt
Biz miz o1 m5_u5.1_r1_lt
 
EI_8_Valstybes_duomenys_nepanaudotas_turtas.pptx
EI_8_Valstybes_duomenys_nepanaudotas_turtas.pptxEI_8_Valstybes_duomenys_nepanaudotas_turtas.pptx
EI_8_Valstybes_duomenys_nepanaudotas_turtas.pptx
 
Rizikos valdymas procesinėje organizacijoje
Rizikos valdymas procesinėje organizacijojeRizikos valdymas procesinėje organizacijoje
Rizikos valdymas procesinėje organizacijoje
 
atvirų duomenų kokybė
atvirų duomenų kokybėatvirų duomenų kokybė
atvirų duomenų kokybė
 
Lean2S sisteminė analitika
Lean2S sisteminė analitikaLean2S sisteminė analitika
Lean2S sisteminė analitika
 

Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas

  • 1. Rytdienos informacijos saugos grėsmės. Kaip joms pasirengti šiandien? Pagrindiniai The Global State of Information Security® 2014 tyrimo rezultatai 2014 m. balandis Audrius Cesiulis Direktorius, Konsultacijų skyrius www.pwc.com/security
  • 2. PwC Informacijos saugumo aplinka • Naujos grėsmės atsiranda greičiau nei vystomos saugumo strategijos • Informacijos saugumui skiriama vis daugiau resursų, tačiau saugos incidentų kiekis didėja • Informacijos saugumo iššūkis – naujausių technologijų taikymas • Būtina nustatyti aiškius prioritetus ir užtikrinti kompleksinį požiūrį į informacijos saugumą (secure by design) • Naujajame informacijos saugumo modelyje svarbiausias elementas – žinios Balandis 2014 2
  • 3. PwC Turinys 1. Tyrimo metodologija 2. Didžiausios informacijos saugumo grėsmės 3. Informacijos saugumo grėsmių prevencija 4. Pasiruošimas ateities grėsmėms 5. Pasaulinės informacijos saugumo lenktynės 6. Informacijos saugumo ateitis 3 Balandis 2014
  • 5. PwC Pasaulinis PwC, CIO ir CSO tyrimas Atsakymų duomenys pagal verslo šakas Technologijos 1,226 Finansinės paslaugos 993 Mažmeninė prekyba 820 Viešasis sektorius 694 Sunkioji pramonė 671 Telekomunikacijos 456 Sveikatos apsauga 398 Pramogos ir žiniasklaida 221 Automobilių pramonė 209 Aeronautikos ir gynybos pramonė 193 Energetika ir komunalinės paslaugos 143 Naftos ir dujų pramonė 107 Farmacijos pramonė 74 5 Balandis 2014 The Global State of Information Security® tyrimą pasauliniu mastu atliko PwC, CIO ir CSO žurnalai. Tyrimas buvo atliekamas 2013 m. vasario - balandžio mėn. • Tyrimas kas metus atliekamas jau 16-tą kartą • Tyrimo dalyviams užduodama daugiau nei 40 su IT saugumo priemonių ir verslo suderinamumu susijusių klausimų • Tyrimo dalyviai: - 36% iš Šiaurės Amerikos; - 26% iš Europos; - 21% iš Azijos ir Ramiojo vandenyno regiono; - 15% iš Pietų Amerikos; - 2% iš Artimųjų Rytų ir Afrikos regiono.
  • 6. PwC 2. Didžiausios informacijos saugumo grėsmės 6 Balandis 2014
  • 7. PwC Saugumo incidentų skaičius per pastaruosius 12 mėnesių padidėjo 25%, o vidutinė finansinė žala – 18%. Šis rodiklis atspindi šiandieninę, padidėjusios saugumo incidentų rizikos, informacijos saugumo aplinką. Nerimą kelia ir tai, kad per pastaruosius 2 metus padvigubėjo respondentų, nežinančių, kiek saugumo incidentų buvo užregistruota Nustatoma vis daugiau saugumo incidentų 7 Klausimas Nr.18: „Kiek saugumo incidentų užfiksavote per paskutinius 12 mėnesių?“ Balandis 2014 2011 2012 2013 2,562 2,989 3,741 Vidutinis informacijos saugumo incidentų skaičius per paskutinius 12 mėn. Nežino 9% Nežino 14% Nežino 18%
  • 8. PwC Organizacijai pažįstami žmonės (esami ar buvę darbuotojai, tiekėjai ir kt.) yra didžiausias saugumo incidentų šaltinis Didžiausias saugumo incidentų šaltinis - darbuotojai Klausimas Nr. 21: „Galimi saugumo incidentų šaltiniai“ (Grafike analizuojami ne visi rezultatai.) 8 Galimi saugumo incidentų šaltiniai: Balandis 2014 10% 12% 13% 16% 27% 31% Informacijos tiekėjai Tiekėjai / verslo partneriai Buvę paslaugų tiekėjai / konsultantai / rangovai Esami paslaugų tiekėjai / konsultantai / rangovai Buvę darbuotojai Esami darbuotojai Darbuotojai Patikimi partneriai
  • 9. PwC 3. Informacijos saugumo grėsmių prevencija 9 Balandis 2014
  • 10. PwC Respondentai, atsakę, kad šiuo metu žemiau pateikti saugikliai nėra nustatyti: Saugikliai (angl. safeguards) – priemonės, kurios gali vykdyti nuolatinę informacijos saugumo pažeidžiamumo ir nuolat kintančių grėsmių stebėseną – vis dar naudojamos gana ribotai Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“ Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius yra nustačiusi jūsų organizacija? (Grafike analizuojami ne visi rezultatai.) 10 52% 46% 45% 42% 39% 37% 31% Elgsenos modeliavimas ir stebėsena Saugumo informacijos ir įvykių valdymo technologijos Virtualaus darbastalio sąsajos naudojimas Duomenų praradimo prevencinės priemonės Išteklių valdymo įrankiai Centralizuotos vartotojų duomenų saugyklos Aktyvi saugumo stebėsena ir analizė Dauguma organizacijų dar nespėjo prisitaikyti prie šiandieninių informacijos saugumo grėsmių Balandis 2014
  • 11. PwC Mobiliųjų įrenginių naudojimas organizacijose sparčiai populiarėja, tačiau nespėjama tinkamai užtikrinti jų saugumo Išmaniųjų telefonų, planšetinių kompiuterių ir asmeninių prietaisų naudojimas daro įtaką padidėjusiai IT saugumo rizikai, tačiau pastangos įgyvendinti mobiliųjų įrenginių saugumo užtikrinimo programas kol kas nėra itin sėkmingos Klausimas Nr. 16: „Kokių iniciatyvų imasi jūsų organizacija mobiliųjų įrenginių saugumo rizikos mažinimui?“ (Grafike analizuojami ne visi rezultatai.) 19% 30% 35% 37% 39% 42% N/A 33% 31% 36% 38% 40% Naudoja geografinės kontrolės sistemą Draudimas naudotis asmeniniais prietaisais organizacijoje / interneto apribojimai Stiprus autentifikavimo mechanizmas El. pašto ir kalendoriaus apsauga asmeniniuose įrenginiuose Mobiliųjų įrenginių valdymo programinė įranga Mobiliųjų įrenginių saugumo strategija 2012 2013 11 Iniciatyvos nukreiptos mobiliųjų įrenginių saugumo užtikrinimui Balandis 2014
  • 12. PwC 4. Pasiruošimas ateities grėsmėms 12 Balandis 2014
  • 13. PwC Informacijos saugumo pritaikymas prie veiklos poreikių, standartų išoriniams partneriams nustatymas, geresnė informacijos saugumo komunikacija atskleidžia poreikį informacijos saugumo pagrindų keitimui 13 Informacijos saugumas – veiklos užtikrinimo būtinybė, o ne IT iššūkis 68% 60% 59% 59% 56% 81% 67% 65% 88% 66% Saugumo strategija pritaikyta prie veiklos poreikių Saugumo standartai išoriniams partneriams, klientams, tiekėjams, rangovams Centralizuotas IT saugumo valdymas Aukščiausiojo lygio vadovas atsakingas už IT saugumo komunkaciją IT saugumą koordinuoja įvairių sričių ekspertų komanda Visi respondentai Lyderiai Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius yra nustačiusi jūsų organizacija?“(Grafike analizuojami ne visi rezultatai.) Klausimas Nr. 29: „Ar jūsų organizacija turi aukščiausio lygio vadovą, kuris proaktyviai komunikuotų apie IT saugumo svarbą?“ Balandis 2014 Nustatytos saugumo strategijos ir saugikliai: visi respondentai palyginus su IT saugumo lyderiais
  • 14. PwC 14 Klausimas Nr. 14: „Kokių veiklos IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?” Klausimas Nr. 15: „Kokių technologinių IT saugumo saugiklių jūsų organizacija neturi, tačiau planuoja įgyvendinti per artimiausius 12 mėnesių?“ (Grafike analizuojami ne visi rezultatai.) Program to identify sensitive assets Balandis 2014 Į kokias informacijos saugumo priemones ir veiklos procesus planuojama investuoti? Didžiausias prioritetas skiriamas investicijoms į technologijas, kurios ne tik apsaugotų svarbiausius išteklius, bet taip pat suteiktų konkurencinį pranašumą Prioritetiniai saugikliai artimiausiems 12 mėnesių 17% 22% 24% 17% 19% 25% Naudotojų prieigos valdymas Darbuotojų IT saugumo mokymo programa Saugumo principai / standartai išoriniams partneriams / klientams / tiekėjams / rangovams Išteklių valdymo įrankiai Centralizuotos vartotojų duomenų saugyklos Pažeidžiamiausių išteklių nustatymo programa Svarbiausių išteklių apsauga Infrastruktūros apsauga
  • 15. PwC Daugelis informacijos saugumo lyderių supranta, kad viešojo ir privataus sektoriaus partnerystė gali būti efektyvi priemonė sparčiai kintančių informacijos saugumo grėsmių žvalgybai ir nustatymui Pasauliniai lyderiai įžvelgia potencialią bendradarbiavimo ir dalinimosi informacija naudą Klausimas Nr. 41: „Ar jūsų organizacija, siekdama sumažinti potencialias IT saugumo rizikas, bendradarbiauja su kitomis jūsų verslo šakos organizacijomis, įskaitant konkurentus?” 82% IT saugumo lyderių bendradarbiauja 15 Oficialiai bendradarbiauja IT saugumo klausimais su kitomis organizacijomis Balandis 2014 Taip 82% Ne 13% Nežino 5%
  • 16. PwC 5. Pasaulinės informacijos saugumo lenktynės 16 Balandis 2014
  • 17. PwC Rusija taip pat demonstruoja stabilų progresą, nustatant saugiklius duomenų ir išteklių stebėjimui. JAV ir Brazilija šioje srityje užima labai panašias pozicijas, o Indija – atsilieka Technologinių saugumo priemonių įgyvendinimo pranašumą turi Kinija Kinija Rusija JAV Brazilija Indija Centralizuotos vartotojų duomenų saugyklos 73% 68% 65% 64% 61% Elgsenos modeliavimas ir stebėsena 60% 48% 44% 57% 48% Išmaniųjų telefonų šifravimas 61% 51% 57% 52% 53% Įsilaužimo aptikimo įrankiai 65% 76% 67% 64% 68% Pažeidžiamumo tikrinimo įrankiai 72% 60% 63% 63% 58% Išteklių valdymo įrankiai 71% 60% 64% 59% 62% Virtualaus darbastalio sąsajos naudojimas 64% 61% 56% 55% 52% Apsaugos / aptikimo valdymo sprendimai 62% 56% 56% 54% 48% Saugumo informacijos ir įvykių valdymo technologijos 66% 59% 57% 54% 48% 17 Balandis 2014 Klausimas Nr. 15: „Kokius technologinius IT saugumo saugiklius esate nustatę? (Grafike analizuojami ne visi rezultatai.)
  • 18. PwC Nei viena šalis kol kas dar nėra tiksliai įvertinusi naujųjų technologijų keliamų informacijos saugumo grėsmių įtakos, tačiau Kinija ir JAV jau pirmauja nustatant šios srities saugumo strategijų įgyvendinimo tempą Debesų kompiuterija, mobilumas, asmeniniai prietaisai ir socialiniai tinklai – saugumo iššūkis visoms šalims 18 Balandis 2014 Klausimas Nr. 14: „Kokius veiklos IT saugumo saugiklius esate nustatę savo organizacijoje?“ (Grafike analizuojami ne visi rezultatai.) Kinija JAV Rusija Brazilija Indija Debesų kompiuterijos saugumo strategija 51% 52% 45% 49% 47% Mobiliųjų įrenginių saugumo strategija 64% 57% 51% 49% 50% Socialinių tinklų saugumo strategija 59% 58% 47% 51% 50% Asmeninių prietaisų naudojimo organizacijoje saugumo strategija 71% 64% 56% 53% 54%
  • 19. PwC 6. Informacijos saugumo ateitis 19 Balandis 2014
  • 20. PwC Efektyvi informacijos saugumo programa reikalauja skirtingų technologinių, strateginių ir žmogiškųjų saugiklių. Remiantis tyrimo analize ir PwC pasaulinės informacijos saugumo praktikos patirtimi, išskyrėme 10 pagrindinių gairių. Pagrindiniai saugikliai, reikalingi efektyviai informacijos saugumo programai 20 Balandis 2014 Pagrindiniai saugikliai efektyvios IT saugumo strategijos įgyvendinimui 1 Dokumentuota saugumo politika 2 Rezervinės kopijos/įranga ir Veiklos atkūrimo/tęstinumo planai 3 Minimalus asmeninių duomenų rinkimas ir saugojimas, naudojant fizinius prieigos prie tokių duomenų apribojimus 4 Patikimi technologiniai saugikliai skirti prevencijai, aptikimui ir šifravimui 5 Tiksli informacija apie asmeninių duomenų rinkimo, perdavimo ir saugojimo priemones bei fizinę buvimo vietą (debesų kompiuterijos sprendimai ?) 6 Elektroninių ir popierinių įrašų privatumo, saugumo, konfidencialumo, integralumo rizikų (vidinių ir išorinių) vertinimas 7 Nuolatinė duomenų saugumo programos efektyvumo stebėsena ir vertinimas 8 Personalo patikimumo patikrinimas 9 Darbuotojų informacijos saugumo mokymo programa 10 Reikalauti darbuotojų ir trečiųjų asmenų laikytis konfidencialumo įsipareigojimų
  • 21. PwC • Informacijos saugumas – veiklos būtinybė. Informacijos saugumas turi būti numatytas organizacijos veiklos modelyje (security by design) • Viešasis sektorius, skirtingai nei privatus, nekonkuruoja dėl informacijos – tai sudaro prielaidas kurti ir diegti efektyvius kompleksinius informacijos saugos prendimus • Būtina suvokti informacijos saugumo svarbą ir žinoti jo įtaką veiklai bei galimas pasekmes. Potencialios grėsmės turi būti numatomos žinant silpnąsias vietas ir proaktyviai valdant su jomis susijusias informacijos saugumo rizikas • Svarbiausių išteklių / informacijos nustatymas. Planuojant informacijos saugumo strategiją, būtina nustatyti vertingiausius išteklius / informaciją ir jų saugumui pritaikyti atitinkamus saugiklius • Bendradarbiavimas tarp organizacijų kuriant ir diegiant kompleksinius informacijos saugumo sprendimus (pvz. informacinių išteklių valdymo centralizavimas, horizontalių IT sprendimų saugumo optimizavimas ir pan.) Naujas požiūris į informacijos saugumą 21 Balandis 2014