Security. v českých firmách

Transkript

1 Security v českých firmách Radek Prokeš Local Sales Representative

2 Proč Security Rozvíjející se technologie a trendy Rozložení odpovědí v průzkumu Do zatím nejrozsáhlejšího InFact průzkumu se zapojilo 141 firem z TOP 600 společností v ČR (podle obratu).

3 2 Výsledky průzkumu InFact

4 Vnímání Security Přes 95 % společností řeší IT bezpečnost minimálně do úrovně nastavení základních pravidel a využívání antivirových programů. Přes 44 % společností rozhodně plánuje v budoucím roce své výdaje do informační bezpečnosti navyšovat. Počet hrozeb se zvyšuje

5 Nejčastější incidenty Mezi nejčastější incidenty, kterým čelily společnosti v minulém roce, patří incidenty spojené s infekcemi virem nebo malicious softwarem. Na druhém místě se celkem překvapivě umístil pokus o neautorizovaný přístup zvenčí, což neodpovídá plánovaným investicím do řízení přístupů a SIEM. Naopak nejméně dotazovaných společností muselo řešit krádež dat nebo nabourání do počítačů.

6 Nejčastější problémy Nízký rozpočet, s tím spojený nedostatek času a lidských zdrojů, a na posledním místě nedostatečné povědomí managementu. Největším problémem navýšení investic do IT bezpečnosti je nízký rozpočet, který je i důsledkem nedostatečného měření efektivity a přínosů investic do IT bezpečnosti. Proč neposiluje IT bezpečnost?

7 Zdroje Průměrný počet bezpečnostních pracovníků ve firmě je 2,7

8 Motivace pro další rozvoj Ochrana informací v systémech patří mezi nejslabší motivy pro navýšení výdajů do informační bezpečnosti. Více se společnosti obávají zhoršení reputace. Motivy pro posílení IT bezpečnosti

9 Hlavní priority

10 Hlavní priority v oblasti IT 3 bezpečnosti

11 Kontinuita podnikání Připravenost na možné scénáře narušení kritických procesů organizace Typické nedostatky Plán kontinuity není vůbec připraven = silná improvizace Nejsou připraveny havarijní plány pro klíčové informační systémy Nejsou stanoveny požadavky na bezpečnost, metodiky vývoje a pořízení nových systémů, nedostatečné testování Naše zkušenosti Zpracování návrhu Plánu kontinuity Zpracování návrhů Havarijních plánů důležitých IT systémů pro státní registry, JAVYS a další Penetrační testy

12 Prevence proti ztrátě dat a nastavení systému řízení bezpečnosti IT Typické nedostatky Informační aktiva nejsou sepsána Bezpečnost informací je vnímána jen jako záležitost IT oddělení Za bezpečnost nemá hlavní odpovědnost nikdo z vedení organizace Systém řízení bezpečnosti není vhodně a srozumitelně nastaven Naše zkušenosti Posouzení, zda a jak vhodně jsou nastaveny role, odpovědnosti a pravidla řízení pro energetické a finanční společnosti Revize připravenosti na případnou certifikaci podle ISO/IEC Identifikace a ohodnocení informačních aktiv a jejich klasifikace

13 Řízení přístupu a identit Cílem je neoprávněné osobě zamezit v přístupu k informacím Typické nedostatky Přístupy pro pozice nebo role nejsou předem stanoveny určují se ad-hoc přímými nadřízenými Přístupová práva nejsou při odchodu zaměstnance důsledně odebrána Neprovádí se pravidelně kontrola skutečného nastavení přístupových práv Uživatelé musí zadat autentizační údaje u každé aplikace Naše zkušenosti Implementace IAM (NAC) pro různé subjekty Analýza rizik přístupu pro bankovní instituce Rozsáhlé zkušenosti v oblasti MDM

14 Jsme globálním poskytovatelem IT a business služeb a řešení se specializací na vývoj softwarových produktů a aplikací, systémovou integraci, konzultace a distribuci software Náš přístup Technologická nezávislost Různé modely Zaměření na CEE region Inovace Přenos know-how z Ness Q.rity (Izrael) Přední poskytovatel služeb v oblasti kybernetické bezpečnosti Služby v oblasti bezpečnosti globálním klientům (s nedostatkem jejich vlastních zdrojů) v různých sektorech podnikání Široké a komplexní znalosti díky mnohaletým praktickým zkušenostem Profesionální služby & poradenství (testování, školení, ) Bezpečnost jako služba Široká sada řešení a produktů

15 Děkuji za pozornost Radek Prokeš Local Sales Representative