INFORMÁCIÓBIZTONSÁGI HELYZETKÉP - 2015

2015. OKTÓBER 8.

Biró Gergely| elnök

BEVEZETŐ

Karrier

IT SECURE Kft., ügyvezető (2003-)

KPMG, asszisztens menedzser, Information Risk Management (1999-

2003)

KPMG, könyvvizsgáló asszisztens (1997-1999)

ISACA közreműködés – múlt és jelen

President, ISACA Budapest Chapter

Program Chair, ISACA Budapest Chapter

önkéntes

Biró Gergely

gergely.biro@isaca.hu

ÉRTÉKET ÉS SZAKTUDÁST SZÁLLÍTUNK

HAZAI TAGSÁGUNK NÖVEKEDÉSE FOLYAMATOS

SOURCE: ISACA Annual Reports, 2014 data from December month-end demographics report, ISACA Membership Growth Statistics Summary*

373

384389

409

443

2011 2012 2013 2014 2015

ISACA Budapest Chapter taglétszámának alakulása

Régió 2011-2015

növekedés

Magyarország 19%

Total 16%

Asia 12%

Latin America 20%

Europe/ Africa 19%

North America 15%

Oceania 25%

Növekedés üteme

89,37%

RÖVIDEN A FELMÉRÉSRŐL

• 2011, 2012, 2015

• 4+1 fókuszterület: IT audit, IT biztonság, IT irányítás, IT kockázatkezelés + információbiztonsági piac

• Célcsoport: a téma szempontjából relevánsnak tekinthető magyarországi „vezető” vállalatok és intézmények (>250fő/>4mdft + HVG top100 + ISACA-tagság = 2485 db)

• A minta: 164 online kitöltött kérdőív

• Felmérés időszaka: 2015. március 30. – április 23.

A MINTA ÖSSZETÉTELE

2011 [n=114] 2012 [n=150] 2015[n=164]

% % %

Működési terület

Költségvetési szféra 24 25 49

Magánszféra 76 75 51

Alkalmazotti létszám

Kevesebb, mint 99 fő 10 19 35

100-499 fő 40 49 46

500 vagy több fő 50 31 16

NT/NV - - 4

Fő tevékenység

Ipar 36 29 21

Távközlés, IT 13 13 13

Pénzügy 13 7 5

Oktatás, EÜ, költségvetési int. 24 26 30

Egyéb 14 26 30

NT/NV - - 1

Külföldi résztulajdon

Nincs 50 54 57

Van 50 39 37

NT/NV - 7 7

AUDIT: CSÖKKEN A GYAKORISÁG, ERŐSÖDIK A FONTOSSÁG

• Folytatódik az audit háttérbe szorulásának folyamata, amely már 2012-ben is kimutatható volt

• Azok a szervezetek, amelyeknél megtartották [vagy bevezették] az audit funkciót, ennek egyre inkább felismerik a fontosságát

• Ennek megfelelően pozícionálják a vállalaton belül

18

19

24

8

11

6

50

35

27

17

28

38

8

7

4

2011

2012

2015

0% 20% 40% 60% 80% 100%

Csak belső auditotvégeznek

Csak külső auditotvégeznek

Belső és külső auditotis végeznek

Sem belső, sem külsőauditot nem végeznek

NT/NV

Bázis: összes válaszadó

Végeznek-e rendszeresen [belső és/vagy külső] IT auditot a szervezetnél?

[2011-2015]

Felső vezetés/igazgatótanács[61%]

IT vezető[39%]

Belső ellenőrzési vezető[14%]

Audit Bizottság[8%]

Pénzügyi vezető[6%]

Egyéb

[2%]

Bázis: belső IT auditot végző válaszadók

Mely szervezeti egység / részleg / vezető hagyja jóvá az éves IT audit tervet?

[2015]

AZ AUDIT EGYRE TÖBB VÁLLALATNÁL KERÜL KI A VÁLLALATI IT IRÁNYÍTÁSA ALÓL

• Az audit feladatkörét kivonják az IT feladatköréből: hazai és nemzetközi trend

• Az IT Audit funkció leggyakrabban [és időben egyre növekvő arányban] a vállalat felső vezetése/igazgatótanácsa felé tartozik beszámolással

• A magánszférában az IT vezető, valamint az anyavállalat szerepe továbbra is hangsúlyos és gyakoribb, mint a költségvetési intézményeknél

• 64%

Fels

ő

vezetés/igazgatótanács

• 10%Anyaválla

lat

• 16%ető

• 5%Audit Veze

tő

• 4%Audit Bi

zottság

• 60%Felső

ve

zetés/igazgatótanács

• 10%Anyaválla

lat

• 11%tő

• 7%Au

dit

Vezető

• 9%Audit Bi

zottság

• 53%Felső vezetés/igazgatótanács

• 17%Anyavállalat

• 16%IT vezető

• 10%Audit Vezető

• 4%Audit Bizottság

2011 2012 2015

Mely szervezeti egységnek tartozik beszámolással

az IT audit funkció?

[2011-2015]

Bázis: belső IT auditot végző válaszadók

2011 2012 2015

AZ AUDITOROK SZEMÉLYE ÉS KÉPZETTSÉGE EGYRE FONTOSABB SZEMPONT

• CISA, CISM és ITIL képesítés a leginkább elvárt

• Auditorokkal szemben leghatározottabb elvárás a CISA minősítés

• ITIL és a CISM esetében némi emelkedés figyelhető meg a 2012-es felméréshez képest

CISA [72%]

ITIL [48%]

CISM [42%]

CISSP [22%]

CIA [21%]

CISA [72%]

CISM [35%]

ITIL [29%]

CISSP [14%]

CIA [14%]

CISA [70%]

CISM [50%]

ITIL [40%]

CISSP [22%]

CRISC [16%]

Mely szakképesítéseknek tulajdonítanak legnagyobb értéket az IT

audit területen? [2011-2015]

Bázis: IT auditot rendszeresen végző válaszadók

AZ INFORMÁCIÓBIZTONSÁG FONTOS, DE A KONKRÉT LÉPÉSEK GYAKRAN ELMARADNAK

• Az adminisztratív eszközök [biztonsági stratégiák, elhárítási tervek] használata dominál a technológiai védelmi/megelőző eszközök használatával szemben

• Átfogó információbiztonsági stratégiája a vállalatok/intézmények közel 50 százalékának van, míg például sérülékenység elemző eszközökkel csak 22%-uk rendelkezik.

Legfontosabb IT audit kezdeményezések 2015-ben? [2015]

42%

14%

13%

8%

1%

5%

43%

0 10 20 30 40 50

Részletes audit terv kidolgozása

Csalás monitorozó folyamat /eszközbevezetés

Összeférhetetlen szerepkörök elemzése

Adatelemző eszköz bevezetés

GRC eszköz bevezetése

Egyéb

Ezek közül egyik sem

Bázis: belső IT auditot végző válaszadók

A LEGGYAKORIBB IT BIZTONSÁGI INCIDENS A KÜLSŐ BEHATOLÁSI KÍSÉRLET

• Leggyakoribb észlelt incidens a behatolási kísérlet. A többi incidensfajta lényegesen kevesebb szervezetnél jelenik meg, 2012-höz képest alacsonyabb arányban és gyakorisággal.

Incidensek előfordulása és gyakorisága [2015]

28%

13%

7%

3%2%

21,6

1,9 1,11,0 1,0

0db

5db

10db

15db

20db

25db

0%

5%

10%

15%

20%

25%

30%

Külső behatolásikísérlet

Eszköz lopás Bizalmasinformációkjogosulatlankézbe kerülése

Belső behatolásikísérlet

Csalás

Incidens előfordulása [%] Hány alkalommal fordult elő? [átlag]

2012: 16%

Bázis: összes válaszadó

HOGYAN BIZTOSÍTJA INFORMÁCIÓI VÉDELMÉT A KÜLSŐ SZOLGÁLTATÓVAL KAPCSOLATBAN?

Információk védelme

Szerződés részévé teszik

[2011:76%2012:74%

2015: 69 %]

Nyilatkozatot kérnek [7%]

Rendszerhez való hozzáférést limitálják

[2011:76%2012:65%

2015: 65%]

Tesztelést végeznek [7%]

Titoktartási nyilatkozatot íratnak

alá[2011:75% 2012:64%

2015: 61% ]

Egyéb [1%]

A HAZAI SZERVEZETEK ÁLTALÁBAN AZ IT BIZTONSÁGI PIAC BŐVÜLÉSÉT ÉRZÉKELTE

• Nemzetközi források a globális információ-biztonsági piac stabil növekedését indikálják

• Ehhez a magyar IT-vezetők meglátása is illeszkedik.

• Összességében a válaszadók szerint az utóbbi három évben az IT biztonsági piac növekedett

• A magyarországi piac méretének megítélése megosztotta a megkérdezett IT-vezetőket

Az információbiztonsági piac méretéről alkotott percepció[2015]

11

11

11

12

15

8

17

15

19

12

10

14

11

7

14

37

42

33

0% 20% 40% 60% 80% 100%

Total 2015

Költségvetési szféra

Magánszféra

Legfeljebb 10 milliárd Ft 10,1 – 20 milliárd Ft

20,1 – 50 milliárd Ft 50,1 – 100 milliárd Ft

Több, mint 100 milliárd Ft NT/NV

Bázis: összes válaszadó

37

28

45

35

36

34

9

11

6

3

5

1

2

5

15

15

14

0% 20% 40% 60% 80% 100%

Total 2015

Költségvetési szféra

Magánszféra

Jelentős mértékben bővült Kismértékben bővült

Stagnált Kismértékben szűkült

Jelentős mértékben szűkült NT/NV

AZ IT BIZTONSÁGI KÖLTSÉGVETÉS NÖVEKEDÉSÉNEK GLOBÁLIS TENDENCIÁJA NEM ÉRVÉNYESÜL ITTHON

• A vállalkozások és intézmények legnagyobb részénél [57%] nem változott jelentősen az IT-biztonságra fordítható összeg nagysága

• 2015: az intézményekre kevésbé jellemző az IT-biztonsági kiadások csökkentése

• 2015: 10% feletti azon szervezetek aránya, ahol nőtt az információbiztonsági terület költségvetése az előző évhez képest.

7

7

7

9

3

11

13

14

12

68

56

72

48

46

49

57

53

60

21

37

16

17

30

13

5

6

4

4

0

5

26

22

27

26

27

24

0% 20% 40% 60% 80% 100%

Total 2011

Költségvetési szféra

Magánszféra

Total 2012

Költségvetési szféra

Magánszféra

Total 2015

Költségvetési szféra

Magánszféra

Nőtt Nem változott Csökkent Nem tudja / Nem válaszol

2011

2012

2015

Az információbiztonsági terület költségvetésének alakulása[2011-2015]

Bázis: összes válaszadó

AZ IT BIZTONSÁGI KIADÁSOK RÉSZESEDÉSE A TELJES IT KÖLTSÉGVETÉSBEN ELMARAD A NEMZETKÖZI ÁTLAGTÓL

• Nemzetközi viszonylatban ez az arány átlagosan 8% körüli

• Ezt a hazai szervezetek 9% éri el vagy lépi túl

• Kiemelkedőnek számít a távközlési és IT szektor: a szervezetek közel egyharmada eléri vagy meghaladja a nemzetközi átlagot

Az információbiztonsági terület éves költségvetése a teljes IT költségvetéshez viszonyítva

[2015]

22%

7%

7%

1%

2%

7%

54%

0 10 20 30 40 50 60

Kevesebb, mint 2%

2 – 3,99%

4 – 5,99%

6 – 7,99%

8 – 9,99%

10% vagy annál nagyobb

Nem tudja / Nem válaszol

Bázis: összes válaszadó

A FELSŐ VEZETÉS IT-KOCKÁZATOK KEZELÉSÉBEN BETÖLTÖTT SZEREPE ÁLTALÁBAN MEGFELELŐ

A felső vezetés / igazgatótanács milyen mértékben látja a szervezetnél felmerülő IT kockázatokat? [2015]

16%

43%

26%

10%

5% Teljes mértékben

Nagyobb részben igen

Nagyobb részben nem

Egyáltalán nem

NT/NV

Bázis: összes válaszadó

A felső vezetés / igazgatótanács által hozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését?

[2015]

16%

48%

21%

6%

9%Teljes mértékben

Nagyobb részben igen

Nagyobb részben nem

Egyáltalán nem

NT/NV

AZ IT BIZTONSÁGI PIAC BESZÁLLÍTÓI ÉS MEGRENDELŐI OLDALÁN ELTÉRŐ NÉZŐPONTOK ÉRVÉNYESÜLNEK

A szállítókkal való együttműködés legnagyobb kihívásai[2015]

23%

20%

19%

19%

0 10 20 30

Elfogultság bizonyos megoldások,gyártók vagy termékek iránt

Valós igények meg nem értése

Határidők betartásának hiánya

Termékeladás fókuszú megközelítésproblémamegoldás helyett

Bázis: Az IT biztonsági piac megrendelői oldala

A megrendelőkkel való együttműködés legnagyobb kihívásai [2015]

67%

48%

41%

30%

0 10 20 30 40 50 60 70 80

Árközpontúság azértékközpontúság helyett

Stratégiai gondolkodás hiánya

A megrendelők belsőismereteinek hiánya a sajátműködési és informatikai…

Túl lassú döntéshozatal

Bázis: Az IT biztonsági piac beszállítói oldala

INFORMÁCIÓBIZTONSÁGI PIAC LEGFŐBB PROBLÉMÁI BESZÁLLÍTÓI SZEMMEL

A megrendelőkkel való együttműködés legnagyobb kihívásai [2015]

74%

44%

33%

30%

0 10 20 30 40 50 60 70 80

Felsővezetőkérdektelensége/ismerethiánya

Szűkülő költségvetések

Árfókuszú versenybekényszerülés, árdömping

Részmegoldások iránti igény

Bázis: Az IT biztonsági piac beszállítói oldala

ÖSSZEFOGLALÓAN: FOLYTATÓDNI LÁTSZANAK A KORÁBBI TRENDEK

• Audit szerepéhez való ambivalens viszony erősödése

• Információbiztonsági kockázatok fontosságának elméleti felismerése

• Konkrét gyakorlati lépések sokkal gyengébb ütemű fejlődése

• Felsővezetés növekvő befolyása az IT-biztonsági folyamatok tekintetében

• Nemzetközi trendekhez történő erősödő igazodás

MEGHÍVÓ: MÁSODIK SZERDAI ELŐADÁS - OKTÓBER

• Előadás címe: Software Asset Management, azaz „Valaki más problémája”

• Dátum: 2015. október 14., szerda 17:00 óra

• Helyszín: MNB - Budapest I. kerület, Krisztina krt. 39.,

• Meghívott előadó: Szegedi József, SAM konzulens - SoftwareONE Hungary Kft.

• Téma: Egy átfogó, összefoglaló a szoftvergazdálkodás világáról, melyben érintjük a jogi megfelelőség, a pénzügyi hatékonyság és az IT Security terülteket. Az előadás célja, hogy megmutassuk, a Software Asset Management, nem egy IT probléma, hanem a teljes menedzsmentet érinti. Az előadás fő vonalát kiegészítenénk ’Best Practice’-ekkel és olyan mindennapi problémák felvetésével és megoldásával, mely a közönséget is érintette, érinti vagy érintheti a jövőben.

A rendezvény ingyenes, azonban, akik nem ISACA tagok, azok részére, regisztrációhoz kötött!

KÖSZÖNÖM A FIGYELMET!

We appreciate your contribution to ISACA!