Inovativní služby v oblasti informační bezpečnosti Ing. Jan Drtil

Agenda: Je informační bezpečnost důležitá? Kde jsou rizika? Kde je prostor pro inovace? Závěr

Je informační bezpečnost důležitá? Roste množství oborů lidské činnosti využívajících informační technologie Roste závislost firemních procesů na informačních technologiích Roste propojování firem v důsledku nutnosti vzájemné výměny dat Roste závislost firem na IT Roste význam nutnosti zajistit informační bezpečnost

Kde jsou rizika? podnikatelský pohled legislativní pohled smluvní pohled

Rizika podnikatelský pohled Centrum stížností na internetovou kriminalitu USA (Internet Crime Complaint Center) registrovalo v roce individuálních podání stížností na internetovou kriminalitu (22,3% nárůst oproti předchozímu roku). Většina obsahovala hlášení finančního podvodu a vyjadřovala potenciální ztrátu poškozeného. Celková suma vyčíslená těmito incidenty dosáhla částky 559,7 mil. USD [ Administrátor GE Capital Bank Věnek Herynk od srpna 1999 do března 2002 neoprávněně převedl na své účty zhruba 193 miliónů korun. Byl odsouzen na 7 let odnětí svobody. [ Tabulka č. 1: Zdroje bezpečnostních incidentů – útočníci [ Zdroj hrozby (%) - průměr Vnější útočník8058 Vnitřní útočník Neidentifikován191517

Rizika legislativní pohled Česká republika Zákon č. 412/2005 Sb., o ochraně utajovaných informací Zákon č. 101/2000 Sb., o ochraně osobních údajů Zákon č. 563/1991 Sb., o účetnictví Ústava ČR, resp. Základní listina práv a svobod a řada dalších

Rizika smluvní pohled neplnění závazků vyplývajících z uzavřených smluv pokuty, penále, ztráta důvěryhodnosti

Kde je prostor pro inovace? Cílené projektové konzultace Osvěta s praktickými příklady a dopady v konkrétním kontextu Komplexní zhodnocení informačně-bezpečnostní situace Tvorba implementačních návodů Tvorba a aplikace srovnávacích metodik

Inovace Konzultace reakce na nálezy auditu s cílem přijmout a realizovat protiopatření cílené projekty s měřitelnými cíli

Inovace Osvěta s praktickými příklady a dopady v konkrétním kontextu cílená prezentace - ilustrace rizik a s tím spojených nákladů/odpovědnosti vedení firmy přehled základních směrů a možností systematického přístupu k řízení informačních rizik

Inovace Komplexní zhodnocení informačně- bezpečnostní situace na základě Průzkumu stavu informační bezpečnosti 2009 je největší překážkou rychlejšího prosazování informační bezpečnosti „obecně nízké bezpečnostní povědomí“ [Zdroj PSIB ČR ´09, Ernst & Young, NBÚ, DSM – data security management] propojení teorie s praxí - provázání podnikatelských aktivit a technologického pohledu za účelem zviditelnění těch nejzávažnějších konkrétně hrozících rizik navrhnout opatření, která budou v přiměřené míře (tj. s rozumně ospravedlnitelnými náklady) minimalizovat potenciální ztráty.

Inovace Tvorba implementačních návodů malé a střední podniky – kumulace funkcí, nutnost nalézt účelné řešení komplexní problematiky provázání „best practices“ s konkrétními technologiemi

Inovace Tvorba a aplikace srovnávacích metodik chybějící obecně akceptovaný„etalon“ bezpečnosti řada ISO řada NIST (např. 800_53) prověrka na základě Zákona č. 412/2005 Sb., o ochraně utajovaných informací obecné metodologie (ITIL, COBIT) a další věcně se prolínají - proč není jeden „benchmark“?

Závěr cílená osvěta bezpečnost „ušitá na míru“ implementace metodou „per partes“ s jasně měřitelnými výsledky subprojektů

Děkuji za pozornost Vaše otázky?