2. Утечки в 2013 г.
В поле внимания СМИ все чаще попадают
утечки, остававшиеся ранее неизвестными.
(Возможно, мы просто лучше видим реальную
картину, а не ухудшение ситуации.)
4. Еще год назад мы говорили о снижении доли персональных
данных в общей картине утечек (до 89,4%).
В 2013 году доля персональных данных вновь уменьшилась
(до 85,1%).
Персональные данные
5. Доля случайных утечек выросла на 8,1%.
Доля злонамеренных, наоборот, немного уменьшилась.
Случайные vs. умышленные
Опять-таки: возможно улучшилось наше
знание об утечках — благодаря DLP.
7. Инфраструктура
Люди
Приложения
ИБ — стратегический дашборд
Наибольшие риски. Мало лучших
практик, решения недостаточно
отработаны. Пользователи мало
информированы об угрозах.
Средние риски. Есть технические и
организационные проблемы, но они
решаемы.
Риски существуют, но они изучены,
имеются меры противодействия.
Технологии и лучшие практики
развиваются активно.
9. У вас были инциденты безопасности в 2013 году?
Да, были. – у всех компаний
10. Инциденты есть у всех, но в большинстве
случаев они не опасны.
Что тревожит:
●
От хакеров требуется все меньшая
квалификация (82% атак)
●
Сроки устранения уязвимостей велики
(бывает и 9 лет, 32 мес. - средний возраст
неустановленных патчей)
●
Для преодоления периметра требуется
использовать всего 2 уязвимости
(раньше было 5)
14. Не так страшен BYOD,
как его малюют
Доля случайных и
умышленных утечек,
связанная с использованием
мобильных устройств,
остается незначительной.
(2,5 и 0,4% соответственно.)
Во многом, это ответ на
заявления о якобы
чрезвычайной угрозе
распространения мобильных
устройств в корпоративной
среде. – InfoWatch
Рисунок Пушкина к сказке
о попе и работнике его Балде
24. Безопасность и
user experience
Средства защиты
не должны препятствовать
пользованию системой.
– SMS по каждому поводу
– завышенные требования к
паролям
– различные
запретительные меры
26. Не впадать в паранойю!
Отказ от ИТ — это не выход.
«После скандалов с
распространением секретных
документов WikiLeaks,
разоблачениями Эдварда Сноудена,
сообщениями о прослушке Дмитрия
Медведева во время его визита на
саммит G20 в Лондоне практику
создания бумажных документов
решено расширить», — заявил
источник «Известий» в ФСО.
ФСО заказала пишущие машинки
27. Формальные требования не должны
отнимать ресурсы по защите
от реальных угроз
Нормативная и методическая
база не успевает за реалиями
сегодняшнего дня.
Значительные средства тратятся
на соблюдение формальных
требований.
Универсиада-2013:
Фактически, работали две команды.
Одна — чтобы сдать проект по ГОСТУ.
Вторая — чтобы делать дело.
28. Каков ущерб от утечек?
Мы не приводим точной экспертной
оценки совокупных потерь компаний,
связанных с инцидентами ИБ и
ликвидацией их последствий, во
избежание ненужных спекуляций
вокруг конкретных цифр
непрямых потерь.
– InfoWatch
29. Меры защиты не должны быть дороже,
чем возможный ущерб
Избыточность ИБ
экономически
неэффективна
30. Пожелание в заключение:
Чтобы ваша система безопасности не выглядела вот так –
мощная дверь в хилом заборе. Решение должно быть
сбалансировано и адекватно угрозам.
32. Не забудьте отключить звук
ваших мобильных телефонов :)
СПАСИБО!!!
Почему я не выключаю
звонок телефона на
конференции:
У меня крутая мелодия, хочу
чтобы все послушали
Я не знаю, где у него кнопка
Мне совершенно точно никто
не позвонит
– Ваш вариант?