Jak jsou na tom s bezpečností organizace v ČR?

Společnost Ernst & Young, časopis DSM (Data Security Management) a Národní bezpečnostní úřad provedly jednotnou rukou průzkum týkající se bezpečnostních problémů, jejich řešení a souvisejících politik v necelých čtyřech stovkách organizací České republiky. Jak jsou na tom respondenti a které své nedostatky přiznávají?

V úterý 17. ledna uspořádaly společnost Ernst & Young, časopis DSM a Národní bezpečnostní úřad tiskovou konferenci, na níž prezentovaly výsledky průzkumu stavu informační bezpečnosti za rok 2005. Podobně zaměřené sumáře se pravidelně získávaly již v letech 1999, 2001, 2003 (vše ČR) a 2004 (Slovensko). Respondenty přitom letos byly střední a velké organizace na území ČR s více než jedním stem zaměstnanců. Vyplňování dotazníků probíhalo anonymně, otázky pokrývaly 11 relevantních okruhů a konečné výsledky jsou založeny na poměrně reprezentativním referenčním vzorku 389 vrácených exemplářů.

Celkově pokrytí činilo 19 vertikálních segmentů, nejsilnější zastoupení měly státní sektor (19 procent) a strojírenství (17 procent). Podíváme-li se na to, kteří zaměstnanci vlastně zodpovídají za otázku bezpečnosti dané organizace, pak více než polovina leží na bedrech manažerských pozic a něco málo přes pětinu organizací spoléhá na kvalifikovaného specialistu. Vezmeme-li v úvahu fakt, že respondenty byly pouze střední a velké organizace, může být poněkud alarmující, že celých 25 procent z nich nemá vůbec definovánu oblast řešení bezpečnosti.

Na všech pozicích je důležité platové ohodnocení, se stále stoupající hrozbou digitálních útoků lze očekávat také neklesající trend odměn. Nárůst průměrného měsíčního ohodnocení pracovníků zodpovědných za informační bezpečnost zobrazuje níže uvedený graf. Počet pracovníků s příjmem vyšším než 40.000 korun od roku 2003 stoupl z původních 22 procent na 40 procent. Nejčastějším způsobem organizačního zajištění bezpečnosti je využití útvaru IT/IS, což využívá 78 procent oslovených společností. Dalšími možnostmi jsou například útvar bezpečnosti nebo ekonomický útvar. Hrubá měsíční mzda pracovníků v oblasti informační bezpečnosti roste – 24 procenta společností uvádí, že průměrný plat těchto zaměstnanců dosahuje více než 55 tisíc korun, řekl Jan Fanta, partner Ernst & Young.

ernst_platy

Nařízení bezpečnosti konkrétní organizace, postup řešení nastalých problémů a podobná ustanovení bývají označována bezpečnostní politikou. Souhrnně se jedná o nejvyšším vedením přijatý dokument, ve kterém organizace deklaruje veškeré své cíle v oblasti informační bezpečnosti. Z hlediska čísel je bezesporu utěšující výsledek, že od prvního průzkumu z roku 1999 počet společností disponujících bezpečnostní politikou vzrostl z 35 procent na současných 48 procent. Podíl na tom zřejmě má jak stoupající počet odpovídajících rizik počítačového světa, tak například vyšší informovanost kompetentních osob. Kompletní srovnání s předchozími roky poskytuje následující tabulka:

ernst_politika

Diskuse se mohou vést také ohledně formy konkrétní bezpečnostní politiky – organizace mohou přistoupit k bodové, velice stručné (ba až naivní) podobě, která ani při nejlepších úmyslech nemůže pokrývat dostatečné množství informací a nařízení. Více než třetina (38 procent) respondentů přiznala, že se jejich bezpečnostní politika vtěsnala do tří stran, středně rozsáhlým dokumentem do 20 stran se chlubí 46 procent organizací a konečně rozsáhlejší politikou disponuje pouhých 16 procent respondentů. Přehled využívání konkrétních standardů naleznete v následujícím gra­fu:

ernst_standardy

Organizace byly dále přímo vybídnuty k tomu, aby sebekriticky nahlédly do nitra vlastní bezpečnosti. A jak vlastně samy sebe vidí z pohledu řešení informační bezpečnosti? Optimistický náhled má rovná jedna desetina proklamující výbornou úroveň, na druhou stranu k nedostatečnému stupni se přihlásilo pouze jediné procento. Největší podíl koláče percentuálního rozdělení přitom patří skupině přisuzující si dobrou úroveň (69 procent).

V dnešní době se vše točí kolem peněz a dílčích rozpočtů, takže je nutné nahlédnout také do této oblasti. Každá organizace samozřejmě přiděluje do určité míry odlišné prostředky na celou sekci IS/IT, z této částky pak speciálně na informační bezpečnost připadá určité procento. Výsledky průzkumu ukázaly pouze malý rozdíl poměrných investic v závislosti na počtu zaměstnanců, přibližně se jedná o hodnoty kolem pěti procent. Přesné údaje jsou následující: 100 až 500 zaměstnanců – 5,85 procenta, 501 až 1000 zaměstnanců – 4,37 procenta a konečně u organizací s více jak jedním tisícem zaměstnanců velikost ročních finančních výdajů na informační bezpečnost v poměru k celkovému rozpočtu na IS/IT činí 4,59 procenta.

Samostatnou kapitolu představují vlivy a překážky mající dopad na informační bezpečnost jednotlivých organizací. Dle respondentů má na prosazování bezpečnosti největší vliv hrozba útoku, která se váže k nadpolovičnímu množství odpovědí (55 procent). Se 48 procenty se v závěsů umístilo propojování IS směrem ven, třetí místo obsadil rychlý vývoj v oblasti IT (42 procenta) a bramborovou medaili za čtvrtou pozici již s výraznějším odstupem získalo propojování IS uvnitř organizace (31 procento). Zbývající odpovědi pak pokryly vlivy výsledku auditu (22 procenta) a legislativní tlak ČR (16 procent).

Naproti tomu trvale největší překážku prosazování bezpečnosti tvoří obecně nízké vědomí o dané problematice – necelá třetina (32 procenta) organizací totiž přikládá vinu této skutečnosti. Kámen úrazu spočívá zejména v tom, že je sice poměrně snadné nasadit konkrétní technologii, nicméně horší je přinutit zaměstnance, aby ji správně (tedy i s ohledem na bezpečnost) používali. Podobný trend se přitom vyskytl i v letech předchozích, jak sumarizuje následující graf.

ernst_prekazky

Nejčastější bezpečnostní incident uplynulého roku představoval spam, který si své prvenství „vybojoval“ kvůli 86 procentům odpovědí. Možná překvapující statistikou je těsný závěs (85 procent) výpadku elektrického proudu, další umístění postupně připadla na poruchu hardwaru (78 procent), nákazu počítačovým virem (74 procenta) a chyby uživatelů (59 procent). Celkem 46 procent organizací uvedlo své přímé finanční dopady bezpečnostních incidentů, přičemž výdaje tohoto typu se u 19 procent vyšplhaly nad hranici 100.000 korun a průměrná výše činila 220.000 korun. Postupný nárůst síťových rizik je charakteristický zejména pro v tomto ohledu divoký svět Internetu, takže není žádným překvapením stoupající tendence v zabezpečení tohoto typu připojení:

CIF16

ernst_internet

Svá rizika dále přináší populární outsourcing, kde je obecně malá znalost souvisejících rizik. Samozřejmostí by mělo být prověřování outsourcingových partnerů ruku v ruce s ošetřením řešení těch situací, kdy dojde k bezpečnostnímu incidentu. Přes 60 procent společností využívá outsourcing v alespoň jedné oblasti IS/IT – nejčastěji to je internetové připojení ve 42 procentech případů, provoz a údržba IS/IT u 23 procent společností a finanční nebo účetní systém u 14 procent společností. Outsourcing využívají nejčastěji banky a finanční společnosti v 90 procentech případů a potravinářské nebo zemědělské firmy v 85 procentech případů, řekl Viktor Seige, člen redakční rady časopisu DSM. Alarmující je, že naprostá většina společností přitom nehodnotí informační bezpečnost svého dodavatele služeb IS/IT. Využití nezávislé třetí strany pro posouzení informační bezpečnosti dodavatele udává mizivé procento oslovených společností, dodal Viktor Seige.

Anketa

Máte v zaměstnání nějaká konkrétní nařízení, která přímo souvisí s informační bezpečností?

2 názory Vstoupit do diskuse
poslední názor přidán 18. 1. 2006 20:04

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »