SlideShare una empresa de Scribd logo

[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса

UISGCON
UISGCON
Empresariales
1 de 28
В поисках взаимопонимания ИБ и Бизнеса Конференция Ukrainian Information Security Group UISGv7 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»
Проблемы сегодняшнего дня Постиндустриальное общество • От производства товаров к производству услуг • Производственным ресурсом становятся информация и знания Глобализация • рост конкуренции – расширение территорий – расширение возможностей в технологиях продаж • непрерывность бизнеса • конфиденциальность © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 2 Сервис». All rights reserved.
Как это отражается на бизнесе Компьютер на каждом столе Автоматизация всех основных бизнес-процессов Новые возможности (но и новые опасности): • удаленная работа • системы B2B, B2P, «электронная торговля» • объединение геораспределенных подразделений в единое информационное пространство) • удаленное управление финансами • VoIP • и т.д. © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 3 Сервис». All rights reserved.
Но денег не дают… «Денег не дают потому как ИБ - затратная статья...» Неизвестный Безопасник А почему тогда дают деньги на • забор вокруг предприятия • офисные и складские помещения • закупку сырья • уплату зарплаты © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 4 Сервис». All rights reserved.
Что такое ИБ? Терминология «Верно определяйте слова, и вы освободите мир от половины недоразумений» Рене Декарт Хорошая формулировка для "технарей", но плохая для BDM: "The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability. (Committee on National Security Systems. CNSS Instruction No. 4009 26 April 2010) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 5 Сервис». All rights reserved.
Что такое ИБ? Терминология Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010) Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 6 Сервис». All rights reserved.
Что такое ИБ? Терминология Мое видение: «Информационная безопасность - это вид деятельности направленный на защиту личности, общества, государства от угроз, возникающих в результате владения и/или обработки Информации.» Бизнес – частный случай! © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 7 Сервис». All rights reserved.
Источники проблем • Управление организацией (УО) • Техники, которые мы используем • Психология безопасности © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 8 Сервис». All rights reserved.
УО: Картина мира - Общие критерии Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002 (не ISO/IEC 15408-1:2009) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 9 Сервис». All rights reserved.
УО: Картина мира - BMIS Business Model for Information Security от ISACA (2010) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 10 Сервис». All rights reserved.
УО: Позиционирование - Проблемы Синдром ИТ-шника – работаю «скрытно» – самый умный, самый трудолюбивый, жертвоприношение – презрение к окружающим – боязнь остаться без работы Утаивание инцидентов – инциденты идут в "пассив", отсутствие инцидентов - никуда не идет © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 11 Сервис». All rights reserved.
УО: Позиционирование - Решение Система прав и полномочий Корпоративное Система ценностей и ожиданий акционеров управление Система показателей стоимости компании Миссия, система целей и стратегий Стратегическое Планы развития компании управление Система стратегических показателей Организационная структура Операционное Процессы управления управление Показатели операционной эффективности • Кому должен быть подчинен C(I)SO • «Сверху вниз» vs «Снизу вверх» © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 12 Сервис». All rights reserved.
УО: Вовлеченность - Проблемы Низкая вовлеченность Бизнеса и Персонала в процессы управления ИБ • устаревшие принципы управления • отсутствие метрик эффективности БИЗНЕСА (KPI) • недооценка формализации (политики, процедуры, бизнес-процессы…) • осведомленность (Картина Мира) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 13 Сервис». All rights reserved.
УО: Вовлеченность - Решения • принципы управления – Процессный подход – Внедрение БИЗНЕС-метрик – Формализация – Риск-менеджмент, Compliance-Management • осведомленность – Картина Мира: ВСЕГО ПЕРСОНАЛА – Инцидент менеджмент: ПРЕМИЯ ЗА ИНЦИДЕНТ – ИБ: присутствие на ВСЕХ собраниях и заседаниях © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 14 Сервис». All rights reserved.
Процессно-ориентировнный подход © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 15 Сервис». All rights reserved.
Связь ИБ и Основной деятельности Источник : книга Курило А.П. Аудит информационной безопасности © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 16 Сервис». All rights reserved.
Цености: Классификация Категоризация Источники проблем • Личные цели vs Общественных • референтные классы - Reference class problem Пути решения • вовлеченность персонала – периодическая «перекрестная» переоценка • отражение в бизнес-процесах © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 17 Сервис». All rights reserved.
Риск-Менеджмент: Проблемы (поправимые) • дуальность: потери vs возможности • анализ рисков пока не ведется (обработка рисков происходит всегда, другое дело "зрелость" (формализация, CMMI)) • несвоевременный анализ «Половина риск-менеджеров хотят расчеты рыночного риска для новых сделок за 10 секунд, но только 20 процентов могут добиться этого, а 40 процентов должны работать целую ночь…» (http://www.forbes.com/sites/tomgroenfeldt/2011/10/25/banks-move-toward-global-risk-management-one-local-step-at-a- time/) • не знание "аппетита" © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 18 Сервис». All rights reserved.
Риск-Менеджмент: Проблемы (концептуальные) • Количественные vs Качественных • Невозможность практической проверки результатов • «Черные лебеди» • Сомнительность предсказания будущего, на знаниях о прошлом • Неопределенность бывает разная • Проблема референтных классов © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 19 Сервис». All rights reserved.
Риск-Менеджмент: Возможные Решения • смещение акцентов с Угроз на Активы • использование различных методик • управление рисками должно «пронизывать» всю организацию • использование PESTLE и сценарного анализов © ООО «Глобал АйТи Сервис». All rights reserved. Конференция UISGv7 Страница 20
Техники: PESTLE-анализ Аспекты внешней среды, которые влияют на Бизнес: Political - политические Economic - экономические Social - социальные Technological - технологические Legal - правовые Environmental – окружающая среда © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 21 Сервис». All rights reserved.
Техники: Сценарный анализ мощный инструмент для понимания неопределенности и развития стратегий • расширяет границы мышления • указывает на (почти) неизбежные ситуации, что нас ожидают (демография, економика, неустойчевые тенденции, запланированные события) • защищает от "группового" мышления • позволяют бросить вызов общепринятому © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 22 Сервис». All rights reserved.
Framing Bias Ситуация 1: • Решение А: гарантированное получение - $5000 • Решение B: получение с 50% вероятн. - $11000 Ситуация 2: • Решение C: гарантированная потеря - $5000 • Решение D: потеря с 50% вероятн. - $11000 © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 23 Сервис». All rights reserved.
Когнитивные искажения: Примеры Когнитивные искажения — это систематические ошибки в мышлении или шаблонные отклонения в суждениях, которые происходят в определённых ситуациях. (Wikipedia) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 24 Сервис». All rights reserved.
Когнитивные искажения: Примеры Профессиональная деформация Эффект повального увлечения (конформизм) Эвристика доступности Ошибка, связанная с частными примерами Предвзятость подтверждения Эффект привязки Сопротивление, «дух противоречия» Предпочтение нулевого риска Подчинение авторитету Недооценка бездействия © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 25 Сервис». All rights reserved.
Результат: Восприятие Риска Преувеличиваем Преуменьшаем Производят глубокое Не привлекают внимание впечатление Случаются редко Являются обычными Персонифицированы Анонимны Обсуждаются Не обсуждаются Рукотворные Естественные Угрожают непосредственно Угрожают в будущем Внезапны Развиваются медленно Новые и незнакомые Знакомые Непонятные Понятные © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 26 Сервис». All rights reserved.
Итоги • Безопасник-менеджер это очень мало, он должен быть лидером • Подарите директору открытку • Внедряйте процессный подход • Изучайте Бизнес. Присутствуйте на собраниях всех подразделений • ИБ должна пронизывать все предприятие • Используйте Риск-ориентированные подходы • Используйте технику сценариев • Учитесь понимать Людей их Цели и Поступки © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 27 Сервис». All rights reserved.
В поисках взаимопонимания ИБ и Бизнеса Вопросы Владимир Гнинюк e-mail: vgninyuk@global-it-service.com.ua Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44

Recomendados

[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из туманаUISGCON
 
Переход в облака, выход из тумана
Переход в облака, выход из туманаПереход в облака, выход из тумана
Переход в облака, выход из туманаAndriy Lysyuk
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Aleksey Lukatskiy
 
Security Measurement.pdf
Security Measurement.pdfSecurity Measurement.pdf
Security Measurement.pdfAleksey Lukatskiy
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другоеCisco Russia
 
Совокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecСовокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecCisco Russia
 

Recomendados

[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из туманаUISGCON
 
Переход в облака, выход из тумана
Переход в облака, выход из туманаПереход в облака, выход из тумана
Переход в облака, выход из туманаAndriy Lysyuk
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Aleksey Lukatskiy
 
Security Measurement.pdf
Security Measurement.pdfSecurity Measurement.pdf
Security Measurement.pdfAleksey Lukatskiy
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другоеCisco Russia
 
Совокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecСовокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecCisco Russia
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Cisco Russia
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Cisco Russia
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Cisco on DKP Russia 2008
Cisco on DKP Russia 2008Cisco on DKP Russia 2008
Cisco on DKP Russia 2008Aleksey Lukatskiy
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 
Кибербезопасность как преимущество для дальнейшего роста
Кибербезопасность как преимущество для дальнейшего ростаКибербезопасность как преимущество для дальнейшего роста
Кибербезопасность как преимущество для дальнейшего ростаCisco Russia
 
управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работаетVladimir Gninyuk
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"Expolink
 
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...Expolink
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...Expolink
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation ForumVladimir Matviychuk
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Mobile devicesecurity pwc
Mobile devicesecurity pwcMobile devicesecurity pwc
Mobile devicesecurity pwcExpolink
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)Aleksey Lukatskiy
 
[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...
[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...
[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...UISGCON
 
[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасности[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасностиUISGCON
 

Más contenido relacionado

La actualidad más candente

Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Cisco Russia
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Cisco Russia
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризисаAleksey Lukatskiy
 
Кибербезопасность как преимущество для дальнейшего роста
Кибербезопасность как преимущество для дальнейшего ростаКибербезопасность как преимущество для дальнейшего роста
Кибербезопасность как преимущество для дальнейшего ростаCisco Russia
 
управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работаетVladimir Gninyuk
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"Expolink
 
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...Expolink
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...Expolink
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Mobile devicesecurity pwc
Mobile devicesecurity pwcMobile devicesecurity pwc
Mobile devicesecurity pwcExpolink
 

La actualidad más candente (20)

Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
Как решения Cisco по безопасности могут повлиять на рост доходов, снижение из...
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 
Cisco on DKP Russia 2008
Cisco on DKP Russia 2008Cisco on DKP Russia 2008
Cisco on DKP Russia 2008
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризиса
 
Кибербезопасность как преимущество для дальнейшего роста
Кибербезопасность как преимущество для дальнейшего ростаКибербезопасность как преимущество для дальнейшего роста
Кибербезопасность как преимущество для дальнейшего роста
 
управление риском почему не работает
управление риском почему не работаетуправление риском почему не работает
управление риском почему не работает
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
 
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"
SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"
 
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...
SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информ...
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...
SPSR Express. Мананников Дмитрий. "Экономические аспекты информационной безоп...
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuity
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Mobile devicesecurity pwc
Mobile devicesecurity pwcMobile devicesecurity pwc
Mobile devicesecurity pwc
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
 

Destacado

[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...
[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...
[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...UISGCON
 
[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасности[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасностиUISGCON
 
[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...
[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...
[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...UISGCON
 
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...UISGCON
 
[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый день[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый деньUISGCON
 
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБUISGCON
 

Destacado (6)

[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...
[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...
[Short 17-00] Юрій Герасим - Системи захисту інформації в корпоративних мереж...
 
[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасности[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасности
 
[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...
[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...
[Short 13-00] Віктор Чмель - Проекти з інформаційної безпеки -- погляд з сере...
 
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
 
[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый день[Short 10-00] Глеб Пахаренко - Криптография на каждый день
[Short 10-00] Глеб Пахаренко - Криптография на каждый день
 
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
 

Similar a [Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса

Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...DLP-Эксперт
 
1.астерит хазиев м
1.астерит хазиев м1.астерит хазиев м
1.астерит хазиев мExpolink
 
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Expolink
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийExpolink
 
Управление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облакаУправление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облакаMichael Kozloff
 
Зачем в Avito Аналитика?
Зачем в Avito Аналитика?Зачем в Avito Аналитика?
Зачем в Avito Аналитика?AvitoTech
 
ИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияYury Kupriyanov
 
Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...Cisco Russia
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 
Impact of Information Technology on Business Development Strategy. Organizati...
Impact of Information Technology on Business Development Strategy. Organizati...Impact of Information Technology on Business Development Strategy. Organizati...
Impact of Information Technology on Business Development Strategy. Organizati...SSA KPI
 
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptxMarkkut5
 
Астерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практикеАстерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практикеExpolink
 
астерит код иб 1211
астерит код иб 1211астерит код иб 1211
астерит код иб 1211Expolink
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.SelectedPresentations
 
Практический курсы для ИТ-директора
Практический курсы для ИТ-директораПрактический курсы для ИТ-директора
Практический курсы для ИТ-директораExpolink
 
О необходимости разработки стратегии развития систем принятия решения в банке
О необходимости разработки стратегии развития систем принятия решения в банкеО необходимости разработки стратегии развития систем принятия решения в банке
О необходимости разработки стратегии развития систем принятия решения в банкеIhor Voloshyn
 
WISEADVICE. EBITDA vs TCO & AMP
WISEADVICE. EBITDA vs TCO & AMPWISEADVICE. EBITDA vs TCO & AMP
WISEADVICE. EBITDA vs TCO & AMPWiseAdviceRussia
 
CNews: ИКТ в финсекторе: лучшие практики оптимизации
CNews: ИКТ в финсекторе: лучшие практики оптимизацииCNews: ИКТ в финсекторе: лучшие практики оптимизации
CNews: ИКТ в финсекторе: лучшие практики оптимизацииФонд СПО 2.0
 

Similar a [Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса (20)

Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
 
1.астерит хазиев м
1.астерит хазиев м1.астерит хазиев м
1.астерит хазиев м
 
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
 
Управление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облакаУправление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облака
 
Зачем в Avito Аналитика?
Зачем в Avito Аналитика?Зачем в Avito Аналитика?
Зачем в Avito Аналитика?
 
ИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятия
 
Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...
 
It strategy-transformation-mkozloffv
It strategy-transformation-mkozloffvIt strategy-transformation-mkozloffv
It strategy-transformation-mkozloffv
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
 
Impact of Information Technology on Business Development Strategy. Organizati...
Impact of Information Technology on Business Development Strategy. Organizati...Impact of Information Technology on Business Development Strategy. Organizati...
Impact of Information Technology on Business Development Strategy. Organizati...
 
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
1 лекция. Группа Открытие. Введение в Process mining. Э.Ниязов (готова).pptx
 
Астерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практикеАстерит: Концепция ИБ - от теории к практике
Астерит: Концепция ИБ - от теории к практике
 
астерит код иб 1211
астерит код иб 1211астерит код иб 1211
астерит код иб 1211
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.
 
Практический курсы для ИТ-директора
Практический курсы для ИТ-директораПрактический курсы для ИТ-директора
Практический курсы для ИТ-директора
 
О необходимости разработки стратегии развития систем принятия решения в банке
О необходимости разработки стратегии развития систем принятия решения в банкеО необходимости разработки стратегии развития систем принятия решения в банке
О необходимости разработки стратегии развития систем принятия решения в банке
 
WISEADVICE. EBITDA vs TCO & AMP
WISEADVICE. EBITDA vs TCO & AMPWISEADVICE. EBITDA vs TCO & AMP
WISEADVICE. EBITDA vs TCO & AMP
 
CNews: ИКТ в финсекторе: лучшие практики оптимизации
CNews: ИКТ в финсекторе: лучшие практики оптимизацииCNews: ИКТ в финсекторе: лучшие практики оптимизации
CNews: ИКТ в финсекторе: лучшие практики оптимизации
 

Más de UISGCON

Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9UISGCON
 
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...UISGCON
 
Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9UISGCON
 
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9UISGCON
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9UISGCON
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9UISGCON
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйUISGCON
 
Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?UISGCON
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...UISGCON
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...UISGCON
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз UISGCON
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...UISGCON
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...UISGCON
 
Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? UISGCON
 
Ajeet Singh - The FBI Overseas
Ajeet Singh - The FBI OverseasAjeet Singh - The FBI Overseas
Ajeet Singh - The FBI OverseasUISGCON
 

Más de UISGCON (20)

Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
 
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
 
Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9Mark Arena - Cyber Threat Intelligence #uisgcon9
Mark Arena - Cyber Threat Intelligence #uisgcon9
 
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяй
 
Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?Владимир Гнинюк - Управление Риском: Почему не работает?
Владимир Гнинюк - Управление Риском: Почему не работает?
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
 
Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего? Константин Корсун - Общественная организация UISG: что это и для чего?
Константин Корсун - Общественная организация UISG: что это и для чего?
 
Ajeet Singh - The FBI Overseas
Ajeet Singh - The FBI OverseasAjeet Singh - The FBI Overseas
Ajeet Singh - The FBI Overseas
 

[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса

  • 1. В поисках взаимопонимания ИБ и Бизнеса Конференция Ukrainian Information Security Group UISGv7 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»
  • 2. Проблемы сегодняшнего дня Постиндустриальное общество • От производства товаров к производству услуг • Производственным ресурсом становятся информация и знания Глобализация • рост конкуренции – расширение территорий – расширение возможностей в технологиях продаж • непрерывность бизнеса • конфиденциальность © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 2 Сервис». All rights reserved.
  • 3. Как это отражается на бизнесе Компьютер на каждом столе Автоматизация всех основных бизнес-процессов Новые возможности (но и новые опасности): • удаленная работа • системы B2B, B2P, «электронная торговля» • объединение геораспределенных подразделений в единое информационное пространство) • удаленное управление финансами • VoIP • и т.д. © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 3 Сервис». All rights reserved.
  • 4. Но денег не дают… «Денег не дают потому как ИБ - затратная статья...» Неизвестный Безопасник А почему тогда дают деньги на • забор вокруг предприятия • офисные и складские помещения • закупку сырья • уплату зарплаты © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 4 Сервис». All rights reserved.
  • 5. Что такое ИБ? Терминология «Верно определяйте слова, и вы освободите мир от половины недоразумений» Рене Декарт Хорошая формулировка для "технарей", но плохая для BDM: "The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability. (Committee on National Security Systems. CNSS Instruction No. 4009 26 April 2010) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 5 Сервис». All rights reserved.
  • 6. Что такое ИБ? Терминология Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010) Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 6 Сервис». All rights reserved.
  • 7. Что такое ИБ? Терминология Мое видение: «Информационная безопасность - это вид деятельности направленный на защиту личности, общества, государства от угроз, возникающих в результате владения и/или обработки Информации.» Бизнес – частный случай! © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 7 Сервис». All rights reserved.
  • 8. Источники проблем • Управление организацией (УО) • Техники, которые мы используем • Психология безопасности © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 8 Сервис». All rights reserved.
  • 9. УО: Картина мира - Общие критерии Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002 (не ISO/IEC 15408-1:2009) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 9 Сервис». All rights reserved.
  • 10. УО: Картина мира - BMIS Business Model for Information Security от ISACA (2010) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 10 Сервис». All rights reserved.
  • 11. УО: Позиционирование - Проблемы Синдром ИТ-шника – работаю «скрытно» – самый умный, самый трудолюбивый, жертвоприношение – презрение к окружающим – боязнь остаться без работы Утаивание инцидентов – инциденты идут в "пассив", отсутствие инцидентов - никуда не идет © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 11 Сервис». All rights reserved.
  • 12. УО: Позиционирование - Решение Система прав и полномочий Корпоративное Система ценностей и ожиданий акционеров управление Система показателей стоимости компании Миссия, система целей и стратегий Стратегическое Планы развития компании управление Система стратегических показателей Организационная структура Операционное Процессы управления управление Показатели операционной эффективности • Кому должен быть подчинен C(I)SO • «Сверху вниз» vs «Снизу вверх» © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 12 Сервис». All rights reserved.
  • 13. УО: Вовлеченность - Проблемы Низкая вовлеченность Бизнеса и Персонала в процессы управления ИБ • устаревшие принципы управления • отсутствие метрик эффективности БИЗНЕСА (KPI) • недооценка формализации (политики, процедуры, бизнес-процессы…) • осведомленность (Картина Мира) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 13 Сервис». All rights reserved.
  • 14. УО: Вовлеченность - Решения • принципы управления – Процессный подход – Внедрение БИЗНЕС-метрик – Формализация – Риск-менеджмент, Compliance-Management • осведомленность – Картина Мира: ВСЕГО ПЕРСОНАЛА – Инцидент менеджмент: ПРЕМИЯ ЗА ИНЦИДЕНТ – ИБ: присутствие на ВСЕХ собраниях и заседаниях © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 14 Сервис». All rights reserved.
  • 15. Процессно-ориентировнный подход © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 15 Сервис». All rights reserved.
  • 16. Связь ИБ и Основной деятельности Источник : книга Курило А.П. Аудит информационной безопасности © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 16 Сервис». All rights reserved.
  • 17. Цености: Классификация Категоризация Источники проблем • Личные цели vs Общественных • референтные классы - Reference class problem Пути решения • вовлеченность персонала – периодическая «перекрестная» переоценка • отражение в бизнес-процесах © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 17 Сервис». All rights reserved.
  • 18. Риск-Менеджмент: Проблемы (поправимые) • дуальность: потери vs возможности • анализ рисков пока не ведется (обработка рисков происходит всегда, другое дело "зрелость" (формализация, CMMI)) • несвоевременный анализ «Половина риск-менеджеров хотят расчеты рыночного риска для новых сделок за 10 секунд, но только 20 процентов могут добиться этого, а 40 процентов должны работать целую ночь…» (http://www.forbes.com/sites/tomgroenfeldt/2011/10/25/banks-move-toward-global-risk-management-one-local-step-at-a- time/) • не знание "аппетита" © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 18 Сервис». All rights reserved.
  • 19. Риск-Менеджмент: Проблемы (концептуальные) • Количественные vs Качественных • Невозможность практической проверки результатов • «Черные лебеди» • Сомнительность предсказания будущего, на знаниях о прошлом • Неопределенность бывает разная • Проблема референтных классов © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 19 Сервис». All rights reserved.
  • 20. Риск-Менеджмент: Возможные Решения • смещение акцентов с Угроз на Активы • использование различных методик • управление рисками должно «пронизывать» всю организацию • использование PESTLE и сценарного анализов © ООО «Глобал АйТи Сервис». All rights reserved. Конференция UISGv7 Страница 20
  • 21. Техники: PESTLE-анализ Аспекты внешней среды, которые влияют на Бизнес: Political - политические Economic - экономические Social - социальные Technological - технологические Legal - правовые Environmental – окружающая среда © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 21 Сервис». All rights reserved.
  • 22. Техники: Сценарный анализ мощный инструмент для понимания неопределенности и развития стратегий • расширяет границы мышления • указывает на (почти) неизбежные ситуации, что нас ожидают (демография, економика, неустойчевые тенденции, запланированные события) • защищает от "группового" мышления • позволяют бросить вызов общепринятому © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 22 Сервис». All rights reserved.
  • 23. Framing Bias Ситуация 1: • Решение А: гарантированное получение - $5000 • Решение B: получение с 50% вероятн. - $11000 Ситуация 2: • Решение C: гарантированная потеря - $5000 • Решение D: потеря с 50% вероятн. - $11000 © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 23 Сервис». All rights reserved.
  • 24. Когнитивные искажения: Примеры Когнитивные искажения — это систематические ошибки в мышлении или шаблонные отклонения в суждениях, которые происходят в определённых ситуациях. (Wikipedia) © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 24 Сервис». All rights reserved.
  • 25. Когнитивные искажения: Примеры Профессиональная деформация Эффект повального увлечения (конформизм) Эвристика доступности Ошибка, связанная с частными примерами Предвзятость подтверждения Эффект привязки Сопротивление, «дух противоречия» Предпочтение нулевого риска Подчинение авторитету Недооценка бездействия © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 25 Сервис». All rights reserved.
  • 26. Результат: Восприятие Риска Преувеличиваем Преуменьшаем Производят глубокое Не привлекают внимание впечатление Случаются редко Являются обычными Персонифицированы Анонимны Обсуждаются Не обсуждаются Рукотворные Естественные Угрожают непосредственно Угрожают в будущем Внезапны Развиваются медленно Новые и незнакомые Знакомые Непонятные Понятные © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 26 Сервис». All rights reserved.
  • 27. Итоги • Безопасник-менеджер это очень мало, он должен быть лидером • Подарите директору открытку • Внедряйте процессный подход • Изучайте Бизнес. Присутствуйте на собраниях всех подразделений • ИБ должна пронизывать все предприятие • Используйте Риск-ориентированные подходы • Используйте технику сценариев • Учитесь понимать Людей их Цели и Поступки © 2011 ООО «Глобал АйТи Конференция UISGv7 Страница 27 Сервис». All rights reserved.
  • 28. В поисках взаимопонимания ИБ и Бизнеса Вопросы Владимир Гнинюк e-mail: vgninyuk@global-it-service.com.ua Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44