Celých 69 % respondentů se domnívá, že dopad ekonomické krize na oblast informační bezpečnosti bude nulový nebo dokonce pozitivní. Krize ukončila období velkých investic do rozvoje a nových implementací IT. Řada společností je tak nucena dále rozvíjet současné aplikace a věnovat zvýšenou pozornost nízkému bezpečnostnímu povědomí mezi zaměstnanci. Hrozba útoku má stále největší význam na prosazování informační bezpečnosti. 77 % firem kontroluje aktivity svých zaměstnanců na internetu a více než polovina dotázaných se domnívá, že dopad zákona o ochraně osobních údajů na informační bezpečnost není žádný nebo jen malý.
„V nasazování technologických bezpečnostních řešení za světem a Evropou nijak nezaostáváme, nové trendy sledujeme a adaptujeme v našem prostředí velmi dobře. Do popředí v pomyslném žebříčku překážek dalšího zlepšování se tak dostává řešení tzv. „měkkých“ aspektů bezpečnosti s tím, že nejčastěji respondenti poukazují na obecně nízké bezpečnostní povědomí. Zaměstnanci firem neumějí správně identifikovat nebezpečí, kterým jsou data vystavena a ohrožují tak bezprostředně informační bezpečnost firmy např. instalováním nepovoleného softwaru,“ vysvětluje Jan Fanta, partner oddělení podnikového poradenství a řízení rizik společnosti Ernst & Young, která se podílela na průzkumu mapujícím informační bezpečnost.
Tuto překážku řada firem vnímá kritičtěji, než např. finanční náročnost bezpečnostních řešení. Zvýšení bezpečnostního povědomí je také nejčastěji zmiňovanou aktivitou s potenciálem pro úspory nákladů v informační bezpečnosti ve střednědobém horizontu.
„Pro polovinu společností je z hlediska bezpečnosti v současnosti největší hrozbou virtualizace serverů. Zde je patrně významně cítit dopad ekonomické krize a zesílených snah po zefektivnění fungování a provozu IT ve všech firmách. Nastupujícím „hitem“ se stávají přenosná datová média, která 40 % respondentů považuje za nejvyšší hrozbu pro bezpečnost a chystá se této problematice věnovat v následujícím roce zvýšenou pozornost,“ upozorňuje Jaroslav Šmíd, náměstek ředitele Národního bezpečnostního úřadu.
Ubývá společností, kde není jasně definována osoba zodpovědná za řešení této problematiky. Dvě třetiny společností již mají definovanou bezpečnostní politiku. Analýzu rizik jako jeden ze základních nástrojů pro efektivní a ekonomické řešení bezpečnostní agendy provedlo nebo provádí již 84 % společností.Téměř dvě třetiny společností nemají dosud dostatečně zpracované postupy reakce na bezpečnostní incidenty.
„Bez dobře propracovaných a odzkoušených postupů existuje značné riziko, že incidenty nebudou odhaleny včas. Zároveň pak reakce na ně jsou v takové situaci v nejlepším případě zdařilou improvizací, která může vlivem spěchu, stresu a nedostatečné analýzy přinést více škody než užitku“, komentuje tuto situaci Lukáš Mikeska, senior manažer IT poradenství a řízení technologických rizik v Ernst & Young. Průzkum také ukazuje, že téměř 70 % společností řeší informační bezpečnosti ve spolupráci s externími firmami. “Koordinace činností s externími společnostmi při výskytu bezpečnostního incidentu musí mít jasně definované postupy, jinak představují časovanou bombu v rukou managementu,” doplňuje Lukáš Mikeska.
Další zjištění
- Více než tři čtvrtiny společností monitorují aktivity svých zaměstnanců na internetu a 58 % používání internetu omezuje. „Liberálních“ zaměstnavatelů, kteří se nesnaží omezovat a monitorovat své pracovníky při používání internetu, je méně než desetina. U téměř pětiny společností tráví zaměstnanci na internetu více než 30 minut denně mimopracovními aktivitami.
- Největší význam informační bezpečnosti přikládají firmy v oblasti plynárenství a ropného průmyslu a společnosti působící v bankovním sektoru a v oblasti finančnictví. Na samém konci žebříčku je naopak chemický a elektrotechnický průmysl.
- SPAM a výpadek proudu jsou stále nejčastěji zaznamenané bezpečnostní incidenty.
- Klesá podíl respondentů, kteří hodnotí vlastní úroveň řešení informační bezpečnosti jako nízkou a ubývá společností, kde není za řešení informační bezpečnosti jasně definována ničí zodpovědnost. Informační bezpečnost je u naprosté většiny společností začleněna do úseků IS/IT.
- Největší překážkou rychlejšího prosazování informační bezpečnosti je obecně nízké bezpečnostní povědomí. Roste podíl společností, které tuto překážku uvádějí na prvním místě, před finanční náročností. Přitom funkční program pro zvyšování povědomí má zavedeno pouze 21 % organizací. Čtyři pětiny společností nemají na informační bezpečnost vyčleněn zvláštní rozpočet, přičemž výdaje na tuto oblast tvoří nejčastěji 1-5 % celkového rozpočtu na IS/IT. Téměř dvě třetiny organizací neprovádějí analýzu návratnosti investic do bezpečnostních projektů.
- U 63 % společností je informační bezpečnost řešena ve spolupráci s externími firmami.
66 % procent respondentů má, nebo plánuje posoudit oblasti informační bezpečnosti externím subjektem. Nejčastěji outsourcovanou částí IT je internetové připojení. - Pouze 5 % společností nevyužívá a ani neplánuje v budoucnu využívat elektronický podpis. 14 % organizací není schopno určit, jaké výhody používání elektronického podpisu přináší.
- 74% společností hodnotí úroveň informační bezpečnosti u nás jako stejnou nebo lepší ve vztahu k západoevropským zemím.
Průzkum stavu informační bezpečnosti v České republice 2009 provedly společnost Ernst & Young, časopis DSM – data security management a Národní bezpečnostní úřad v období od dubna do července 2009. Zaměřil se na reprezentativní vzorek středních a velkých společností (nad 100 zaměstnanců) v České republice pokrývající všechny vertikální segmenty ekonomiky. Celkem 280 respondentů v anonymním dotazníku odpovědělo na 63 podrobných otázek.
PŘEDPLATNÉ
ČLÁNKY DO MAILU