Weitere ähnliche Inhalte Ähnlich wie [Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса Ähnlich wie [Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса (20) [Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса1. В поисках взаимопонимания
ИБ и Бизнеса
Конференция
Ukrainian Information Security Group UISGv7
Владимир Гнинюк
ген. директор ООО «Глобал АйТи Сервис»
2. Проблемы сегодняшнего дня
Постиндустриальное общество
• От производства товаров к производству услуг
• Производственным ресурсом становятся информация и
знания
Глобализация
• рост конкуренции
– расширение территорий
– расширение возможностей в технологиях продаж
• непрерывность бизнеса
• конфиденциальность
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 2
Сервис». All rights reserved.
3. Как это отражается на бизнесе
Компьютер на каждом столе
Автоматизация всех основных бизнес-процессов
Новые возможности (но и новые опасности):
• удаленная работа
• системы B2B, B2P, «электронная торговля»
• объединение геораспределенных подразделений в
единое информационное пространство)
• удаленное управление финансами
• VoIP
• и т.д.
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 3
Сервис». All rights reserved.
4. Но денег не дают…
«Денег не дают потому как ИБ - затратная статья...»
Неизвестный Безопасник
А почему тогда дают деньги на
• забор вокруг предприятия
• офисные и складские помещения
• закупку сырья
• уплату зарплаты
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 4
Сервис». All rights reserved.
5. Что такое ИБ? Терминология
«Верно определяйте слова, и вы освободите мир от
половины недоразумений»
Рене Декарт
Хорошая формулировка для "технарей", но
плохая для BDM:
"The protection of information and information systems from
unauthorized access, use, disclosure, disruption, modification, or
destruction in order to provide confidentiality, integrity, and
availability. (Committee on National Security Systems. CNSS
Instruction No. 4009 26 April 2010)
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 5
Сервис». All rights reserved.
6. Что такое ИБ? Терминология
Інформаційна безпека (information security)
Збереження конфіденційності, цілісності та
доступності інформації; крім того, можуть
враховуватися інші властивості, такі, як
автентичність, спостержність, неспростовність та
надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010)
Інформаційна безпека - це захист інформації від
широкого діапазону загроз з метою забезпечення
безперервності бізнесу, мінімізації бізнес-ризику і
отримання максимальних рентабельності інвестицій
і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010)
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 6
Сервис». All rights reserved.
7. Что такое ИБ? Терминология
Мое видение:
«Информационная безопасность - это вид
деятельности направленный на защиту
личности, общества, государства от угроз,
возникающих в результате владения и/или
обработки Информации.»
Бизнес – частный случай!
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 7
Сервис». All rights reserved.
8. Источники проблем
• Управление организацией (УО)
• Техники, которые мы используем
• Психология безопасности
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 8
Сервис». All rights reserved.
9. УО: Картина мира - Общие критерии
Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002 (не ISO/IEC 15408-1:2009)
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 9
Сервис». All rights reserved.
10. УО: Картина мира - BMIS
Business Model for Information Security от ISACA (2010)
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 10
Сервис». All rights reserved.
11. УО: Позиционирование - Проблемы
Синдром ИТ-шника – работаю «скрытно»
– самый умный, самый трудолюбивый,
жертвоприношение
– презрение к окружающим
– боязнь остаться без работы
Утаивание инцидентов
– инциденты идут в "пассив", отсутствие инцидентов -
никуда не идет
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 11
Сервис». All rights reserved.
12. УО: Позиционирование - Решение
Система прав и полномочий
Корпоративное Система ценностей и ожиданий акционеров
управление Система показателей стоимости компании
Миссия, система целей и стратегий
Стратегическое Планы развития компании
управление Система стратегических показателей
Организационная структура
Операционное Процессы управления
управление Показатели операционной эффективности
• Кому должен быть подчинен C(I)SO
• «Сверху вниз» vs «Снизу вверх»
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 12
Сервис». All rights reserved.
13. УО: Вовлеченность - Проблемы
Низкая вовлеченность Бизнеса и Персонала в
процессы управления ИБ
• устаревшие принципы управления
• отсутствие метрик эффективности БИЗНЕСА (KPI)
• недооценка формализации (политики,
процедуры, бизнес-процессы…)
• осведомленность (Картина Мира)
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 13
Сервис». All rights reserved.
14. УО: Вовлеченность - Решения
• принципы управления
– Процессный подход
– Внедрение БИЗНЕС-метрик
– Формализация
– Риск-менеджмент, Compliance-Management
• осведомленность
– Картина Мира: ВСЕГО ПЕРСОНАЛА
– Инцидент менеджмент: ПРЕМИЯ ЗА ИНЦИДЕНТ
– ИБ: присутствие на ВСЕХ собраниях и заседаниях
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 14
Сервис». All rights reserved.
16. Связь ИБ и Основной деятельности
Источник : книга Курило А.П. Аудит информационной безопасности
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 16
Сервис». All rights reserved.
17. Цености: Классификация Категоризация
Источники проблем
• Личные цели vs Общественных
• референтные классы - Reference class problem
Пути решения
• вовлеченность персонала
– периодическая «перекрестная» переоценка
• отражение в бизнес-процесах
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 17
Сервис». All rights reserved.
18. Риск-Менеджмент: Проблемы (поправимые)
• дуальность: потери vs возможности
• анализ рисков пока не ведется (обработка
рисков происходит всегда, другое дело "зрелость"
(формализация, CMMI))
• несвоевременный анализ
«Половина риск-менеджеров хотят расчеты рыночного риска
для новых сделок за 10 секунд, но только 20 процентов могут
добиться этого, а 40 процентов должны работать целую ночь…»
(http://www.forbes.com/sites/tomgroenfeldt/2011/10/25/banks-move-toward-global-risk-management-one-local-step-at-a-
time/)
• не знание "аппетита"
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 18
Сервис». All rights reserved.
19. Риск-Менеджмент: Проблемы (концептуальные)
• Количественные vs Качественных
• Невозможность практической проверки
результатов
• «Черные лебеди»
• Сомнительность предсказания будущего, на
знаниях о прошлом
• Неопределенность бывает разная
• Проблема референтных классов
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 19
Сервис». All rights reserved.
20. Риск-Менеджмент: Возможные Решения
• смещение акцентов с Угроз на Активы
• использование различных методик
• управление рисками должно «пронизывать» всю
организацию
• использование PESTLE и сценарного анализов
© ООО «Глобал АйТи Сервис». All rights reserved. Конференция UISGv7 Страница 20
21. Техники: PESTLE-анализ
Аспекты внешней среды, которые влияют на Бизнес:
Political - политические
Economic - экономические
Social - социальные
Technological - технологические
Legal - правовые
Environmental – окружающая среда
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 21
Сервис». All rights reserved.
22. Техники: Сценарный анализ
мощный инструмент для понимания
неопределенности и развития стратегий
• расширяет границы мышления
• указывает на (почти) неизбежные ситуации, что
нас ожидают (демография, економика, неустойчевые тенденции,
запланированные события)
• защищает от "группового" мышления
• позволяют бросить вызов общепринятому
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 22
Сервис». All rights reserved.
23. Framing Bias
Ситуация 1:
• Решение А: гарантированное получение - $5000
• Решение B: получение с 50% вероятн. - $11000
Ситуация 2:
• Решение C: гарантированная потеря - $5000
• Решение D: потеря с 50% вероятн. - $11000
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 23
Сервис». All rights reserved.
24. Когнитивные искажения: Примеры
Когнитивные искажения — это систематические
ошибки в мышлении или шаблонные отклонения в
суждениях, которые происходят в определённых ситуациях.
(Wikipedia)
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 24
Сервис». All rights reserved.
25. Когнитивные искажения: Примеры
Профессиональная деформация
Эффект повального увлечения (конформизм)
Эвристика доступности
Ошибка, связанная с частными примерами
Предвзятость подтверждения
Эффект привязки
Сопротивление, «дух противоречия»
Предпочтение нулевого риска
Подчинение авторитету
Недооценка бездействия
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 25
Сервис». All rights reserved.
26. Результат: Восприятие Риска
Преувеличиваем Преуменьшаем
Производят глубокое Не привлекают внимание
впечатление
Случаются редко Являются обычными
Персонифицированы Анонимны
Обсуждаются Не обсуждаются
Рукотворные Естественные
Угрожают непосредственно Угрожают в будущем
Внезапны Развиваются медленно
Новые и незнакомые Знакомые
Непонятные Понятные
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 26
Сервис». All rights reserved.
27. Итоги
• Безопасник-менеджер это очень мало, он должен
быть лидером
• Подарите директору открытку
• Внедряйте процессный подход
• Изучайте Бизнес. Присутствуйте на собраниях всех
подразделений
• ИБ должна пронизывать все предприятие
• Используйте Риск-ориентированные подходы
• Используйте технику сценариев
• Учитесь понимать Людей их Цели и Поступки
© 2011 ООО «Глобал АйТи
Конференция UISGv7 Страница 27
Сервис». All rights reserved.
28. В поисках взаимопонимания ИБ и Бизнеса
Вопросы
Владимир Гнинюк
e-mail: vgninyuk@global-it-service.com.ua
Блог: «Make IT Secure» http://vgninyuk.blogspot.com/
Тел. +380 50 44 008 44