• Save
Information Security Survey in Slovak Republic 2008
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Information Security Survey in Slovak Republic 2008

on

  • 3,047 views

We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare ...

We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare
and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able
to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least
a basic idea of preparedness and information security development across the whole territory of the EU, with all
the risks, threats and possibilities which this integration brings with it.

Statistics

Views

Total Views
3,047
Views on SlideShare
2,905
Embed Views
142

Actions

Likes
2
Downloads
0
Comments
1

4 Embeds 142

http://blog.synopsi.com 138
http://www.linkedin.com 2
http://www.slideshare.net 1
http://webcache.googleusercontent.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • how i can download it ?
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Information Security Survey in Slovak Republic 2008 Document Transcript

  • 1. PSIB SR ´08 ® Prieskum stavu informaènej bezpeènosti v SR 2008 Information Security Survey in Slovak Republic 2008
  • 2. PRIESKUM STAVU INFORMAČNEJ BEZPEČNOSTI V SR 2008 INFORMATION SECURITY SURVEY IN SLOVAK REPUBLIC 2008 Tretíročník Prieskumu stavu informačnej bezpečnosti v Slovenskej republike je tu a môžeme opäť porovnávať a hodnotiť, po akých cestách sa vydala informačná bezpečnosť od posledného prieskumu z roku 2006. Vďaka tomu, že máme navyše i možnosť porovnať naše výsledky s výsledkami PSIB ČR ´07, môžeme si urobiť aspoň rámcovú predstavu o pripravenosti a vývoji informačnej bezpečnosti, na v súčasnosti už naozaj európsky previazanom teritóriu so všetkými rizikami, hrozbami i možnosťami, ktoré táto integrácia prináša. We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least a basic idea of preparedness and information security development across the whole territory of the EU, with all the risks, threats and possibilities which this integration brings with it. Po preštudovaní výsledkov prieskumu a komentárov autorov k jednotlivým bodom môže čitateľ získať dojem, že počas obrovského technologického boomu a vývoja celej spoločnosti sa základné hrozby, a z nich plynúce riziká v našom priestore a čase, významne nemenia. To by mohlo naznačovať i možné dôvody, prečo pätina spoločností z prieskumu doposiaľ neuskutočnila analýzu rizík a väčšina respondentov nemá zriadenú ani pracovnú funkciu, ktorá by sa zaoberala prioritne informačnou bezpečnosťou. Ponúka sa aj jedno aktuálne vysvetlenie, a to, že súčasná príprava prechodu na Euro v informačných systémoch spoločností absolútne zatienila ostatné interné projekty. After studying the survey results and the authors’ comments on individual points, the reader may get the impression that the basic threats and resulting risks have not currently altered here at all, despite the high-tech boom and the society-wide development. This could also indicate possible reasons why a fifth of the companies taking part in the survey have still not performed a risk analysis and why most of the respondents do not have a work-role in place with a preferential focus on information security. However, a plausible explanation for this is that the current preparation for Euro-conversion in corporate information systems has wholly overshadowed other internal projects. Dnes, v dobe tak dynamickej a rýchlej, že niektoré spoločnosti zmiznú z trhu skôr ako stačia vôbec identifikovať svoje hrozby pre informačnú bezpečnosť, je teda dobre, že existujú aspoň základné pravidlá a uznávané praktiky v oblasti bezpečnosti, ktorými sa tí ostatní môžu riadiť a ktoré udávajú smer na ceste za lepšou a kvalitnejšou bezpečnosťou v rámci finančne možného. Kvalitné riadenie informačnej bezpečnosti v praxi vždy narazí na nečakanú prekážku, ako môžeme v poslednej dobe vidieť na príklade úniku informácií od významných a dobre zabezpečených spoločností, od ktorých by sa to neočakávalo. Today, in the dynamic and fast-changing times where some companies vanish from the market before they even have a chance to identify their information security threats, it is good that there are at least basic security rules and accepted practices which others can follow and point the way towards improved and higher quality security, always respecting the financial considerations. In practice, high-quality information security management always encounters an unexpected obstacle, which we could recently have seen in the example of information outflow from leading and prosperous companies, which was a surprise to everybody. Ak je najvýznamnejšie udávaným dôvodom zlepšovanie informačnej bezpečnosti potreba ochrany osobných a obchodných údajov, presúvame sa ďalej do roviny, kde použité informačné technológie umožňujú túto ochranu tak, ako to bolo pôvodne zamýšľané. Zodpovední pracovníci majú síce jednoznačnejší cieľ, ale na druhej strane stále ťažšiu pozíciu pre zdôvodnenie výšky investícii do týchto technológii. Tejto situácii nahrávajú i prieskumom naznačené očakávania manažérov IT, že pracovníci bezpečnosti vhodne skĺbia znalosti informačnej bezpečnosti s efektívnou komunikáciou s vrcholovým vedením. Consequently, if the reason cited as the most significant for improving information security is the need for personal and business data protection, we move on to those companies where applied information technologies solely play the role of an enabler of the above protection as it was initially intended. The responsible employees now have a clearer objective but, on the other hand, it is seldom easy for them to substantiate the extent of investments in these technologies. This situation is also supported by the expectations of IT managers, as indicated in the survey, that the security staff bring information security expertise appropriately into accord with effective communication with the top management. Partneri tohtoročného prieskumu: Ernst & Young, Národný bezpečnostný úrad SR, časopis DSM – Data Security Management a TATE International Slovakia veria, že čitatelia a používatelia výsledkov tohtoročného prieskumu budú mať čas sa na svojej ceste k ideálnemu stavu informačnej bezpečnosti zastaviť, obzrieť sa a vybrať si z prieskumu to zaujímavé a potrebné k tomu, aby našli svoj cieľ. The partners in this year’s survey – Ernst & Young, the National Security Authority SR, the magazine DSM – Data Security Management and TATE International Slovakia – believe that the readers and users of this survey’s results will have time 1 to stop, look back and choose from the survey interesting and necessary information in order to identify their objectives in heading towards the ideal state of information security. PSIB SR ´08
  • 3. HLAVNÉ ZISTENIA V roku 2008 prikladá informačnej bezpečnosti význam 92 % opýtaných spoločností na Slovensku, no napriek tomu 18 % z nich hodnotí svoj stav informačnej bezpečnosti stále ako nízky alebo nedostatočný. Ako najviac motivujúce faktory pre investície do informačnej bezpečnosti spoločnosti označujú bezpečnosť a ochranu údajov, rýchly vývoj v oblasti IT a hrozbu útoku. 83 % spoločností nemá zamestnaného žiadneho špecialistu zaoberajúceho sa prioritne informačnou bezpečnosťou. Pracovníci, ktorí aktívne pôsobia v oblasti informačnej bezpečnosti, v priemere zarábajú okolo 43.000 Sk (1 427,34 €), čo je oproti minulému prieskumu z roku 2006 výrazný nárast. Spoločnosti si najviac u svojich bezpečnostných pracovníkov cenia vecné znalosti problematiky, IT technológií a flexibilitu, a naopak im najviac chýba znalosť finančného riadenia a schopnosť efektívnej komunikácie s vedením. Bežnou praxou v spoločnostiach je integrácia informačnej bezpečnosti pod IS/IT oddelenia. Priemerný rozpočet na bezpečnostné záležitosti tvoria firmy iba v 18 % prípadov a to väčšinou vo veľkosti 10 % z celkového rozpočtu na IS/IT. Iba slabá tretina spoločností následne kalkuluje návratnosť investícií do informačnej bezpečnosti. 65 % spoločností má vytvorené bezpečnostné politiky a tieto sú v 43 % pravidelne prepracovávané a aktualizované. Pribúda politík stredného rozsahu, ktoré spoločnosti preferujú pred obšírnejšími aj tými najstručnejšími. Majorita spoločností stále spolieha na interné štandardy alebo tie prevzaté od materských spoločností. Medzi najvýznamnejšie identifikované hrozby stále patria výpadky prúdu, SPAM a porucha hardvérového vybavenia. Oproti roku 2006 problematika počítačových vírusov ustupuje do pozadia. Najväčšími výzvami posledného obdobia sú pre spoločnosti participujúce na prieskume prechod na Euro a implementácia nových operačných systémov. Až 34 % spoločností nemá vypracovaný systém monitorovania bezpečnostných incidentov a viac ako štvrtina nedisponuje žiadnymi formálnymi postupmi v tejto oblasti. Rastie podiel podnikov, ktoré majú vypracované a pripravené plány obnovy funkčnosti, ktoré majorita z nich pravidelne aktualizuje a testuje. Hlavnými prioritami na riešenie v oblasti informačnej bezpečnosti sa stávajú už identifikované, známe problémy firiem. Vývoj nových riešení v oblasti IT už nie je významnou prioritou, a rovnako sa menší dôraz prikladá na analýzy a výsledky auditov, prípadne odporúčania dodávateľov. Skoro 20 % podnikov ešte nikdy nevykonalo analýzu rizík informačného systému. Tretina podnikov rieši informačnú bezpečnosť vo vlastnej réžii, dve tretiny volia externých dodávateľov riešení. Iba zanedbateľné percento túto oblasť nerieši vôbec. Oproti roku 2006 klesol podiel spoločností, ktoré dokážu a môžu využívať elektronický podpis z jednej tretiny na jednu štvrtinu. Taký istý počet jeho zavedenie vôbec neplánuje. Nedostatok aplikácií podporujúcich elektronický podpis a zriedkavá akceptácia zo strany štátu sú hlavné prekážky pre jeho zavádzanie do praxe. Rýchlejšiemu rozvoju informačnej bezpečnosti bránia nízke povedomie o bezpečnosti a finančná náročnosť. Lídrami v oblasti informačnej bezpečnosti stále zostávajú banky a finančné inštitúcie spolu s IT spoločnosťami, ktoré dosahujú nadpriemerné výsledky. 2 PSIB SR ´08
  • 4. THE MAIN FINDINGS In 2008, 92% of Slovak companies taking part in the survey asserted that information security was important, whereas 18% of them still assessed their state of information security as poor or inadequate. Data security, data protection, the rapid pace of developments in IT and concerns about attacks were cited by companies as the factors most motivating them to invest in information security. 83% of companies do not employ a specialist whose priority role is to focus on information security. Employees who are actively engaged in information security earn on average around SKK 43,000 (€ 1,427.34), which is a substantial increase on the previous survey carried out in 2006. What the companies value most with regard to their information security staff includes understanding of related issues, IT technologies and their flexibility. On the other hand, they lack expertise in financial management and the ability to communicate effectively with the management. It is common practice to integrate information security within IS/IT departments. Only in 18% of cases do companies plan an average budget for security issues; predominantly, this represents 10% of the overall budget for IS/IT. Only a poor third of companies then calculates any return on their investment in information security. 65% of companies have security policies in place, which in 43% of cases are regularly redesigned and updated. More and more companies implement policies of intermediate extent, in preference to both long-term and short-term policies. Most companies are subject to their own internal standards or to those of their parent companies. The major identified threats are seen to be those posed by power outage, SPAM or hardware malfunction. Compared to 2006, issues relating to computer viruses have begun to reduce in severity. The greatest challenges recently faced by the respondent companies are Euro-conversion and the implementation of new operating systems. Up to 34% of companies have no system in place for monitoring security incidents and more than a quarter have no appropriate formal procedures in place. There is a growing number of companies that have drawn up and prepared Disaster Recovery Plans and the majority of them update and test them on a regular basis. The main priorities for information security are solving problems which companies have already identified. The development of new IT solutions is no longer a significant priority and, similarly, reduced emphasis is placed on analyses and findings of audits or recommendations of suppliers. Almost 20% of companies have never performed an IS risk analysis. A third of companies resolve their information security issues at their own expense and two-thirds turn to external suppliers for their solutions. An insignificant percentage has no dealings in this area at all. Compared to 2006, the share of companies who are able to and permitted to use an electronic signature dropped from a third to a quarter. The same number has no plan to introduce electronic signatures at all. The lack of applications supporting electronic signatures and its random acceptance by the state represent the main obstacles to its introduction into practice. A faster pace for the development of information security is impeded by a low level of security awareness and high associated costs. Banks and financial institutions still represent the leaders in the information security area, along with IT companies which deliver outstanding results. 3 PSIB SR ´08
  • 5. RESPONDENTI RESPONDENTS Prieskum z oblasti informačnej bezpečnosti je už od roku 2004 zameraný na spoločnosti s viac ako 100 zamestnancami. Viac ako dvojtretinové zastúpenie v prieskume majú spoločnosti do 500 zamestnancov. Oproti roku 2006 sa zastúpenie firiem s 501 až 1 000 zamestnancami zvýšilo, na úrok veľkých spoločností s viac ako 1 000 zamestnancami. The information security survey has focused since 2004 on companies with more than 100 employees. More than two-thirds of companies participating in the survey have up to 500 employees. Compared to 2006, the ratio of companies with 501 to 1,000 employees increased at the expense of large companies with more than 1,000 employees. 8% Viac než 1 000 zamestnancov More than 1,000 employees 72 % 100 – 500 zamestnancov 20 % 100 – 500 employees 501 – 1 000 zamestnancov 501 – 1,000 employees Graf 1: Distribúcia respondentov podľa počtu zamestnancov Chart 1: Distribution of respondents by number of employees Iná oblasť pôsobnosti 17 % Other areas Strojárstvo 12 % Mechanical engineering Stavebný priemysel 11 % Building industry Predaj/obchod a distribúcia 8% Sales/Trade/Distribution Potravinársky priemysel 7% Food & Drink industry Textilný priemysel 6% Textile industry Financie/bankovníctvo 6% Finance/Banking Štátna správa 5% State administration Elektrotechnický priemysel 5% Electrical engineering Poradenstvo/služby 4% Consultancy/Services Informačné technológie/telekomunikácie 4% IT/Telecommunications Chemický priemysel 3% Chemical industry Doprava 3% Transport Zdravotníctvo/farmaceutický priemysel 2% Health care/Pharmaceuticals industry Vodovody a kanalizácie 2% Water distribution and Sewerage Energetika/elektroenergetika/distribučná spol. 2% Energy sector/Electro-energy/Distribution Drevospracujúci priemysel 2% Woodworking Graf 2: Distribúcia respondentov podľa oboru pôsobnosti Plynárenstvo a ropný priemysel 1% 4 Chart 2: Distribution of respondents by industry Gas and Oil industry PSIB SR ´08
  • 6. Až 17 % podiel na prieskume majú spoločnosti s „inou oblasťou pôsobnosti“, ktorá sa nehodila do žiadnej z ostatných kategórií. Oproti predchádzajúcemu prieskumu sa nám podarilo podiel nezaraditeľných spoločností výrazne znížiť, keďže v roku 2006 táto skupina tvorila viac ako štvrtinu respondentov. Ďalej je výrazne v prieskume zastúpené strojárstvo (12 %) nasledované stavebným priemyslom. Ostatné oblasti si zachovali podobné zastúpenie ako v roku 2006. Companies with other area of activity which did not fit into any one category comprised as much as 17% of the survey. Compared to the previous survey, we managed to decrease the number of unclassifiable companies significantly, as in 2006 this group represented more than a quarter of respondents. Another significant proportion is represented by Mechanical engineering (12%) followed by the Building industry. Other areas maintained a similar proportion to 2006. Vedúci oddelenia IS/IT 39 % IS/IT Department Manager Špecialista IS/IT 17 % IS/IT Specialist Riaditeľ IS/IT 11 % IS/IT Director Špecialista bezpečnosti 7% Security Specialist Iná pozícia 6% Other Position Ekonomický/finanční riaditeľ 6% Economic/Financial Director Riaditeľ/manažér bezpečnosti 5% Security Director/Manager Riaditeľ/konateľ/majiteľ spoločnosti 4% Director Pracovník marketingu 3% Marketing employee Obchodný/technický/prevádzkový riaditeľ 2% Business/Technical/Operational Director Graf 3: Kto za organizácie odpovedal Chart 3: Who provided answers on behalf of organisations Za spoločnosti na otázky prieskumu odpovedali vedúci pracovníci v dvoch tretinách prípadov. Rovnaký podiel odpovedí poskytli aj pracovníci IS/IT zamerania. Celkovo trend v tejto oblasti signalizuje prechod zodpovednosti za vypĺňanie dotazníka na manažérov a IS/IT zamestnancov. In two-thirds of cases, managers were the persons who responded for the companies. IS/IT staff also provided a similar proportion of responses. On aggregate, the trend in this area signals the transfer of responsibility for completing the questionnaire towards managers and IS/IT staff. 5 PSIB SR ´08
  • 7. VÝZNAM INFORMAČNEJ BEZPEČNOSTI IMPORTANCE OF INFORMATION SECURITY Z výsledkov prieskumu vyplýva jednoznačná orientácia na zaistenie vysokého stupňa kvality informačnej bezpečnosti a pochopenie dôležitosti informačnej bezpečnosti pre dosiahnutie primárnych cieľov organizácie. 92 % spoločností pokladá informačnú bezpečnosť za stredne významnú alebo veľmi významnú. Iba 2 % spoločností jej prisúdili zanedbateľný význam. The results of the survey show a definite focus on ensuring a high level of information security quality and understanding its importance in meeting the primary goals of organisations. 92% of companies stated that information security had medium significance or high significance. Only 2% of companies claimed that information security was of negligible significance. 2% Zanedbateľný význam Negligible significance 48 % 6% Veľký význam Malý význam High significance Low significance 44 % Stredný význam Medium significance Graf 4: Význam informačnej bezpečnosti z hľadiska primárnych cieľov organizácie Chart 4: Importance of information security in terms of primary goals of organisations Financie/bankovníctvo 91 % 9% Finance/Banking Zdravotníctvo/farmaceutický priemysel 25 % 75 % Health care/Pharmaceuticals industry Vodovody a kanalizácie 67 % 33 % Water distribution and Sewerage Informačné technológie/telekomunikácie 62 % 38 % IT/Telecommunications Doprava 40 % 60 % Transport Predaj/obchod a distribúcia 40 % 7% 53 % Sales/Trade/Distribution Iná oblasť pôsobnosti 39 % 9% 52 % Other areas Poradenstvo/služby 50 % 50 % Consultancy/Services Chemický priemysel 50 % 50 % Chemical industry Plynárenstvo a ropný priemysel 50 % 50 % Gas and Oil industry Potravinársky priemysel 38 % 16 % 46 % Food & Drinks industry Textilný priemysel 46 % 9% 45 % Textile industry Stavebný priemysel 45 % 55 % Building industry Štátna správa 11 % 44 % 45 % State Administration Elektrotechnický priemysel 10 % 50 % 40 % Electrical engineering Energetika/elektroenergetika/distribučná spol. 67 % 33 % Energy industry/Electro-energy/Distribution Strojárstvo 14 % 63 % 23 % Mechanical engineering Drevospracujúci priemysel 100 % Woodworking Stredný význam Malý alebo zanedbatelný význam Velký význam Medium significance Low or Negligible significance High significance Graf 5: Význam informačnej bezpečnosti podľa oboru pôsobnosti 6 Chart 5: Importance of information security by industry PSIB SR ´08
  • 8. Pri pohľade na rozdelenie významu informačnej bezpečnosti podľa oboru pôsobnosti podnikov sa na prvých priečkach umiestnili, tak ako po minulé roky, spoločnosti z oblasti bankovníctva a financií. Zdravotnícky a farmaceutický priemysel, vodovody a kanalizácie a doprava boli v prieskume zastúpené iba malým percentom, čo skresľuje pohľad na ich dosiahnuté umiestnenie. Drevospracujúce a strojárske podniky prikladajú informačnej bezpečnosti skôr menší význam. Spoľahlivé výsledky tejto časti prieskumu môžeme vidieť v priemernej dôležitosti informačnej bezpečnosti pre podniky z oblasti poradenstva, štátnej správy a potravinárskeho priemyslu. When looking at the break-down of importance for information security by the sphere of activity of companies, the first ranks are occupied by companies from banking and finance world (as in the previous years). Health care and the pharmaceuticals industry, water distribution and sewerage as well as transport were only represented by a minor percentage, which distorts the picture in respect of the position they acquired. Woodworking and mechanical engineering companies claimed that information security is less important to them. The reliable results of this part of the survey may be observed through the average information security for companies active in consultancy, state administration and the food & drinks industry. 17 % Nízka úroveň Low level 1% Nedostatočná úroveň Inadequate level 56 % 26 % Dobrá úroveň Výborná úroveň Good level Excellent level Graf 6: Úroveň riešenia informačnej bezpečnosti v organizácii (celkovo) Chart 6: Level of information security in organisation (total) Až 82 % organizácií v prieskume hodnotí svoju informačnú bezpečnosť pozitívne a optimisticky. Viac ako štvrtina pokladá svoju informačnú bezpečnosť za výbornú, na druhej strane iba menej ako jedna pätina firiem ju vidí na nízkej úrovni. Oproti minulému prieskumu vidieť nepatrné zmeny k lepšiemu v sebahodnotení úrovne informačnej bezpečnosti organizáciami, keď sa ľahko navýšil podiel spoločností, ktoré svoju úroveň riešenia informačnej bezpečnosti hodnotia ako výbornú (z 20 % na 26 %). Tento posun sa primárne udial na úkor spoločností s „dobrou úrovňou“ (z 65 % na 56 %). Up to 82% of organisations participating in the survey evaluate their information security positively and are optimistic about its development. More than a quarter of the companies rated the level of their information security as excellent. On the other hand, just under a fifth of companies consider it to be at a low level. Compared to the last survey, only slight changes for the better may be visible in the self-assessment of information security by organisations, as the ratio of companies which rate their information security solutions as excellent increased slightly (from 20% to 26%). This movement primarily happened at the expense of companies with a “good level” (from 65% down to 56%). 7 PSIB SR ´08
  • 9. Spoločnosti z plynárenského, ropného a chemického priemyslu hodnotia svoje riešenia bezpečnosti ako výborné v polovici prípadoch; obchod a elektrotechnický priemysel v 40 %. Najkritickejšie odvetvie k svojej informačnej bezpečnosti je strojárstvo, nasledované poradenstvom alebo službami a vodovodmi a kanalizáciami. Výsledky približne kopírujú dôležitosť, ktorú spoločnosti z jednotlivých odvetví prikladajú informačnej bezpečnosti, čo dokladajú výsledky napríklad farmaceutického priemyslu a oblasti informačných technológií. Companies from the gas, oil and chemical industries assess their security solutions as excellent in half of the cases; trade and electrical engineering in 40%. The most critical approach to its information security is maintained by mechanical engineering, followed by consultancy or services and water distribution and sewerage. The results approximately reflect the level of importance which is assigned by companies from individual sectors to information security, which is also demonstrated by the results of, for example, the pharmaceuticals industry or the information technology sector. Chemický priemysel 50 % 33 % 17 % Chemical industry Plynárenstvo a ropný priemysel 50 % 50 % Gas and Oil industry Predaj/obchod a distribúcia 47 % 13 % 40 % Sales/Trade/Distribution Elektrotechnický priemysel 40 % 50 % 10 % Electrical engineering Vodovody a kanalizácie 34 % 33 % 33 % Water distribution and Sewerage Iná oblasť pôsobnosti 49 % 21 % 30 % Other areas Textilný priemysel 64 % 9% 27 % Textile industry Financie/bankovníctvo 9% 64 % 27 % Finance/Banking Poradenstvo/služby 38 % 25 % 37 % Consultancy/Services Zdravotníctvo/farmaceutický priemysel 75 % 25 % Health care/Pharmaceuticals Industry Informačné technológie/telekomunikácie 25 % 75 % IT/Telecommunications Potravinársky priemysel 69 % 8% 23 % Food & Drinks industry Štátna správa 22 % 22 % 56 % State administration Doprava 60 % 20 % 20 % Transport Stavebný priemysel 70 % 15 % 15 % Building industry Strojárstvo 45 % 41 % 14 % Mechanical engineering Drevospracujúci priemysel 100 % Woodworking Energetika/elektroenergetika/distribučná spol. 67 % 33 % Energy industry/Electro-energy/Distribution Výborná úroveň Dobrá úroveň Nízka alebo nedostatočná úroveň Excellent level Good level Low or Insufficient level Graf 7: Úroveň riešenia informačnej bezpečnosti v organizácii podľa oboru pôsobnosti 8 Chart 7: Level of information security in organisation by industry PSIB SR ´08
  • 10. Prím v rizikách, ktoré vedú firmy k zdokonaľovaniu informačnej bezpečnosti, hrá ochrana údajov (66 %), ktorá sa v prieskume objavila tento rok prvý krát. Tak ako po minulé roky, rýchly vývoj informačných technológií (35 %), požiadavky na prepájanie smerom von aj dnu (29 % a 21 %) a hrozba útoku (31 %) sú medzi faktormi, ktoré podľa firiem majú najväčší vplyv. Oproti minulým rokom firmy zrejme prehodnotili dôležitosť niektorých faktorov a tým pádom došlo k preskupeniu percentuálneho zastúpenia. Prepad o 11 % oproti roku 2006 zaznamenal tlak zo strany legislatívy SR a o 10 % zo strany EU. The main risk driving companies to strengthen their information security is data protection (66%) which this year appeared in the survey for the first time. As in the previous years, the fast pace in the development of information technologies (35%), requirements for external as well as internal connections (29% and 21%) and threat of attack (31%) represent the factors with the greatest influence, as assessed by the companies. Compared to the previous years, companies apparently reassessed the importance of certain factors, thereby rearranging percentages. Compared to 2006, a reduction of 11% and 10% resulted from pressure from the SR legislation and the EU, respectively. Ochrana údajov* 66 % Data protection* 35 % Rýchly vývoj v oblasti IT 50 % Rapid pace of IT developments 56 % Hrozba útoku* 31 % Threat of attack* 29 % Prepájanie informacných systémov smerom von 53 % Connection of IS outside 55 % 21 % Prepájanie informacných systémov vo vnútri organizácie 32 % Connection of IS within organisation 38 % 21 % Výsledky vykonaného auditu/odporúcaní audítorov 23 % Audit results/Auditors' recommendations 22 % 15 % Legislatívny tlak v SR 26 % Legislative pressure in the SR 27 % 8% Tlak/požiadavky zo strany investorov/akcionárov/vlastníkov 10 % Investor/shareholder/Owner pressure/Requirements 12 % 7% Požiadavky na mobilné spracovanie informácií 14 % Mobile information processing requirements 13 % Splnenie obchodných cieľov* 7% Business plan fulfilment* 7% E-business a/alebo e-commerce 9% E-business and/or E-commerce 11 % Riešenie informačnej bezpečnosti u porovnatelných organizácií* 5% Information security solutions from peers* 5% Tlak/požiadavky zákazníkov 11 % Client pressure/requirements 8% Hrozba negatívnej medializácie* 4% Threat of negative picture in media* 4% Tlak/požiadavky obchodných partnerov 14 % Business partners pressure/requirements 2008 13 % Hrozba finančných sankcií* 2006 3% Threat of financial sanctions* 2004 2% Platná aj pripravovaná legislatíva Európskej a Menovej Únie 10 % Valid or prepared EU and European Monetary Union legislation 12 % * možnosti prvý krát k dispozícii až v PSIB SR ´08 10 % ** možnosť v PSIB SR ´08 už nie je k dispozícii Iné dôvody** * option appeared in the 2008 survey for the first time 6% Other reasons** ** option is no longer available in the 2008 survey Graf 8: Okolnosti, ktoré majú najväčší vplyv na presadzovanie informačnej bezpečnosti 9 Chart 8: Circumstances with most impact on information security implementation PSIB SR ´08
  • 11. Pre jednu tretinu spoločností je pravidelná tvorba správ o informačnej bezpečnosti zabehnutá prax, avšak pre 20 % stále nepreskúmaná oblasť. 30 % spoločností vydáva správy podľa potreby. Zaujímavým bodom v tejto oblasti je informácia, že pätina spoločností nikdy túto správu nepripravila, a preto je otázne, akým spôsobom je informačná bezpečnosť u nich riadená. A third of companies stated that regular preparation of reports on information security is a common practice; however, for 20% it remains an unexplored area. 30% of companies issue reports when necessary. An interesting fact in this area is that a fifth of the companies have never prepared a report and it is therefore questionable how information security is managed in their organisations. 20 % Nikdy 30 % Never Ad-hoc 4% Ad-hoc Niekoľkokrát ročne More often that once a year 30 % 16 % Ročne Menej ako jedenkrát ročne Once a year Less than once a year Graf 9: Ako často sa pripravuje správa o stave informačnej bezpečnosti Chart 9: How often is prepared reports on the state of information security Podniky, ktoré správy o stave informačnej bezpečnosti tvoria, ich predkladajú najvyššiemu vedeniu vo viac ako dvoch tretinách prípadov, čo potvrdzuje trend uvedomovania si dôležitosti IT pre podporu firemných procesov a tým i rastúcu zainteresovanosť vrcholového vedenia. V 8 % prípadov si správu vyžaduje materská spoločnosť a nie je výnimkou, ak sa správy dostanú do rúk viacero zainteresovaných príjemcov. Companies that compile reports on the state of information security submit them to top management in more than two thirds of cases, which is also confirmed by the trend of awareness of IT importance for the support of corporate procedures and the related increasing involvement of top management. In 8% of cases, reports are required by parent companies and it is quite usual for reports to end up on the desks of a number of interested recipients. 7% Bezpečnostnému manažérovi/strednej úrovni riadenia Security manager/Middle management 2% Bezpečnostnému špecialistovi (nemanažérska pozícia) Security specialist (non-managerial position) 8% Materskej spoločnosti Parent company 70 % 13 % Najvyššiemu vedeniu Top management Viacerým príjemcom Several recipients Graf 10: Komu sú správy o stave informačnej bezpečnosti určené? Chart 10: Who are the reports on the state of information security prepared for? 10 PSIB SR ´08
  • 12. Najviac priestoru pre zlepšovanie úrovne informačnej bezpečnosti vidí skoro polovica respondentov v ešte väčšej podpore vrcholového vedenia, napriek výsledku z Grafu 10. Tato situácia by mohla naznačovať, že správy predkladané vedeniu nemajú praktický výsledok vo forme zlepšenia stavu informačnej bezpečnosti alebo sú tieto správy diplomaticky upravované. Ďalšími oblasťami, kde spoločnosti môžu upriamiť svoju pozornosť sú aj systémy prípravy pracovníkov a dostupnosť metodík a informácií o dokumentoch pre praktickú činnosť a legislatívu. Almost half of the respondents see the greatest scope for the improvement of information security as entailing more substantial support from top management, despite the results shown in Chart 10. This situation could indicate that the reports submitted to management do not have a practical result in the form of improving the state of information security, or they are diplomatically adjusted. Other areas which may also merit companies’ attention include staff preparation systems and availability of methodologies and information on documents for purposeful activity and legislation. Väčšia podpora vrcholového vedenia 48 % Better top management support Dostupnosť metodík a informácií o dokumentoch, potrebných pre praktickú činnosť 32 % Availability of methodologies and information on documents required for practice Vyriešenie systému prípravy a vzdelávania pracovníkov 31 % Development of staff preparation and education system Legislatívna úprava oblasti informačnej bezpečnosti 21 % Legal regulations in the area of information security Dostupné poradenské a konzultačné služby 16 % Available advisory and consultancy services Zvýšenie počtu podujatí, ktoré sa touto problematikou zaoberajú 10 % More events dealing with these issues Graf 11: Čo by pomohlo organizácii zvyšovať úroveň informačnej bezpečnosti? Chart 11: What would help increase the organisations' level of information security? ORGANIZAČNÉ ZABEZPEČENIE ORGANISATIONAL SECURITY V tejto oblasti hovoria výsledky sami za seba. Iba 17 % spoločností má pracovníka, ktorý sa venuje informačnej bezpečnosti ako hlavnej pracovnej náplni, pričom je stále bežná prax zlučovania funkcie informačnej bezpečnosti s IS/IT oddelením. Prieskum vypovedal i o istej vzdialenosti informačnej bezpečnosti od biznis procesov spoločností. U 46 % spoločností nie je informačná bezpečnosť a manažment rizík integrovaný. V prípade separátneho riešenia týchto dvoch oblastí môže dochádzať k neadekvátnemu využitiu zdrojov firmy a nepokrytiu obchodných rizík, ktoré idú ruka v ruke s rizikami bezpečnosti na úrovni informačných systémov. In this area the results speak for themselves. Only 17% of companies employ a professional whose main responsibility is information security. Merging the information security function with an IS/IT department remains a common practice. The survey also disclosed a certain distance between information security and corporate business processes. 46% of companies lack integration of information security with risk management. Where there is a separate solution to these two areas, corporate resources may be used inadequately and business risks inadequately covered, which goes in tandem with IS security risks. Spoločnosti sú v tejto oblasti rozdvojené. Jedna polovica ide cestou aspoň čiastočnej integrácie, druhá manaž- ment rizík a informačnú bezpečnosť v praxi nespája. Spoločnosti s plnou integráciou týchto oblastí sú primárne z bankovej, finančnej a telekomunikačnej sféry, kde je badateľný legislatívny tlak. Bude zaujímavé sledovať vývoj v tejto oblasti do budúcna. Companies are split into two categories in this area. Half pursue at least partial integration, the other half go for risk management and do not link information security with anything within practice. Companies with full integration of these areas are primarily from the banking, finance and telecommunications sectors where 11 pressure from legislation is apparent. Monitoring future developments in this area will be of interest. PSIB SR ´08
  • 13. Oproti minulému prieskumu z roku 2006 sa v tejto oblasti veľa nezmenilo. U 17 % respondentov nie je jasne definovaná zodpovednosť. 57 % podnikov zodpovednosť za riešenie informačnej bezpečnosti dáva manažérom a viac ako jedna štvrtina spolieha na špecialistov mimo úrovní riadenia podniku. Trendom však ostáva, že zodpovednosť sa presúva na úroveň vedenia divízie/odboru. No significant changes occurred in this area compared to the 2006 survey. There is a lack of a clear definition of responsibility for 17% of respondents. 57% of companies allot responsibility for information security solutions to managers and more than a quarter rely on outsourced specialists. However, the ongoing trend is to shift responsibility to the level of divisional/departmental management. 14 % Manažér – úroveň najvyššieho riadenia 17 % Manager – top management level 29 % Manažér – úroveň vedenia divízie/odboru 25 % Manager – head of division/section level 14 % Manažér – iná úroveň riadenia Manager – other managerial level 13 % 26 % Špecialista – nemanažérska pozícia Specialist – non-managerial position 27 % 2008 17 % Nikto/nie je jasne definovaná zodpovednosť Nobody/responsibility is not clearly assigned 18 % 2006 Graf 12: Kto je v organizácii zodpovedný za riešenie informačnej bezpečnosti? Chart 12: Who is responsible for information security solutions in your organisation? Z časového hľadiska je evidentný posun z nižších platových ohodnotení pracovníkov zodpovedných za informačnú bezpečnosť do vyšších. V roku 2008 je až 40 % pracovníkov v kategórii „25 tis. Sk – 40 tis. Sk” (829,88 – 1 327,79 €). Nárast o 8 % oproti roku 2006 (a až 19 % oproti 2004) zaznamenala skupina pracovníkov s platom od 55 tis. Sk do 70 tis. Sk (1 825,70 – 2 323,57 €), kde sa teraz nachádza približne jedna štvrtina všetkých zamestnancov zodpovedných za informačnú bezpečnosť. Over time, there is an evident shift from lower remuneration levels of employees responsible for information security to higher levels. In 2008, as many as 40% of employees were in the category “SKK 25 thousand – SKK 40 thousand” (€ 829.88 – 1,327.79). The group of employees with pay ranging from SKK 55 thousand to SKK 70 thousand (€ 1,825.70 – 2,323.57), witnessed an increase of 8% on 2006 (and up 19% on 2004); this group currently incorporates a quarter of all staff responsible for information security. 7% Viac ako 70.000 Sk (2 323,57 €) 5% More than SKK 70,000 (€ 2,323.57) 0% 23 % 55.001 – 70.000 Sk (1 825,70 – 2 323,57 €) 15 % SKK 55,001 – 70,000 (€ 1,825.70 – 2,323.57) 4% 13 % 40.001 – 55.000 Sk (1 327,79 – 1 825,70 €) 10 % SKK 40,001 – 55,000 (€ 1,825.70 – 2,323.57) 18 % 40 % 25.001 – 40.000 Sk (829,88 – 1 327,79 €) 35 % SKK 25,001 – 40,000 (€ 829,88 – 1,327.79) 39 % 2008 17 % Menej ako 25.000 Sk (829,88 €) 35 % 2006 Less than SKK 25,000 (€ 829,88) 39 % 2004 Graf 13: Hrubé mesačné ohodnotenie pracovníkov v oblasti informačnej bezpečnosti Chart 13: Gross average monthly remuneration of employees responsible for information security 12 PSIB SR ´08
  • 14. Medzi stálice na poli chýbajúcich vlastností stále patria znalosti finančného riadenia, schopnosť efektívne komunikovať s vedením organizácie a prezentačné a manažérske schopnosti. Znalosti cudzích jazykov pracovníkov v oblasti informačnej bezpečnosti sa vylepšili, keďže už chýba iba v 14 % spoločností. Flexibilita a vecná znalosť problematiky informačnej bezpečnosti je plne saturovaná vo všetkých spoločnostiach zúčastnených na prieskume, čo je určite dobrá vizitka slovenských bezpečnostných pracovníkov. Characteristics still missing include financial management skills, the ability to communicate with an organisation’s management effectively, presentation skills and managerial skills. The foreign language skills of information security staff have improved as only 14% are noted as lacking in the companies. Flexibility and understanding of information security issues have been fully absorbed in all the companies participating in the survey, which is definitely a good advert for Slovak information security staff. 32 % Znalost finančného riadenia (rozpočtovanie) 25 % Financial management skills (budgeting) 17 % 21 % Schopnosť efektívnej komunikácie s vedením organizácie 22 % Ability to communicate with management effectively 23 % 18 % Prezentačné schopnosti 13 % Presentation skills 10 % 18 % Manažérske schopnosti 9% Managerial skills 13 % 14 % Znalosť cudzieho jazyka 26 % Foreign language skills 33 % 14 % Schopnosť riadit projekty 9% Project management 10 % 14 % Technologické znalosti IS/IT 4% Technological skills 10 % 11 % Analytické schopnosti 4% Analytical skills 3% 7% Vecná znalosť fungovania organizácie 0% Understanding of organisation's functions 3% 0% Vecná znalosť problematiky informačnej bezpečnosti 4% Understanding of information security issues 0% 2008 0% Flexibilita a konštruktívny prístup k riešeniu problémov 2006 0% Flexibility and constructive approach to solving problems 7% 2004 Graf 14: Najviac chýbajúce znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti Chart 14: Most noticeably absent knowledge and skills of information security staff 13 PSIB SR ´08
  • 15. Ako najviac cenené znalosti a schopnosti určili respondenti prieskumu vecnú znalosť problematiky informačnej bezpečnosti, technologické znalosti IS/IT a flexibilitu a konštruktívny prístup k riešeniu problémov. Prepad oproti minulému prieskumu zaznamenala vecná znalosť fungovania organizácie, čo by naznačovalo presun priorít k technologicko-bezpečnostným aspektom od zaisťovania bezpečnosti obchodných procesov. To môže súvisieť aj so zriaďovaním alebo posilňovaním právomocí oddelení interných auditov, alebo s posunom riadenia informačnej bezpečnosti k útvarom IS/IT, ako naznačili odpovede na otázku zodpovednosti za informačnú bezpečnosť. The survey respondents stated that the most valued knowledge and skills were understanding of information security issues, IS/IT technological skills as well as flexibility and a constructive approach to problem-solving. Understanding of the organisation’s functions recorded a decrease on last year’s survey, which would indicate a shift in priorities from ensuring the security of business processes towards technological and security aspects. This may also relate to the establishing or strengthening of authority of the internal audit departments, or to a shift of information security management towards IS/IT units, as was indicated in the answers to the question relating to information security. 75 % Vecná znalosť problematiky informačnej bezpečnosti 57 % Understanding of information security issues 80 % 36 % Technologické znalosti IS/IT 43 % Technological skills 53 % 32 % Flexibilita a konštruktívny prístup k riešeniu problémov 35 % Flexibility and constructive approach to solving problems 40 % 32 % Schopnosť efektívnej komunikácie s vedením organizácie 17 % Ability to communicate with management effectively 20 % 21 % Analytické schopnosti 30 % Analytical skills 17 % 21 % Manažérske schopnosti 22 % Managerial skills 23 % 18 % Vecná znalosť fungovania organizácie 43 % Understanding of organisation's functions 23 % 18 % Prezentačné schopnosti 13 % Presentation skills 7% 14 % Znalosť cudzieho jazyka 0% Foreign language skills 7% 7% Schopnosť riadiť projekty 30 % Project management 7% 2008 4% Znalosť finančného riadenia (rozpočtovanie) 4% 2006 Financial management skills (budgeting) 3% 2004 Graf 15: Najviac cenené znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti Chart 15: Most valued knowledge and skills of information security staff 14 PSIB SR ´08
  • 16. Prevažujúcim riešením začlenenia útvaru informačnej bezpečnosti do organizačnej štruktúry spoločnosti je spojenie s existujúcim IS/IT oddelením v 64 % prípadov. Tak ako po minulé roky sa vynára otázka zlučovania právomocí a zvyšovania rizika konfliktov záujmov v týchto spoločnostiach. Ekonomický a finančný útvar už zostáva zodpovedný za informačnú bezpečnosť iba v 7 % spoločností, oproti 12 % v roku 2006. Špecializovaný útvar bezpečnosti má iba 5 % firiem, čo sa v kontexte veľkosti spoločností zúčastnených v prieskume (28 % spoločností s počtom zamestnancov viac ako 500) javí ako nízke číslo. The leading solution to incorporating an information security unit within a company’s organisational structure is to link it in with the existing IS/IT department in 64% of cases. As in the previous years, there is an issue relating to the merging of duties and an increasing risk of conflict of interest in these companies. Economic and finance units remain responsible for information security in only 7% of companies, compared to 12% in 2006. A specialised security unit is to be found in only 5% of companies, which, in the terms of the size of the companies participating in the survey (28% of companies with a number of employees exceeding 500) seems to be a rather low number. 7% Iný útvar 12 % Other department 12 % 2% Útvar vnútorných/centrálnych služieb 1% Internal/Central services department 1% 7% Ekonomický alebo finančný útvar 12 % Economic or Financial department 16 % 4% Útvar kontroly, revízie alebo auditu 3% Control, Review or Audit department 2% 64 % Útvar IS/IT 57 % IS/IT department 53 % 5% Útvar bezpečnosti 5% Security department 5% 2008 11 % Žiadny útvar 2006 10 % No department 11 % 2004 Graf 16: Útvar zodpovedný za informačnú bezpečnosť Chart 16: Unit responsible for information security BEZPEČNOSTNÁ POLITIKA A ŠTANDARDY SECURITY POLICY AND STANDARDS V roku 2008 sa nepotvrdil trend z roku 2006 a podiel podnikov s formálne definovanou bezpečnostnou politikou klesol na 65 %. V porovnaní s Českou republikou a prieskumom z roku 2007 sú slovenské podniky o 12 % napred. Absencia takejto formálne definovanej politiky sa môže následne prejaviť na chýbajúcich alebo zlých metrikách vlastného sebahodnotenia kvality informačnej bezpečnosti, ktoré je tým pádom nevyhnutné brať s rezervou. Kvalitne spracovaná a zadefinovaná bezpečnostná politika je základným stavebným kameňom konzistentnosti, efektívnosti a kvality riešenia informačnej bezpečnosti. In 2008, the trend identified in 2006 was not confirmed and the ratio of companies with a formally documented security policy reduced to 65%. Compared to the 2007 survey in Czech Republic, Slovak companies are in the lead by 12%. The lack of a formally documented policy may in turn result in missing or improper measurements of self-assessment of information security quality, which in this case must thus be taken less seriously. A properly developed and defined security policy is the cornerstone of information security consistency, effectiveness and quality. 15 PSIB SR ´08
  • 17. 65 % Áno 70 % Yes 58 % 2008 35 % Nie 30 % 2006 No 42 % 2004 Graf 17: Má organizácia vo forme dokumentu formálne definovanú a najvyšším vedením prijatú bezpečnostnú politiku? Chart 17: Does the organisation have a security policy in place, which would be formally documented and accepted by the top management? Oproti minulým rokom sa objem firemných bezpečnostných politík významne nezmenil. Skoro 60 % spoločností preferuje stredne rozsiahlu bezpečnostnú politiku. Zmenu na takúto cestu definovania politiky volili aj niektoré firmy doteraz presadzujúce voľnejšiu a nie tak obšírnu variantu, ktorá je iba deklarovaním hodnôt a cieľov. Compared to last year, the volume of corporate security policies has not changed significantly. Almost 60% of companies prefer a medium-sized security policy. Certain companies which had previously promoted a looser and less extensive variant, which only declares their values and objectives, have also changed the method of promoting their policy to a medium one. 18 % Rozsiahla (niekoľko desiatok strán, detailný opis všetkých oblastí) Extensive (more than 20 pages, detailed description of all areas) 17 % 59 % Stredná (cca do 20 strán, podrobnejší opis požiadaviek a organizačného zabezpečenia) Medium (approx. up to 20 pages, detailed description of requirements and security organisation) 57 % 23 % Stručná (cca do 3 strán, skôr deklaratívny charakter) Brief (approx. up to 3 pages, somewhat declarational in nature) 26 % Graf 18: Charakteristika rozsahu bezpečnostnej politiky. 2008 Chart 18: Characteristics of security policy scope 2006 Drvivá väčšina respondentov poskytla pozitívnu odpoveď, približne tretina má pre oblasť ochrany osobných údajov v bezpečnostnej politike vyhradený najväčší priestor. Skoro by to vyzeralo, akoby bezpečnostná politika niekedy vznikala ako dôsledok zákona na ochranu osobných údajov. Iba 6 % respondentov priznalo, že sa v rámci svojej bezpečnostnej politiky úprave ochrany osobných údajov vôbec nevenuje. The overwhelming majority of respondents responded positively; a third have reserved the largest scope for issues relating to personal data protection. At times, security policy seems almost to be originating as a consequence of the Act on Personal Data Protection. Only 6% of respondents claimed that they pay no attention to personal data protection in their security policies. 31 % Áno, je to najväčšia časť bezpečnostnej politiky Yes, it is the major part of our security policy 39 % 63 % Áno, je to jedna z častí bezpečnostnej politiky Yes, it is a part of our security policy 55 % 6% Nie 2008 No 6% 2006 Graf 19: Pokrýva bezpečnostná politika oblasť ochrany osobných údajov v zmysle zákona o ochrane osobných údajov? 16 Chart 19: Does security policy also cover the area of personal data protection, as per the Act on Personal Data Protection? PSIB SR ´08
  • 18. Majorita respondentov prieskumu preferovala vlastné interné štandardy a smernice alebo interné štandardy a smernice materskej spoločnosti, prípadne skupiny. So štvrtinovým zastúpením sú štandardy ISO/IEC 17799/BS 7799 a ISO 27000. ITIL odporúčania pomáhajú 14 % spoločností, čo je nárast o 9 %. Ostáva nejasné, do akej miery sú medzinárodné štandardy priamo integrované do interných štandardov spoločností a akou mierou sa interné štandardy podieľali na odpovediach jednej tretiny respondentov z minulého prieskumu, ktorí si nedokázali z ponúkaných možností štandardov vybrať. The majority of respondents preferred their own internal standards and policies or those of their parent companies and/or group. The ratio of ISO/IEC 17799/BS 7799 and ISO 27000 represented one quarter. ITIL recommendations help 14% of companies, which is a 9% increase. What remains unclear is to what extent international standards are directly integrated in the internal standards of companies and how large a part they played in the responses of a third of those respondents from the last survey that were not able to choose from the options of standards offered. Vlastné interné štandardy a smernice 62 % Own internal standards and policies Interné štandardy a smernice materskej spoločnosti alebo skupiny 35 % Internal standards and policies of a parent company or group ISO/IEC 17799/BS 7799 (Britský štandard), ISO 27000 25 % ISO/IEC 17799/BS 7799 (British standard), ISO 27000 ITIL 14 % ITIL ISO/IEC TR 13335 8% ISO/IEC TR 13335 Štandardy a nariadenia Európskej únie pre oblasť bezpečnosti IS 6% European Union standards and regulations for IS security IT Security Baseline/IT-Sicherheitsmanagement und IT-Grundschutz štandardy od nemeckého BSI 6% IT Security Baseline/IT-Sicherheitsmanagement und IT-Grundschutz standards from German BSI COBIT 5% COBIT Štandardy a publikácie NIST pre oblasť bezpečnosti IS/IT 3% NIST IS/IT security standards and publications Iný štandard 2% Other standard Graf 20: Využitie štandardov v oblasti informačnej bezpečnosti alebo IT governance pri riešení informačnej bezpečnosti Chart 20: Application of standards in information security or IT governance in respect of information security issues Nepravidelnú aktualizáciu bezpečnostnej politiky robí viac ako jedna polovica podnikov v prieskume, čo je významný pokles oproti roku 2006. Vzrástlo zastúpenie pravidelnej aktualizácie politiky aspoň raz ročne na 31 %, čo hodnotíme pozitívne. Podiel spoločností, ktoré neaktualizujú svoju bezpečnostnú politiku klesol na 4 %. An irregular update of security policy is performed by more than a half of the respondents, which is a significant decline on 2006. The ratio of the regular policy update at least once a year increased to 31%, which we evaluate positively. The ratio of companies which fail to update their security policies dropped to 4%. 31 % Pravidelne, aspoň raz ročne 19 % On a regular basis, at least once a year 24 % 12 % Pravidelne, v intervaloch väčších ako jeden rok 14 % On a regular basis, less than once a year 11 % 53 % Nepravidelne, podľa potreby 58 % Irregularly, when needed 64 % 2008 4% 2006 Nie je aktualizovaná 8% Not updated at all 1% 2004 Graf 21: Ako často dochádza k aktualizácii bezpečnostnej politiky? 17 Chart 21: How often is security policy updated? PSIB SR ´08
  • 19. Výpadky dodávok elektrického prúdu, nasledované nevyžiadanou poštou (SPAM) a poruchou technického vybavenia sú najčastejšie sa vyskytujúcimi bezpečnostnými udalosťami za posledné dva roky. Trend výskytu je vo väčšine incidentov klesajúci, iba SPAM trápi spoločnosti čoraz viac. V porovnaní s rokom 2006 sa zdá, že technické vybavenie spoločností je spoľahlivejšie a poruchy hardvéru sa vyskytujú o 11 % menej často. Dobrou vizitkou antivírových spoločností je, že nákaza počítačovými vírusmi poklesla vo výskyte o viac než 19 %. Tento trend je spôsobený poklesom aktivity tvorcov klasických vírusov a presunom aktivít na iné typy malware spolu so zvýšenou úspešnosťou antivírových programov. K prínosu môže byť aj tendencia nasadzovania antivírových riešení na rozhrania prístupu k internetu (proxy, mail), ako aj masívne nasadzovanie antivírových programov na počítače koncových užívateľov. Tento trend poklesu aktivity počítačových vírusov je tak isto potvrdený prieskumom v Českej republike z roku 2007, kde sa výskyt vírusov, ako bezpečnostného incidentu, znížil o 22 % oproti roku 2005. Ostatné incidenty ako chyba používateľa, zlyhanie WAN a LAN sietí majú v prieskume približne rovnaké zastúpenie. Power failure followed by unsolicited e-mails (SPAM) and hardware failure have figured as the most frequent security incidents for the last two years. The trend of their incidence is declining in most cases; only SPAM is giving companies even more concern. Compared to 2006, the hardware employed by companies seems to be more reliable and its malfunction occurs less frequently by 11%. A good advert for the antivirus companies is that infections from computer viruses dropped in terms of incidence by more than 19%. This trend resulted from reduced activity on the part of authors of classical viruses and the transfer of activity to other types of malware, along with the increased success rate of anti-virus programmes. The trend towards implementing antivirus solutions in the interfaces of access to the Internet (proxy, mail) as well as the bulk implementation of antivirus programmes on end users’ PCs may also be beneficial. This trend of a decline in computer virus activity has also been confirmed by the 2007 survey performed in Czech Republic, where the incidence of viruses as security incidents dropped by 22% on 2005. Other incidents such as user faults or WAN and LAN network failure maintain approximately the same ratio in the survey. Výpadok elektrického prúdu 77 % Power failure Nevyžiadaná pošta, SPAM 69 % SPAM Porucha technického vybavenia (hardvéru) 55 % Hardware failure Počítačový vírus 40 % Computer virus Chyba používateľa 35 % User's fault Zlyhanie WAN 33 % WAN failure Chyba programového vybavenia (softvéru) 31 % Software failure Zlyhanie LAN 26 % LAN failure Krádež zariadenia 16 % Theft of equipment Chyba administrátora alebo obsluhy 12 % Administrator's or operator's fault Nepovolený prístup k údajom – zvnútra 9% Unauthorized data access – internal Rastúci trend Únik informácií Increasing trend 4% Information leak Rovnaký trend Zneužitie zariadenia 4% Equal trend Misuse of equipment Klesajúci trend Falšovanie elektronických dokumentov, transakcií a informácií 4% Decreasing trend Falsification of electronic documents, transactions and information Nepovolený prístup k údajom – zvonku 3% Unauthorised data access – external Prírodná katastrofa 3% Natural disaster Graf 22: Výskyt bezpečnostných incidentov a trend ich výskytu Chart 22: Security incidents and trend of their incidence Výpadok elektrického prúdu trápi najčastejšie a má aj najzávažnejšie dopady. Porucha hardvérového vybavenia spoločnosti bola vyhodnotená ako incident s najzávažnejším dopadom v 20 % prípadov. Nasledujú SPAM, softvérové chyby a zlyhanie sieťových štruktúr. Faktom zostáva, že najčastejší incident – výpadok elektrického prúdu – si udržiava prvenstvo, napriek jeho závažným dopadom a relatívne jednoduchej, avšak možno finančne náročnejšej, prevencii. Power outage is the most frequent problem and has the most serious impact. In 20% of the companies, hardware failure was assessed as the incident with the most serious impact. Hardware failure is followed by SPAM, software errors and failure in software structures. The fact remains that the most frequent incident remains power failure, despite its 18 considerable impact and relatively simple, but possibly higher associated costs relating to its prevention. PSIB SR ´08
  • 20. Výpadok elektrického prúdu 41 % Power failure Porucha technického vybavenia (hardvéru) 20 % Hardware failure Nevyžiadaná pošta, SPAM 7% SPAM Chyba programového vybavenia (softvéru) 6% Software failure Zlyhanie WAN 6% WAN failure Zlyhanie LAN 5% LAN failure Počítačový vírus 4% Computer virus Chyba používateľa 4% User's fault Krádež zariadenia 3% Theft of equipment Nepovolený prístup k údajom – zvnútra 2% Unauthorized data access – internal Falšovanie elektronických dokumentov, transakcií a informácií 1% Falsification of electronic documents, transactions and information Chyba administrátora alebo obsluhy 1% Administrator's or operator's fault Únik informácií/Prírodná katastrofa/ Nepovolený prístup k údajom – zvonka/Zneužitie zariadenia 0% Graf 23: Bezpečnostné incidenty s najzávažnejším dopadom Information leak/Natural disaster/ Chart 23: Security incidents with the most serious impact Unauthorised data access – external/Misuse of equipment Priame finančné dopady (pokuty a sankcie, náklady na opravu, cenu zničeného vybavenia) bezpečnostných incidentov nekopírujú výskyt alebo závažnosť incidentov, ako sa ponúka. Treba ich chápať tak, že sa vyskytli u malého počtu respondentov a odpovedajú skôr nákladom jednotlivých respondentov ako skutočnému priemeru. Falšovanie elektronických dokumentov a transakcií, ktoré sa vyskytlo v 4 % prípadov malo priame finančné dopady vo výške pol milióna Sk (16 596,96 €). Nevyžiadaná pošta stála priemerne 470.833 Sk (15 628,80 €), tento údaj však môže byť skreslený uvedením škôd spôsobených SPAMom v hodnote 5 miliónov korún (165 969,59 €) jedným respondentom. Ako tretí najzávažnejší dôvod bola uvedená chyba programového vybavenia v priemernej hodnote 191.500 Sk (6 356,64 €). Priemerne stál spoločnosti najzávažnejší incident 191.636 Sk (6 361,15 €). Alarmujúce je, že v dobe zostrenej konkurencie a každodennej súťaže o klienta či zákazníka pokladá nepriame náklady 90 % firiem, ako poškodenie dobrého mena alebo stratu klienta, za zanedbateľné. Direct financial impact (fines and sanctions, repair costs, costs of damaged hardware and software) of security incidents do not reflect Incident/Incident SKK € the occurrence or materiality of the incidents as offered. To understand the figures, we need Falšovanie elektronických dokumentov, transakcií a informácií 500.000 16 596,96 Falsification of e-documents, transactions and information to take into account the fact that they result Nevyžiadaná pošta, SPAM from a small number of respondents and they 470.833 15 628,80 Unsolicited mail, SPAM correspond more to the costs incurred by Chyba programového vybavenia (softvéru) individual respondents than the real average. 191.500 6 356,64 Program (software) error Falsification of electronic documents and Krádež zariadenia 90.000 2 987,45 transactions which occurred in 4% of cases Theft of equipment had a direct financial impact amounting Porucha technického vybavenia (hardvéru) 72.500 2 406,56 to SKK 500,000 (€ 16,596.9). Unsolicited mail Hardware failure cost on average SKK 470,833 (€ 15,628.80); Výpadok elektrického prúdu 35.828 1 189,28 however, this may be distorted by including Power failure damage caused by SPAM, totalling Zlyhanie LAN 29.450 977,56 LAN failure SKK 5 million (€ 165,969.59), to one of the Nepovolený prístup k údajom – zvnútra respondents. The third most serious cause was 16.667 553,23 Unauthorised data access – internal represented by hardware and software faults Zlyhanie WAN which averaged SKK 191,500 (€ 6,356.64). 13.333 442,59 WAN failure The most serious incident cost the companies Chyba používateľa 5.000 165,97 on average SKK 191,636 (€ 6,361.15). User's fault It is alarming that, in a period of intensified Počítačový vírus 1.667 55,32 competition and a daily contest to win clients Computer virus or customers, 90% of companies regard indirect costs, eg. loss of reputation or client loss as Tabuľka 1: Priemerné priame finančné dopady najzávažnejších incidentov negligible. 19 Table 1: Average direct financial impact caused by most serious incidents PSIB SR ´08
  • 21. Najzávažnejší incident bol odstránený do 4 hodín v 62 % spoločností, čo hodnotíme pozitívne. Avšak viac ako 17 % firiem malo výpadok pre najzávažnejší incident dlhší ako 12 hodín, čo už môže spôsobiť spoločnostiam s množstvom elektronických transakcií nemalé problémy. The most serious incident was rectified within four hours in 62% of companies, which we evaluate as positive. However, more than 17% of companies faced a system downtime of longer than 12 hours due to the most serious incident, which could cause considerable problems to companies with many electronic transactions. Viac ako 1 týždeň 2% More than 1 week Menej ako 1 týždeň 4% Less than 1 week Menej ako 24 hodín 11 % Less than 24 hours Menej ako 12 hodiny 21 % Less than 12 hours Menej ako 4 hodiny 40 % Less than 4 hours Žiadny 22 % None Graf 24: Časové výpadky spôsobené najzávažnejšími bezpečnostnými incidentami Chart 24: System downtime caused by the most serious security incidents Pre slovenský trh je v roku 2008 jasnou jednotkou prechod na Euro a činnosti s tým spojené. Spoločnosti chcú byť pripravené a pre 64 % z nich je to výzvou číslo jedna. Mnohé zvažujú alternatívne operačné systémy ako Linux, alebo prechod na Windows Vista. Rovnomerne je rozdelený záujem firiem o oblasti ako virtualizácia serverov, prenosné médiá, prelínanie logickej a fyzickej bezpečnosti, Wi-Fi a webové aplikácie. Tieto priority sú určené hlavne praxou v tom ktorom podniku a sférou jeho pôsobnosti na slovenskom trhu. In 2008, the major Slovak challenge is definitely represented by Euro-conversion and its related activities. Companies want to be prepared and this is challenge number one for 64% for them. Many companies are considering alternative operating systems, e.g. Linux, or migrating to Windows Vista. There is an equal distribution with regard to the interest shown by companies in areas such as server virtualization, portable media, overlapping logical and physical security, Wi-Fi and web applications. These priorities are mainly determined through the expertise latent in specific companies and their scope of activities within the Slovak market. Prechod na Euro 64 % Euro-conversion Nové operačné systémy (napr. Vista, Linux) 20 % New operating systems (eg. Vista, Linux) Virtualizácia serverov 18 % Server virtualization Prenosné média (napr. USB flash disky) 17 % Portable media (USB flash disks) Prelínanie logickej a fyzickej bezpečnosti 15 % Overlapping of logical and physical security Elektronická komunikácia (instant messaging, email) 15 % Electronic communication (IM, email) Bezdrôtové služby (wi-fi) 14 % Wireless services Webové aplikácie 14 % Web applications Šifrovanie elektronickej pošty 11 % E-mail encryption Voice-over-IP (VoIP) 10 % Voice-over-IP (VoIP) Šifrovanie na úrovni diskov 9% Harddrive encryption Mobilná komunikácia (PDA, smart phones) 9% Mobile communication (PDA, smart phones) Správa digitálnych práv (Digital Rights Management) 5% Digital Rights Management RFID (Radio Frequency Identifiers) 3% RFID (Radio Frequency Identifiers) Graf 25: Najväčšie výzvy z hľadiska informačnej bezpečnosti 20 Chart 25: Major challenges in terms of information security PSIB SR ´08
  • 22. „Asi sa nič nedeje a nič nám nehrozí.“ Vzhľadom na citlivosť údajov na firemnej sieti a ich potenciálne zneužitie, známe požiadavky zákona na ochranu osobných údajov, či prípadné neautorizované zmeny finančných dát v informačných systémoch, je veľmi prekvapivý prístup až jednej tretiny spoločností, ktoré vôbec nemonitorujú bezpečnostné incidenty. Polovica spoločností sa zameriava iba na niekoľko vybraných a iba 15 % organizácií monitoruje všetky významné bezpečnostné hrozby. V situácii, keď podľa prieskumu u polovice spoločností nefunguje integrácia medzi manažmentom rizík a informačnou bezpečnosťou, vyvstáva otázka, ako boli tieto bezpečnostné hrozby identifikované a definované. Na druhú stranu, incidenty nie sú tak časté a tento stav môže byť výsledkom analýzy nákladov a prínosov na monitoring bezpečnostných incidentov. “Nothing seems to be happening, so we are not threatened.” With reference to the sensitivity of data on corporate networks and their potential abuse, the known legal requirements of the Act on Personal Data Protection or potential non-authorised changes to financial data in information systems, the approach of a third of companies which do not monitor security incidents at all is very surprising. Half of the companies only focus on a few selected incidents and only 15% of the organisations monitor all the significant security threats. The situation where, according to the survey, integration between risk management and information security is not functioning in half of the companies prompts the question of how these security threats were identified and defined. On the other hand, incidents are not so frequent and this state may result from the Costs and Benefit Analysis in respect of security incidents monitoring. 15 % 34 % Áno, monitorovanie pokrýva všetky významné bezpečnostné hrozby Nie Yes, monitoring covers all significant security threats No 51 % Áno, monitorovanie pokrýva niektoré bezpečnostné hrozby Yes, monitoring covers some security threats Graf 26: Majú organizácie zavedený systém monitorovania bezpečnostných incidentov? Chart 26: Do organisations have in place a system for monitoring security incidents? Ak spoločnosti bezpečnostné incidenty vôbec nemonitorujú, nie je prekvapivé že, až 28 % z nich priznalo neexistujúce reakčné postupy. 34 % spoločností uvádza použitie neformálnych postupov, pričom čiastočne zdokumentované ich majú iba pre vybrané oblasti. Formálne postupy riadne zdokumentované má 38 % spoločností podieľajúcich sa na prieskume. If the companies do not monitor security incidents at all, it is not surprising that as many as 28% admitted to not having any response procedures in place. 34% of companies stated that they used informal procedures, whilst some are partially documented, but only for selected areas. Properly documented formal procedures exist in 38% of the respondent companies. 9% Áno, postupy sú formalizované a zdokumentované pre všetky činnosti a systémy Yes, procedures are formalised and documented for all processes and systems 28 % 29 % Nie Áno, postupy sú formalizované a zdokumentované pre vybrané oblasti No Yes, procedures are formalised and documented for selected areas 34 % Áno, postupy sú neformálne a čiastočne zdokumentované pre vybrané oblasti Yes, procedures are informal and partially documented for selected areas Graf 27: Majú organizácie definované postupy reakcie na bezpečnostné incidenty? Chart 27: Do organisations have defined security incidence response procedures? 21 PSIB SR ´08
  • 23. INTERNET INTERNET V súčasnosti má priemerne 45 % všetkých pracovníkov prístup do internetu na pracovisku, čo je o 8 % viac ako v roku 2006. S týmto nárastom sa spájajú aj zvýšené náklady na bezpečnostné technológie, prevádzku firewallu a aktívnych sieťových prvkov. Filtrovanie SPAMu sa stalo najčastejšou aktivitou. Podľa respondentov sa znížilo riziko počítačových vírusov prenesených z internetu, infiltrácie zvonku alebo úniku informácií do externej siete, no podľa ostatných častí prieskumu táto skutočnosť nebude až tak ružová, ako môžeme vidieť napríklad z neexistujúceho monitoringu bezpečnostných incidentov (viď. Graf 26). On average, 45% of all employees currently have Internet access in their workplaces, which is 8% more than in 2006. This increase also reflects the increased costs of security technologies, firewall operations and active network elements. Filtering of SPAM has become the most frequent activity. According to respondents, the numbers of computer viruses transferred via Internet, external infiltrations or information leaks from external networks have decreased. However, according to other parts of the survey, this reality does not appear so bright as we may see, for example, from the non-existing monitoring of security incidents (refer to Chart 26). Za cieľom zefektívnenia prístupu externých subjektov k určitým dátam spoločnosti čoraz viac otvárajú svoje interné siete. Dodávatelia, podporné organizácie, dcérske spoločnosti mali prístup do 41 % organizácií, čo je 6 % nárast oproti roku 2006. Výrazný nárast na 13 % sme zaznamenali u poskytovania prístupu pre klientov, ktorí tým získavajú zvýšenú dôveru v spoločnosť a tá na oplátku konkurenčnú výhodu a možnosť pružnejšie reagovať na potreby klientov. Tento trend bude zrejme ďalej pokračovať, a preto je dôležité, aby spoločnosti prispôsobili aj svoje bezpečnostné technológie a sieťové prostredie zvýšeným nárokom na interaktivitu a dostupnosť služieb. In order to streamline the access of external entities to certain corporate data, companies are opening their internal networks more and more. Suppliers, support organisations and subsidiaries had access to 41% of organisations, which is a 6% increase on 2006. A substantial increase to 13% was experienced in respect of the provision of access to clients, who thereby repose greater confidence in the company, which in turn gains a competitive advantage and the opportunity to respond to clients’ needs more flexibly. This trend will, of course, continue and so it is important that companies adjust their security technologies and network environment to meet the increased demands for service interactivity and availability. 41 % Dodávatelia, subjekty poskytujúce podporu a údržbu Vašej organizácii 35 % Suppliers, entities providing support and maintenance to your organisation 33 % Dcérske a iné prepojené organizácie 27 % Subsidiaries and other related organisations 24 % Dodávatelia vykonávajúci outsourcing jedného alebo viacerých procesov vo Vašej organizácii Suppliers performing outsourcing of one or more processes in your organisation 22 % 13 % Klienti Clients 6% 6% Iné externé subjekty Other external entities 6% 2008 6% Obchodní partneri spolupracujúci na podpore a predaji produktov a služieb Business partners cooperating on support and sales of products and services 7% 2006 Graf 28: Majú externé subjekty prístup do Vašich interných počítačových sietí? Chart 28: Do external entities have access to your internal computer networks? Prieskum v oblasti mimopracovného využívania internetu poskytol zaujímavé výsledky. Podľa zástupcov spoločností až jedna štvrtina pracovníkov trávi viac ako 30 minút denne mimopracovnými činnosťami na internete. 22 % spoločností má disciplinovaný personál, ktorý netrávi žiadny čas mimo pracovných aktivít na internete alebo majú priamo definované povolené prístupy na web. Z rovnomerného rozdelenia výsledkov je vidieť, ako niektoré spoločnosti pristupujú ku kontrole a monitoringu svojich zamestnancov ako ku pomerne citlivej oblasti a skoro štvrtina spoločností toleruje u svojich zamestnancov viac ako 30 minút strávených na internete za účelom riešenia súkromných záležitostí. 22 PSIB SR ´08
  • 24. The survey in the area of work-non-related use of the Internet showed interesting results. According to the representatives of the companies, as much as a quarter of employees spend more than 30 minutes daily on work-unrelated activities on the Internet. 22% of companies have disciplined employees who do not spend any time on work-non-related activities on the Internet or they have specifically defined and authorised web access. The even distribution of results shows that some companies deal with checks and monitoring of their staff sensitively and almost a quarter of companies accept that they spend more than 30 minutes on the Internet dealing with private matters. 22 % 24 % Pracovníci využívajú internet výlučne na pracovné účely Viac ako 30 minút denne Employees use Internet only for work purposes More than 30 minutes a day 32 % 22 % 15 – 30 minút denne Menej ako 15 minút denne 15 – 30 minutes a day Less than 15 minutes a day Graf 29: Koľko pracovného času priemerne trávia pracovníci na internete mimopracovnými aktivitami? Chart 29: How much working time do employees spend, on average, on the Internet on work-non-related activities? Monitorovaní sú pracovníci v 63 % spoločností v prieskume, a obmedzovaní v 55 % firiem. Oba typy opatrení na internete využívalo spolu 37 % spoločností. 19 % spoločností sa rozhodlo pre nulové reštrikcie pre svojich zamestnancov. Môžeme sa iba dohadovať, čo bolo rozhodujúcim faktorom pre toto rozhodnutie, či analýza nákladov a prínosov alebo spríjemnenie pracovného prostredia a dôvera vo svojich zamestnancov. 63% of companies participating in the survey monitor their employees, whilst 55% are limited in their use. 37% of companies use both types of measures on the Internet. 19% of companies have decided on zero restrictions for their employees. We can only guess the determining factor for this decision – Cost/Benefit Analysis or rendering the work environment more attractive, as well as reposing confidence in their staff. Nemonitoruje ani neobmedzuje sa 19 % Neither monitored nor limited Nemonitoruje ale obmedzuje sa 18 % Limited, but not monitored Monitoruje ale neobmedzuje sa 26 % Monitored, but not limited Monitoruje a obmedzuje sa 37 % Monitored and limited Graf 30: Monitoruje alebo obmedzuje sa používanie internetu pracovníkmi? Chart 30: Is the use of the Internet by employees monitored or limited? PLÁNY OBNOVY FUNKČNOSTI DISASTER RECOVERY PLANS Až jedna štvrtina spoločností použila za posledné dva roky svoje plány na riešenie havarijnej situácie a 85 % respondentov uviedlo, že boli účinné. Pri tvorbe a aktualizácii plánov ich 83 % spoločností vykonáva manuálne, bez použitia špeciálneho softvéru. Pri manuálnom riešení sa však môže vytratiť úplnosť a správna náväznosť jednotlivých krokov obnovy. Over the last two years, up to a quarter of companies have used their plans to resolve emergency situations and 85% of respondents stated that they were effective. In preparing and updating plans, 83% of companies do this manually without making use of any special software. However, the manual solution may result in a lack of completeness and a proper succession of individual recovery stages. 23 PSIB SR ´08
  • 25. Zastúpenie spoločností s vypracovanými a pripravenými plánmi obnovy kolíše okolo 40 % vo všetkých prieskumoch vykonaných v rokov 2004, 2006 aj 2008. Pozitívny je však nárast za ostatné dva roky o 7 %. Ostáva dúfať, že do budúcna spoločnosti túto štatistiku ešte vylepšia. The proportion of companies with recovery plans prepared and ready is subject to change and varies around 40% in all the surveys performed in 2004, 2006 and 2008. However, an increase of 7% over the last two years is a positive phenomenon. One may only hope that companies will continue to strengthen this figure in the future. 45 % Áno 38 % Yes 46 % 2008 55 % 2006 Nie 62 % No 2004 54 % Graf 31: Majú organizácie vypracované a pripravené plány obnovy funkčnosti? Chart 31: Do organisations have disaster recovery plans developed and ready? Za posledné obdobie nastali v oblasti testovania plánov funkčnosti iba dve zmeny: ubúda spoločností, ktoré plány testujú menej často než dva roky a pribúda tých, ktoré testujú častejšie než dva roky. 16 % respondentov uviedlo, že netestuje vôbec, čo je napríklad oproti Českej republike o 8 % viac. Over the last period, only two changes occurred in respect of recovery plans testing: the number of companies that test plans less than once every two years has diminished and there are more companies that test more frequently than every two years. 16% of respondents state that they do not test at all, which is 8% more than the comparative figure for the Czech Republic. 37 % Aspoň raz za rok 38% At least once a year 50 % 28 % Aspoň raz za dva roky 25 % At least once every two years 19 % 19 % Menej často než raz za dva roky 20 % Less than once every two years 22 % 2008 16 % Nikdy 17 % 2006 Never 9% 2004 Graf 32: Testovanie plánov obnovy funkčnosti Chart 32: Disaster recovery plans testing Menej ako dve tretiny spoločností aktualizujú plány častejšie ako raz za dva roky, viac ako jedna pätina aktualizuje ad-hoc. Oproti minulému prieskumu z roku 2006 sú zmeny minimálne. Pozitívnym javom je, že ubudlo spoločností, ktoré neaktualizujú vôbec. Fewer than two thirds of companies update their plans more frequently than on a biennial basis; more than a fifth update them ad-hoc. Compared to the 2006 survey, changes are minimal. 24 A positive phenomenon is that there are fewer companies that do not update at all. PSIB SR ´08
  • 26. 35 % Aspoň raz za rok 31% At least once a year 42 % 27 % Aspoň raz za dva roky 30 % At least once every two years 14 % 14 % Menej často než raz za dva roky 14 % Less than once every two years 5% 22 % V prípade zmeny informačného systému 22 % In the event of information system changes 39 % 2008 2% 2006 Nikdy 3% Never 2004 0% Graf 33: Aktualizácia plánov obnovy funkčnosti Chart 33: Disaster recovery plans updating RIEŠENIE BEZPEČNOSTI SECURITY SOLUTION Základným štartovacím mostíkom pre určenie priority v rámci informačnej bezpečnosti sú už známe problémy, ktoré vyžadujú riešenie. Nasledujú novinky v oblasti IT a informačnej bezpečnosti a strategické ciele. Dôležitosť analýzy rizík poklesla o 9 %, no interný a externý audit zostávajú ďalší v poradí. Prístup „hasíme až keď horí“ aj keď je v súčasnosti najpoužívanejší, má svoje limity aj riziká. Nebolo by efektívnejšie problémy identifikovať a predchádzať im, ako riešiť aplikácie záplat a známych problémov? The starting point in determining priorities in the information security area is problems already identified which require a solution. These are followed by new issues in IT & information security and strategic objectives. The importance of the risk analysis diminished by 9%, followed by internal and external audit. The most common approach of only responding to situations as they occur has its limitations as well as risks. Would it not be more effective to identify and resolve problems rather than to apply patches to problems once they occur? 54 % Podľa známych problémov 38 % According to known problems 37 % Podľa trendov v oblasti IT a informačnej bezpečnosti 44 % According to trends in IT and information security 32 % Na základe strategických cieľov organizácie 30 % According to organisation's strategic goals 26 % Podľa výsledkov analýz rizík 35 % According to results of risk analyses 24 % Podľa zistení interných a/alebo externých auditov 25 % According to findings of internal and/or external audits 20 % Podľa odporúčaní dodávateľov 22 % According to suppliers' recommendations 2008 9% Iným spôsobom 6% Other 2006 Graf 34: Akým spôsobom sú definované priority pre oblasť informačnej bezpečnosti? Chart 34: How are the needs of the information security area defined? 25 PSIB SR ´08
  • 27. Sú analýzy iba neoceňovaným cvičením bez praktického dopadu? Spoločností s aktuálnou analýzou rizík informačného systému mladšou ako 12 mesiacov pravidelne s každým prieskumom ubúda. V roku 2008 iba 29 % spoločností vykonalo analýzu rizík za posledných 12 mesiacov. Firmy si nechávajú na analýzy dobu okolo 24 mesiacov. Nikdy nevykonali analýzu rizík v približne jednej pätine spoločností. V tejto oblasti dlhodobo nebadať žiadny výrazný progres. Are analyses solely a low-valued exercise without any practical impact? The number of companies which have an IS risk analysis not older than 12 months grows smaller with each new survey. In 2008, only 29% of companies had conducted a risk analysis over the previous 12 months. Firms allow 24 months for such an analysis. Approximately a fifth of companies have never performed a risk analysis. This area has not shown any considerable progress over a long-term basis. 29 % V posledných 12 mesiacoch 37 % In the past 12 months 53 % 29 % V posledných 24 mesiacoch 25 % In the past 24 months 20 % 24 % V dobe dlhšej než 24 mesiacov 17 % Over 24 months ago 7% 2008 18 % Nikdy 2006 21 % Never 20 % 2004 Graf 35: Kedy organizácie naposledy vykonali analýzu rizík informačného systému? Chart 35: When did organisations conduct their last IS risk analysis? Je to až s podivom, že spoločnosti sú schopné riadiť informačnú bezpečnosť, keď v takmer 77 % nemajú stanovené, podľa čoho sa pri riadení držať a ako vyhodnotiť efektivitu nasadených bezpečnostných postupov. Výsledok tejto otázky je do určitej miery v rozpore s monitoringom bezpečnostných incidentov, pretože aj v rámci tohto procesu je existencia istej metriky nevyhnutná. Zrejme sa v tejto oblasti prihliada viac na osobné skúsenosti a profesionálny úsudok ako na kvantitatívne parametre, ktoré je v praxi často ťažko vytvoriť a obhájiť. It is remarkable that companies are able to manage information security when almost 77% of companies have no policy in place for managing and evaluating the effectiveness of the security procedures implemented. The response to this question slightly contradicts that to security incidents monitoring, because within this process the existence of the same criteria is an essential. What appear to be more relevant are experience and professional judgment rather than quantitative parameters, which cannot be so readily created and defended in practice. 10 % Metriky sú definované pre všetky hlavné procesy a pravidelne sú vyhodnocované Criteria are defined for all main processes and evaluated on a regular basis 13 % 48 % Metriky sú neformálne definované pre vybrané procesy a sú vyhodnocované ad-hoc Nie Criteria are informally defined for selected processes and evaluated ad-hoc No 29 % Metriky nie sú definované, ad-hoc vyhodnocovanie vybraných parametrov Criteria are not defined; selected parameters are evaluated ad-hoc Graf 36: Majú organizácie definované a sledované metriky pre jednotlivé procesy riadenia informačnej bezpečnosti? Chart 36: Do organisations have criteria for individual information security management processes defined and monitored? V tejto oblasti sú dlhodobo konzistentné výsledky prieskumu, mierne ubúda zainteresovanie externých firiem a pribúda kompletne dodávaných (outsourcovaných) riešení. Jedna tretina spoločností rieši informačnú bezpečnosť vo vlastnej réžii, dve tretiny pomocou externých dodávateľov. This area shows long-term consistent survey results; smaller interest is visible from external companies and there are more outsourced solutions. A third of companies solve their information 26 security at their own expense; two thirds through external suppliers. PSIB SR ´08
  • 28. 37 % Riešime výhradne vlastnými silami 37 % Through their in-house resources only 36 % 50 % Riešime v spolupráci s externými firmami 52 % Through cooperation with external companies 55 % 11 % Riešime výhradne dodávateľskou externou firmou 10 % Outsourcing only 6% 2008 2% 2006 Neriešime vôbec 1% Not tackling the issue at all 2004 3% Graf 37: Ako pristupujú organizácie k riešeniu informačnej bezpečnosti? Chart 37: What is the organizations' approach to the information security solution? V 18 % spoločností existuje vyhradený rozpočet na informačnú bezpečnosť, tento údaj sa v porovnaní s minulými prieskumami nemenil, určujúca bude skôr veľkosť firmy ako vývoj v oblasti IT. Priemerná veľkosť rozpočtu je približne 15 % z celkového rozpočtu na IS/IT. Dve tretiny spoločností vôbec nekalkulujú návratnosť investícií do informačnej bezpečnosti. In 18% of companies there is a security-dedicated budget (this figure has not changed from the previous surveys; the determining factor will depend on the size of the company rather than on the IT development stage). The average budget size for IS/IT is approximately 15% of the total budget. Two thirds of companies do not calculate a return on investments in information security at all. 18 % Áno 19 % Yes 16 % 2008 82 % Nie 81 % 2006 No 84 % 2004 Graf 38: Existuje v organizáciach vyhradený finančný rozpočet na informačnú bezpečnosť? Chart 38: Is there a security-dedicated budget within an organization? ELEKTRONICKÝ PODPIS ELECTRONIC SIGNATURE Trend masívneho nasadzovania elektronického podpisu vo svete sa u slovenských spoločností premieta veľmi pozvoľna a optimizmu ubúda. Elektronický podpis používa alebo plánuje zaviesť do jedného roka viac ako tretina spoločností. Jedna štvrtina opýtaných vôbec nezvažuje takúto alternatívu. Na základe našich skúseností je možno kľúčovým problémom neúplné prispôsobenie slovenskej legislatívy a detailných vykonávajúcich predpisov vrátane príslušných aplikácií v štátnej správe procesom elektronického spracovania dát. Chýbajú procedúry, potrebné pre styk so štátnou správou, ekvivalentné „papierovému“ svetu. The trend towards world-wide mass implementation of electronic signatures is only very gradually being reflected among Slovak companies and confidence in this is waning. Use of electronic signatures is implemented or planned within a year by more than a third of the companies. A quarter of the respondents give no consideration to this alternative. They may also be expecting a development from within the state administration. Based on our experience, the key problem might be the lack of detailed implementing regulations including specialised applications in state administration and the the lack of Slovak legislation conformity to processes of electronic data processing.Procedures equivalent to those used in the quot;paperquot; world and necessary for interaction with state administration are missing. 25 % Áno 32 % Yes 18 % 12 % Nie, ale predpokladáme jeho využitie v horizonte jedného roka 8% No, but we anticipate its use within one year 14 % 38 % Nie, ale predpokladáme využitie niekedy v budúcnosti 40 % No, but we anticipate its use sometime in the future 2008 47 % 2006 25 % Nie a zatiaľ nepredpokladáme jeho využitie 20 % 2004 No, and we do not expect to use it for the time being 21 % 27 Graf 39: Využívajú organizácie v rámci činností zaručený elektronický podpis? Chart 39: Do organisations use electronic signatures within their activities? PSIB SR ´08
  • 29. Ako hlavné dôvody zavádzania elektronického podpisu spoločnosti uvádzajú zvýšenie bezpečnosti a zníženie nákladov. Iba 10 % v elektronickom podpise vidí konkurenčnú výhodu. Pätina spoločností nedokáže nájsť v použití elektronického podpisu nijakú výhodu. Among the main reasons why companies implement electronic signatures are strengthening of security and reduction of costs. Only 10% see a competitive advantage in the use of electronic signatures. A fifth of companies can find no competitive advantage in using electronic signatures. 18 % 38 % Nevieme/nedokážeme určiť Zvýšenie bezpečnosti Do not know/cannot determine Increased security 6% Žiadne None 10 % Konkurečná výhoda Graf 40: Aké výhody prináša použitie zaručeného Competitive advantage elektronického podpisu? 28 % Chart 40: What advantages does the use of electronic Zníženie nákladov signatures entail? Cost reduction Nedostatočná podpora aplikácií, akceptovateľnosť zo strany štátnych inštitúcií a neinformovanosť, prípadne nemožnosť konzultácie nezrovnalostí so špecializovaným pracoviskom sú podľa respondentov prieskumu prekážky v používaní a zavádzaní zaručeného elektronického podpisu. V porovnaní s rokom 2006 sa situácia v tejto oblasti bohužiaľ nezlepšila. The respondents point to insufficient support for applications or acceptance by state institutions and lack of awareness, or inability to consult irregularities with a specialized workplace as the main obstacles to using and implementing QES. There has been no change in this situation from 2006. 39 % Dostupnosť väčšieho množstva použiteľných aplikácií Availability of a greater number of suitable applications 36 % 37 % Väčší tlak na informatizáciu zo strany štátu Greater informatisation pressure on the part of the state 44 % Možnosť konzultácie špecializovaného pracoviska ku konkrétnym problémom 17 % a lepšia dostupnosť informácií a výkladov zákona 17 % Possibility to consult a specific problem with a specialised entity and better availability of information and interpretation of relevant legislation 7% Väčšia osveta 2008 Greater public education 15 % 2006 Graf 41: Ktorý faktor by urýchlil implementáciu zaručeného elektronického podpisu? Chart 41: Which factor could speed the implementation of Qualified Electronic Signature (QES)? OCHRANA OSOBNÝCH ÚDAJOV A UTAJOVANÝCH SKUTOČNOSTÍ PERSONAL DATA AND CONFIDENTIAL MATERIAL SECURITY 89 % spoločností z prieskumu je dotknutých zákonom č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov, z nich má 86 % povinnosť vypracovať bezpečnostný projekt. Zákon č. 215/2004 Z. z. v poslednom platnom znení sa týka iba 24 % spoločností. To je však oproti minulému prieskumu z roku 2006 viac o 8 %. 89% of companies participating in the survey are affected by Act No. 428/2002 Coll. on Personal Data Protection as amended, whilst 86% of them are obliged to prepare a security project. Act No. 215/2004 Coll. in its most recent wording 28 only related to 24% of companies. However, compared to the 2006 survey, this represents an increase of more than 8%. PSIB SR ´08
  • 30. Oproti minulému roku sa názor na vplyv zákona o ochrane osobných údajov na informačnú bezpečnosť príliš nezmenil, spoločnosti mu tak v dvoch tretinách prípadov prikladajú veľkú dôležitosť. Compared to the previous year, opinion on the influence of the Act on Personal Data Protection on information security has not greatly changed. Respondents claim that it is very important in two-thirds of cases. 65 % Veľký 64 % Substantial 52 % 34 % Malý 33 % Small 41 % 2008 1% 2006 Žiadny 3% None 2004 7% Graf 42: Vplyv zákona o ochrane osobných údajov na informačnú bezpečnosť Chart 42: Influence of the Personal Data Protection Act on information security Podiel spoločností, ktoré pokladajú vplyv zákona o utajovaných skutočnostiach za malý, rastie na úkor tých, ktorí mu neprikladali žiadny význam. Oproti tomu spoločnosti, ktoré už dávnejšie tento vplyv identifikovali jasne, si stále jeho dôležitosť uvedomujú takmer v 55 %. The proportion of companies which regard the influence of the Act on Classified Information as small is increasing at the expense of those which did not assign it any importance. Conversely, those companies which clearly identified this influence some time ago now recognize its importance as almost 55%. 55 % Veľký 48 % Substantial 50 % 43 % Malý 36 % Small 27 % 2008 2% 2006 Žiadny 16 % None 2004 23 % Graf 43: Vplyv zákona o utajovaných skutočnostiach na informačnú bezpečnosť Chart 43: Influence of the Act on Classified Information on information security Skoro polovica podnikov, na ktoré sa povinnosť bezpečnostnej previerky vzťahuje, ju už má ukončenú a 21 % z nich o ňu bude žiadať v budúcnosti alebo už u nich bezpečnostná previerka prebieha. More than half those companies which are obliged to perform a security review have already completed it. 21% of them will require it in the future, or else a security review is under way. 36 % 43 % Nebudeme žiadať o bezpečnostnú previerku Máme už ukončenú bezpečnostnú previerku We will not apply for a security review We have a security review completed 16 % V blízkej budúcnosti budeme žiadať o bezpečnostnú previerku We will apply for a security review in the near future 5% Práve prebieha bezpečnostná previerka Security review is under way Graf 44: V akom stave sú organizácie v súvislosti s bezpečnostnou previerkou? Chart 44: What is the state of security reviews in organisations? 29 PSIB SR ´08
  • 31. Až 59 % podnikov v súčasnosti má certifikáciu informačného systému na nakladanie s utajovanými skutočnosťami, alebo o ňu bude v blízkej budúcnosti žiadať. Pre 41 % podnikov nie je takáto certifikácia potrebná. Up to 59% of companies have IS certification for using confidential material or they intend to apply for it. This certification is not a requirement for 41% of companies. 23 % Už máme ukončenú certifikáciu We are already certified 10 % Práve prebieha certifikácia Certification is in progress 41 % Nebudeme žiadať o certifikáciu 26 % We will not apply for certification V blízkej budúcnosti budeme žiadať o certifikáciu We will apply for certification in the near future Graf 45: V akom stave sú organizácie v súvislosti s certifikáciou informačného systému pre nakladanie s utajovanými skutočnosťami? Chart 45: What is the state of organisations in respect of IS certification in order to make use of confidential material? SITUÁCIA V SR SITUATION IN SLOVAK REPUBLIC Situácia informačného zabezpečenia sa na Slovensku pomaly zlepšuje a skoro polovica respondentov považuje domácu situáciu za rovnakú v porovnaní so západoeurópskymi štátmi. Iba 6 % respondentov pokladá slovenskú bezpečnostnú realitu za lepšiu alebo výrazne lepšiu ako v západnej Európe. Hodnotenie bezpečnostnej situácie má podľa respondentov pozitívnu tendenciu. The situation relating to IS support in Slovak Republic is improving slowly. More than half the respondents consider the situation in their home country to be the same as in Western European states. Only 6% of respondents regard Slovak security as better or significantly better than in Western Europe. From the responses, the Slovak security situation is evaluated as having a positive trend. 1% Výrazne lepšia 0% Significantly better 1% 5% Lepšia 4% Better 2% 48 % Rovnaká 36 % Same 31 % 41 % Horšia 52 % Worse 54 % 2008 5% Výrazne horšia 2006 8% Significantly worse 12 % 2004 Graf 46: Hodnotenie situácie v oblasti informačnej bezpečnosti v SR vo vzťahu k západoeurópskym štátom 30 Chart 46: Evaluation of the level of information security compared to Western European states PSIB SR ´08
  • 32. Z prieskumu vyplýva, že podniky v 31 % pokladajú za najväčšiu prekážku v rozvoji informačnej bezpečnosti celkovo nízke všeobecné povedomie o informačnej bezpečnosti. Tento faktor trápi spoločnosti dlhodobo, i keď má klesajúcu tendenciu. Rovnako spoločnosti v 19 % veľmi zvažujú finančné investície do bezpečnostných riešení, ktoré tiež nie sú zanedbateľné. Spolu 25 % respondentov trápi nedostatočná legislatívna podpora (11 %) a nezáujem štátnych orgánov (14 %). The survey shows that in 31% of cases companies believe that the biggest obstacle to information security development is represented by an overall low general awareness of information security. This factor has long been a concern for companies although it is tending to decline. Similarly, in 19% of cases, companies pay a lot of attention to financial investments into security solutions which are also considerable. In sum, 25% of respondents are worried about insufficient legislative support (11%) and lack of interest on the part of the state (14%). 31 % Všeobecne nízke bezpečnostné povedomie 39 % Generally low security awareness 39 % 19 % Finančná náročnosť 13 % Financial intensity 18 % 14% Nezáujem a nekompetentnosť štátnych orgánov 8% Lack of interest and incompetence on the part of state bodies 4% 11 % Nedostatočná a nevyvážená legislatíva SR 9% Inadequate and unbalanced legislation in the SR 8% 10 % Nedostatočná podpora zo strany vedenia organizácie 7% Inadequate management support 6% 6% Nedostatok informácií 8% Lack of information 9% 6% Neexistencia slovenského bezpečnostného štandardu 9% Non-existence of a Slovak security standard 8% 1% Iný dôvod 4% Other reason 2% 1% Technologická náročnosť 1% Technological intensity 4% 2008 1% 2006 Nedostatok domácich (slovenských) expertov 2% Lack of domestic (Slovak) experts 2004 2% Graf 47: Najväčšie prekážky rýchlejšieho presadzovania informačnej bezpečnosti v SR Chart 47: Main obstacles to faster introduction of information security in Slovakia Hodnotiaca tabuľka ďalšej strane zhŕňa parametre jednotlivých odvetví v oblasti informačnej bezpečnosti. Zeleným sú zvýraznené polia, kde dané odvetvie výrazne presahuje priemer celej kategórie. Modrým sú označené problémové oblasti pre dané odvetvia, kde je stále dostatočný priestor na zlepšenie. Zo skúseností z minulých prieskumov vidieť pretrvávajúcu dominanciu finančného a bankového sektora, ktorý vo všetkých kritériách významne presahuje priemer všetkých odvetví. V tabuľke nasledujú ďalšie odvetvia ako zdravotníctvo a farmaceutický priemysel spolu s plynárenstvom a ropným priemyslom, avšak tu treba byť opatrný kvôli nízkemu zastúpeniu spoločností z týchto odvetví v prieskume. Odvetvie informačných technológií a telekomunikácií sa udržuje na špičke, tak ako v roku 2006. The evaluation table on the following page includes a summary of the parameters of individual information security sectors. Green is used to highlight fields where the given industry significantly exceeds the average of the overall category. Blue is used to highlight problem areas for given areas where there is still room for improvement. The experience from the previous surveys shows that the finance and banking sectors still dominate and considerably exceed the average for all sectors in all criteria. The table also includes other industries, such as health care and the pharmaceuticals industry along with the oil and gas industries; however, caution is needed in this area due to the low level of response in the survey from companies in these sectors. The information technologies and telecommunications sectors are still high up, as in 2006. 31 PSIB SR ´08
  • 33. Tabuľka 2: Porovnanie podľa oboru Existencia vyhradeného pôsobnosti Existencia Existencia Vykonaná analýza rizík rozpočtu na informačnú Table 2: Comparison according bezpečnostnej politiky plánov obnovy v posledných 24 mesiacoch bezpečnosť Existence Existence Risk analysis performed Existence of a separate to sphere of action of a security policy of recovery plans in the past 24 months information security budget Financie/bankovníctvo 82 % 100 % 73 % 55 % Finance/Banking Plynárenstvo a ropný priemysel 100 % 50 % 100 % 0% Gas and Oil industry Informačné technológie/telekomunikácie 63 % 63 % 63 % 50 % IT/Telecommunications Vodovody a kanalizácie 100 % 33 % 100 % 0% Water distribution and Sewerage Elektrotechnický priemysel 70 % 50 % 90 % 20 % Electrical engineering Zdravotníctvo/farmaceutický priemysel 75 % 50 % 75 % 25 % Health care/Pharmaceutical industry Predaj/obchod a distribúcia 80 % 53 % 60 % 7% Sales/Trade/Distribution Chemický priemysel 83 % 33 % 67 % 17 % Chemical industry Doprava 60 % 40 % 80 % 20 % Transport Iná oblasť pôsobnosti 61 % 42 % 58 % 18 % Other areas Štátna správa 44 % 44 % 67 % 22 % State administration Stavebný priemysel 60 % 55 % 55 % 5% Building industry Energetika/elektroenergetika/distribučná spol. 67 % 33 % 33 % 33 % Energy industry/Electro-energy/Distribution Poradenstvo/služby 50 % 38 % 63 % 13 % Consultancy/Services Potravinársky priemysel 46 % 38 % 62 % 15 % Food & Drinks industry Strojárstvo 73 % 23 % 32 % 18 % Mechanical engeneering Textilný priemysel 55 % 27 % 45 % 9% Textile industry Drevospracujúci priemysel 50 % 25 % 25 % 0% Woodworking 65 % 45 % 58 % 18 % Priemer/Average Konverzný kurz 1 € = 30,1260 Sk Exchange rate 1 € = 30.1260 SKK O PRIESKUME ABOUT THE SURVEY Prieskum stavu informačnej bezpečnosti v SR 2008 prebiehal od marca po máj 2008. Bol zameraný na vybranú reprezentatívnu vzorku stredných a veľkých spoločností v Slovenskej republike pokrývajúcu všetky vertikálne segmenty. V anonymne vykonanom prieskume odpovedali organizácie na celkom 59 podrobných otázok z oblasti informačnej bezpečnosti rozdelených do 11 tematických skupín. The information security survey in Slovakia was conducted from March to May 2008. It was focused on a selected sample of medium- and large-sized companies in Slovak Republic covering all vertical segments. In an anonymously conducted survey, organisations were asked a total of 59 detailed questions divided into 11 areas of information security. Z celkom 826 oslovených spoločností sa vrátilo celkom 205 vyplnených dotazníkov a z nich bolo do spracovania zaradených 187. Vyradené dotazníky obsahovali závažné formálne chyby, alebo organizácie uviedli menší počet zamestnancov než 100. Out of 826 companies, 205 completed the questionnaire and 187 forms were submitted for processing. Questionnaires were rejected if they contained significant formal mistakes or where the companies indicated a number of employees lower than 100. Aj keď spoločnosti podieľajúce sa na príprave a realizácii tohto prieskumu vynaložili maximálne úsilie pri zaistení presnosti informácií v tomto prieskume, neprijímajú žiadnu zodpovednosť za prípadné chyby alebo nepresnosti vzniknuté ľubovoľným spôsobom. Whilst the companies contributing to the preparation and conduct of this survey have done their best 32 to ensure the accuracy of the information, no responsibility is accepted for any mistakes or inaccuracies arising. PSIB SR ´08
  • 34. PARTNERI PRIESKUMU SURVEY PARTNERS Ernst & Young Ernst & Young Ernst & Young patrí medzi najvýznamnejšie celosvetové Ernst & Young is a global leader in assurance, tax, transaction spoločnosti poskytujúce odborné poradenské služby v oblasti and advisory services. Worldwide, our 135,000 people are auditu, daňového, transakčného a podnikového poradenstva. united by our shared values and an unwavering commitment Našich 135 000 zamestnancov na celom svete spájajú to quality. We make a difference by helping our people, spoločne zdieľané hodnoty a pevný záväzok poskytovať our clients and our wider communities achieve potential. kvalitné služby. Pomáhame našim zamestnancom, klientom Ernst & Young in the Slovak Republic employs more than 200 a širšej komunite uplatňovať ich potenciál. people working in its Bratislava and Košice offices. We assist V Slovenskej republike pracuje pre spoločnosť Ernst & Young our clients from various economic industries to identify viac ako 200 zamestnancov, ktorí pôsobia v kanceláriách and use business opportunities offered to them in today’s v Bratislave a Košiciach. Pomáhame klientom dynamically changing world. z najrozličnejších odvetví ekonomiky nachádzať a využívať podnikateľské príležitosti, ktoré sa im v dnešnom dynamicky sa rozvíjajúcom svete ponúkajú. Kontaktná osoba vo veci prieskumu/Survey contact person: Ing. Lukáš Neduchal, FCCA, CISA Ernst & Young, k.s., Hodžovo nám. 1A, 811 06 Bratislava, Slovenská republika Tel.: +421 233 339 678; www.ey.com/sk; lukas.neduchal@sk.ey.com Národný bezpečnostný úrad SR National Security Authority SR Národný bezpečnostný úrad patrí medzi ústredné orgány The National Security Authority is one of the central bodies štátnej správy. Vznikol v roku 2001 ako reakcia na akútne of the state administration. It was established in 2001 in response potreby spoločnosti najmä v súvislosti so vstupom Slovenskej to growing needs on the part of the population mainly related republiky do NATO a Európskej únie. Jeho kompetencie sú to the Slovak admission to NATO and the European Union. určené dvomi zákonmi – zákonom č. 215/2004 Z. z. z 11. marca Its competencies are determined by two acts – Act No. 215/2004 2004 o ochrane utajovaných skutočností a o zmene a doplnení Coll. of 11 March 2004 on Protection of Classified Information niektorých zákonov a zákonom č. 214/2008 Z. z. o elektronickom and on Amendment and Supplement of Certain Laws and podpise a o zmene a doplnení niektorých zákonov. Problematiku Act No. 214/2008 Coll. on Electronic Signature and on Amendment informačnej bezpečnosti a elektronického podpisu zastrešuje and Supplement of Certain Laws. The information security sekcia informačnej bezpečnosti a elektronického podpisu. and electronic signature issues are covered by the Information Security and Electronic Signature Section. Kontaktná osoba vo veci prieskumu/Survey contact person: Ing. Peter Oravec riaditeľ sekcie informačnej bezpečnosti a elektronického podpisu/Information Security and Digital Signature Department director Národný bezpečnostný úrad, Budatínska 30, 850 07 Bratislava 57, Slovenská republika Tel.: +421 6869 2114; www.nbusr.sk; peter.oravec@nbusr.sk DSM – data security management DSM – data security management Časopis DSM (www.dsm.tate.sk), vydávaný spoločnosťou DSM magazine (www.dsm.tate.sk) published TATE International, s.r.o., je odborné periodikum, ktoré sa venuje by TATE International, s.r.o. is a professional periodical devoted problematike informačnej bezpečnosti v najširšom kontexte. to information security issues across a broad context. Najväčšie čitateľské zastúpenie má časopis medzi vyšším The largest target group is middle and higher management a stredným manažmentom organizácií, ako z oblasti štátnej of commercial as well as public organisations. DSM magazine správy, tak z oblasti komerčnej. Časopis DSM spolupracuje collaborates with professionals from the Slovak Republic, Czech s odborníkmi zo Slovenskej i Českej republiky i zo zahraničia a ako Republic and foreign countries and participates as an organising organizátor alebo mediálny partner sa podieľa na významných party or media partner in many prominent conferences and konferenciách a seminároch s bezpečnostnou tématikou. seminars related to security. Kontaktná osoba vo veci prieskumu/Survey contact person: doc. RNDr. Martin Stanek, PhD., CISM DSM–TATE International Slovakia, s.r.o., Kolárska 12, 811 06 Bratislava, Slovenská republika Tel.: +421 252 630 084-5 ; www.dsm.tate.sk; stanek@dcs.fmph.uniba.sk; dsm@dsm.tate.sk V prípade citácie ľubovoľnej časti, grafu alebo tabuľky z tohto prieskumu musí byť pri citácii uvedený názov prieskumu a názvy všetkých spoločností, ktoré sa na realizácii prieskumu podielali, t.j. „Zdroj PSIB SR ´08, Ernst & Young, NBÚ SR, DSM – data security management, TATE International Slovakia“. In case of quotation of any part, chart or table of this survey must contain names of all companies contributing to the conduct of this survey, i.e. - quot;Source PSIB SR ´08, Ernst & Young, NBÚ SR, DSM – data security management, TATE International Slovakia.quot; © 2008, Ernst & Young, NBÚ SR, DSM – data security management, TATE International Slovakia PSIB SR ´08 vydává/Published by: TATE International Slovakia, s.r.o.
  • 35. © 2008 Ernst & Young, NBÚ SR, DSM – data security management, TATE International Slovakia ISBN 978-80-969747-1-9