IT Governance

IT Security Governance Aspekt

IT GOVERNANCE

• Različita definicija

• Jedinstvena primjena za svaku organizaciju posebno

• Ključna područja:

– IT Strategija = Strateško planiranje

– Investicije u IT

– Service Delivery = efikasno pružanje IT usluga potpomognuto adekvatnim kontrolama

IT GOVERNANCE • IT Strategija:

– Poslovna strategija mora dati okvir za IT strategiju

– Poslovni rizici ↔ IT Rizici

– Fokus na direktnu podršku osnovnim djelatnostima organizacije

– Nivo razvijenosti organizacije = direktan uticaj na uspješnost povezivanja poslovne i IT strategije (IT Champion)

– Ravnoteža izmedju inovacije, kontrole i rizika

Upravni odbor IT Manager

$ £ €

110010101010010111

IT GOVERNANCE • Investicije u IT:

• ¾ investicija u IT ne ostvare zacrtani povrat ulaganja (ROI) ili se prosto ne zna

• Rizik IT projekta podjednako važan kao i cijena projekta:

• Obama – US Healthcare.gov (G2B): - Osiguravajuca društva ↔ Administracija

• Mora se uklopiti u cjelokupnu poslovnu i IT strategiju:

Phone

• Standardni način evaluacije unutar same organizacije: KPIs – $, hrs, incident • Ravnoteža u investiciji u IT, održavanja tog IT-a I njegovo korištenje:

• Ravnoteža izmedju IT usluge koju želimo ostvariti, investicije i ocjene projekta

IT GOVERNANCE

• Veća uspješnost:

– Definicija drugačija za privatni / javni sektor

• Privatni Sektor: – Bolja iskorištenost IT-a i veća spremnost za eBusiness

– Bolja povezanost izmedju eBusiness riješenja sa trenutnim ali i dugoročnim ciljevima firme = Banke

– IT Governance = Finansijski Rizik >> Direktno utiče na finansijske rizike (bolji novčani tokovi = cash flow – access management, bolja naplata – narudžbenica/faktura, bolje trezorsko poslovanje i upravljanje gotovinom, adekvatnije upravljanje nabavkom, i sl.)

– Manji operativni rizici

IT GOVERNANCE • Service Delivery:

– Poštovanje standarda – organizacije, lokalnih, državnih ili globalnih standarda • Poštovanje ITSec politike/procedure

• PCI/DSS

• Zakon o zaštiti ličnih podataka

• Email

– Kontinuirana transformacija i re-evaluacija – biznis ne stoji → zašto bi stajao onda način na koji pružamo IT usluge:

• eBanking

• Mobile Banking

• Convergence – Telekom Banke, facebook, ….

• Amazon, eBay…

– Pružanje usluge uz maksimalno poštovanje kontrola implementiranih u IT operacije kao i stalni monitoring

• Nemogućnost podizanja novca sa bankomata x 2

• Nekontrolisano špekulisanje na tržištima kapitala

USAGLAŠAVANJE IT STRATEGIJE SA POSLOVNOM STRATEGIJOM

• eBusiness strategija ili pravac u poslovanju mora podrazumjevati i IT security strategiju (i.e. software/hardware, ljude, aktivnosti, i sl.)

• Ravnoteža se mora postići na više pravaca

• Bacanje novca i vremena na provodjenje pen testova samo za odredjenu platformu, zaštita samo pojedinih dijelova IT-a = potrebno je sveobuhvatno riješenje

CYBER KRIMINAL UTIČE NA E-BUSINESS

Državna firma u Poljskoj

• Organizovani cyber/hack napad na e-commerce

• Neefikasne procedure za detekciju napada i tzv. Incident Response

Home Depot – Fortune 500 br. 33

• Organizovani cyber/hack napad na e-commerce

• Neefikasne procedure za detekciju napada i tzv. Incident Response

3 mjeseca Bez reakcije…?

2 mjeseca Bez reakcije…?

CYBER KRIMINAL UTIČE NA E-BUSINESS

46% – Procenata koliko je profit TARGET-a pao

u zadnjem kvartalu finansijske 2013. godine u odnosu na isti period 2012.

40 miliona Broj kreditnih i debitnih kartica

koje su hakeri ukrali iz TARGET-a u periodu od 27. novembra do 15. decembra 2013.

0 – Broj ljudi koji su obavljali dužnosti poput Chief

Information Security Officer (CISO) ili Chief Security Officer (CSO).

IT G

ove

rnan

ce

70 miliona Broj ličnih podataka, koji

uključuju ime, adresu, e-mail adresu i broj telefona kupaca TARGET-a.

Profit

CYBER KRIMINAL UTIČE NA

E-BUSINESS

PRIMJER – NEUSPJEH IT GOVERNANCE-A

HQ Prijem robe – Skladište

Prijem robe – Sistem

Prijem robe – USER1

Otpis robe - ADMIN

€

IT AR

Access Management

X.Y.Z = USER1 Xyz = ADMIN

USAGLAŠAVANJE IT STRATEGIJE SA E-STRATEGIJOM

Rizik Prirorieti

Kriza

Tech Ljudi

Veze

Ne možete sve osigurati… • Enterprise security architecture

• Zaštiti ono najvažnije

• Strategija, organizacija, upravljanje

• Threat intelligence

Nije pitanje da li će se desiti nego kada… • Continuity i recovery

• Crisis management

• Incident response

• Monitoring i detekcija

Preuzmi inicijativu… • Postovanje regulative

• Poslovna strategija oslikava i zaštitu podataka

• Risk management & risk appetite

Njihov rizik je i vaš rizik… • Digital channels (e-Banking, etc.)

• Partneri i vendori

• Dobri ugovori i SLAs

Ljudski faktor… • Insiders – Interni problemi

• People i ‘Moments that Matter’

• Security Training i Awareness

Ispravite prvo ono najosnovnije … • Identity i access management

• Information technology hygiene

• Information technology, operations (SIEM)

technology i consumer technology

• Security intelligence i analytics

URAVNOTEŽENOST IZMEDJU PONUDE I POTRAŽNJE ZA IT USLUGAMA UNUTAR SAME ORGANIZACIJE

• Broj ljudi u IT-u mora imati neki smisao (1:18 (do 500 uposlenih)-1:20+ idealno preko 500 uposlenih)

• Barem jedno lice samo za Information Security Operations

• Većina biznisa sada ne može bez IT-a a sa druge strane IT ne mora biti najvažniji dio organizacije

• Return on Investment – biti kritičan koliko investicija u IT donosi samom biznisu (CAPEX vs. OPEX – možda je trening i obuka osoblja bolje uložen novac nego kupovina novog IDS/IPS-a) – Kupovina skupe ili najnovije opreme, iako pomaže, nije jedino riješenje –

ljudski faktor je i dalje presudan

• Software Asset Management – IT je ponekad dosta neobavezan u održavanju pravilne dokumentacije o osnovnim sredstvima, amortizaciji, licencama = direktan uticaj na security (i.e. upgrades, patches i slično) + nepoštivanje licencnih aranžmana

EBUSINESS – BEZ OGRANIČENJA…

Pitanja?

Hvala na pažnji! Armin Dinar PwC | Risk Assurance Solutions | Senior Manager Office: +40.21.225.3311 | Mobile: +40.730.713.386 | Fax: +40.21.225/3600 Email: armin.dinar@ro.pwc.com PricewaterhouseCoopers Audit S.R.L. Lakeview Building, 301-311 Barbu Vacarescu St., 020276 Bucharest Romania http://www.pwc.ro