ݺߣ

ݺߣShare a Scribd company logo

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

S.E. CTS CERT-GOV-MD
S.E. CTS CERT-GOV-MD

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI Marin Prisăcaru

1 of 19
Downloaded 19 times
© 2013 InfoTrust Consulting. Toate drepturile rezervate. GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI 02 OCTOMBRIE 2013 Marin Prisăcaru Tel: +373 22 882550 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md
GESTIUNEA RISCURILOR DE SECURITATE ESTE ZONA DE EXPERTIZĂ CHEIE Experiență SC InfoTrust Consulting  Servicii de consultanță managerială din 2009  Peste 20 de clienți în portofoliu  Peste 30 de proiecte realizate în consultanță și audite de securitate / TI, SMSI, BCP, ITSM, cerințe pentru sisteme TI Experiență personală  Sunt în domeniu de 10 ani  CISA, CISM, CRISC  CISM Worldwide Excellence Award 2010  Experiență de audit, supraveghere bancară, management TI  Peste 50 de misiuni de audit și analiză la riscuri de securitate 3
A FOST REALIZATĂ O CHESTIONARE PE EȘANTION ȚINTĂ 4 55 respondenți 42 organizații Sectorul guvernamental: 36 respondenți 28 organizații Sectorul bancar: 19 respondenți 13 organizații 15 Responsabili de securitatea TI 18 Responsabili de sisteme TI 19 Conducători 2 (nedeterminat) Maturitatea abordării pentru securitatea informației
SUBIECTE EXTRASE DIN CHESTIONAR  Perceperea importanței securității informației  Conștientizarea amenințărilor de securitate  Cum ne asigurăm că suntem protejați  Cum selectăm măsurile de protecție  Cum gestiunea riscurilor face lucrurile mai bune 5
IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din chestionar:  ”Considerați că organizația Dumneavoastră acordă suficientă importanță securității informației?” 6 Sectorul guvernamental Sectorul bancar DA – 46% DA – 74% NU – 43% NU – 26% Nu stiu – 11% Nu stiu – 0%  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” Sectorul guvernamental Sectorul bancar Bine și Foarte bine – 63% Bine și Foarte bine – 84% Rău și Foarte rău – 37% Rău și Foarte rău – 16%
IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din experiența noastră:  Perceperea importanței securității informației este diferită la nivel de sector și la nivelul organizațiilor din același sector  Importanța securității informației trebuie să fie direct proporțională rolului informației și al tehnologiei pentru afacerea organizației. Factori pentru a fi considerați  Suport managerial  Comunicare  Conștientizare 7
CONȘTIENTIZARE Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că salariații organizației au un comportament adecvat la accesarea și utilizarea informației, este:” 8 Opțiuni Sectorul guvernamental Sectorul bancar Aprobarea regulilor de utilizare acceptabilă 35% 0% Sancționarea disciplinară pentru încălcări 12% 0% Implementarea programelor de instruire salariați și conștientizare 35% 79% Blocarea accesului la informație 18% 21%
PERCEPEREAAMENINȚĂRILOR DE SECURITATE Din chestionar:  Credeți că organizația dumneavoastră poate fi ținta unui atac cibernetic în următoarele 6 luni? 9 Sectorul guvernamental Sectorul bancar DA – 41% DA – 47% NU – 31% NU – 42% Nu stiu – 28% Nu stiu – 11%  ”Ați paria pentru 1000 de lei că în următoarele 6 luni nu veți avea un incident de securitate vizibil în afara organizației?” Sectorul guvernamental Sectorul bancar DA – 18% DA – 56% NU – 82% NU – 44%
Din experiența noastră:  Orice organizație ce deține sisteme TI poate fi ținta unui atac cibernetic  Se produce migrarea de la conceptul ”mie nu mi se poate întâmpla”  A fi tina unui atac, nu înseamnă implicit că acesta va reuși Factori pentru a fi considerați  Acceptare  Pregătire  Detectare  Reacție planificată 10 PERCEPEREAAMENINȚĂRILOR DE SECURITATE
CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că serviciile electronice accesate de utilizatori din afara organizației sunt securizate, este:” 11 Opțiuni Sectorul guvernamental Sectorul bancar Responsabilizarea furnizorilor de soluții 11% 0% Responsabilizarea echipei TI interne 66% 53% Efectuarea auditărilor de securitate independente 14% 16% Stabilirea planurilor de gestiune a riscurilor de securitate 9% 31%
Din experiența noastră:  Atitudine reactivă pentru securitatea informației  Analiza riscurilor (documentată) în scop de conformare  Funcția de asigurare e delegată preponderent către TI  Este creată și crește rolul funcției de audit TI  Crește cererea pentru servicii profesionale externalizate Factori pentru a fi considerați  Atitudine proactivă  Alocarea resurselor potrivite  Revizuire și îmbunătățire 12 CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
CUM SELECTĂM MĂSURILE DE PROTECȚIE Din chestionar:  ”Care sunt cele mai frecvente practici aplicate de organizația Dumneavoastră pentru selectarea măsurilor de securitate ce trebuie să fie implementate?” Sunt aplicate ÎNTOTDEAUNA următoarele practici: 13 Opțiuni Sectorul guvernamental Sectorul bancar Considerarea incidentelor de securitate produse 43% 79% Considerarea cerințelor de reglementare 32% 79% Urmarea recomandărilor furnizorilor de soluții 32% 32% Considerarea rezultatelor analizei la riscuri 30% 89% Considerarea rezultatelor auditărilor de securitate 37% 79% Este sarcina administratorilor de sisteme TI 52% 26%
Din experiența noastră:  Orientarea spre măsuri tehnice de securitate  Abordare insulară a măsurilor de securitate vs integrat / multi layered  Delegare excesivă către responsabilii de sisteme TI  Conexiune insuficientă între măsurile de securitate și obiectivele de control (IT, dar și business orientate) Factori pentru a fi considerați  Analiza la riscuri  Decizii risc orientate  Abordare sistemică în raport cu obiectivele de control  Cost-eficiență 14 CUM SELECTĂM MĂSURILE DE PROTECȚIE
APRECIEREA NIVELULUI DE MATURITATE Din chestionar:  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” 15 Opțiuni Sectorul guvernamental Sectorul bancar Protecția la viruși 82% - Bine și foarte bine 100% - Bine și foarte bine Protecția rețelei corporative 79% - Bine și foarte bine 100% - Bine și foarte bine Lucrul la distanță și utilizarea dispozitivelor mobile 32% - Rău și foarte rău 32% - Rău și foarte rău Controlul suporților mobili de informație 55% - Rău și foarte rău 42% - Rău și foarte rău Monitorizarea de securitate 47% - Rău și foarte rău 36% - Rău și foarte rău Nivel insuficient pentru gestiunea riscurilor de securitate 82% - Rău și foarte rău 32% - Rău și foarte rău
GESTIUNEA RISCURILOR DE SECURITATE 16 Stabilire context Inventariere și clasificare resurse TI Planificare analiză la riscuri Analiză și evaluare riscuri Tratarea riscurilor Monitorizare și îmbunătățire continuă Din experiența noastră:
ANALIZA RISCURILOR DE SECURITATE 17 Din experiența noastră:
Din experiența noastră: 1. Stabiliți priorități 2. Țineți lucrurile simple 3. Conectați securitatea la business 4. Aplicați ”Security by design” pentru tot ce e nou 5. Implementați securitatea de bază (principiul pareto) 6. Implementați analiza la riscuri 7. Securitatea ≠ Tehnologie 8. Conștientizare și comunicare 9. Pentru GOV.MD – acționați în comun 18 RECOMANDĂRI
VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE 19 KEEP STRONG MOLDOVA
MULȚUMESC 20 Marin Prisăcaru Tel: +373 22 882550 Mob: + 373 69 010448 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md

More Related Content

GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI

  • 1. © 2013 InfoTrust Consulting. Toate drepturile rezervate. GESTIONAREA RISCURILOR DE SECURITATE A INFORMAȚIEI 02 OCTOMBRIE 2013 Marin Prisăcaru Tel: +373 22 882550 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md
  • 2. GESTIUNEA RISCURILOR DE SECURITATE ESTE ZONA DE EXPERTIZĂ CHEIE Experiență SC InfoTrust Consulting  Servicii de consultanță managerială din 2009  Peste 20 de clienți în portofoliu  Peste 30 de proiecte realizate în consultanță și audite de securitate / TI, SMSI, BCP, ITSM, cerințe pentru sisteme TI Experiență personală  Sunt în domeniu de 10 ani  CISA, CISM, CRISC  CISM Worldwide Excellence Award 2010  Experiență de audit, supraveghere bancară, management TI  Peste 50 de misiuni de audit și analiză la riscuri de securitate 3
  • 3. A FOST REALIZATĂ O CHESTIONARE PE EȘANTION ȚINTĂ 4 55 respondenți 42 organizații Sectorul guvernamental: 36 respondenți 28 organizații Sectorul bancar: 19 respondenți 13 organizații 15 Responsabili de securitatea TI 18 Responsabili de sisteme TI 19 Conducători 2 (nedeterminat) Maturitatea abordării pentru securitatea informației
  • 4. SUBIECTE EXTRASE DIN CHESTIONAR  Perceperea importanței securității informației  Conștientizarea amenințărilor de securitate  Cum ne asigurăm că suntem protejați  Cum selectăm măsurile de protecție  Cum gestiunea riscurilor face lucrurile mai bune 5
  • 5. IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din chestionar:  ”Considerați că organizația Dumneavoastră acordă suficientă importanță securității informației?” 6 Sectorul guvernamental Sectorul bancar DA – 46% DA – 74% NU – 43% NU – 26% Nu stiu – 11% Nu stiu – 0%  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” Sectorul guvernamental Sectorul bancar Bine și Foarte bine – 63% Bine și Foarte bine – 84% Rău și Foarte rău – 37% Rău și Foarte rău – 16%
  • 6. IMPORTANȚA SECURITĂȚII INFORMAȚIEI Din experiența noastră:  Perceperea importanței securității informației este diferită la nivel de sector și la nivelul organizațiilor din același sector  Importanța securității informației trebuie să fie direct proporțională rolului informației și al tehnologiei pentru afacerea organizației. Factori pentru a fi considerați  Suport managerial  Comunicare  Conștientizare 7
  • 7. CONȘTIENTIZARE Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că salariații organizației au un comportament adecvat la accesarea și utilizarea informației, este:” 8 Opțiuni Sectorul guvernamental Sectorul bancar Aprobarea regulilor de utilizare acceptabilă 35% 0% Sancționarea disciplinară pentru încălcări 12% 0% Implementarea programelor de instruire salariați și conștientizare 35% 79% Blocarea accesului la informație 18% 21%
  • 8. PERCEPEREAAMENINȚĂRILOR DE SECURITATE Din chestionar:  Credeți că organizația dumneavoastră poate fi ținta unui atac cibernetic în următoarele 6 luni? 9 Sectorul guvernamental Sectorul bancar DA – 41% DA – 47% NU – 31% NU – 42% Nu stiu – 28% Nu stiu – 11%  ”Ați paria pentru 1000 de lei că în următoarele 6 luni nu veți avea un incident de securitate vizibil în afara organizației?” Sectorul guvernamental Sectorul bancar DA – 18% DA – 56% NU – 82% NU – 44%
  • 9. Din experiența noastră:  Orice organizație ce deține sisteme TI poate fi ținta unui atac cibernetic  Se produce migrarea de la conceptul ”mie nu mi se poate întâmpla”  A fi tina unui atac, nu înseamnă implicit că acesta va reuși Factori pentru a fi considerați  Acceptare  Pregătire  Detectare  Reacție planificată 10 PERCEPEREAAMENINȚĂRILOR DE SECURITATE
  • 10. CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI Din chestionar:  ”Cea mai populară practică (din cele menționate) aplicată de organizația Dumneavoastră pentru a se asigura că serviciile electronice accesate de utilizatori din afara organizației sunt securizate, este:” 11 Opțiuni Sectorul guvernamental Sectorul bancar Responsabilizarea furnizorilor de soluții 11% 0% Responsabilizarea echipei TI interne 66% 53% Efectuarea auditărilor de securitate independente 14% 16% Stabilirea planurilor de gestiune a riscurilor de securitate 9% 31%
  • 11. Din experiența noastră:  Atitudine reactivă pentru securitatea informației  Analiza riscurilor (documentată) în scop de conformare  Funcția de asigurare e delegată preponderent către TI  Este creată și crește rolul funcției de audit TI  Crește cererea pentru servicii profesionale externalizate Factori pentru a fi considerați  Atitudine proactivă  Alocarea resurselor potrivite  Revizuire și îmbunătățire 12 CUM NE ASIGURĂM CĂ SUNTEM PROTEJAȚI
  • 12. CUM SELECTĂM MĂSURILE DE PROTECȚIE Din chestionar:  ”Care sunt cele mai frecvente practici aplicate de organizația Dumneavoastră pentru selectarea măsurilor de securitate ce trebuie să fie implementate?” Sunt aplicate ÎNTOTDEAUNA următoarele practici: 13 Opțiuni Sectorul guvernamental Sectorul bancar Considerarea incidentelor de securitate produse 43% 79% Considerarea cerințelor de reglementare 32% 79% Urmarea recomandărilor furnizorilor de soluții 32% 32% Considerarea rezultatelor analizei la riscuri 30% 89% Considerarea rezultatelor auditărilor de securitate 37% 79% Este sarcina administratorilor de sisteme TI 52% 26%
  • 13. Din experiența noastră:  Orientarea spre măsuri tehnice de securitate  Abordare insulară a măsurilor de securitate vs integrat / multi layered  Delegare excesivă către responsabilii de sisteme TI  Conexiune insuficientă între măsurile de securitate și obiectivele de control (IT, dar și business orientate) Factori pentru a fi considerați  Analiza la riscuri  Decizii risc orientate  Abordare sistemică în raport cu obiectivele de control  Cost-eficiență 14 CUM SELECTĂM MĂSURILE DE PROTECȚIE
  • 14. APRECIEREA NIVELULUI DE MATURITATE Din chestionar:  ”Cum apreciați nivelul de maturitate al organizației pe următoarele zone:” 15 Opțiuni Sectorul guvernamental Sectorul bancar Protecția la viruși 82% - Bine și foarte bine 100% - Bine și foarte bine Protecția rețelei corporative 79% - Bine și foarte bine 100% - Bine și foarte bine Lucrul la distanță și utilizarea dispozitivelor mobile 32% - Rău și foarte rău 32% - Rău și foarte rău Controlul suporților mobili de informație 55% - Rău și foarte rău 42% - Rău și foarte rău Monitorizarea de securitate 47% - Rău și foarte rău 36% - Rău și foarte rău Nivel insuficient pentru gestiunea riscurilor de securitate 82% - Rău și foarte rău 32% - Rău și foarte rău
  • 15. GESTIUNEA RISCURILOR DE SECURITATE 16 Stabilire context Inventariere și clasificare resurse TI Planificare analiză la riscuri Analiză și evaluare riscuri Tratarea riscurilor Monitorizare și îmbunătățire continuă Din experiența noastră:
  • 16. ANALIZA RISCURILOR DE SECURITATE 17 Din experiența noastră:
  • 17. Din experiența noastră: 1. Stabiliți priorități 2. Țineți lucrurile simple 3. Conectați securitatea la business 4. Aplicați ”Security by design” pentru tot ce e nou 5. Implementați securitatea de bază (principiul pareto) 6. Implementați analiza la riscuri 7. Securitatea ≠ Tehnologie 8. Conștientizare și comunicare 9. Pentru GOV.MD – acționați în comun 18 RECOMANDĂRI
  • 18. VOM PUTEA FACE FAȚĂ ȘI AMENINȚĂRILOR CIBERNETICE 19 KEEP STRONG MOLDOVA
  • 19. MULȚUMESC 20 Marin Prisăcaru Tel: +373 22 882550 Mob: + 373 69 010448 Email: marin.prisacaru@infotrust.md Web: www.infotrust.md