INFORMÁCIÓBIZTONSÁGI HELYZETKÉP - 2015. 2015. OKTÓBER 8. Biró Gergely elnök



Hasonló dokumentumok
Információbiztonság irányítása

TARTALOMJEGYZÉK Előszó... 3 Bevezetés... 4 Vezetői összefoglaló... 5 IT Audit... 7 IT Biztonság IT Irányítás IT Kockázatelemzés...

A HR gyakorlatok alakulása - nemzetközi összehasonlítás fókuszban a közép-keleteurópai és hazai sajátosságokkal. Kovács Ildikó Éva Tanszéki mérnök

Integritás és korrupciós kockázatok a magyar vállalati szektorban január 26.

2013 L. - tapasztalatok Antidotum 2015

Szabványok, ajánlások

MUNKAERŐ FLUKTUÁCIÓ VIZSGÁLATA MAGYARORSZÁGON

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Ellenőrzési aspektusok a vállalatok versenyképességének szemszögéből

Babes-Bolyai Egyetem. Összefoglaló jelentés. Vállalati innovációirányítási rendszer bevezetésére irányuló képzés a versenyképes cégekért 2016/06/06

The Leader for Exceptional Client Service. szolgáltatások

Aktualitások a minőségirányításban

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Környezeti elemek védelme II. Talajvédelem

Dr. Fehér Péter. Dr. Szabó Zoltán. Partnereink.

11. Globális Visszaélési Felmérés május

Probléma Menedzsment és a mérhetőség. Suba Péter, Service Delivery Consultant

Pr-mérés: csökkenő fontosság, csökkenő büdzsé. A PR Herald kutatása a hazai pr-ügynökségek körében

Környezet-tudatosság a közép- és nagyvállalatok körében

Az információbiztonság-tudatosság vizsgálata az osztrák és a magyar vállalkozások körében

Vállalkozások fejlesztési tervei

Big Data az ellenőrzésben: Kihívás vagy lehetőség?

Az informatika helyzete Válságos. évek. Dr. Fehér Péter

Vezetői - Best Practice Felmérés összefoglaló. Dr. Németh Balázs Kvalikon Kft Július 24.

A béren kívüli juttatások alkalmazása a magyar vállalkozások körében

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

Biztosítási Fórum 2015

Pécsi Tudományegyetem Közgazdaságtudományi Kar

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

GDPR Megfelelőségi Audit ELŐADÓ: MÁRKY DONÁT

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

A 2012 KARÁCSONYI, SZILVESZTERI IDŐSZAK HATÁSA A BUDAPESTI, ILLETVE A VIDÉKI SZÁLLODÁK TELJESÍTMÉNYÉRE

Az ÁSZ évi Integritás felmérésének felsőoktatási intézményeket érintő tapasztalatai. Dr. Pulay Gyula felügyeleti vezető előadása

Legjobb Munkahely Felmérés Trendek és tanulságok

A PM szakma tükre 2017 Tendenciák és próféciák. Török L. Gábor PhD

Hetyei József. Certified Management Consultant MBA for IT szakvezető

Összességében hogyan értékeli az igénybe vett szolgáltatás minőségét?

Pénzforgalmi szolgáltatások fejlesztése ügyfél szemmel. Budapest, szeptember 9.

Nagy Webáruház Felmérés 2017

A visegrádi országok vállalati információs rendszerek használati szokásainak elemzése és értékelése

ManpowerGroup Munkaerő-piaci Előrejelzés Magyarország

BalaBit IT Security. A sárkány útja. Györkő Zoltán Üzletfejlesztési Igazgató BalaBit IT Security Budapest, június 2.

Információbiztonság fejlesztése önértékeléssel

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

Dr. Fehér Péter Dr. Szabó Zoltán. Budapesti Corvinus Egyetem Információrendszerek tanszék

Információbiztonság minden szinten, az alkalmazás-fejlesztéstől az auditálásig.

Gazdálkodószervezetek kockázatkezelési gyakorlata Magyarországon 2014.

Headline Verdana Bold

Fizetési szokások Európában

Magyarország kerékpáros nagyhatalom és Budapest minden kétséget kizáróan elbringásodott: egyre többen és egyre gyakrabban ülnek nyeregbe a fővárosban

Összefoglalás a 2014-es TOP magyarországi tanácsadói felmérésről

Rariga Judit Globális külkereskedelem átmeneti lassulás vagy normalizálódás?

SAJTÓKÖZLEMÉNY. a hitelintézetekről 1 a II. negyedév végi 2 prudenciális adataik alapján

Rövid távú munkaerőpiaci előrejelzés és konjunktúra kutatás OKTÓBER

PMO Érettségi szint és versenyelőny. Kovács Ádám

Internethasználat a magyar kis- és középvállalkozások körében

Gazdasági Havi Tájékoztató november

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Fre User Report 12 Ingyenes levelező használati szokások és attitűdök Magyarországon

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Osztozni a sikerekben vezetői juttatások

A könyvvizsgáló kapcsolatrendszere. Kapcsolatrendszer elemei. Szabályozási háttér. Dr. Kántor Béla

Lankadt a német befektetők optimizmusa

Inflációs és növekedési kilátások: Az MNB aktuális előrejelzései Hamecz István

Panelbeszélgetés szeptember 8. MKT Vándorgyűlés, Eger. Nagy Márton Alelnök, Magyar Nemzeti Bank

A növekedés ára. A 12. Globális Visszaélési Felmérés magyarországi eredményei május

Nagy Webáruház Felmérés 2015

A magyar textil- és ruhaipar 2013-ban a számok tükrében Máthé Csabáné dr.

Dr. FEHÉR PÉTER Magyarországi szervezetek digitális transzformációja számokban - Tények és 1trendek

1. ábra: Az agrárgazdaság hitelállományának megoszlása, IV. negyedévben. Agrárgazdaság hitelállománya. 1124,9 milliárd Ft

Öngondoskodás kutatás. Allianz Hungária Zrt. 2017

Az információbiztonság-tudatosság vizsgálata a magyar üzleti- és közszférában

A tőzsdén jegyzett gazdálkodók könyvvizsgálatának specialitásai

A helyi TDM feladatai, működése

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

Nyílt forráskódú technológiák központi és Önkormányzati környezetekben

A minőség-ellenőrzés tapasztalatai a pénz- és tőkepiac könyvvizsgálóinál

Értékpapír-állományok tulajdonosi megoszlása II. negyedév 1

Fókuszban az információbiztonság

A munkaerőhiány vállalati percepciója

A logisztika kihívásai a 21. században

Recesszió Magyarországon

[ETK BEMSZ KÉPZÉSI PROGRAM] Hitelintézetek, pénzügyi intézmények; ipari, kereskedelmi, szolgáltató vállalatok és a közszféra belső ellenőrei számára

Beszállítók: dualitás és lehetőség

Ügyfél megelégedettségi kérdőív Összefoglaló. A kutatásról

The Leader for Exceptional Client Service SZERVEZETFEJLESZTÉS. Less Myths more Practice

Diplomás pályakövetés diplomás kutatás, 2010

KÖVETKEZŐ GENERÁCIÓS NAGYVÁLLALATI TARTALOMKEZELŐ MEGOLDÁSOK Stratis Kft. / Autonomy üzleti reggeli / Mezei Ferenc üzletág-igazgató

Integritás és korrupciós kockázatok a magyar vállalati szektorban december 6.

Munkaerő piaci helyzetkép. Csongrád megye

Output menedzsment felmérés. Tartalomjegyzék

A fenntarthatóság útján 2011-ben??

Projektmenedzsment a kérdőíves felmérések tükrében

Puskás Tivadar Közalapítvány. PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ III. negyedéves jelentés

Kkv-beruházások: kitarthat még a cégek lendülete

Műhelymunka - Vitaindító. Tarján Gábor Budapest 11:50 13:00

A minőségszakemberek elégedettsége, fizetésük és továbbképzési terveik az USA-ban

1. ábra: Az agrárgazdaság hitelállományának megoszlása, III. negyedévben. Agrárgazdaság hitelállománya. 1118,6 milliárd Ft

Integritás és korrupciós kockázatok a magyar vállalati szektorban Február 18.

Átírás:

INFORMÁCIÓBIZTONSÁGI HELYZETKÉP - 2015 2015. OKTÓBER 8. Biró Gergely elnök

BEVEZETŐ Karrier IT SECURE Kft., ügyvezető (2003-) KPMG, asszisztens menedzser, Information Risk Management (1999-2003) KPMG, könyvvizsgáló asszisztens (1997-1999) ISACA közreműködés múlt és jelen President, ISACA Budapest Chapter Program Chair, ISACA Budapest Chapter önkéntes Biró Gergely gergely.biro@isaca.hu

ÉRTÉKET ÉS SZAKTUDÁST SZÁLLÍTUNK

HAZAI TAGSÁGUNK NÖVEKEDÉSE FOLYAMATOS ISACA Budapest Chapter taglétszámának alakulása Növekedés üteme 89,37% Régió 2011-2015 növekedés Magyarország 19% Total 16% 443 Asia 12% Latin America 20% 373 384 389 409 Europe/ Africa 19% North America 15% Oceania 25% 2011 2012 2013 2014 2015 SOURCE: ISACA Annual Reports, 2014 data from December month-end demographics report, ISACA Membership Growth Statistics Summary*

RÖVIDEN A FELMÉRÉSRŐL 2011, 2012, 2015 4+1 fókuszterület: IT audit, IT biztonság, IT irányítás, IT kockázatkezelés + információbiztonsági piac Célcsoport: a téma szempontjából relevánsnak tekinthető magyarországi vezető vállalatok és intézmények (>250fő/>4mdft + HVG top100 + ISACA-tagság = 2485 db) A minta: 164 online kitöltött kérdőív Felmérés időszaka: 2015. március 30. április 23.

A MINTA ÖSSZETÉTELE 2011 [n=114] 2012 [n=150] 2015[n=164] % % % Működési terület Költségvetési szféra 24 25 49 Magánszféra 76 75 51 Alkalmazotti létszám Kevesebb, mint 99 fő 10 19 35 100-499 fő 40 49 46 500 vagy több fő 50 31 16 NT/NV - - 4 Fő tevékenység Ipar 36 29 21 Távközlés, IT 13 13 13 Pénzügy 13 7 5 Oktatás, EÜ, költségvetési int. 24 26 30 Egyéb 14 26 30 NT/NV - - 1 Külföldi résztulajdon Nincs 50 54 57 Van 50 39 37 NT/NV - 7 7

AUDIT: CSÖKKEN A GYAKORISÁG, ERŐSÖDIK A FONTOSSÁG Végeznek-e rendszeresen [belső és/vagy külső] IT auditot a szervezetnél? [2011-2015] Mely szervezeti egység / részleg / vezető hagyja jóvá az éves IT audit tervet? [2015] 2011 2012 2015 18 19 24 8 11 6 50 35 27 17 28 38 8 7 4 0% 20% 40% 60% 80% 100% Csak belső auditot végeznek Csak külső auditot végeznek Belső és külső auditot is végeznek Sem belső, sem külső auditot nem végeznek NT/NV Bázis: összes válaszadó Felső vezetés/igazgatótanács [61%] IT vezető [39%] Belső ellenőrzési vezető [14%] Audit Bizottság [8%] Pénzügyi vezető [6%] Egyéb [2%] Bázis: belső IT auditot végző válaszadók Folytatódik az audit háttérbe szorulásának folyamata, amely már 2012-ben is kimutatható volt Azok a szervezetek, amelyeknél megtartották [vagy bevezették] az audit funkciót, ennek egyre inkább felismerik a fontosságát Ennek megfelelően pozícionálják a vállalaton belül

Fe ls ő ve ze té s/ ig az ga tó ta ná cs An ya vá lla lat tő Au dit Ve ze tő Au di t Bi zo tt sá g Fe ls ő ve ze té s/ ig az ga tó ta ná cs An ya vá lla lat et ő Au dit Ve ze tő Au di t Bi zo tt sá g AZ AUDIT EGYRE TÖBB VÁLLALATNÁL KERÜL KI A VÁLLALATI IT IRÁNYÍTÁSA ALÓL Az audit feladatkörét kivonják az IT feladatköréből: hazai és nemzetközi trend Az IT Audit funkció leggyakrabban [és időben egyre növekvő arányban] a vállalat felső vezetése/igazgatótanácsa felé tartozik beszámolással Mely szervezeti egységnek tartozik beszámolással az IT audit funkció? [2011-2015] Felső vezetés/ igazgatótanács Anyavállalat IT vezető 2011 2012 2015 53% 17% 16% 60% 10% 11% 64% 10% 16% A magánszférában az IT vezető, valamint az anyavállalat szerepe továbbra is hangsúlyos és gyakoribb, mint a költségvetési intézményeknél Audit Vezető Audit Bizottság 10% 4% 7% 9% Bázis: belső IT auditot végző válaszadók 5% 4%

AZ AUDITOROK SZEMÉLYE ÉS KÉPZETTSÉGE EGYRE FONTOSABB SZEMPONT Mely szakképesítéseknek tulajdonítanak legnagyobb értéket az IT audit területen? [2011-2015] 2011 2012 2015 CISA [72%] CISA [72%] CISA [70%] ITIL [48%] CISM [42%] CISSP [22%] CIA [21%] CISM [35%] ITIL [29%] CISSP [14%] CIA [14%] CISM [50%] ITIL [40%] CISSP [22%] CRISC [16%] Bázis: IT auditot rendszeresen végző válaszadók CISA, CISM és ITIL képesítés a leginkább elvárt Auditorokkal szemben leghatározottabb elvárás a CISA minősítés ITIL és a CISM esetében némi emelkedés figyelhető meg a 2012-es felméréshez képest

AZ INFORMÁCIÓBIZTONSÁG FONTOS, DE A KONKRÉT LÉPÉSEK GYAKRAN ELMARADNAK Az adminisztratív eszközök [biztonsági stratégiák, elhárítási tervek] használata dominál a technológiai védelmi/megelőző eszközök használatával szemben Átfogó információbiztonsági stratégiája a vállalatok/intézmények közel 50 százalékának van, míg például sérülékenység elemző eszközökkel csak 22%-uk rendelkezik. Legfontosabb IT audit kezdeményezések 2015-ben? [2015] Részletes audit terv kidolgozása 42% Csalás monitorozó folyamat /eszköz bevezetés Összeférhetetlen szerepkörök elemzése 14% 13% Adatelemző eszköz bevezetés 8% Bázis: belső IT auditot végző válaszadók GRC eszköz bevezetése Egyéb 1% 5% Ezek közül egyik sem 43% 0 10 20 30 40 50

A LEGGYAKORIBB IT BIZTONSÁGI INCIDENS A KÜLSŐ BEHATOLÁSI KÍSÉRLET Leggyakoribb észlelt incidens a behatolási kísérlet. A többi incidensfajta lényegesen kevesebb szervezetnél jelenik meg, 2012-höz képest alacsonyabb arányban és gyakorisággal. Incidensek előfordulása és gyakorisága [2015] 30% 28% 2012: 16% 25db 25% 21,6 20db 20% 15db 15% 13% 10% 5% 0% Külső behatolási kísérlet Eszköz lopás 7% 1,9 1,1 Bizalmas információk jogosulatlan kézbe kerülése 3% Belső behatolási kísérlet 2% 1,0 1,0 Csalás 10db 5db 0db Bázis: összes válaszadó Incidens előfordulása [%] Hány alkalommal fordult elő? [átlag]

HOGYAN BIZTOSÍTJA INFORMÁCIÓI VÉDELMÉT A KÜLSŐ SZOLGÁLTATÓVAL KAPCSOLATBAN? Szerződés részévé teszik [2011:76% 2012:74% 2015: 69 %] Egyéb [1%] Nyilatkozatot kérnek [7%] Információk védelme Titoktartási nyilatkozatot íratnak alá [2011:75% 2012:64% 2015: 61% ] Rendszerhez való hozzáférést limitálják [2011:76% 2012:65% 2015: 65%] Tesztelést végeznek [7%]

A HAZAI SZERVEZETEK ÁLTALÁBAN AZ IT BIZTONSÁGI PIAC BŐVÜLÉSÉT ÉRZÉKELTE Az információbiztonsági piac méretéről alkotott percepció [2015] Nemzetközi források a globális információ-biztonsági piac stabil növekedését indikálják Total 2015 Költségvetési szféra 11 11 12 15 17 15 12 10 7 11 37 42 Ehhez a magyar IT-vezetők meglátása is illeszkedik. Magánszféra 11 8 19 14 14 33 Összességében a válaszadók szerint az utóbbi három évben az IT biztonsági piac növekedett A magyarországi piac méretének megítélése megosztotta a megkérdezett IT-vezetőket 0% 20% 40% 60% 80% 100% Legfeljebb 10 milliárd Ft 10,1 20 milliárd Ft 20,1 50 milliárd Ft 50,1 100 milliárd Ft Több, mint 100 milliárd Ft NT/NV Bázis: összes válaszadó Total 2015 37 35 9 32 15 Költségvetési szféra 28 36 11 5 5 15 Magánszféra 45 34 6 1 14 0% 20% 40% 60% 80% 100% Jelentős mértékben bővült Stagnált Jelentős mértékben szűkült Kismértékben bővült Kismértékben szűkült NT/NV

AZ IT BIZTONSÁGI KÖLTSÉGVETÉS NÖVEKEDÉSÉNEK GLOBÁLIS TENDENCIÁJA NEM ÉRVÉNYESÜL ITTHON A vállalkozások és intézmények legnagyobb részénél [57%] nem változott jelentősen az ITbiztonságra fordítható összeg nagysága 2015: az intézményekre kevésbé jellemző az IT-biztonsági kiadások csökkentése 2015: 10% feletti azon szervezetek aránya, ahol nőtt az információbiztonsági terület költségvetése az előző évhez képest. Az információbiztonsági terület költségvetésének alakulása [2011-2015] 2011 2012 2015 Total 2011 Költségvetési szféra Magánszféra Total 2012 Költségvetési szféra Magánszféra Total 2015 Költségvetési szféra Magánszféra 3 7 7 7 9 11 13 14 12 46 56 48 49 68 72 57 53 60 17 30 13 6 5 4 37 21 16 26 27 22 26 27 24 4 5 0 0% 20% 40% 60% 80% 100% Nőtt Nem változott Csökkent Nem tudja / Nem válaszol Bázis: összes válaszadó

AZ IT BIZTONSÁGI KIADÁSOK RÉSZESEDÉSE A TELJES IT KÖLTSÉGVETÉSBEN ELMARAD A NEMZETKÖZI ÁTLAGTÓL Nemzetközi viszonylatban ez az arány átlagosan 8% körüli Ezt a hazai szervezetek 9% éri el vagy lépi túl Kiemelkedőnek számít a távközlési és IT szektor: a szervezetek közel egyharmada eléri vagy meghaladja a nemzetközi átlagot Az információbiztonsági terület éves költségvetése a teljes IT költségvetéshez viszonyítva [2015] Kevesebb, mint 2% 2 3,99% 4 5,99% 6 7,99% 8 9,99% 1% 2% 7% 7% 22% Bázis: összes válaszadó 10% vagy annál nagyobb 7% Nem tudja / Nem válaszol 54% 0 10 20 30 40 50 60

A FELSŐ VEZETÉS IT-KOCKÁZATOK KEZELÉSÉBEN BETÖLTÖTT SZEREPE ÁLTALÁBAN MEGFELELŐ A felső vezetés / igazgatótanács milyen mértékben látja a szervezetnél felmerülő IT kockázatokat? [2015] A felső vezetés / igazgatótanács által hozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését? [2015] 10% 5% 16% Teljes mértékben Nagyobb részben igen 6% 9% 16% Teljes mértékben Nagyobb részben igen Nagyobb részben nem Nagyobb részben nem 26% Egyáltalán nem NT/NV 21% Egyáltalán nem NT/NV 43% Bázis: összes válaszadó 48%

AZ IT BIZTONSÁGI PIAC BESZÁLLÍTÓI ÉS MEGRENDELŐI OLDALÁN ELTÉRŐ NÉZŐPONTOK ÉRVÉNYESÜLNEK A szállítókkal való együttműködés legnagyobb kihívásai [2015] A megrendelőkkel való együttműködés legnagyobb kihívásai [2015] Elfogultság bizonyos megoldások, gyártók vagy termékek iránt 23% Árközpontúság az értékközpontúság helyett 67% Valós igények meg nem értése 20% Stratégiai gondolkodás hiánya 48% Határidők betartásának hiánya 19% A megrendelők belső ismereteinek hiánya a saját működési és informatikai 41% Termékeladás fókuszú megközelítés problémamegoldás helyett 19% Túl lassú döntéshozatal 30% 0 10 20 30 0 10 20 30 40 50 60 70 80 Bázis: Az IT biztonsági piac megrendelői oldala Bázis: Az IT biztonsági piac beszállítói oldala

INFORMÁCIÓBIZTONSÁGI PIAC LEGFŐBB PROBLÉMÁI BESZÁLLÍTÓI SZEMMEL A megrendelőkkel való együttműködés legnagyobb kihívásai [2015] Felsővezetők érdektelensége/ismerethiánya 74% Szűkülő költségvetések 44% Árfókuszú versenybe kényszerülés, árdömping 33% Részmegoldások iránti igény 30% 0 10 20 30 40 50 60 70 80 Bázis: Az IT biztonsági piac beszállítói oldala

ÖSSZEFOGLALÓAN: FOLYTATÓDNI LÁTSZANAK A KORÁBBI TRENDEK Audit szerepéhez való ambivalens viszony erősödése Információbiztonsági kockázatok fontosságának elméleti felismerése Konkrét gyakorlati lépések sokkal gyengébb ütemű fejlődése Felsővezetés növekvő befolyása az IT-biztonsági folyamatok tekintetében Nemzetközi trendekhez történő erősödő igazodás

MEGHÍVÓ: MÁSODIK SZERDAI ELŐADÁS - OKTÓBER Előadás címe: Software Asset Management, azaz Valaki más problémája Dátum: 2015. október 14., szerda 17:00 óra Helyszín: MNB - Budapest I. kerület, Krisztina krt. 39., Meghívott előadó: Szegedi József, SAM konzulens - SoftwareONE Hungary Kft. Téma: Egy átfogó, összefoglaló a szoftvergazdálkodás világáról, melyben érintjük a jogi megfelelőség, a pénzügyi hatékonyság és az IT Security terülteket. Az előadás célja, hogy megmutassuk, a Software Asset Management, nem egy IT probléma, hanem a teljes menedzsmentet érinti. Az előadás fő vonalát kiegészítenénk Best Practice -ekkel és olyan mindennapi problémák felvetésével és megoldásával, mely a közönséget is érintette, érinti vagy érintheti a jövőben. A rendezvény ingyenes, azonban, akik nem ISACA tagok, azok részére, regisztrációhoz kötött!

KÖSZÖNÖM A FIGYELMET! We appreciate your contribution to ISACA!