INFORMÁCIÓBIZTONSÁGI HELYZETKÉP - 2015 2015. OKTÓBER 8. Biró Gergely elnök
BEVEZETŐ Karrier IT SECURE Kft., ügyvezető (2003-) KPMG, asszisztens menedzser, Information Risk Management (1999-2003) KPMG, könyvvizsgáló asszisztens (1997-1999) ISACA közreműködés múlt és jelen President, ISACA Budapest Chapter Program Chair, ISACA Budapest Chapter önkéntes Biró Gergely gergely.biro@isaca.hu
ÉRTÉKET ÉS SZAKTUDÁST SZÁLLÍTUNK
HAZAI TAGSÁGUNK NÖVEKEDÉSE FOLYAMATOS ISACA Budapest Chapter taglétszámának alakulása Növekedés üteme 89,37% Régió 2011-2015 növekedés Magyarország 19% Total 16% 443 Asia 12% Latin America 20% 373 384 389 409 Europe/ Africa 19% North America 15% Oceania 25% 2011 2012 2013 2014 2015 SOURCE: ISACA Annual Reports, 2014 data from December month-end demographics report, ISACA Membership Growth Statistics Summary*
RÖVIDEN A FELMÉRÉSRŐL 2011, 2012, 2015 4+1 fókuszterület: IT audit, IT biztonság, IT irányítás, IT kockázatkezelés + információbiztonsági piac Célcsoport: a téma szempontjából relevánsnak tekinthető magyarországi vezető vállalatok és intézmények (>250fő/>4mdft + HVG top100 + ISACA-tagság = 2485 db) A minta: 164 online kitöltött kérdőív Felmérés időszaka: 2015. március 30. április 23.
A MINTA ÖSSZETÉTELE 2011 [n=114] 2012 [n=150] 2015[n=164] % % % Működési terület Költségvetési szféra 24 25 49 Magánszféra 76 75 51 Alkalmazotti létszám Kevesebb, mint 99 fő 10 19 35 100-499 fő 40 49 46 500 vagy több fő 50 31 16 NT/NV - - 4 Fő tevékenység Ipar 36 29 21 Távközlés, IT 13 13 13 Pénzügy 13 7 5 Oktatás, EÜ, költségvetési int. 24 26 30 Egyéb 14 26 30 NT/NV - - 1 Külföldi résztulajdon Nincs 50 54 57 Van 50 39 37 NT/NV - 7 7
AUDIT: CSÖKKEN A GYAKORISÁG, ERŐSÖDIK A FONTOSSÁG Végeznek-e rendszeresen [belső és/vagy külső] IT auditot a szervezetnél? [2011-2015] Mely szervezeti egység / részleg / vezető hagyja jóvá az éves IT audit tervet? [2015] 2011 2012 2015 18 19 24 8 11 6 50 35 27 17 28 38 8 7 4 0% 20% 40% 60% 80% 100% Csak belső auditot végeznek Csak külső auditot végeznek Belső és külső auditot is végeznek Sem belső, sem külső auditot nem végeznek NT/NV Bázis: összes válaszadó Felső vezetés/igazgatótanács [61%] IT vezető [39%] Belső ellenőrzési vezető [14%] Audit Bizottság [8%] Pénzügyi vezető [6%] Egyéb [2%] Bázis: belső IT auditot végző válaszadók Folytatódik az audit háttérbe szorulásának folyamata, amely már 2012-ben is kimutatható volt Azok a szervezetek, amelyeknél megtartották [vagy bevezették] az audit funkciót, ennek egyre inkább felismerik a fontosságát Ennek megfelelően pozícionálják a vállalaton belül
Fe ls ő ve ze té s/ ig az ga tó ta ná cs An ya vá lla lat tő Au dit Ve ze tő Au di t Bi zo tt sá g Fe ls ő ve ze té s/ ig az ga tó ta ná cs An ya vá lla lat et ő Au dit Ve ze tő Au di t Bi zo tt sá g AZ AUDIT EGYRE TÖBB VÁLLALATNÁL KERÜL KI A VÁLLALATI IT IRÁNYÍTÁSA ALÓL Az audit feladatkörét kivonják az IT feladatköréből: hazai és nemzetközi trend Az IT Audit funkció leggyakrabban [és időben egyre növekvő arányban] a vállalat felső vezetése/igazgatótanácsa felé tartozik beszámolással Mely szervezeti egységnek tartozik beszámolással az IT audit funkció? [2011-2015] Felső vezetés/ igazgatótanács Anyavállalat IT vezető 2011 2012 2015 53% 17% 16% 60% 10% 11% 64% 10% 16% A magánszférában az IT vezető, valamint az anyavállalat szerepe továbbra is hangsúlyos és gyakoribb, mint a költségvetési intézményeknél Audit Vezető Audit Bizottság 10% 4% 7% 9% Bázis: belső IT auditot végző válaszadók 5% 4%
AZ AUDITOROK SZEMÉLYE ÉS KÉPZETTSÉGE EGYRE FONTOSABB SZEMPONT Mely szakképesítéseknek tulajdonítanak legnagyobb értéket az IT audit területen? [2011-2015] 2011 2012 2015 CISA [72%] CISA [72%] CISA [70%] ITIL [48%] CISM [42%] CISSP [22%] CIA [21%] CISM [35%] ITIL [29%] CISSP [14%] CIA [14%] CISM [50%] ITIL [40%] CISSP [22%] CRISC [16%] Bázis: IT auditot rendszeresen végző válaszadók CISA, CISM és ITIL képesítés a leginkább elvárt Auditorokkal szemben leghatározottabb elvárás a CISA minősítés ITIL és a CISM esetében némi emelkedés figyelhető meg a 2012-es felméréshez képest
AZ INFORMÁCIÓBIZTONSÁG FONTOS, DE A KONKRÉT LÉPÉSEK GYAKRAN ELMARADNAK Az adminisztratív eszközök [biztonsági stratégiák, elhárítási tervek] használata dominál a technológiai védelmi/megelőző eszközök használatával szemben Átfogó információbiztonsági stratégiája a vállalatok/intézmények közel 50 százalékának van, míg például sérülékenység elemző eszközökkel csak 22%-uk rendelkezik. Legfontosabb IT audit kezdeményezések 2015-ben? [2015] Részletes audit terv kidolgozása 42% Csalás monitorozó folyamat /eszköz bevezetés Összeférhetetlen szerepkörök elemzése 14% 13% Adatelemző eszköz bevezetés 8% Bázis: belső IT auditot végző válaszadók GRC eszköz bevezetése Egyéb 1% 5% Ezek közül egyik sem 43% 0 10 20 30 40 50
A LEGGYAKORIBB IT BIZTONSÁGI INCIDENS A KÜLSŐ BEHATOLÁSI KÍSÉRLET Leggyakoribb észlelt incidens a behatolási kísérlet. A többi incidensfajta lényegesen kevesebb szervezetnél jelenik meg, 2012-höz képest alacsonyabb arányban és gyakorisággal. Incidensek előfordulása és gyakorisága [2015] 30% 28% 2012: 16% 25db 25% 21,6 20db 20% 15db 15% 13% 10% 5% 0% Külső behatolási kísérlet Eszköz lopás 7% 1,9 1,1 Bizalmas információk jogosulatlan kézbe kerülése 3% Belső behatolási kísérlet 2% 1,0 1,0 Csalás 10db 5db 0db Bázis: összes válaszadó Incidens előfordulása [%] Hány alkalommal fordult elő? [átlag]
HOGYAN BIZTOSÍTJA INFORMÁCIÓI VÉDELMÉT A KÜLSŐ SZOLGÁLTATÓVAL KAPCSOLATBAN? Szerződés részévé teszik [2011:76% 2012:74% 2015: 69 %] Egyéb [1%] Nyilatkozatot kérnek [7%] Információk védelme Titoktartási nyilatkozatot íratnak alá [2011:75% 2012:64% 2015: 61% ] Rendszerhez való hozzáférést limitálják [2011:76% 2012:65% 2015: 65%] Tesztelést végeznek [7%]
A HAZAI SZERVEZETEK ÁLTALÁBAN AZ IT BIZTONSÁGI PIAC BŐVÜLÉSÉT ÉRZÉKELTE Az információbiztonsági piac méretéről alkotott percepció [2015] Nemzetközi források a globális információ-biztonsági piac stabil növekedését indikálják Total 2015 Költségvetési szféra 11 11 12 15 17 15 12 10 7 11 37 42 Ehhez a magyar IT-vezetők meglátása is illeszkedik. Magánszféra 11 8 19 14 14 33 Összességében a válaszadók szerint az utóbbi három évben az IT biztonsági piac növekedett A magyarországi piac méretének megítélése megosztotta a megkérdezett IT-vezetőket 0% 20% 40% 60% 80% 100% Legfeljebb 10 milliárd Ft 10,1 20 milliárd Ft 20,1 50 milliárd Ft 50,1 100 milliárd Ft Több, mint 100 milliárd Ft NT/NV Bázis: összes válaszadó Total 2015 37 35 9 32 15 Költségvetési szféra 28 36 11 5 5 15 Magánszféra 45 34 6 1 14 0% 20% 40% 60% 80% 100% Jelentős mértékben bővült Stagnált Jelentős mértékben szűkült Kismértékben bővült Kismértékben szűkült NT/NV
AZ IT BIZTONSÁGI KÖLTSÉGVETÉS NÖVEKEDÉSÉNEK GLOBÁLIS TENDENCIÁJA NEM ÉRVÉNYESÜL ITTHON A vállalkozások és intézmények legnagyobb részénél [57%] nem változott jelentősen az ITbiztonságra fordítható összeg nagysága 2015: az intézményekre kevésbé jellemző az IT-biztonsági kiadások csökkentése 2015: 10% feletti azon szervezetek aránya, ahol nőtt az információbiztonsági terület költségvetése az előző évhez képest. Az információbiztonsági terület költségvetésének alakulása [2011-2015] 2011 2012 2015 Total 2011 Költségvetési szféra Magánszféra Total 2012 Költségvetési szféra Magánszféra Total 2015 Költségvetési szféra Magánszféra 3 7 7 7 9 11 13 14 12 46 56 48 49 68 72 57 53 60 17 30 13 6 5 4 37 21 16 26 27 22 26 27 24 4 5 0 0% 20% 40% 60% 80% 100% Nőtt Nem változott Csökkent Nem tudja / Nem válaszol Bázis: összes válaszadó
AZ IT BIZTONSÁGI KIADÁSOK RÉSZESEDÉSE A TELJES IT KÖLTSÉGVETÉSBEN ELMARAD A NEMZETKÖZI ÁTLAGTÓL Nemzetközi viszonylatban ez az arány átlagosan 8% körüli Ezt a hazai szervezetek 9% éri el vagy lépi túl Kiemelkedőnek számít a távközlési és IT szektor: a szervezetek közel egyharmada eléri vagy meghaladja a nemzetközi átlagot Az információbiztonsági terület éves költségvetése a teljes IT költségvetéshez viszonyítva [2015] Kevesebb, mint 2% 2 3,99% 4 5,99% 6 7,99% 8 9,99% 1% 2% 7% 7% 22% Bázis: összes válaszadó 10% vagy annál nagyobb 7% Nem tudja / Nem válaszol 54% 0 10 20 30 40 50 60
A FELSŐ VEZETÉS IT-KOCKÁZATOK KEZELÉSÉBEN BETÖLTÖTT SZEREPE ÁLTALÁBAN MEGFELELŐ A felső vezetés / igazgatótanács milyen mértékben látja a szervezetnél felmerülő IT kockázatokat? [2015] A felső vezetés / igazgatótanács által hozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését? [2015] 10% 5% 16% Teljes mértékben Nagyobb részben igen 6% 9% 16% Teljes mértékben Nagyobb részben igen Nagyobb részben nem Nagyobb részben nem 26% Egyáltalán nem NT/NV 21% Egyáltalán nem NT/NV 43% Bázis: összes válaszadó 48%
AZ IT BIZTONSÁGI PIAC BESZÁLLÍTÓI ÉS MEGRENDELŐI OLDALÁN ELTÉRŐ NÉZŐPONTOK ÉRVÉNYESÜLNEK A szállítókkal való együttműködés legnagyobb kihívásai [2015] A megrendelőkkel való együttműködés legnagyobb kihívásai [2015] Elfogultság bizonyos megoldások, gyártók vagy termékek iránt 23% Árközpontúság az értékközpontúság helyett 67% Valós igények meg nem értése 20% Stratégiai gondolkodás hiánya 48% Határidők betartásának hiánya 19% A megrendelők belső ismereteinek hiánya a saját működési és informatikai 41% Termékeladás fókuszú megközelítés problémamegoldás helyett 19% Túl lassú döntéshozatal 30% 0 10 20 30 0 10 20 30 40 50 60 70 80 Bázis: Az IT biztonsági piac megrendelői oldala Bázis: Az IT biztonsági piac beszállítói oldala
INFORMÁCIÓBIZTONSÁGI PIAC LEGFŐBB PROBLÉMÁI BESZÁLLÍTÓI SZEMMEL A megrendelőkkel való együttműködés legnagyobb kihívásai [2015] Felsővezetők érdektelensége/ismerethiánya 74% Szűkülő költségvetések 44% Árfókuszú versenybe kényszerülés, árdömping 33% Részmegoldások iránti igény 30% 0 10 20 30 40 50 60 70 80 Bázis: Az IT biztonsági piac beszállítói oldala
ÖSSZEFOGLALÓAN: FOLYTATÓDNI LÁTSZANAK A KORÁBBI TRENDEK Audit szerepéhez való ambivalens viszony erősödése Információbiztonsági kockázatok fontosságának elméleti felismerése Konkrét gyakorlati lépések sokkal gyengébb ütemű fejlődése Felsővezetés növekvő befolyása az IT-biztonsági folyamatok tekintetében Nemzetközi trendekhez történő erősödő igazodás
MEGHÍVÓ: MÁSODIK SZERDAI ELŐADÁS - OKTÓBER Előadás címe: Software Asset Management, azaz Valaki más problémája Dátum: 2015. október 14., szerda 17:00 óra Helyszín: MNB - Budapest I. kerület, Krisztina krt. 39., Meghívott előadó: Szegedi József, SAM konzulens - SoftwareONE Hungary Kft. Téma: Egy átfogó, összefoglaló a szoftvergazdálkodás világáról, melyben érintjük a jogi megfelelőség, a pénzügyi hatékonyság és az IT Security terülteket. Az előadás célja, hogy megmutassuk, a Software Asset Management, nem egy IT probléma, hanem a teljes menedzsmentet érinti. Az előadás fő vonalát kiegészítenénk Best Practice -ekkel és olyan mindennapi problémák felvetésével és megoldásával, mely a közönséget is érintette, érinti vagy érintheti a jövőben. A rendezvény ingyenes, azonban, akik nem ISACA tagok, azok részére, regisztrációhoz kötött!
KÖSZÖNÖM A FIGYELMET! We appreciate your contribution to ISACA!