POSLOVNI RIZIK & KRIZNI MANADMENT

KORPORATIVNA BEZBEDNOST & ODRIVI RAZVOJ

SEEI Institut Visoke performanse Nii trokovi

Tradicionalni pristupi korporativnoj bezbednosti vie nisu dovoljni.

www.see-institute.org
 Uvod 4

1: Korporativna bezbednost zahteva

urgentnu panju kompanija 5

Pretnje i rizici
Statistika pozicija korporativne bezbednosti danas
SEEI principi za dostizanje visokih performansi

2: Statistika 7

3: SEEI metodologija 10

In a speech at a

Sadraj
Na poslednjoj konferenciji posveenoj digitalnom
ratu u svetu, direktori Nacionalnih bezbednosnih
agencija, izrazili su zakljuak da je digitalni rat
postao najvea opasnost preduzeima irom sveta.

"Ono to se deava u poslednjih nekoliko godina u

digitalnim mreama......je najvea kraa koju smo
videli u istoriji. Gubici intelektualne svojine su
zapanjujui. Problem je dostigao te razmere da
stvara negativne efekti svim industrijama i svakom
sektoru privrede i Vlade, i zato ga svakako moramo
izbaciti u prvi plan.

UVOD
Korporativna bezbednost zahteva
urgentnu panju kompanija

DEO 1
U poslednjih pet godina, pretnje digitalnoj imovini preduzea su znaajno porasle u broju, obimu
i sofisticiranosti. Posebno je u porastu broj malicioznih napada od strane eksternih subjekata. U
2008, samo 12% zloupotreba ili krae podataka je bio posledica napada od strane eksternih
subjekata. Broj napada je porastao na 24% u 2009 i 31% u 2010. Samo neki od skoranjih
dogaaja najbolje ilustruju opseg problema sa kojim se kompanije irom sveta suoavaju.

Na primer, Sony je pretrpeo masivnu zloupotrebu svoje mree korisnika za online video igrice koja
je imala za posledicu krau linih podataka, ukljuujui informacije o kreditnim i debitnim
karticama vie od 100 miliona korisnika njihovih usluga. Ovo je mogla biti, u stvari, jedna od
najskupljih zloupotreba u istoriji: strunjaci procenjuju da je napad mogao kotati kompaniju Sony i
emitente kreditnih kartica izmeu $ 1 i $ 2 milijardi.

Moda je jo podmukliji napad na email bazu kompanije Epsilon, koja je sadrala line informacije
potroaa. Kompanija je u svojoj bazi imala podatke 2.500 kompanija za koje je Epsilon pruao
usluge digitalnih marketing kampanja. Ovaj pokuaj, bi omoguio hakerima da konstantno
sprovode mahinacije nad milionima korisnika ovih poznatih brendova.

ak i vie tete kompanijama nanose napadi na njihovu intelektualnu svojinu (IP) i druge poverljive
informacije koje, ako su ukradene, mogu da ugroze konkurentske pozicioniranje kompanije i
odrivosti na svojim izabranim tritima. Prema nekim procenama, vrednost korporativnih i
vladinih informacija koje su ukradene ili izgubljene iznosi oko $ 1 trilion. Jedna kompanija je
izgubila tehnologije vredne $ 1 milijardu dolara, za koju joj je trebalo vie od 20 godina da se
razvije. Nnedavno otkriveni petogodinji sajber napadi na irok opseg visoko- profilisanih
kompanija irom industrije, to je rezultiralo kraom vredne intelektualne svojine, sluio je kao
upozorenje drugim preduzeima.

Eksterni subjekti nisu jedina pretnja kompanijama o kojima moraju brinuti. Zloupotrebe su u
najveoj meri posledica - sluajne ili namerne - greke u sistemu, ili zaposlenih. Vikiliks je do sada
dobro - poznat primer takvog "Inside Job".

Meutim, i drugi sluajevi nepotovanja sistema bezbednosti su takoe esti, kao to su krae i
prodaja informacija zaposlenih konkurentima, ili skidanje i uzimanje osetljivih podataka otputenih
radnika novim poslodavcima, ostavljanje neobezbeenog laptopa na javnom mestu, uvoenje
malverzacija ili virusa u korporativni sistem itd ...

Usled sloenosti savremenog poslovanja pristup SEEI korporativnoj bezbednosti se razlikuje, jer
u naem fokusu pored svih gore navedenih informativnih rizika, analiziramo i ostale rizike i pretnje
koje mogu direktno da utiu na ekonomsku odrivost preduzea, poput energetskog rizika, pravnog,
finansijskog itd. Samo sveobuhvatnim pristupom rizicima koji mogu da utiu na materijalnu i
nematerijalnu aktivu kompanije u odreenoj industriji, moemo poslovanje zaista uiniti sigurnim.

U naem pristupu idemo ak i dalje, i koristimo nae znanje i iskustvo u energetskoj efikasnosti za
kontinuirano finansiranje razvoja korporativne bezbednosti unutar kompanije, ostvarenim
utedama energije.

Dugorono odrivi razvoj kompanije je uvek u naem fokusu.

Korporativna bezbednost zahteva
urgentnu panju kompanija

Tabela 1: Uestalost kojom kompanije obnavljaju svoju strategiju korporativne bezbednosti

Nema stratetigiju

Svake godine (godinje)

Nema pravila (kada je potrebno)

Svake dve godine

Svake tri godine

Vie od tri godine

Tabela 2: Opseg u kome su ciljevi korporativne Tabela 3: Opseg u kome ciljevi bezbednosti
bezbednosti integrisani sa IT aktivnostima ometaju realizaciju ciljeva kompanije

Nisu integrisani Nikad

Delimino integrisani Ponekad
Veinom integrisani esto
U potpunosti integrisani Stalno
6 principa za dostizanje visokih
performansi u korporativnoj bezbednosti

Bazirano na naem iskustvua posebno na tome ta je opseg sektora korporativne bezbednosti danas

identifikovali smo 6 kljunih principa ijom e primenom kompanije dostii visoke performance

u korporativnoj bezbednosti.

6 SEEI PRINCIPA ZA DOSTIZANJE VISOKIH PERFORMANSI:

Bezbednost se ne odnosi samo na IT , ve na organizaciju kao celinu.

1
..

Strategija bezbednosti, mora biti u tesnoj vezi sa ciljevima i strategijom na nivou

organizacije. 2
and updated regularly, is the foundation of a strong security posture. ..

Primarni fokus sektora bezbednosti, ne sme da bude samo ispunjavanje 3

zakonskih odredbi.

Efikasna bezbednost zahteva dovoljan iznos finansijskih sredstava. 4

Najbolja odbrana je dobar napad. 5

Glavni fokus korporativne bezbednosti nije IT bezbednost, ve ekonomska 6

odrivost preduzea, i svi faktori koji je mogu ugroziti.
Statistika

DEO 2
Pretnje po informativnu bezbednost
kompanija

Preduzea se danas suoavaju sa irokim spektrom bezbednosnih pretnji a koje su dovele do stvarne povrede
u ogromnoj veini kompanija. RazvojIT inovacija je pomogao da se povea uestalost takvih pretnji.

Tabela 4: Najozbiljnije pretnje po IT bezbednost kompanija

Kraa informacione imovine

Zastoj u IT sistemu (iskljuenje)

Napadi na kritinu infrastrukturu

Krenje procedura

Tabela 5: IT inovacije viene kao pretnja po bezbednost informacija

Back up podataka na mobilnim ureajima

Mobilni telefoni (smartphone)

Drutveni mediji

Vitrtualizacija

Prosean rejting na skali:

1 = nema uticaja na bezbednost
10= ima veoma znaajan uticaj na bezbednost

Tabela 6: Prepreke za kompanije da preuzmu mere za uanpreenje korporativne bezbednosti

Nedovoljno finansijskih sredstava

Nedostatak jasnog liderstva

Nije prioritetno pitanje

Nedostatak interne ekspertize

Preplitanje sa drugim funkcijama

Ostalo
 Tabela 7: Naini na koji kompanije mere efikasnost sektora bezbednosti

Neformalne procedure

KPI (matrica )

Interni audit

Eksterni audit

Samo-ocenjivanje

Ne meri se

Tabela 8: Naini na koji kompanije definiu svoj nivo izloenosti riziku

Nema analize (po oseaju)

Neformalna analiza i procena rizika

Formalna analiza i procena rizika

Ostalo

Tabela 9: Faktori koji vode kompanije da se razvijaju ka korporativno bezbednoj kompaniji

Priroda pretnji i ranjivost

Razvoj tehnologije

Incijative unutar industrije

Iskustvo sa sajber napadima

Zakonska regulativa

Promena u prioritetima vostva

Poboljanje finansijske klime

Organizaciono restruktuiranje
SEEI metodologija za razvoj
korporativne bezbednosti

DEO 3
10 SEEI - koraka za razvoj
korporativne bezbednosti kompanija

Na osnovu nae dosadanje prakse definisali smo 10 kljunih koraka koji e pomoi kompanijama

da ostvare visoke performanse u korporativnoj bezbednosti.

10 SEEI KORAKA ZA RAZVOJ KORPORATIVNE BEZBEDNOSTI:

Strategija korporativne bezbednosti 1

..

Definisanje korporativne politike

2
..

Razvoj bezbednosne kulture

3

Procena rizika
4

Razvoj sistema za klasifikaciju dokumenata

5

IT bezbednost & tehnologije 6

Krizni menadment
7

Odgovor na incidente
8

Lina bezbednost
9

Fizika bezbednost 10
00
00
9
O nama:

SEEI Institut je osnovan 2010 godine sa ciljem da u saradnji sa istaknutim strunjacima razvija dugorone
strategije, politike, planove i programe i realizuje obuku neophodnih kadrova za unapreenje energetske
efikasnosti i korporativne bezbednosti, saglasno praksi razvijenih zemalja, i na taj nain da i svoj lini
doprinos razvoju privrede Republike Srbije i regiona.

SEEI Institut se bavi kontinurianom analizom trita, inovacija i tehnologija koje su dizajnirane za
reavanje najveih svetskih izazova danas, kao to su energetska efikasnost i korporativna bezbednost, a sa
ciljem da kontinuraino doprinesi ekonomskoj odrivosti preduzea i ekonomije.

Preko 50 realizovanih meunarodnih projekata, na podruju energetske efikasnosti i korporativne

bezbednosti kako u zemlji, tako i u inostrastvu, 25 godina meunarodnog iskustva i razvijena mrea
domaih i inostranih strunjaka na podruju energetske efikasnosti i korporativne bezbednosti, govore u
prilog naoj nedvosmislenoj fokusiranosti na performanse, kvalitet, i isporuku vrednosti u svemu to radimo.

SOUTHEAST EUROPEAN INSTITUTE

Krontatska br.5

11000 Belgrade

T: + 381 11 26 41 055

E: office@see-institute.org

W: www.see-institute.org