informÁciÓbiztonsÁgi helyzetkÉp - 2015...rÖviden a felmÉrÉsrŐl • 2011, 2012, 2015 • 4+1...
TRANSCRIPT
INFORMÁCIÓBIZTONSÁGI HELYZETKÉP - 2015
2015. OKTÓBER 8.
Biró Gergely| elnök
BEVEZETŐ
Karrier
IT SECURE Kft., ügyvezető (2003-)
KPMG, asszisztens menedzser, Information Risk Management (1999-
2003)
KPMG, könyvvizsgáló asszisztens (1997-1999)
ISACA közreműködés – múlt és jelen
President, ISACA Budapest Chapter
Program Chair, ISACA Budapest Chapter
önkéntes
Biró Gergely
ÉRTÉKET ÉS SZAKTUDÁST SZÁLLÍTUNK
HAZAI TAGSÁGUNK NÖVEKEDÉSE FOLYAMATOS
SOURCE: ISACA Annual Reports, 2014 data from December month-end demographics report, ISACA Membership Growth Statistics Summary*
373
384389
409
443
2011 2012 2013 2014 2015
ISACA Budapest Chapter taglétszámának alakulása
Régió 2011-2015
növekedés
Magyarország 19%
Total 16%
Asia 12%
Latin America 20%
Europe/ Africa 19%
North America 15%
Oceania 25%
Növekedés üteme
89,37%
RÖVIDEN A FELMÉRÉSRŐL
• 2011, 2012, 2015
• 4+1 fókuszterület: IT audit, IT biztonság, IT irányítás, IT kockázatkezelés + információbiztonsági piac
• Célcsoport: a téma szempontjából relevánsnak tekinthető magyarországi „vezető” vállalatok és intézmények (>250fő/>4mdft + HVG top100 + ISACA-tagság = 2485 db)
• A minta: 164 online kitöltött kérdőív
• Felmérés időszaka: 2015. március 30. – április 23.
A MINTA ÖSSZETÉTELE
2011 [n=114] 2012 [n=150] 2015[n=164]
% % %
Működési terület
Költségvetési szféra 24 25 49
Magánszféra 76 75 51
Alkalmazotti létszám
Kevesebb, mint 99 fő 10 19 35
100-499 fő 40 49 46
500 vagy több fő 50 31 16
NT/NV - - 4
Fő tevékenység
Ipar 36 29 21
Távközlés, IT 13 13 13
Pénzügy 13 7 5
Oktatás, EÜ, költségvetési int. 24 26 30
Egyéb 14 26 30
NT/NV - - 1
Külföldi résztulajdon
Nincs 50 54 57
Van 50 39 37
NT/NV - 7 7
AUDIT: CSÖKKEN A GYAKORISÁG, ERŐSÖDIK A FONTOSSÁG
• Folytatódik az audit háttérbe szorulásának folyamata, amely már 2012-ben is kimutatható volt
• Azok a szervezetek, amelyeknél megtartották [vagy bevezették] az audit funkciót, ennek egyre inkább felismerik a fontosságát
• Ennek megfelelően pozícionálják a vállalaton belül
18
19
24
8
11
6
50
35
27
17
28
38
8
7
4
2011
2012
2015
0% 20% 40% 60% 80% 100%
Csak belső auditotvégeznek
Csak külső auditotvégeznek
Belső és külső auditotis végeznek
Sem belső, sem külsőauditot nem végeznek
NT/NV
Bázis: összes válaszadó
Végeznek-e rendszeresen [belső és/vagy külső] IT auditot a szervezetnél?
[2011-2015]
Felső vezetés/igazgatótanács[61%]
IT vezető[39%]
Belső ellenőrzési vezető[14%]
Audit Bizottság[8%]
Pénzügyi vezető[6%]
Egyéb
[2%]
Bázis: belső IT auditot végző válaszadók
Mely szervezeti egység / részleg / vezető hagyja jóvá az éves IT audit tervet?
[2015]
AZ AUDIT EGYRE TÖBB VÁLLALATNÁL KERÜL KI A VÁLLALATI IT IRÁNYÍTÁSA ALÓL
• Az audit feladatkörét kivonják az IT feladatköréből: hazai és nemzetközi trend
• Az IT Audit funkció leggyakrabban [és időben egyre növekvő arányban] a vállalat felső vezetése/igazgatótanácsa felé tartozik beszámolással
• A magánszférában az IT vezető, valamint az anyavállalat szerepe továbbra is hangsúlyos és gyakoribb, mint a költségvetési intézményeknél
• 64%
Fels
ő
vezetés/igazgatótanács
• 10%Anyaválla
lat
• 16%ető
• 5%Audit Veze
tő
• 4%Audit Bi
zottság
• 60%Felső
ve
zetés/igazgatótanács
• 10%Anyaválla
lat
• 11%tő
• 7%Au
dit
Vezető
• 9%Audit Bi
zottság
• 53%Felső vezetés/igazgatótanács
• 17%Anyavállalat
• 16%IT vezető
• 10%Audit Vezető
• 4%Audit Bizottság
2011 2012 2015
Mely szervezeti egységnek tartozik beszámolással
az IT audit funkció?
[2011-2015]
Bázis: belső IT auditot végző válaszadók
2011 2012 2015
AZ AUDITOROK SZEMÉLYE ÉS KÉPZETTSÉGE EGYRE FONTOSABB SZEMPONT
• CISA, CISM és ITIL képesítés a leginkább elvárt
• Auditorokkal szemben leghatározottabb elvárás a CISA minősítés
• ITIL és a CISM esetében némi emelkedés figyelhető meg a 2012-es felméréshez képest
CISA [72%]
ITIL [48%]
CISM [42%]
CISSP [22%]
CIA [21%]
CISA [72%]
CISM [35%]
ITIL [29%]
CISSP [14%]
CIA [14%]
CISA [70%]
CISM [50%]
ITIL [40%]
CISSP [22%]
CRISC [16%]
Mely szakképesítéseknek tulajdonítanak legnagyobb értéket az IT
audit területen? [2011-2015]
Bázis: IT auditot rendszeresen végző válaszadók
AZ INFORMÁCIÓBIZTONSÁG FONTOS, DE A KONKRÉT LÉPÉSEK GYAKRAN ELMARADNAK
• Az adminisztratív eszközök [biztonsági stratégiák, elhárítási tervek] használata dominál a technológiai védelmi/megelőző eszközök használatával szemben
• Átfogó információbiztonsági stratégiája a vállalatok/intézmények közel 50 százalékának van, míg például sérülékenység elemző eszközökkel csak 22%-uk rendelkezik.
Legfontosabb IT audit kezdeményezések 2015-ben? [2015]
42%
14%
13%
8%
1%
5%
43%
0 10 20 30 40 50
Részletes audit terv kidolgozása
Csalás monitorozó folyamat /eszközbevezetés
Összeférhetetlen szerepkörök elemzése
Adatelemző eszköz bevezetés
GRC eszköz bevezetése
Egyéb
Ezek közül egyik sem
Bázis: belső IT auditot végző válaszadók
A LEGGYAKORIBB IT BIZTONSÁGI INCIDENS A KÜLSŐ BEHATOLÁSI KÍSÉRLET
• Leggyakoribb észlelt incidens a behatolási kísérlet. A többi incidensfajta lényegesen kevesebb szervezetnél jelenik meg, 2012-höz képest alacsonyabb arányban és gyakorisággal.
Incidensek előfordulása és gyakorisága [2015]
28%
13%
7%
3%2%
21,6
1,9 1,11,0 1,0
0db
5db
10db
15db
20db
25db
0%
5%
10%
15%
20%
25%
30%
Külső behatolásikísérlet
Eszköz lopás Bizalmasinformációkjogosulatlankézbe kerülése
Belső behatolásikísérlet
Csalás
Incidens előfordulása [%] Hány alkalommal fordult elő? [átlag]
2012: 16%
Bázis: összes válaszadó
HOGYAN BIZTOSÍTJA INFORMÁCIÓI VÉDELMÉT A KÜLSŐ SZOLGÁLTATÓVAL KAPCSOLATBAN?
Információk védelme
Szerződés részévé teszik
[2011:76%2012:74%
2015: 69 %]
Nyilatkozatot kérnek [7%]
Rendszerhez való hozzáférést limitálják
[2011:76%2012:65%
2015: 65%]
Tesztelést végeznek [7%]
Titoktartási nyilatkozatot íratnak
alá[2011:75% 2012:64%
2015: 61% ]
Egyéb [1%]
A HAZAI SZERVEZETEK ÁLTALÁBAN AZ IT BIZTONSÁGI PIAC BŐVÜLÉSÉT ÉRZÉKELTE
• Nemzetközi források a globális információ-biztonsági piac stabil növekedését indikálják
• Ehhez a magyar IT-vezetők meglátása is illeszkedik.
• Összességében a válaszadók szerint az utóbbi három évben az IT biztonsági piac növekedett
• A magyarországi piac méretének megítélése megosztotta a megkérdezett IT-vezetőket
Az információbiztonsági piac méretéről alkotott percepció[2015]
11
11
11
12
15
8
17
15
19
12
10
14
11
7
14
37
42
33
0% 20% 40% 60% 80% 100%
Total 2015
Költségvetési szféra
Magánszféra
Legfeljebb 10 milliárd Ft 10,1 – 20 milliárd Ft
20,1 – 50 milliárd Ft 50,1 – 100 milliárd Ft
Több, mint 100 milliárd Ft NT/NV
Bázis: összes válaszadó
37
28
45
35
36
34
9
11
6
3
5
1
2
5
15
15
14
0% 20% 40% 60% 80% 100%
Total 2015
Költségvetési szféra
Magánszféra
Jelentős mértékben bővült Kismértékben bővült
Stagnált Kismértékben szűkült
Jelentős mértékben szűkült NT/NV
AZ IT BIZTONSÁGI KÖLTSÉGVETÉS NÖVEKEDÉSÉNEK GLOBÁLIS TENDENCIÁJA NEM ÉRVÉNYESÜL ITTHON
• A vállalkozások és intézmények legnagyobb részénél [57%] nem változott jelentősen az IT-biztonságra fordítható összeg nagysága
• 2015: az intézményekre kevésbé jellemző az IT-biztonsági kiadások csökkentése
• 2015: 10% feletti azon szervezetek aránya, ahol nőtt az információbiztonsági terület költségvetése az előző évhez képest.
7
7
7
9
3
11
13
14
12
68
56
72
48
46
49
57
53
60
21
37
16
17
30
13
5
6
4
4
0
5
26
22
27
26
27
24
0% 20% 40% 60% 80% 100%
Total 2011
Költségvetési szféra
Magánszféra
Total 2012
Költségvetési szféra
Magánszféra
Total 2015
Költségvetési szféra
Magánszféra
Nőtt Nem változott Csökkent Nem tudja / Nem válaszol
2011
2012
2015
Az információbiztonsági terület költségvetésének alakulása[2011-2015]
Bázis: összes válaszadó
AZ IT BIZTONSÁGI KIADÁSOK RÉSZESEDÉSE A TELJES IT KÖLTSÉGVETÉSBEN ELMARAD A NEMZETKÖZI ÁTLAGTÓL
• Nemzetközi viszonylatban ez az arány átlagosan 8% körüli
• Ezt a hazai szervezetek 9% éri el vagy lépi túl
• Kiemelkedőnek számít a távközlési és IT szektor: a szervezetek közel egyharmada eléri vagy meghaladja a nemzetközi átlagot
Az információbiztonsági terület éves költségvetése a teljes IT költségvetéshez viszonyítva
[2015]
22%
7%
7%
1%
2%
7%
54%
0 10 20 30 40 50 60
Kevesebb, mint 2%
2 – 3,99%
4 – 5,99%
6 – 7,99%
8 – 9,99%
10% vagy annál nagyobb
Nem tudja / Nem válaszol
Bázis: összes válaszadó
A FELSŐ VEZETÉS IT-KOCKÁZATOK KEZELÉSÉBEN BETÖLTÖTT SZEREPE ÁLTALÁBAN MEGFELELŐ
A felső vezetés / igazgatótanács milyen mértékben látja a szervezetnél felmerülő IT kockázatokat? [2015]
16%
43%
26%
10%
5% Teljes mértékben
Nagyobb részben igen
Nagyobb részben nem
Egyáltalán nem
NT/NV
Bázis: összes válaszadó
A felső vezetés / igazgatótanács által hozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését?
[2015]
16%
48%
21%
6%
9%Teljes mértékben
Nagyobb részben igen
Nagyobb részben nem
Egyáltalán nem
NT/NV
AZ IT BIZTONSÁGI PIAC BESZÁLLÍTÓI ÉS MEGRENDELŐI OLDALÁN ELTÉRŐ NÉZŐPONTOK ÉRVÉNYESÜLNEK
A szállítókkal való együttműködés legnagyobb kihívásai[2015]
23%
20%
19%
19%
0 10 20 30
Elfogultság bizonyos megoldások,gyártók vagy termékek iránt
Valós igények meg nem értése
Határidők betartásának hiánya
Termékeladás fókuszú megközelítésproblémamegoldás helyett
Bázis: Az IT biztonsági piac megrendelői oldala
A megrendelőkkel való együttműködés legnagyobb kihívásai [2015]
67%
48%
41%
30%
0 10 20 30 40 50 60 70 80
Árközpontúság azértékközpontúság helyett
Stratégiai gondolkodás hiánya
A megrendelők belsőismereteinek hiánya a sajátműködési és informatikai…
Túl lassú döntéshozatal
Bázis: Az IT biztonsági piac beszállítói oldala
INFORMÁCIÓBIZTONSÁGI PIAC LEGFŐBB PROBLÉMÁI BESZÁLLÍTÓI SZEMMEL
A megrendelőkkel való együttműködés legnagyobb kihívásai [2015]
74%
44%
33%
30%
0 10 20 30 40 50 60 70 80
Felsővezetőkérdektelensége/ismerethiánya
Szűkülő költségvetések
Árfókuszú versenybekényszerülés, árdömping
Részmegoldások iránti igény
Bázis: Az IT biztonsági piac beszállítói oldala
ÖSSZEFOGLALÓAN: FOLYTATÓDNI LÁTSZANAK A KORÁBBI TRENDEK
• Audit szerepéhez való ambivalens viszony erősödése
• Információbiztonsági kockázatok fontosságának elméleti felismerése
• Konkrét gyakorlati lépések sokkal gyengébb ütemű fejlődése
• Felsővezetés növekvő befolyása az IT-biztonsági folyamatok tekintetében
• Nemzetközi trendekhez történő erősödő igazodás
MEGHÍVÓ: MÁSODIK SZERDAI ELŐADÁS - OKTÓBER
• Előadás címe: Software Asset Management, azaz „Valaki más problémája”
• Dátum: 2015. október 14., szerda 17:00 óra
• Helyszín: MNB - Budapest I. kerület, Krisztina krt. 39.,
• Meghívott előadó: Szegedi József, SAM konzulens - SoftwareONE Hungary Kft.
• Téma: Egy átfogó, összefoglaló a szoftvergazdálkodás világáról, melyben érintjük a jogi megfelelőség, a pénzügyi hatékonyság és az IT Security terülteket. Az előadás célja, hogy megmutassuk, a Software Asset Management, nem egy IT probléma, hanem a teljes menedzsmentet érinti. Az előadás fő vonalát kiegészítenénk ’Best Practice’-ekkel és olyan mindennapi problémák felvetésével és megoldásával, mely a közönséget is érintette, érinti vagy érintheti a jövőben.
A rendezvény ingyenes, azonban, akik nem ISACA tagok, azok részére, regisztrációhoz kötött!
KÖSZÖNÖM A FIGYELMET!
We appreciate your contribution to ISACA!