SlideShare a Scribd company logo

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

S.E. CTS CERT-GOV-MD
S.E. CTS CERT-GOV-MD

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI Marin Prisăcaru

Technology
1 of 19
Download to read offline
© 2013 InfoTrust Consulting. Toate drepturile rezervate. GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI 02 OCTOMBRIE 2013 Marin Prisăcaru Tel: +373 22 882550 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md
GESTIUNEA RISCURILOR DE SECURITATE ESTE ZONA DE EXPERTIZĂ CHEIE Experiență SC InfoTrust Consulting  Servicii de consultanță managerială din 2009  Peste 20 de clienți în portofoliu  Peste 30 de proiecte realizate în consultanță și audite de securitate / TI, SMSI, BCP, ITSM, cerințe pentru sisteme TI Experiență personală  Sunt în domeniu de 10 ani  CISA, CISM, CRISC  CISM Worldwide Excellence Award 2010  Experiență de audit, supraveghere bancară, management TI  Peste 50 de misiuni de audit și analiză la riscuri de securitate 3
A FOST REALIZATĂ O CHESTIONARE PE EȘANTION ȚINTĂ 4 55 respondenți 42 organizații Sectorul guvernamental: 36 respondenți 28 organizații Sectorul bancar: 19 respondenți 13 organizații 15 Responsabili de securitatea TI 18 Responsabili de sisteme TI 19 Conducători 2 (nedeterminat) Maturitatea abordării pentru securitatea informației
SUBIECTE EXTRASE DIN CHESTIONAR  Perceperea importanței securității informației  Conștientizarea amenințărilor de securitate  Cum ne asigurăm că suntem protejați  Cum selectăm măsurile de protecție  Cum gestiunea riscurilor face lucrurile mai bune 5
IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din chestionar:  ”Considerați că organizația Dumneavoastră acordă suficientă importanță securității informației?” 6 Sectorul guvernamental Sectorul bancar DA – 46% DA – 74% NU – 43% NU – 26% Nu stiu – 11% Nu stiu – 0%  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” Sectorul guvernamental Sectorul bancar Bine și Foarte bine – 63% Bine și Foarte bine – 84% Rău și Foarte rău – 37% Rău și Foarte rău – 16%
IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din experiența noastră:  Perceperea importanței securității informației este diferită la nivel de sector și la nivelul organizațiilor din același sector  Importanța securității informației trebuie să fie direct proporțională rolului informației și al tehnologiei pentru afacerea organizației. Factori pentru a fi considerați  Suport managerial  Comunicare  Conștientizare 7
CONȘTIENTIZARE Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că salariații organizației au un comportament adecvat la accesarea și utilizarea informației, este:” 8 Opțiuni Sectorul guvernamental Sectorul bancar Aprobarea regulilor de utilizare acceptabilă 35% 0% Sancționarea disciplinară pentru încălcări 12% 0% Implementarea programelor de instruire salariați și conștientizare 35% 79% Blocarea accesului la informație 18% 21%
PERCEPEREAAMENINȚĂRILOR DE SECURITATE Din chestionar:  Credeți că organizația dumneavoastră poate fi ținta unui atac cibernetic în următoarele 6 luni? 9 Sectorul guvernamental Sectorul bancar DA – 41% DA – 47% NU – 31% NU – 42% Nu stiu – 28% Nu stiu – 11%  ”Ați paria pentru 1000 de lei că în următoarele 6 luni nu veți avea un incident de securitate vizibil în afara organizației?” Sectorul guvernamental Sectorul bancar DA – 18% DA – 56% NU – 82% NU – 44%
Din experiența noastră:  Orice organizație ce deține sisteme TI poate fi ținta unui atac cibernetic  Se produce migrarea de la conceptul ”mie nu mi se poate întâmpla”  A fi tina unui atac, nu înseamnă implicit că acesta va reuși Factori pentru a fi considerați  Acceptare  Pregătire  Detectare  Reacție planificată 10 PERCEPEREAAMENINȚĂRILOR DE SECURITATE
CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că serviciile electronice accesate de utilizatori din afara organizației sunt securizate, este:” 11 Opțiuni Sectorul guvernamental Sectorul bancar Responsabilizarea furnizorilor de soluții 11% 0% Responsabilizarea echipei TI interne 66% 53% Efectuarea auditărilor de securitate independente 14% 16% Stabilirea planurilor de gestiune a riscurilor de securitate 9% 31%
Din experiența noastră:  Atitudine reactivă pentru securitatea informației  Analiza riscurilor (documentată) în scop de conformare  Funcția de asigurare e delegată preponderent către TI  Este creată și crește rolul funcției de audit TI  Crește cererea pentru servicii profesionale externalizate Factori pentru a fi considerați  Atitudine proactivă  Alocarea resurselor potrivite  Revizuire și îmbunătățire 12 CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
CUM SELECTĂM MĂSURILE DE PROTECȚIE Din chestionar:  ”Care sunt cele mai frecvente practici aplicate de organizația Dumneavoastră pentru selectarea măsurilor de securitate ce trebuie să fie implementate?” Sunt aplicate ÎNTOTDEAUNA următoarele practici: 13 Opțiuni Sectorul guvernamental Sectorul bancar Considerarea incidentelor de securitate produse 43% 79% Considerarea cerințelor de reglementare 32% 79% Urmarea recomandărilor furnizorilor de soluții 32% 32% Considerarea rezultatelor analizei la riscuri 30% 89% Considerarea rezultatelor auditărilor de securitate 37% 79% Este sarcina administratorilor de sisteme TI 52% 26%
Din experiența noastră:  Orientarea spre măsuri tehnice de securitate  Abordare insulară a măsurilor de securitate vs integrat / multi layered  Delegare excesivă către responsabilii de sisteme TI  Conexiune insuficientă între măsurile de securitate și obiectivele de control (IT, dar și business orientate) Factori pentru a fi considerați  Analiza la riscuri  Decizii risc orientate  Abordare sistemică în raport cu obiectivele de control  Cost-eficiență 14 CUM SELECTĂM MĂSURILE DE PROTECȚIE
APRECIEREA NIVELULUI DE MATURITATE Din chestionar:  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” 15 Opțiuni Sectorul guvernamental Sectorul bancar Protecția la viruși 82% - Bine și foarte bine 100% - Bine și foarte bine Protecția rețelei corporative 79% - Bine și foarte bine 100% - Bine și foarte bine Lucrul la distanță și utilizarea dispozitivelor mobile 32% - Rău și foarte rău 32% - Rău și foarte rău Controlul suporților mobili de informație 55% - Rău și foarte rău 42% - Rău și foarte rău Monitorizarea de securitate 47% - Rău și foarte rău 36% - Rău și foarte rău Nivel insuficient pentru gestiunea riscurilor de securitate 82% - Rău și foarte rău 32% - Rău și foarte rău
GESTIUNEA RISCURILOR DE SECURITATE 16 Stabilire context Inventariere și clasificare resurse TI Planificare analiză la riscuri Analiză și evaluare riscuri Tratarea riscurilor Monitorizare și îmbunătățire continuă Din experiența noastră:
ANALIZA RISCURILOR DE SECURITATE 17 Din experiența noastră:
Din experiența noastră: 1. Stabiliți priorități 2. Țineți lucrurile simple 3. Conectați securitatea la business 4. Aplicați ”Security by design” pentru tot ce e nou 5. Implementați securitatea de bază (principiul pareto) 6. Implementați analiza la riscuri 7. Securitatea ≠ Tehnologie 8. Conștientizare și comunicare 9. Pentru GOV.MD – acționați în comun 18 RECOMANDĂRI
VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE 19 KEEP STRONG MOLDOVA
MULȚUMESC 20 Marin Prisăcaru Tel: +373 22 882550 Mob: + 373 69 010448 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md

Recommended

SIS PREZENTARE CTS
SIS PREZENTARE CTSSIS PREZENTARE CTS
SIS PREZENTARE CTSS.E. CTS CERT-GOV-MD
 
Solvit identity is the new perimeter
Solvit identity is the new perimeterSolvit identity is the new perimeter
Solvit identity is the new perimeterS.E. CTS CERT-GOV-MD
 
Operarea md cert în reţea naţională de
Operarea md cert în reţea naţională deOperarea md cert în reţea naţională de
Operarea md cert în reţea naţională deS.E. CTS CERT-GOV-MD
 
System of security controls
System of security controlsSystem of security controls
System of security controlsS.E. CTS CERT-GOV-MD
 
Symantec (3)
Symantec (3)Symantec (3)
Symantec (3)S.E. CTS CERT-GOV-MD
 
Symantec (2)
Symantec (2)Symantec (2)
Symantec (2)S.E. CTS CERT-GOV-MD
 
Criminalitatea cibernetică – provocare pentru aplicarea legii
Criminalitatea cibernetică – provocare pentru aplicarea legiiCriminalitatea cibernetică – provocare pentru aplicarea legii
Criminalitatea cibernetică – provocare pentru aplicarea legiiS.E. CTS CERT-GOV-MD
 
Securitas prezentare generala
Securitas prezentare generalaSecuritas prezentare generala
Securitas prezentare generalaaddrrian13
 

Recommended

SIS PREZENTARE CTS
SIS PREZENTARE CTSSIS PREZENTARE CTS
SIS PREZENTARE CTSS.E. CTS CERT-GOV-MD
 
Solvit identity is the new perimeter
Solvit identity is the new perimeterSolvit identity is the new perimeter
Solvit identity is the new perimeterS.E. CTS CERT-GOV-MD
 
Operarea md cert în reţea naţională de
Operarea md cert în reţea naţională deOperarea md cert în reţea naţională de
Operarea md cert în reţea naţională deS.E. CTS CERT-GOV-MD
 
System of security controls
System of security controlsSystem of security controls
System of security controlsS.E. CTS CERT-GOV-MD
 
Symantec (3)
Symantec (3)Symantec (3)
Symantec (3)S.E. CTS CERT-GOV-MD
 
Symantec (2)
Symantec (2)Symantec (2)
Symantec (2)S.E. CTS CERT-GOV-MD
 
Criminalitatea cibernetică – provocare pentru aplicarea legii
Criminalitatea cibernetică – provocare pentru aplicarea legiiCriminalitatea cibernetică – provocare pentru aplicarea legii
Criminalitatea cibernetică – provocare pentru aplicarea legiiS.E. CTS CERT-GOV-MD
 
Securitas prezentare generala
Securitas prezentare generalaSecuritas prezentare generala
Securitas prezentare generalaaddrrian13
 
Selectie furnizori securitate - Security Supplier's Selection and Evaluation
Selectie furnizori securitate - Security Supplier's Selection and EvaluationSelectie furnizori securitate - Security Supplier's Selection and Evaluation
Selectie furnizori securitate - Security Supplier's Selection and Evaluationiordache constantin
 
Presentation cert gov-md 05.03.2013
Presentation cert gov-md 05.03.2013Presentation cert gov-md 05.03.2013
Presentation cert gov-md 05.03.2013E-Government Center Moldova
 
Invitatie cut e romania
Invitatie cut e romaniaInvitatie cut e romania
Invitatie cut e romaniacut-e Romania
 
Class IT - 11nov2011
Class IT - 11nov2011Class IT - 11nov2011
Class IT - 11nov2011Agora Group
 
Digitalizare si leadership
Digitalizare si leadershipDigitalizare si leadership
Digitalizare si leadershipConstantin Magdalina
 
Soluții de comunicare digitală în HoReCa și Retail
Soluții de comunicare digitală în HoReCa și RetailSoluții de comunicare digitală în HoReCa și Retail
Soluții de comunicare digitală în HoReCa și RetailElena Badea
 
Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001iso27001consulting
 
Cap4 securitatea si
Cap4 securitatea siCap4 securitatea si
Cap4 securitatea siDenis Dutescu
 
54 mazareanu v_-_''inteligenta''_in_business_intelligence
54 mazareanu v_-_''inteligenta''_in_business_intelligence54 mazareanu v_-_''inteligenta''_in_business_intelligence
54 mazareanu v_-_''inteligenta''_in_business_intelligenceramona771
 
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală.
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală. Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală.
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală. Elena Badea
 
Studiu Valoria - Tendințe și provocări în HR în 2020
Studiu Valoria - Tendințe și provocări în HR în 2020Studiu Valoria - Tendințe și provocări în HR în 2020
Studiu Valoria - Tendințe și provocări în HR în 2020Elena Badea
 
De la teorie la practică în noua normalitate
De la teorie la practică în noua normalitateDe la teorie la practică în noua normalitate
De la teorie la practică în noua normalitateElena Badea
 
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team Associates
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team AssociatesADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team Associates
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team AssociatesDaniela Cretu
 
A&D Risk Management - Product Portfolio
A&D Risk Management - Product PortfolioA&D Risk Management - Product Portfolio
A&D Risk Management - Product PortfolioA&D Risk Management
 
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010Securitatea - vector al eficienţei în Sectorul Public-17iunie2010
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010Agora Group
 
Is21 cybersecurity
Is21 cybersecurityIs21 cybersecurity
Is21 cybersecurityCrescendo
 
SeniorCRM
SeniorCRMSeniorCRM
SeniorCRMSenior Software
 
Simona Diana Saptebani
Simona Diana SaptebaniSimona Diana Saptebani
Simona Diana SaptebaniSimona Diana Saptebani
 
Comercializare si studii de caz iulie 2014 iasi
Comercializare si studii de caz iulie 2014 iasiComercializare si studii de caz iulie 2014 iasi
Comercializare si studii de caz iulie 2014 iasiRICAP
 
Studiu Valoria - Managementul performanței în companiile din România
Studiu Valoria - Managementul performanței în companiile din RomâniaStudiu Valoria - Managementul performanței în companiile din România
Studiu Valoria - Managementul performanței în companiile din RomâniaElena Badea
 
Cyber security from military point of view
Cyber security from military point of viewCyber security from military point of view
Cyber security from military point of viewS.E. CTS CERT-GOV-MD
 
Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)S.E. CTS CERT-GOV-MD
 

More Related Content

Similar to GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

Selectie furnizori securitate - Security Supplier's Selection and Evaluation
Selectie furnizori securitate - Security Supplier's Selection and EvaluationSelectie furnizori securitate - Security Supplier's Selection and Evaluation
Selectie furnizori securitate - Security Supplier's Selection and Evaluationiordache constantin
 
Invitatie cut e romania
Invitatie cut e romaniaInvitatie cut e romania
Invitatie cut e romaniacut-e Romania
 
Class IT - 11nov2011
Class IT - 11nov2011Class IT - 11nov2011
Class IT - 11nov2011Agora Group
 
Soluții de comunicare digitală în HoReCa și Retail
Soluții de comunicare digitală în HoReCa și RetailSoluții de comunicare digitală în HoReCa și Retail
Soluții de comunicare digitală în HoReCa și RetailElena Badea
 
Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001iso27001consulting
 
54 mazareanu v_-_''inteligenta''_in_business_intelligence
54 mazareanu v_-_''inteligenta''_in_business_intelligence54 mazareanu v_-_''inteligenta''_in_business_intelligence
54 mazareanu v_-_''inteligenta''_in_business_intelligenceramona771
 
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală.
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală. Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală.
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală. Elena Badea
 
Studiu Valoria - Tendințe și provocări în HR în 2020
Studiu Valoria - Tendințe și provocări în HR în 2020Studiu Valoria - Tendințe și provocări în HR în 2020
Studiu Valoria - Tendințe și provocări în HR în 2020Elena Badea
 
De la teorie la practică în noua normalitate
De la teorie la practică în noua normalitateDe la teorie la practică în noua normalitate
De la teorie la practică în noua normalitateElena Badea
 
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team Associates
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team AssociatesADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team Associates
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team AssociatesDaniela Cretu
 
A&D Risk Management - Product Portfolio
A&D Risk Management - Product PortfolioA&D Risk Management - Product Portfolio
A&D Risk Management - Product PortfolioA&D Risk Management
 
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010Securitatea - vector al eficienţei în Sectorul Public-17iunie2010
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010Agora Group
 
Is21 cybersecurity
Is21 cybersecurityIs21 cybersecurity
Is21 cybersecurityCrescendo
 
Comercializare si studii de caz iulie 2014 iasi
Comercializare si studii de caz iulie 2014 iasiComercializare si studii de caz iulie 2014 iasi
Comercializare si studii de caz iulie 2014 iasiRICAP
 
Studiu Valoria - Managementul performanței în companiile din România
Studiu Valoria - Managementul performanței în companiile din RomâniaStudiu Valoria - Managementul performanței în companiile din România
Studiu Valoria - Managementul performanței în companiile din RomâniaElena Badea
 

Similar to GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI (20)

Selectie furnizori securitate - Security Supplier's Selection and Evaluation
Selectie furnizori securitate - Security Supplier's Selection and EvaluationSelectie furnizori securitate - Security Supplier's Selection and Evaluation
Selectie furnizori securitate - Security Supplier's Selection and Evaluation
 
Presentation cert gov-md 05.03.2013
Presentation cert gov-md 05.03.2013Presentation cert gov-md 05.03.2013
Presentation cert gov-md 05.03.2013
 
Invitatie cut e romania
Invitatie cut e romaniaInvitatie cut e romania
Invitatie cut e romania
 
Class IT - 11nov2011
Class IT - 11nov2011Class IT - 11nov2011
Class IT - 11nov2011
 
Digitalizare si leadership
Digitalizare si leadershipDigitalizare si leadership
Digitalizare si leadership
 
Soluții de comunicare digitală în HoReCa și Retail
Soluții de comunicare digitală în HoReCa și RetailSoluții de comunicare digitală în HoReCa și Retail
Soluții de comunicare digitală în HoReCa și Retail
 
Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001Prezentare Generala Securitatea Informatiei - ISO27001
Prezentare Generala Securitatea Informatiei - ISO27001
 
Cap4 securitatea si
Cap4 securitatea siCap4 securitatea si
Cap4 securitatea si
 
54 mazareanu v_-_''inteligenta''_in_business_intelligence
54 mazareanu v_-_''inteligenta''_in_business_intelligence54 mazareanu v_-_''inteligenta''_in_business_intelligence
54 mazareanu v_-_''inteligenta''_in_business_intelligence
 
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală.
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală. Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală.
Studiu Valoria - Barometrul digitalizării în 2020. Analiza generală.
 
Studiu Valoria - Tendințe și provocări în HR în 2020
Studiu Valoria - Tendințe și provocări în HR în 2020Studiu Valoria - Tendințe și provocări în HR în 2020
Studiu Valoria - Tendințe și provocări în HR în 2020
 
De la teorie la practică în noua normalitate
De la teorie la practică în noua normalitateDe la teorie la practică în noua normalitate
De la teorie la practică în noua normalitate
 
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team Associates
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team AssociatesADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team Associates
ADERAREA LA CERINTELE NORMEI 6/2015 ASF | Op.team Associates
 
A&D Risk Management - Product Portfolio
A&D Risk Management - Product PortfolioA&D Risk Management - Product Portfolio
A&D Risk Management - Product Portfolio
 
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010Securitatea - vector al eficienţei în Sectorul Public-17iunie2010
Securitatea - vector al eficienţei în Sectorul Public-17iunie2010
 
Is21 cybersecurity
Is21 cybersecurityIs21 cybersecurity
Is21 cybersecurity
 
SeniorCRM
SeniorCRMSeniorCRM
SeniorCRM
 
Simona Diana Saptebani
Simona Diana SaptebaniSimona Diana Saptebani
Simona Diana Saptebani
 
Comercializare si studii de caz iulie 2014 iasi
Comercializare si studii de caz iulie 2014 iasiComercializare si studii de caz iulie 2014 iasi
Comercializare si studii de caz iulie 2014 iasi
 
Studiu Valoria - Managementul performanței în companiile din România
Studiu Valoria - Managementul performanței în companiile din RomâniaStudiu Valoria - Managementul performanței în companiile din România
Studiu Valoria - Managementul performanței în companiile din România
 

More from S.E. CTS CERT-GOV-MD

Cyber security from military point of view
Cyber security from military point of viewCyber security from military point of view
Cyber security from military point of viewS.E. CTS CERT-GOV-MD
 
Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)S.E. CTS CERT-GOV-MD
 
CLOUD COMPUTING Security Risks or Opportunities
CLOUD COMPUTING Security Risks or OpportunitiesCLOUD COMPUTING Security Risks or Opportunities
CLOUD COMPUTING Security Risks or OpportunitiesS.E. CTS CERT-GOV-MD
 
Moldova cyber security 02.10.2013 rr
Moldova cyber security 02.10.2013 rrMoldova cyber security 02.10.2013 rr
Moldova cyber security 02.10.2013 rrS.E. CTS CERT-GOV-MD
 
Киберпреступность отступает?
Киберпреступность отступает?Киберпреступность отступает?
Киберпреступность отступает?S.E. CTS CERT-GOV-MD
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical HackingS.E. CTS CERT-GOV-MD
 
CERT-GOV-MD: Cyber Security in Moldova: Challenges and Responses
CERT-GOV-MD: Cyber Security in Moldova: Challenges and ResponsesCERT-GOV-MD: Cyber Security in Moldova: Challenges and Responses
CERT-GOV-MD: Cyber Security in Moldova: Challenges and ResponsesS.E. CTS CERT-GOV-MD
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation CenterS.E. CTS CERT-GOV-MD
 
Aare reintam estonia_ciip_activites
Aare reintam estonia_ciip_activitesAare reintam estonia_ciip_activites
Aare reintam estonia_ciip_activitesS.E. CTS CERT-GOV-MD
 

More from S.E. CTS CERT-GOV-MD (11)

Cyber security from military point of view
Cyber security from military point of viewCyber security from military point of view
Cyber security from military point of view
 
Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)Prezentare compartiment securitatea (2)
Prezentare compartiment securitatea (2)
 
CLOUD COMPUTING Security Risks or Opportunities
CLOUD COMPUTING Security Risks or OpportunitiesCLOUD COMPUTING Security Risks or Opportunities
CLOUD COMPUTING Security Risks or Opportunities
 
Moldova cyber security 02.10.2013 rr
Moldova cyber security 02.10.2013 rrMoldova cyber security 02.10.2013 rr
Moldova cyber security 02.10.2013 rr
 
Киберпреступность отступает?
Киберпреступность отступает?Киберпреступность отступает?
Киберпреступность отступает?
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical Hacking
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
 
CERT-GOV-MD: Cyber Security in Moldova: Challenges and Responses
CERT-GOV-MD: Cyber Security in Moldova: Challenges and ResponsesCERT-GOV-MD: Cyber Security in Moldova: Challenges and Responses
CERT-GOV-MD: Cyber Security in Moldova: Challenges and Responses
 
Building Security Operation Center
Building Security Operation CenterBuilding Security Operation Center
Building Security Operation Center
 
Aare reintam estonia_ciip_activites
Aare reintam estonia_ciip_activitesAare reintam estonia_ciip_activites
Aare reintam estonia_ciip_activites
 
Symantec
SymantecSymantec
Symantec
 

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

  • 1. © 2013 InfoTrust Consulting. Toate drepturile rezervate. GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI 02 OCTOMBRIE 2013 Marin Prisăcaru Tel: +373 22 882550 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md
  • 2. GESTIUNEA RISCURILOR DE SECURITATE ESTE ZONA DE EXPERTIZĂ CHEIE Experiență SC InfoTrust Consulting  Servicii de consultanță managerială din 2009  Peste 20 de clienți în portofoliu  Peste 30 de proiecte realizate în consultanță și audite de securitate / TI, SMSI, BCP, ITSM, cerințe pentru sisteme TI Experiență personală  Sunt în domeniu de 10 ani  CISA, CISM, CRISC  CISM Worldwide Excellence Award 2010  Experiență de audit, supraveghere bancară, management TI  Peste 50 de misiuni de audit și analiză la riscuri de securitate 3
  • 3. A FOST REALIZATĂ O CHESTIONARE PE EȘANTION ȚINTĂ 4 55 respondenți 42 organizații Sectorul guvernamental: 36 respondenți 28 organizații Sectorul bancar: 19 respondenți 13 organizații 15 Responsabili de securitatea TI 18 Responsabili de sisteme TI 19 Conducători 2 (nedeterminat) Maturitatea abordării pentru securitatea informației
  • 4. SUBIECTE EXTRASE DIN CHESTIONAR  Perceperea importanței securității informației  Conștientizarea amenințărilor de securitate  Cum ne asigurăm că suntem protejați  Cum selectăm măsurile de protecție  Cum gestiunea riscurilor face lucrurile mai bune 5
  • 5. IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din chestionar:  ”Considerați că organizația Dumneavoastră acordă suficientă importanță securității informației?” 6 Sectorul guvernamental Sectorul bancar DA – 46% DA – 74% NU – 43% NU – 26% Nu stiu – 11% Nu stiu – 0%  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” Sectorul guvernamental Sectorul bancar Bine și Foarte bine – 63% Bine și Foarte bine – 84% Rău și Foarte rău – 37% Rău și Foarte rău – 16%
  • 6. IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din experiența noastră:  Perceperea importanței securității informației este diferită la nivel de sector și la nivelul organizațiilor din același sector  Importanța securității informației trebuie să fie direct proporțională rolului informației și al tehnologiei pentru afacerea organizației. Factori pentru a fi considerați  Suport managerial  Comunicare  Conștientizare 7
  • 7. CONȘTIENTIZARE Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că salariații organizației au un comportament adecvat la accesarea și utilizarea informației, este:” 8 Opțiuni Sectorul guvernamental Sectorul bancar Aprobarea regulilor de utilizare acceptabilă 35% 0% Sancționarea disciplinară pentru încălcări 12% 0% Implementarea programelor de instruire salariați și conștientizare 35% 79% Blocarea accesului la informație 18% 21%
  • 8. PERCEPEREAAMENINȚĂRILOR DE SECURITATE Din chestionar:  Credeți că organizația dumneavoastră poate fi ținta unui atac cibernetic în următoarele 6 luni? 9 Sectorul guvernamental Sectorul bancar DA – 41% DA – 47% NU – 31% NU – 42% Nu stiu – 28% Nu stiu – 11%  ”Ați paria pentru 1000 de lei că în următoarele 6 luni nu veți avea un incident de securitate vizibil în afara organizației?” Sectorul guvernamental Sectorul bancar DA – 18% DA – 56% NU – 82% NU – 44%
  • 9. Din experiența noastră:  Orice organizație ce deține sisteme TI poate fi ținta unui atac cibernetic  Se produce migrarea de la conceptul ”mie nu mi se poate întâmpla”  A fi tina unui atac, nu înseamnă implicit că acesta va reuși Factori pentru a fi considerați  Acceptare  Pregătire  Detectare  Reacție planificată 10 PERCEPEREAAMENINȚĂRILOR DE SECURITATE
  • 10. CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că serviciile electronice accesate de utilizatori din afara organizației sunt securizate, este:” 11 Opțiuni Sectorul guvernamental Sectorul bancar Responsabilizarea furnizorilor de soluții 11% 0% Responsabilizarea echipei TI interne 66% 53% Efectuarea auditărilor de securitate independente 14% 16% Stabilirea planurilor de gestiune a riscurilor de securitate 9% 31%
  • 11. Din experiența noastră:  Atitudine reactivă pentru securitatea informației  Analiza riscurilor (documentată) în scop de conformare  Funcția de asigurare e delegată preponderent către TI  Este creată și crește rolul funcției de audit TI  Crește cererea pentru servicii profesionale externalizate Factori pentru a fi considerați  Atitudine proactivă  Alocarea resurselor potrivite  Revizuire și îmbunătățire 12 CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
  • 12. CUM SELECTĂM MĂSURILE DE PROTECȚIE Din chestionar:  ”Care sunt cele mai frecvente practici aplicate de organizația Dumneavoastră pentru selectarea măsurilor de securitate ce trebuie să fie implementate?” Sunt aplicate ÎNTOTDEAUNA următoarele practici: 13 Opțiuni Sectorul guvernamental Sectorul bancar Considerarea incidentelor de securitate produse 43% 79% Considerarea cerințelor de reglementare 32% 79% Urmarea recomandărilor furnizorilor de soluții 32% 32% Considerarea rezultatelor analizei la riscuri 30% 89% Considerarea rezultatelor auditărilor de securitate 37% 79% Este sarcina administratorilor de sisteme TI 52% 26%
  • 13. Din experiența noastră:  Orientarea spre măsuri tehnice de securitate  Abordare insulară a măsurilor de securitate vs integrat / multi layered  Delegare excesivă către responsabilii de sisteme TI  Conexiune insuficientă între măsurile de securitate și obiectivele de control (IT, dar și business orientate) Factori pentru a fi considerați  Analiza la riscuri  Decizii risc orientate  Abordare sistemică în raport cu obiectivele de control  Cost-eficiență 14 CUM SELECTĂM MĂSURILE DE PROTECȚIE
  • 14. APRECIEREA NIVELULUI DE MATURITATE Din chestionar:  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” 15 Opțiuni Sectorul guvernamental Sectorul bancar Protecția la viruși 82% - Bine și foarte bine 100% - Bine și foarte bine Protecția rețelei corporative 79% - Bine și foarte bine 100% - Bine și foarte bine Lucrul la distanță și utilizarea dispozitivelor mobile 32% - Rău și foarte rău 32% - Rău și foarte rău Controlul suporților mobili de informație 55% - Rău și foarte rău 42% - Rău și foarte rău Monitorizarea de securitate 47% - Rău și foarte rău 36% - Rău și foarte rău Nivel insuficient pentru gestiunea riscurilor de securitate 82% - Rău și foarte rău 32% - Rău și foarte rău
  • 15. GESTIUNEA RISCURILOR DE SECURITATE 16 Stabilire context Inventariere și clasificare resurse TI Planificare analiză la riscuri Analiză și evaluare riscuri Tratarea riscurilor Monitorizare și îmbunătățire continuă Din experiența noastră:
  • 16. ANALIZA RISCURILOR DE SECURITATE 17 Din experiența noastră:
  • 17. Din experiența noastră: 1. Stabiliți priorități 2. Țineți lucrurile simple 3. Conectați securitatea la business 4. Aplicați ”Security by design” pentru tot ce e nou 5. Implementați securitatea de bază (principiul pareto) 6. Implementați analiza la riscuri 7. Securitatea ≠ Tehnologie 8. Conștientizare și comunicare 9. Pentru GOV.MD – acționați în comun 18 RECOMANDĂRI
  • 18. VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE 19 KEEP STRONG MOLDOVA
  • 19. MULȚUMESC 20 Marin Prisăcaru Tel: +373 22 882550 Mob: + 373 69 010448 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md