Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving
Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala informationssäkerhetsundersökning 2012 medverkade 1863 respondenter från 64 länder Omfattande data i kombination med Ernst & Youngs erfarenhet hjälper våra kunder att fokusera på de mest kritiska riskerna identifiera sina styrkor och svagheter förbättra sin informationssäkerhet Page 2
Trender och utmaningar en överblick Organisationer har vidtagit betydande åtgärder mot hot inom informationssäkerhet genom att hantera exponering och sårbarheter med ökade resurser, utbildning och tydligare styrning och ledning Gapet Fler och mer sofistikerade hot ställer dock högre krav på arbetet med informationssäkerhet Gapet mellan åtgärder som vidtagits och åtgärder som behöver göras har blivit allt större 2006 2012 Page 3
Nyckelfaktorer att belysa Informationssäkerheten är inte tillräcklig Växande antal incidenter och hot Långsam respons på risker relaterade till molnet, sociala medier och mobila enheter Finansiella utmaningar Styrning påverkar allt av de svarande indikerar att deras funktion för informationssäkerhet bara delvis möter organisationens behov Page 4
Informationssäkerhet får ökad betydelse Hanteringen av informationssäkerhet har förbättrats genom att en ökad uppmärksamhet har bidragit till ökade resurser för åtgärder. Exempel på åtgärder är: Ökat fokus på efterlevnad av regelverk Ökat fokus på kontinuitetsplanering Mer utbildning av anställda Förbättrad styrning och ledning Page 5
Åtgärderna ökar, men så gör även hot och incidenter Under 2012 noterade 77% av de tillfrågade en ökning av externa attacker vilket var en kraftig ökning från tidigare år. Förändring av riskmiljön under de sista 12 månaderna Minskad risk på grund av: Ökad risk på grund av: Minskad intern sårbarhet Minskat antal externa hot Ökad intern sårbarhet Ökat antal externa hot Page 6
Hinder som ökar gapet Hinder såsom budgetrestriktioner, organisatoriska problem och bristen på rätt resurser hindrar organisationer från att eliminera det kritiska gapet. Största hindren mot effektiv informationssäkerhet Eftersom svarande kan välja mer än ett alternativ är summan av svaren inte 100% Budgetrestriktioner Organisatoriska problem Brist på kompetenta resurser Brist på verktyg Brist på support Page 7
Ökad exponering Nära en tredjedel av de tillfrågade svarade att hoten och sårbarheten hos deras säkerhetsstruktur hade ökat under det senaste året, mestadels på grund av gamla kontroller som inte uppdaterats och på grund av att viktiga kontroller inte genomförs. Antal tester av attacker och intrång gjorda senaste 12 månaderna 56% av de svarande genomförde enbart mellan en och tio attack- och penetrationstester 19% av de svarande genomförde inga tester alls Page 8
Social media - möjligheter och risker Trots att användningen av sociala medier har ökat de senaste åren har 38% av organisationerna ingen ansats för hur de ska hantera sociala medier. Hur hanterar organisationer sociala medier? Vi har en koordinerad ansats ledd av en funktion annan än funktionen för informationssäkerhet Vi har ingen koordinerad ansats för hantering av sociala medier Vi har en koordinerad ansats ledd av funktionen för informationssäkerhet Page 9
Molnet på kraftig frammarsch Effektiv, snabb och billig styrning och lagring av data i molnet håller i rask takt på att bli den nya plattformen för förbättringar av leverantörskedja, högre kundengagemang och ökad initiativförmåga hos anställda. Under 2012 svarade 59% att de använde eller planerade att använda molnbaserade tjänster vilket är nästintill en fördubbling från 2010. av de svarande medger att de inte vidtagit några åtgärder för att minimera riskerna med att använda molnbaserade tjänster Page 10
Mobiler + surfplattor = ökade risker Analytiker förutspår att det år 2016 kommer att finnas 10 miljarder mobila produkter med tillgång till internet mer än en för varje människa på jorden. Antalet surfplattor som används i affärssammanhang har mer än fördubblats sedan förra året. Vilka av följande kontroller har ni implementerat i syfte att motverka de nya eller ökade riskerna relaterade till användandet av laptops, mobiler och surfplattor inkluderat? Ändrade policys Utbildningar Införande av krypteringstekniker Ny mjukvara för hantering av mobila produkter Tillåten användning av företagsägda produkter men ej privata Övervakning av användandet av mobila applikationer Förändringar i arkitekturen Page 11
Bristande strategi för informationssäkerhet Ett betydande antal av de svarande har inga strategier för informationssäkerhet, inget systemstöd för att upptäcka specifika hot och gör igen kontroll av att deras IT-leverantörer utför sina uppgifter korrekt. Strategier för informationssäkerhet av de svarande har ingen strategi för informationssäkerhet inget systemstöd för att upptäcka specifika hot av de svarande säkerställer inte att externa parter, leverantörer eller kontraktörer skyddar deras organisations information av de svarande utvärderar inte effektiviteten av sina program för informationssäkerhet Strategi för informationssäkerhet och ramverk för informationssäkerhet reflekterar inte verksamhetens behov Page 12
Sammanfattning Se över säkerhetsorganisationen Utgå från verksamhetens behov Bygg in informationssäkerhet i det dagliga arbetet Page 13
Insikter kring dina viktigaste frågor Protecting and strengthening your brand: social media governance and strategy Cloud computing issues and impacts Ready for takeoff: preparing for your journey into the cloud Bringing IT into the fold: lessons in enhancing industrial control system security Privacy trends 2012 A path to making privacy count Mobile device security Se www.ey.com/informationsecurity för att ladda ner dessa dokument Den kompletta informationssäkerhetsundersökningen hittar du på www.ey.com/giss2012 Page 14
Tack Sara Löfving Tobias Hermansson