O abordare diferită: soluții pentru securitatea business-ului Teodor Cimpoeșu
Managing Director, Kaspersky Lab România&Bulgaria Solepad – Pitesti 7 iulie
Agenda 1. Navigând pe timp de furtună o Riscurile unei afaceri din perspectiva IT o Infrastructură și securitate
2. Investițiile în securitatea business-ului o Gestiunea costurile IT o O abordare diferită a securității informatice
3. Plan de acțiune o Înțelegerea poziției curente o Selectarea proiectelor
Kaspersky Lab
USA Panama Brazil Mexico Argentina
Germany France UK Benelux Poland Spain Italy Romania Sweden
Russia Ukraine Kazakhstan
Turkey UAE
China Korea Japan Malaysia Australia India
Riscurile din perspectiva IT Cum reacționează companiile în recesiune? Prima țintă – reducerea cheltuielilor; Strategiile se ajustează pentru perioade mult mai scurte de timp, nimic nu este predictibil; Reducerea activității, părăsirea unor piețe sau segmente de piață; Focus financiar accentuat: FCF, profitabilitate, îndatorare. Cu ce consecințe? Abandonarea unor proiecte pe termen lung; Scăderea nivelul serviciilor oferite clienților – externi sau interni și supraexpunerea la noi riscuri; Pierderea oamenilor valoroși prin restrângerile de personal; Afectarea directă a sănătății propriei afaceri.
Riscurile din perspectiva IT (2) C Cum este afectată securitatea business-ului? • Amenințările cunoscute sunt ignorate, auditurile sunt amânate; • Prin derogarea de la principii de IT Governance, anterior valide; • Bunurile intangibile (reflectate sau nu în contabilitate) sunt expuse la furt sau distrugere; Consecințele fiind o creștere a expunerii la riscurile asociate criminalității informatice
Riscurile din perspectiva IT (3) Topul celor mai prevalent 10 amenințări în 2009 1. Atacuri și scurgeri de informații confidențiale din interiorul companiei 2. Malware – programele periculoase sunt pe un trend exponențial 3. Exploatarea de vulnerabilități în aplicațiile existente 4. Ingineria socială 5. Angajați ce nu respectă normele de securitate
6. Reducerea bugetelor alocate securizării infrastructurii informatice 7. Angajații mobili, conexiunile externe 8. Vendorii 3rd party 9. Instalarea și folosirea de aplicații nepermise, inclusiv de transfer P2P 10. Riscuri legale asociate prezenței angajaților in mediile online externe companiei
1. Navigând pe timp de furtună
o Riscurile unei afaceri din perspectivă IT o Infrastructura și securitate
2. Investițiile în securitatea business-ului o O abordare diferită a securității informatice o Propunerea Kaspersky Lab
3. Plan de acțiune o Înțelegerea poziției curente o Selectarea proiectelor
Investițiile în securitatea business-ului Paradigma propusă: nu cheltuieli cu IT-ul ci investiții în infrastructură și managementul riscului Cereți CIO/CSIO un business case pentru orice cheltuială majoră Inițiatorul trebuie să fie pregătit să treacă pragul celor 5 “de ce?” Directorii executivi, operaționali, financiari înțeleg foarte bine limbajul business și termenii unei investiții. Acela trebuie folosit!
Instrumente de monetizare a riscului: • •
Identificarea și evaluarea activelor (AV) SLE = AV (asset value) x EF (exposure factor) • •
•
SLE – Single Loss Expectancy EF – procent de distrugere/depreciere a bunului în urma unui incident
ARO – Annualized Rate of Occurrence -
frecvența (ca probabilitate) cu care un incident sau amenințare poate apărea/produce.
•
ALE = SLE x ARO •
•
ALE – Annual Loss Expectancy
CCC – Current Cost of Control – costuri
asociate cu supravegherea și controlul curente
•
ROSI = ALE – CCC
• ROSI – Return On Security Investments
Investițiile în securitatea business-ului (2) Exemplu de evaluare a unei investiții în securitate
Propunerea Kaspersky Lab Open Space Security • Identificați ce bunuri trebuie protejate, ce nivel de securitate este necesar și ce alte soluții de securizare a lor aveți deja implementate. • Atât stațiile de lucru și serverele interne, cât și laptop-urile sau dispozitivele mobile inteligente sunt încadrate în perimetre de securitate, cu administrare centralizată și politici specifice.
1. Navigând pe timp de furtună
o Riscurile unei afaceri din perspectivă IT o Infrastructura și securitate
2. Investițiile în securitatea business-ului o Gestiunea costurile IT o O abordare diferită a securității informatice
3. Plan de acțiune o Înțelegerea poziției curente o Selectarea și implementarea proiectelor
Investiții IT în 2008 Piața a suferit o schimbare de la un volum mare pe un fond economic favorabil în prima jumătate a anului, la un ritm foarte lent, dominat de panică, incertitudine și reținere.
Software-ul pentru infrastructura IT (SIS) a reprezentat o piață de 15% din totalul cheltuielilor IT. Comparativ, în Europe de Vest acest segment se situează în medie la nu mai mult de 5.5%. Infrastructura IT este încă precară - soluțiile de office automation reprezintă 26% din piața de aplicații software – în Europa de Vest media este de 14%. Mare parte din sectorul comercial este format din SME care sunt foarte sensibile și dependente de climatul economic general și creșterea economică.
(Source: IBP – Romanian Business Digest, 2008)
Aceste companii renunță foarte ușor la propriile inițiative IT, mai ales pentru că investițiile in IT sunt considerate opționale pentru marea majoritate a companiilor mici și medii.
3. Plan de acțiune Înțelegerea poziției curente
Tehnici și instrumente:
• • •
Analiza Este actuala Gap structură organizațională adecvată? Avem politicile necesare?
Analiza vulnerabilităților Selectarea și prospectarea de de Analiza calitativă a vectorilor standarde de securitate adecvate atac ISO 27000, ITIL, CobIT, ISF Critical • OCTAVE - Operationally Threat, Asset and Vulnerability Pregătirea oricărui proiect IT ca pe Evaluation o investiție strategică • Evaluarea ROSI – return on security ROI/ROSI, Impact asupra LOB, TCO, investments impact asupra riscurilor
Gestiunea și controlul programului de investiții in IT (Sursa: Intel, Measuring the Returns on IT Security Investments)
3. Plan de acțiune (2) Care sunt primele 10 priorități IT și de securitate?
Care sunt primele 10 proiecte cele mai rentabile ca impact finaciar? Care 3 din ele au o pondere de 70-80%? Investiți inteligent și pe termen lung! Este un bun moment pentru a crește, și pentru a depăși concurența!
Mulțumesc! Q&A teodor.cimpoesu@kaspersky.ro twitter.com/cteodor Solepad – Pitesti 7 iulie