1. Informačná bezpečnosť na
Slovensku (výsledky prieskumu)
Jozef Šupšák,
šéfredaktor eFOCUS
www.efocus.sk
2. Agenda
1. Interpretácia výsledkov prieskumu
2. Trendy a očakávania
3. Čo na to analytici (Gartner)
4. Desatoro informačnej bezpečnosti
3. Prieskum Informačná bezpečnosť
Oslovených 1123 respondentov
Formou printových dotazníkov, web
formulárov a telefonického interview
odpovedalo 212 respondentov (18,8 perc.)
Realizácia prieskumu: máj – september
2004
4. Štruktúra respondentov prieskumu
iné (školstvo,
výskum...); 9,50%
finančný a bankový
sektor; 12%
výroba; 48%
štátna a verejná
správa; 17,50%
obchod/služby; 37%
5. Bezpečnostné stratégie
Až 83 percent oslovených slovenských podnikov
a organizácii (zastúpené boli tak výrobné podniky,
banky, finančné inštitúcie ako aj organizácie štátnej
a verejnej správy) má spracovanú bezpečnostnú
stratégiu.
Až 77 percent zamerali bezpečnostné stratégie na celý
podnik, vrátane IT a iba 23 percent užšie – len na IT
oblasť.
Tieto zistenia korešpondujú s medzinárodnými prieskumami Meta
Group, podľa ktorého 60 perc. spoločností má vypracovaný program
stratégie informačnej bezpečnosti.
6. Bezpečnostné stratégie
Zameranie bezpečnostných stratégií
Bezpečnosť
Existencia bezpečnostných stratégií celého Bezpečnosť
Nie podniku IT
17% 77% 23%
Áno
83%
7. Bezpečnosť – najdynamickejšie sa
rozvíjajúca oblasť
Posun v uvedomení si dôležitosti problému
bezpečnosti ako celku.
Bezpečnosť je globálne jednou z najdynamickejšie sa
rozvíjajúcich oblastí (podľa spoločnosti Gartner Group
si teraz bezpečnosť vyžaduje viac ako 5 perc. zo
všetkých rozpočtov IT).
Zmena prístupov v dôsledku priamej a bezprostrednej
skúsenosti s reálnymi hrozbami a ohrozeniami (najmä
vírusové útoky, nelegálne prieniky do IT systémy,
narušenia integrity dát, strata a krádež dát).
Organizácie si uvedomujú potrebu koncepcie
integrovanej bezpečnosti.
8. Rozpočet na bezpečnosť
Pomerne vysoký počet organizácií v SR – až 50 perc.
oslovených – ktoré nemali stanovený rozpočet na
bezpečnosť IT na najbližší rok.
Príčiny: nedostatok finančných prostriedkov,
problematika bezpečnosti neraz na okraj pozornosti.
Zdroje sa vynakladajú až vtedy, ak nastane
v organizácii krízová či priam havarijná situácia - dôjde
k havárií IT systému, prieniku do databáz, strate dát,
napadnutiu vírusom.
Stanovenie skutočných výdavkov na bezpečnosť IT komplikuje
skutočnosť, že väčšina výdavkov sa financuje z iných ako
bezpečnostných projektov (projekty obnovy aplikačného softvéru
alebo infraštruktúry).
9. Situácia vo svete
Bezpečnosť informácií zostáva v prvej pätici
najproblémovejších oblastí riaditeľov/manažérov pre
oblasť informačných technológií (CIO)
Priemerné investície do bezpečnosti dosiahnu
maximum 8 až 12 % rozpočtu IT (v USA 2005/2006,
Európa/Ázia a Tichomorie 2006/2007), neskôr sa
ustália na 5 až 7 % rozpočtu IT (v USA 2007/2008,
Európa/Ázia a Tichomorie 2008/2009)
10. Do čoho sa bude investovať
u nás...
Najviac preferencii majú investície do bezpečnosti sietí
a ochrana pred vírusmi - až 28 perc. opýtaných označilo túto
oblasť za prioritu.
Dostupnosť aplikácií a systémov (17 perc.) bola druhou
najvyššou prioritou v investíciách oslovených respondentov.
Zhruba na úrovni 9 až 11 perc. v prioritách investovania sa
zaradili ďalšie oblasti, ako ochrana pred katastrofami,
bezpečnosť mobilného prístupu zamestnancov v teréne,
vytvorenie bezpečnostnej stratégie, PKI, Directories a ďalšie.
Väčší dôraz sa kladie na technologické opatrenia ako na
rozvoj po organizačnej a personálnej stránke (zavedenie
systému manažmentu informačnej bezpečnosti) a na
strategické smerovanie (periodické analýzy rizík). Tieto fakty
môžu naznačovať nedostatok komplexného prístupu
k manažmenu bezpečnosti v našich podnikoch.
11. Investície slovenských firiem
v horizonte jedného roka
Oblasti investovania v horizonte jedného roka v SR Vy tv orenie bezpečnostnej stratégie
Dostupnosť aplikácií a sy stémov
28%
30% Bezpečnosť sietí a ochrana pred
v írusmi
25% PKI, Directories, SSO a kartov é
riešenia
20% 17% Bezpečnosť SAP a Microsof t
produktov
11% Bezpečnosť pri elektronickom
15% 10%
9% obchodov aní
9% 8% Bezpečnosť mobilného prístupu
10% 5% zamestnancov v teréne
Ochrana pred katastrof ami
5% 3%
Iné
0%
Perc. podiel jednotl. možnost í
12. ... a vo svete
Medzi kľúčové bezpečnostné technológie, do ktorých
sú zákazníci ochotní najviac investovať, patria
firewally - kontrolujú všetky prenosy a komunikáciu realizované
cez sieť prostredníctvom kontroly informácií vstupujúcich
a vystupujúcich zo siete (alebo časti siete) pomáhajúc zabezpečiť,
že nedôjde k žiadnemu neautorizovanému prístupu do počítača
a/alebo siete.
Technológia odhalenia narušenia, ktorá odhaľuje
neoprávnený prístup a poskytuje varovania a reporty, ktoré možno
analyzovať pri schémach a plánovaní.
Technológia filtrovania obsahu. Tá odhaľuje a eliminuje
nežiadúci prenos.
13. Technológia VPN (Virtual Private Networks),
ktorá zabezpečujú spojenie za hranicami siete (beyond the
perimeter), umožňujúc tak organizáciám bezpečne komunikovať s
inými sieťami cez internet.
Manažment zraniteľnosti - umožňuje ohodnotiť
bezpečnostnú situáciu siete pomocou odhaľovania
bezpečnostných nedostatkov a navrhovaním zlepšujúcich
opatrení.
Ochrana pred vírusmi, ktorá, ako to už jej názov
napovedá, poskytuje ochranu pred vírusmi, červami a Trójskymi
koňmi.
14. Služby externého dodávateľa
Až 67 perc. respondentov nemieni v najbližšom
období využívať služby externého dodávateľa
Viac ako polovica skôr nemá ako má záujem
o outsourcing v tejto oblasti
Jednoznačne negatívny postoj zaujala takmer
pätina respondentov.
O outsourcing má zatiaľ záujem iba 15 percent
respondentov a ďalších 9 perc. je v tejto
otázke nerozhodnutých.
15. Externý dodávateľ/outsourcing
Využívanie externého dodávateľa bezpečnostných
služieb v najbližšom roku
Áno
33%
Nie
67%
Záujem o outsourcing v budúcnosti
Neviem Áno
9% 8% Skôr áno
Rozhodne nie 7%
18%
Skôr nie
58%
16. Zmena prístupov pravdepodobná...
Užívatelia si veľmi dobre uvedomujú, kde sú
silné stánky outsourcingu (nižšie prevádzkové náklady,
24-hodinový servis, profesionálne riešenie externého dodávateľa,
aj prenos zodpovednosti)
Prvým dobrým signálom - využívanie externých
poradcov (až 40 percent oslovených využívala v minulosti
služby externých bezpečnostných poradcov a budú tak robiť aj
naďalej)
Outsourcing bezpečnosti - alternatívou pre
spoločnosti, ktoré si nemôžu dovoliť vlastného
špecialistu/špecialistov
17. Outsourcing bezpečnosti je
alternatívou...
Oblasti, v ktorých je externá spolupráca
najefektívnejšia - penetračné testy, audity serverov
alebo aj celkovej bezpečnosti IS, analýza rizík, tvorba
bezpečnostných projektov, atď.
Úspešnosť závisí od serióznosti partnerov a presného
definovania rozsahu, podmienok a pod.
Náklady na takýto zmluvný vzťah sa dosť ťažko
odôvodňujú, keď sa organizácia nezmieta v
problémoch spôsobených bezpečnostnými
incidentmi...
18. Outsourcing...
V každej organizácii musí existovať niekto, kto je
schopný outsourcing riadiť, byť garantom záujmov
spoločnosti, prenášať tieto záujmy do zmluvných
vzťahov, definovať bezpečnostnú politiku.
Informačná bezpečnosť nie je iba o zabepečení
výpočtovej techniky na systémovej úrovni, ale je aj o
fyzickej bezpečnosti, personálnej bezpečnosti, o
organizácii a riadení.
Outsourcing informačnej bezpečnosti je ako každý iný
outsourcing – je o ekonomickej efektívnosti.
19. Outsourcing bezpečnosti je
alternatívou...
Neustály tlak na šetrenie, resp. odôvodňovanie
nákladov robí značne komplikovaným udržiavanie
vlastného - hoci aj jednočlenného – útvaru
špecializovaného na informačnú bezpečnosť.
Manažment organizácií zatiaľ nemá dosť dobrú, resp.
realistickú predstavu o tom, čo sa vlastne dá „zaručiť“
pri riešení bezpečnosti, ako aj v tom, ako vlastne
„merať“ odborné schopnosti poskytovateľa v tejto
špeciálnej oblasti.
(Ne)dôvera užívateľa zveriť IS a jeho bezpečnosť
vonkajšiemu prostrediu.
20. Výhody outsourcingu podľa
slovenských CIO
Najväčšie výhody outsourcingu IS/ICT 24-hodinov ý serv is
podľa slovenských CIO nižšie náklady
25% 23% prenesenie zodpov ednosti
19% prof esionálne riešenie, v y ššia
20% 17% odbornosť, špičkov é služby
sústredenie sa na hlav ný
predmet činnosti
15% presne v y čísliteľné náklady na
12% IT
iné
10%
6% 6% žiadne
5% 4% 5% neuv azujeme o outsourcingu
5% 2%
1% neuv edené
0% nev iem
Perc. podiel zosumarizovaných možností
21. Externý bezpečnostný poradca
Používanie externých, bezpečnostných
poradcov v minulosti
Nie, a ani Áno a budeme
neuvažujeme tak robiť aj
22% naďalej
41%
Nie, ale
môžeme o
Áno, ale už
tom uvažovať
ich viac
30%
nepoužijeme
7%
22. Najdôležitejšia oblasť
bezpečnostnej politiky
Najdôležitejšie oblasti z pohľadu firemnej bezp. Kontrola neužitočného
surf ov ania po internete
politiky k prístupu na internet
Kontrola a záznam
použív ania P2P a IM služieb
35% Kontrola prenosov ého
29% pásma pre prenos audio a
30% v ideo na sieti
Autentif ikácia užív ateľov pri
25% prístupe k sieti Internet
17% 19%
20% Monitorov anie použív ania
15% siete Internet
15% 11% Ochrana siete proti
10% počítačov ým v írusom
5% 5%
5% Ochrana siete na úrov ni
aplikácií
0%
Perc. podiel jednotl. možností
24. Ohrozovanie vírusmi
Až 60 percent oslovených respondentov nebolo v poslednom
období nepriaznivo ovplyvnených počítačovým vírusom, resp.
útokom.
26 perc. však bolo ohrozených vírusom a 14 perc. odmietlo túto
informáciu zverejniť.
To sa dá pravdepodobne vysvetliť ich dobrou bezpečnostnou
stratégiou, účinne realizovanými opatreniami a investíciami do
bezpečnostného softvéru a hardvéru.
Avšak skutočnosť, že problémom bola vystavená štvrtina
respondentov (a potenciálnych 14 perc., ktorí sa odmietli k tejto
téme vyjadriť, čo však možno považovať aj ako čiastočne
priznanie si negatívnej skúsenosti) je pomerne závažné zistenie.
Najväčšou prioritou z pohľadu firemnej politiky k prístupu na
internet je ochrana siete proti počítačovým vírusom.
25. Najzávažnejšie problémy v oblasti
bezpečnosti IT
Najzávažnejšie problém y v oblasti bezpečnosti IT
Vírusy
30% 26% 26% Otv orenosť siete
25%
Nedostatok v edomostí zo
20% 16% strany použív ateľov
Ochranu súkromných
15% 11% inf ormácií
8% Nedostatok zdrojov
10% 7% 7%
5% Nedostatok detekčných
sy stémov
0% Slabú v nútornú spoluprácu
Perc. podiel jednotl. možností
26. Komparácia SR & svet
Najzávažnejšie problém y v oblasti bezpečnosti IT v SR
Vírusy
30% 26% 26% Otv orenosť siete
25%
Nedostatok v edomostí zo
20% 16% strany použív ateľov
Ochranu súkromných
15% 11% inf ormácií
8% Nedostatok zdrojov
10% 7% 7%
5% Nedostatok detekčných
sy stémov
0% Slabú v nútornú spoluprácu
Perc. podiel jednotl. možností
Najzáv ažnejšie problémy IT bezpečnosti (zahraničie, Forrester Research)
32%
35%
Vírusy
30%
Otvorenosť siete
22%
25%
Nedostatok vedomostí u
užívateľov
Ochrana súkromných
20% 16%
informácií
12% Nedostatok zdrojov
15%
Neposkytnutie služby
8%
Nedostatok detekčných
10% systémov
4%
4% Slabá vnútorná spolupráca
2%
5%
0%
1
typy ohrození
27. Záujem o sieťové technológie v SR
Záujem o sieťové technológie
35% 32%
Bezpečnosť
30%
25% IP komunikácia
20%
20% 16% 17% Bezdrôtov í / mobilní klienti
15%
15%
Ukladanie / archiv ácia
10% údajov
Inf raštruktúra
5%
0%
Perc. podiel jednotl. možností
31. Trendy
Organizačné stratégie bezpečnosti položia dôraz na
vypracovanie jasných kompetencií a separáciu
povinností. Bezpečnostné tímy sa budú vyčleňovať
smerom von z organizácií IT a budú vytvárať
celofiremné skupiny pre bezpečnosť a kompatibilitu.
Čím viac finančných transakcií dané odvetvie realizuje
elektronickou cestou cez verejné siete, tým viac musí
investovať do riadenia bezpečnosti informácií
a rizikových stavov.
32. Trendy (dôsledok mobility)
Mení sa profil IT užívateľov.
Narastajúci počet notebookov, PDA a ďalších mobilných
zariadení pripájaných do siete zvyšuje zložitosť IT
infraštruktúry, a tým aj sťažujeme manažment bezpečnosti.
V roku 2008 štyri z 10 PC zakúpených do veľkých organizácií
budú notebooky (viac ako 60 percent dát kritických pre biznis
je uložených na PC).
Užívatelia sa vzdiaľujú priamej správe tak ako sa stavajú
nezávislými na fixnej IT infraštruktúre.
Narastá počet prístupov do podnikových systémov cez siete
tretích strán.
33. Trendy (dôsledok mobility)
Súčasné nástroje a politiky na podporu PC
užívateľov permanentne pripojených do siete
nie sú tak efektívne a účinné aj pre mobilných
užívateľov.
Štandardné nástroj bezpečnosti – VPN,
antivírusová ochrana a personálne firewally
pomáhajú síce izolovať zraniteľnosť PC zo
sietí, ale neriešia otázku ako ochrániť dáta
(pred stratou, odcudzením) v notebookoch,
PDA a pod.
34. Trendy (dôsledok mobility)
Manažment rizík takýchto dát je veľmi obťažný.
Politiky vzťahujúce sa k citlivým obchodným dáta, ktoré
môžu byť takýmto spôsobom uchovávané, sa netýkajú
iba notebookov. Neustále rastie počet handheldov,
ktorými možno vstúpiť do podnikového systému
„zadnými dverami“.
Mnohí užívatelia sa spájajú s podnikovými sieťami
neschválenými, osobnými PDA, smartphonmi či
storage prístrojmi.
Iba málo organizácií má jasné pravidlá, akými
zariadeniami sa možno pripájať do ich IT infraštruktúry.
35. Trendy (dôsledok mobility)
Ešte menej je takých, ktorí si už definovali pravidlá aké
dáta môžu byť prenášané a uschovávané na takomto
type personálnych zariadení.
Riadenie zraniteľnosti spočíva v poznaní, kde takáto
zraniteľnosť existuje.
Užívateľ chápe svoj personálny prístroj ako čosi
osobné a očakáva vysoký stupeň slobody. Takáto
personálna sloboda je v priamom protiklade s
kolektívnou bezpečnosťou vo firme.
Aj tu platí, že pevnosť podnikovej reťaze
(informačného systému) sa posudzuje podľa pevnosti
najslabšieho ohnivka.
36. Odporúčania & závery
Ak z predchádzajúcich grafov zoberieme do
úvahy požiadavku zabrániť prelomeniu
bezpečnostných systémov a ochranu dát,
práve tieto oblasti sú najvyššou prioritou
manažérov
Analytici odhadujú, že v roku 2006 výdavky na
informačnú bezpečnosť poklesnú na 4 až 5
percent IT rozpočtov (predpokladá sa, že spoločnosti
budú zdokonaľovať manažment bezpečnosti a efektívnosti)
37. Odporúčania & závery
Najefektívnejšie organizácie (čo by mohlo byť
asi 20 perc. všetkých organizácií) znížia
rozpočet na IT na 3 až 4 percenta.
Spoločnosti potrebujú vedieť, ako budú
úspešné ak zavedú programy informačnej
bezpečnosti, nové procesy a postupy.
Kľúčová otázka, ktorú si kladú: Budeme viac
bezpeční ako v predchádzajúcom roku?
38. Odporúčania & závery
Byť proaktívní, zamerať sa na odstránenie
zraniteľnosti skôr než sa objaví nečakaná
hrozba či útok.
Najdôležitejšie je kupovať najbezpečnejšie
produkty (HW, SW) a nabádať dodávateľov a
obchodných partnerov, aby permanentne
zlepšovali svoju informačnú bezpečnosť.
Stopercentná bezpečnosť neexistuje!
39. Odporúčania & závery
Samotná technológia nevyrieši problematiku
bezpečnosti.
Integrované bezpečnostné riešenie funguje
najlepšie, ak je vybudované na základe
dôrazných smerníc a postupov a podporuje ho
vhodný personál a reálne bezpečnostné
opatrenia.
Dôkladná bezpečnostná politika a štandardy
definujú, čo potrebuje ochranu, komu umožniť
prístup a dôvod, prečo sa vyžaduje prístup.
40. Odporúčania & závery
Permanentné monitorovanie nových hrozieb a
ohrození informačného systému je
nevyhnutnou podmienkou a najlepšou
investíciou, než pasívne sedenie a čakanie,
kedy príde útok (zvonka, zvnútra).
V oblasti bezpečnosti je dobrá ofenzíva
najlepšou defenzívou.
41. Odporúčania & závery
Čím ofenzívnejší a aktívnejší budete, tým
budete aj bezpečnejší.
Chráňte svojich zákazníkov a oni ochránia váš
biznis.
42. Desatoro informačnej bezpečnosti
1. Indentifikujte svoje riziká (určite najkritickejšie dáta vo
vašej spoločnosti a venujte dostatok času a energie tomu
najdôležitejšiemu).
2. Zapojte do procesu vrcholový manažment
(dobrá bezpečnosť sa začína zhora...)
3. Vymenujte zodpovedného pracovníka
(povereného koordináciou)
4. Vytvorte a implementujte bezpečnostnú
politiku (smernice ako sa chrániť a zaobchádzať s údajmi vo firme)
43. Desatoro...
5. Vzdelávajte zamestnancov a zvyšujte mieru
ich povedomia
6. Vykonajte bezpečnostný audit (najmite si nezávislú
tretiu stranu)
7. Do plánu zakomponujte aj fyzickú
bezpečnosť
8. Pamätajte na vnútorne hrozby (väčšina pokusov o
útoky prichádza zvonka, ale tie najúspešnejšie vedú ľudia, ktorí
majú vedomosti zvnútra firmy – mažte užívateľské účty bývalých
zamestnancov)
44. Desatoro...
9. Sledujte najnovšie trendy v oblasti
informačnej bezpečnosti (vrátane nových zraniteľných
miest a útokov)
10. Pripravte sa na najhoršie (vytvorte plán reagovania
na incidenty – ušetrí vám to čas v prípade akýchkoľvek problémov. V
pláne stanovte, koho bude potrebné zapojiť do procesu, aká bude úloha
danej osoby a akým spôsobom sa budú minimalizovať škody).
45. Ďakujem za pozornosť.
Jsupsak(at)efocus.sk
Elektronická verzia tohto ako aj
ďalších vydaní na
www.efocus.sk