Information Security Survey in Slovak Republic 2008

1,543 views
1,478 views

Published on

We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare
and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able
to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least
a basic idea of preparedness and information security development across the whole territory of the EU, with all
the risks, threats and possibilities which this integration brings with it.

Published in: Technology
1 Comment
2 Likes
Statistics
Notes
  • how i can download it ?
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
1,543
On SlideShare
0
From Embeds
0
Number of Embeds
145
Actions
Shares
0
Downloads
0
Comments
1
Likes
2
Embeds 0
No embeds

No notes for slide

Information Security Survey in Slovak Republic 2008

  1. 1. PSIB SR ´08 ® Prieskum stavu informaènej bezpeènosti v SR 2008 Information Security Survey in Slovak Republic 2008
  2. 2. PRIESKUM STAVU INFORMAČNEJ BEZPEČNOSTI V SR 2008 INFORMATION SECURITY SURVEY IN SLOVAK REPUBLIC 2008 Tretíročník Prieskumu stavu informačnej bezpečnosti v Slovenskej republike je tu a môžeme opäť porovnávať a hodnotiť, po akých cestách sa vydala informačná bezpečnosť od posledného prieskumu z roku 2006. Vďaka tomu, že máme navyše i možnosť porovnať naše výsledky s výsledkami PSIB ČR ´07, môžeme si urobiť aspoň rámcovú predstavu o pripravenosti a vývoji informačnej bezpečnosti, na v súčasnosti už naozaj európsky previazanom teritóriu so všetkými rizikami, hrozbami i možnosťami, ktoré táto integrácia prináša. We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least a basic idea of preparedness and information security development across the whole territory of the EU, with all the risks, threats and possibilities which this integration brings with it. Po preštudovaní výsledkov prieskumu a komentárov autorov k jednotlivým bodom môže čitateľ získať dojem, že počas obrovského technologického boomu a vývoja celej spoločnosti sa základné hrozby, a z nich plynúce riziká v našom priestore a čase, významne nemenia. To by mohlo naznačovať i možné dôvody, prečo pätina spoločností z prieskumu doposiaľ neuskutočnila analýzu rizík a väčšina respondentov nemá zriadenú ani pracovnú funkciu, ktorá by sa zaoberala prioritne informačnou bezpečnosťou. Ponúka sa aj jedno aktuálne vysvetlenie, a to, že súčasná príprava prechodu na Euro v informačných systémoch spoločností absolútne zatienila ostatné interné projekty. After studying the survey results and the authors’ comments on individual points, the reader may get the impression that the basic threats and resulting risks have not currently altered here at all, despite the high-tech boom and the society-wide development. This could also indicate possible reasons why a fifth of the companies taking part in the survey have still not performed a risk analysis and why most of the respondents do not have a work-role in place with a preferential focus on information security. However, a plausible explanation for this is that the current preparation for Euro-conversion in corporate information systems has wholly overshadowed other internal projects. Dnes, v dobe tak dynamickej a rýchlej, že niektoré spoločnosti zmiznú z trhu skôr ako stačia vôbec identifikovať svoje hrozby pre informačnú bezpečnosť, je teda dobre, že existujú aspoň základné pravidlá a uznávané praktiky v oblasti bezpečnosti, ktorými sa tí ostatní môžu riadiť a ktoré udávajú smer na ceste za lepšou a kvalitnejšou bezpečnosťou v rámci finančne možného. Kvalitné riadenie informačnej bezpečnosti v praxi vždy narazí na nečakanú prekážku, ako môžeme v poslednej dobe vidieť na príklade úniku informácií od významných a dobre zabezpečených spoločností, od ktorých by sa to neočakávalo. Today, in the dynamic and fast-changing times where some companies vanish from the market before they even have a chance to identify their information security threats, it is good that there are at least basic security rules and accepted practices which others can follow and point the way towards improved and higher quality security, always respecting the financial considerations. In practice, high-quality information security management always encounters an unexpected obstacle, which we could recently have seen in the example of information outflow from leading and prosperous companies, which was a surprise to everybody. Ak je najvýznamnejšie udávaným dôvodom zlepšovanie informačnej bezpečnosti potreba ochrany osobných a obchodných údajov, presúvame sa ďalej do roviny, kde použité informačné technológie umožňujú túto ochranu tak, ako to bolo pôvodne zamýšľané. Zodpovední pracovníci majú síce jednoznačnejší cieľ, ale na druhej strane stále ťažšiu pozíciu pre zdôvodnenie výšky investícii do týchto technológii. Tejto situácii nahrávajú i prieskumom naznačené očakávania manažérov IT, že pracovníci bezpečnosti vhodne skĺbia znalosti informačnej bezpečnosti s efektívnou komunikáciou s vrcholovým vedením. Consequently, if the reason cited as the most significant for improving information security is the need for personal and business data protection, we move on to those companies where applied information technologies solely play the role of an enabler of the above protection as it was initially intended. The responsible employees now have a clearer objective but, on the other hand, it is seldom easy for them to substantiate the extent of investments in these technologies. This situation is also supported by the expectations of IT managers, as indicated in the survey, that the security staff bring information security expertise appropriately into accord with effective communication with the top management. Partneri tohtoročného prieskumu: Ernst & Young, Národný bezpečnostný úrad SR, časopis DSM – Data Security Management a TATE International Slovakia veria, že čitatelia a používatelia výsledkov tohtoročného prieskumu budú mať čas sa na svojej ceste k ideálnemu stavu informačnej bezpečnosti zastaviť, obzrieť sa a vybrať si z prieskumu to zaujímavé a potrebné k tomu, aby našli svoj cieľ. The partners in this year’s survey – Ernst & Young, the National Security Authority SR, the magazine DSM – Data Security Management and TATE International Slovakia – believe that the readers and users of this survey’s results will have time 1 to stop, look back and choose from the survey interesting and necessary information in order to identify their objectives in heading towards the ideal state of information security. PSIB SR ´08
  3. 3. HLAVNÉ ZISTENIA V roku 2008 prikladá informačnej bezpečnosti význam 92 % opýtaných spoločností na Slovensku, no napriek tomu 18 % z nich hodnotí svoj stav informačnej bezpečnosti stále ako nízky alebo nedostatočný. Ako najviac motivujúce faktory pre investície do informačnej bezpečnosti spoločnosti označujú bezpečnosť a ochranu údajov, rýchly vývoj v oblasti IT a hrozbu útoku. 83 % spoločností nemá zamestnaného žiadneho špecialistu zaoberajúceho sa prioritne informačnou bezpečnosťou. Pracovníci, ktorí aktívne pôsobia v oblasti informačnej bezpečnosti, v priemere zarábajú okolo 43.000 Sk (1 427,34 €), čo je oproti minulému prieskumu z roku 2006 výrazný nárast. Spoločnosti si najviac u svojich bezpečnostných pracovníkov cenia vecné znalosti problematiky, IT technológií a flexibilitu, a naopak im najviac chýba znalosť finančného riadenia a schopnosť efektívnej komunikácie s vedením. Bežnou praxou v spoločnostiach je integrácia informačnej bezpečnosti pod IS/IT oddelenia. Priemerný rozpočet na bezpečnostné záležitosti tvoria firmy iba v 18 % prípadov a to väčšinou vo veľkosti 10 % z celkového rozpočtu na IS/IT. Iba slabá tretina spoločností následne kalkuluje návratnosť investícií do informačnej bezpečnosti. 65 % spoločností má vytvorené bezpečnostné politiky a tieto sú v 43 % pravidelne prepracovávané a aktualizované. Pribúda politík stredného rozsahu, ktoré spoločnosti preferujú pred obšírnejšími aj tými najstručnejšími. Majorita spoločností stále spolieha na interné štandardy alebo tie prevzaté od materských spoločností. Medzi najvýznamnejšie identifikované hrozby stále patria výpadky prúdu, SPAM a porucha hardvérového vybavenia. Oproti roku 2006 problematika počítačových vírusov ustupuje do pozadia. Najväčšími výzvami posledného obdobia sú pre spoločnosti participujúce na prieskume prechod na Euro a implementácia nových operačných systémov. Až 34 % spoločností nemá vypracovaný systém monitorovania bezpečnostných incidentov a viac ako štvrtina nedisponuje žiadnymi formálnymi postupmi v tejto oblasti. Rastie podiel podnikov, ktoré majú vypracované a pripravené plány obnovy funkčnosti, ktoré majorita z nich pravidelne aktualizuje a testuje. Hlavnými prioritami na riešenie v oblasti informačnej bezpečnosti sa stávajú už identifikované, známe problémy firiem. Vývoj nových riešení v oblasti IT už nie je významnou prioritou, a rovnako sa menší dôraz prikladá na analýzy a výsledky auditov, prípadne odporúčania dodávateľov. Skoro 20 % podnikov ešte nikdy nevykonalo analýzu rizík informačného systému. Tretina podnikov rieši informačnú bezpečnosť vo vlastnej réžii, dve tretiny volia externých dodávateľov riešení. Iba zanedbateľné percento túto oblasť nerieši vôbec. Oproti roku 2006 klesol podiel spoločností, ktoré dokážu a môžu využívať elektronický podpis z jednej tretiny na jednu štvrtinu. Taký istý počet jeho zavedenie vôbec neplánuje. Nedostatok aplikácií podporujúcich elektronický podpis a zriedkavá akceptácia zo strany štátu sú hlavné prekážky pre jeho zavádzanie do praxe. Rýchlejšiemu rozvoju informačnej bezpečnosti bránia nízke povedomie o bezpečnosti a finančná náročnosť. Lídrami v oblasti informačnej bezpečnosti stále zostávajú banky a finančné inštitúcie spolu s IT spoločnosťami, ktoré dosahujú nadpriemerné výsledky. 2 PSIB SR ´08
  4. 4. THE MAIN FINDINGS In 2008, 92% of Slovak companies taking part in the survey asserted that information security was important, whereas 18% of them still assessed their state of information security as poor or inadequate. Data security, data protection, the rapid pace of developments in IT and concerns about attacks were cited by companies as the factors most motivating them to invest in information security. 83% of companies do not employ a specialist whose priority role is to focus on information security. Employees who are actively engaged in information security earn on average around SKK 43,000 (€ 1,427.34), which is a substantial increase on the previous survey carried out in 2006. What the companies value most with regard to their information security staff includes understanding of related issues, IT technologies and their flexibility. On the other hand, they lack expertise in financial management and the ability to communicate effectively with the management. It is common practice to integrate information security within IS/IT departments. Only in 18% of cases do companies plan an average budget for security issues; predominantly, this represents 10% of the overall budget for IS/IT. Only a poor third of companies then calculates any return on their investment in information security. 65% of companies have security policies in place, which in 43% of cases are regularly redesigned and updated. More and more companies implement policies of intermediate extent, in preference to both long-term and short-term policies. Most companies are subject to their own internal standards or to those of their parent companies. The major identified threats are seen to be those posed by power outage, SPAM or hardware malfunction. Compared to 2006, issues relating to computer viruses have begun to reduce in severity. The greatest challenges recently faced by the respondent companies are Euro-conversion and the implementation of new operating systems. Up to 34% of companies have no system in place for monitoring security incidents and more than a quarter have no appropriate formal procedures in place. There is a growing number of companies that have drawn up and prepared Disaster Recovery Plans and the majority of them update and test them on a regular basis. The main priorities for information security are solving problems which companies have already identified. The development of new IT solutions is no longer a significant priority and, similarly, reduced emphasis is placed on analyses and findings of audits or recommendations of suppliers. Almost 20% of companies have never performed an IS risk analysis. A third of companies resolve their information security issues at their own expense and two-thirds turn to external suppliers for their solutions. An insignificant percentage has no dealings in this area at all. Compared to 2006, the share of companies who are able to and permitted to use an electronic signature dropped from a third to a quarter. The same number has no plan to introduce electronic signatures at all. The lack of applications supporting electronic signatures and its random acceptance by the state represent the main obstacles to its introduction into practice. A faster pace for the development of information security is impeded by a low level of security awareness and high associated costs. Banks and financial institutions still represent the leaders in the information security area, along with IT companies which deliver outstanding results. 3 PSIB SR ´08
  5. 5. RESPONDENTI RESPONDENTS Prieskum z oblasti informačnej bezpečnosti je už od roku 2004 zameraný na spoločnosti s viac ako 100 zamestnancami. Viac ako dvojtretinové zastúpenie v prieskume majú spoločnosti do 500 zamestnancov. Oproti roku 2006 sa zastúpenie firiem s 501 až 1 000 zamestnancami zvýšilo, na úrok veľkých spoločností s viac ako 1 000 zamestnancami. The information security survey has focused since 2004 on companies with more than 100 employees. More than two-thirds of companies participating in the survey have up to 500 employees. Compared to 2006, the ratio of companies with 501 to 1,000 employees increased at the expense of large companies with more than 1,000 employees. 8% Viac než 1 000 zamestnancov More than 1,000 employees 72 % 100 – 500 zamestnancov 20 % 100 – 500 employees 501 – 1 000 zamestnancov 501 – 1,000 employees Graf 1: Distribúcia respondentov podľa počtu zamestnancov Chart 1: Distribution of respondents by number of employees Iná oblasť pôsobnosti 17 % Other areas Strojárstvo 12 % Mechanical engineering Stavebný priemysel 11 % Building industry Predaj/obchod a distribúcia 8% Sales/Trade/Distribution Potravinársky priemysel 7% Food & Drink industry Textilný priemysel 6% Textile industry Financie/bankovníctvo 6% Finance/Banking Štátna správa 5% State administration Elektrotechnický priemysel 5% Electrical engineering Poradenstvo/služby 4% Consultancy/Services Informačné technológie/telekomunikácie 4% IT/Telecommunications Chemický priemysel 3% Chemical industry Doprava 3% Transport Zdravotníctvo/farmaceutický priemysel 2% Health care/Pharmaceuticals industry Vodovody a kanalizácie 2% Water distribution and Sewerage Energetika/elektroenergetika/distribučná spol. 2% Energy sector/Electro-energy/Distribution Drevospracujúci priemysel 2% Woodworking Graf 2: Distribúcia respondentov podľa oboru pôsobnosti Plynárenstvo a ropný priemysel 1% 4 Chart 2: Distribution of respondents by industry Gas and Oil industry PSIB SR ´08
  6. 6. Až 17 % podiel na prieskume majú spoločnosti s „inou oblasťou pôsobnosti“, ktorá sa nehodila do žiadnej z ostatných kategórií. Oproti predchádzajúcemu prieskumu sa nám podarilo podiel nezaraditeľných spoločností výrazne znížiť, keďže v roku 2006 táto skupina tvorila viac ako štvrtinu respondentov. Ďalej je výrazne v prieskume zastúpené strojárstvo (12 %) nasledované stavebným priemyslom. Ostatné oblasti si zachovali podobné zastúpenie ako v roku 2006. Companies with other area of activity which did not fit into any one category comprised as much as 17% of the survey. Compared to the previous survey, we managed to decrease the number of unclassifiable companies significantly, as in 2006 this group represented more than a quarter of respondents. Another significant proportion is represented by Mechanical engineering (12%) followed by the Building industry. Other areas maintained a similar proportion to 2006. Vedúci oddelenia IS/IT 39 % IS/IT Department Manager Špecialista IS/IT 17 % IS/IT Specialist Riaditeľ IS/IT 11 % IS/IT Director Špecialista bezpečnosti 7% Security Specialist Iná pozícia 6% Other Position Ekonomický/finanční riaditeľ 6% Economic/Financial Director Riaditeľ/manažér bezpečnosti 5% Security Director/Manager Riaditeľ/konateľ/majiteľ spoločnosti 4% Director Pracovník marketingu 3% Marketing employee Obchodný/technický/prevádzkový riaditeľ 2% Business/Technical/Operational Director Graf 3: Kto za organizácie odpovedal Chart 3: Who provided answers on behalf of organisations Za spoločnosti na otázky prieskumu odpovedali vedúci pracovníci v dvoch tretinách prípadov. Rovnaký podiel odpovedí poskytli aj pracovníci IS/IT zamerania. Celkovo trend v tejto oblasti signalizuje prechod zodpovednosti za vypĺňanie dotazníka na manažérov a IS/IT zamestnancov. In two-thirds of cases, managers were the persons who responded for the companies. IS/IT staff also provided a similar proportion of responses. On aggregate, the trend in this area signals the transfer of responsibility for completing the questionnaire towards managers and IS/IT staff. 5 PSIB SR ´08
  7. 7. VÝZNAM INFORMAČNEJ BEZPEČNOSTI IMPORTANCE OF INFORMATION SECURITY Z výsledkov prieskumu vyplýva jednoznačná orientácia na zaistenie vysokého stupňa kvality informačnej bezpečnosti a pochopenie dôležitosti informačnej bezpečnosti pre dosiahnutie primárnych cieľov organizácie. 92 % spoločností pokladá informačnú bezpečnosť za stredne významnú alebo veľmi významnú. Iba 2 % spoločností jej prisúdili zanedbateľný význam. The results of the survey show a definite focus on ensuring a high level of information security quality and understanding its importance in meeting the primary goals of organisations. 92% of companies stated that information security had medium significance or high significance. Only 2% of companies claimed that information security was of negligible significance. 2% Zanedbateľný význam Negligible significance 48 % 6% Veľký význam Malý význam High significance Low significance 44 % Stredný význam Medium significance Graf 4: Význam informačnej bezpečnosti z hľadiska primárnych cieľov organizácie Chart 4: Importance of information security in terms of primary goals of organisations Financie/bankovníctvo 91 % 9% Finance/Banking Zdravotníctvo/farmaceutický priemysel 25 % 75 % Health care/Pharmaceuticals industry Vodovody a kanalizácie 67 % 33 % Water distribution and Sewerage Informačné technológie/telekomunikácie 62 % 38 % IT/Telecommunications Doprava 40 % 60 % Transport Predaj/obchod a distribúcia 40 % 7% 53 % Sales/Trade/Distribution Iná oblasť pôsobnosti 39 % 9% 52 % Other areas Poradenstvo/služby 50 % 50 % Consultancy/Services Chemický priemysel 50 % 50 % Chemical industry Plynárenstvo a ropný priemysel 50 % 50 % Gas and Oil industry Potravinársky priemysel 38 % 16 % 46 % Food & Drinks industry Textilný priemysel 46 % 9% 45 % Textile industry Stavebný priemysel 45 % 55 % Building industry Štátna správa 11 % 44 % 45 % State Administration Elektrotechnický priemysel 10 % 50 % 40 % Electrical engineering Energetika/elektroenergetika/distribučná spol. 67 % 33 % Energy industry/Electro-energy/Distribution Strojárstvo 14 % 63 % 23 % Mechanical engineering Drevospracujúci priemysel 100 % Woodworking Stredný význam Malý alebo zanedbatelný význam Velký význam Medium significance Low or Negligible significance High significance Graf 5: Význam informačnej bezpečnosti podľa oboru pôsobnosti 6 Chart 5: Importance of information security by industry PSIB SR ´08
  8. 8. Pri pohľade na rozdelenie významu informačnej bezpečnosti podľa oboru pôsobnosti podnikov sa na prvých priečkach umiestnili, tak ako po minulé roky, spoločnosti z oblasti bankovníctva a financií. Zdravotnícky a farmaceutický priemysel, vodovody a kanalizácie a doprava boli v prieskume zastúpené iba malým percentom, čo skresľuje pohľad na ich dosiahnuté umiestnenie. Drevospracujúce a strojárske podniky prikladajú informačnej bezpečnosti skôr menší význam. Spoľahlivé výsledky tejto časti prieskumu môžeme vidieť v priemernej dôležitosti informačnej bezpečnosti pre podniky z oblasti poradenstva, štátnej správy a potravinárskeho priemyslu. When looking at the break-down of importance for information security by the sphere of activity of companies, the first ranks are occupied by companies from banking and finance world (as in the previous years). Health care and the pharmaceuticals industry, water distribution and sewerage as well as transport were only represented by a minor percentage, which distorts the picture in respect of the position they acquired. Woodworking and mechanical engineering companies claimed that information security is less important to them. The reliable results of this part of the survey may be observed through the average information security for companies active in consultancy, state administration and the food & drinks industry. 17 % Nízka úroveň Low level 1% Nedostatočná úroveň Inadequate level 56 % 26 % Dobrá úroveň Výborná úroveň Good level Excellent level Graf 6: Úroveň riešenia informačnej bezpečnosti v organizácii (celkovo) Chart 6: Level of information security in organisation (total) Až 82 % organizácií v prieskume hodnotí svoju informačnú bezpečnosť pozitívne a optimisticky. Viac ako štvrtina pokladá svoju informačnú bezpečnosť za výbornú, na druhej strane iba menej ako jedna pätina firiem ju vidí na nízkej úrovni. Oproti minulému prieskumu vidieť nepatrné zmeny k lepšiemu v sebahodnotení úrovne informačnej bezpečnosti organizáciami, keď sa ľahko navýšil podiel spoločností, ktoré svoju úroveň riešenia informačnej bezpečnosti hodnotia ako výbornú (z 20 % na 26 %). Tento posun sa primárne udial na úkor spoločností s „dobrou úrovňou“ (z 65 % na 56 %). Up to 82% of organisations participating in the survey evaluate their information security positively and are optimistic about its development. More than a quarter of the companies rated the level of their information security as excellent. On the other hand, just under a fifth of companies consider it to be at a low level. Compared to the last survey, only slight changes for the better may be visible in the self-assessment of information security by organisations, as the ratio of companies which rate their information security solutions as excellent increased slightly (from 20% to 26%). This movement primarily happened at the expense of companies with a “good level” (from 65% down to 56%). 7 PSIB SR ´08
  9. 9. Spoločnosti z plynárenského, ropného a chemického priemyslu hodnotia svoje riešenia bezpečnosti ako výborné v polovici prípadoch; obchod a elektrotechnický priemysel v 40 %. Najkritickejšie odvetvie k svojej informačnej bezpečnosti je strojárstvo, nasledované poradenstvom alebo službami a vodovodmi a kanalizáciami. Výsledky približne kopírujú dôležitosť, ktorú spoločnosti z jednotlivých odvetví prikladajú informačnej bezpečnosti, čo dokladajú výsledky napríklad farmaceutického priemyslu a oblasti informačných technológií. Companies from the gas, oil and chemical industries assess their security solutions as excellent in half of the cases; trade and electrical engineering in 40%. The most critical approach to its information security is maintained by mechanical engineering, followed by consultancy or services and water distribution and sewerage. The results approximately reflect the level of importance which is assigned by companies from individual sectors to information security, which is also demonstrated by the results of, for example, the pharmaceuticals industry or the information technology sector. Chemický priemysel 50 % 33 % 17 % Chemical industry Plynárenstvo a ropný priemysel 50 % 50 % Gas and Oil industry Predaj/obchod a distribúcia 47 % 13 % 40 % Sales/Trade/Distribution Elektrotechnický priemysel 40 % 50 % 10 % Electrical engineering Vodovody a kanalizácie 34 % 33 % 33 % Water distribution and Sewerage Iná oblasť pôsobnosti 49 % 21 % 30 % Other areas Textilný priemysel 64 % 9% 27 % Textile industry Financie/bankovníctvo 9% 64 % 27 % Finance/Banking Poradenstvo/služby 38 % 25 % 37 % Consultancy/Services Zdravotníctvo/farmaceutický priemysel 75 % 25 % Health care/Pharmaceuticals Industry Informačné technológie/telekomunikácie 25 % 75 % IT/Telecommunications Potravinársky priemysel 69 % 8% 23 % Food & Drinks industry Štátna správa 22 % 22 % 56 % State administration Doprava 60 % 20 % 20 % Transport Stavebný priemysel 70 % 15 % 15 % Building industry Strojárstvo 45 % 41 % 14 % Mechanical engineering Drevospracujúci priemysel 100 % Woodworking Energetika/elektroenergetika/distribučná spol. 67 % 33 % Energy industry/Electro-energy/Distribution Výborná úroveň Dobrá úroveň Nízka alebo nedostatočná úroveň Excellent level Good level Low or Insufficient level Graf 7: Úroveň riešenia informačnej bezpečnosti v organizácii podľa oboru pôsobnosti 8 Chart 7: Level of information security in organisation by industry PSIB SR ´08
  10. 10. Prím v rizikách, ktoré vedú firmy k zdokonaľovaniu informačnej bezpečnosti, hrá ochrana údajov (66 %), ktorá sa v prieskume objavila tento rok prvý krát. Tak ako po minulé roky, rýchly vývoj informačných technológií (35 %), požiadavky na prepájanie smerom von aj dnu (29 % a 21 %) a hrozba útoku (31 %) sú medzi faktormi, ktoré podľa firiem majú najväčší vplyv. Oproti minulým rokom firmy zrejme prehodnotili dôležitosť niektorých faktorov a tým pádom došlo k preskupeniu percentuálneho zastúpenia. Prepad o 11 % oproti roku 2006 zaznamenal tlak zo strany legislatívy SR a o 10 % zo strany EU. The main risk driving companies to strengthen their information security is data protection (66%) which this year appeared in the survey for the first time. As in the previous years, the fast pace in the development of information technologies (35%), requirements for external as well as internal connections (29% and 21%) and threat of attack (31%) represent the factors with the greatest influence, as assessed by the companies. Compared to the previous years, companies apparently reassessed the importance of certain factors, thereby rearranging percentages. Compared to 2006, a reduction of 11% and 10% resulted from pressure from the SR legislation and the EU, respectively. Ochrana údajov* 66 % Data protection* 35 % Rýchly vývoj v oblasti IT 50 % Rapid pace of IT developments 56 % Hrozba útoku* 31 % Threat of attack* 29 % Prepájanie informacných systémov smerom von 53 % Connection of IS outside 55 % 21 % Prepájanie informacných systémov vo vnútri organizácie 32 % Connection of IS within organisation 38 % 21 % Výsledky vykonaného auditu/odporúcaní audítorov 23 % Audit results/Auditors' recommendations 22 % 15 % Legislatívny tlak v SR 26 % Legislative pressure in the SR 27 % 8% Tlak/požiadavky zo strany investorov/akcionárov/vlastníkov 10 % Investor/shareholder/Owner pressure/Requirements 12 % 7% Požiadavky na mobilné spracovanie informácií 14 % Mobile information processing requirements 13 % Splnenie obchodných cieľov* 7% Business plan fulfilment* 7% E-business a/alebo e-commerce 9% E-business and/or E-commerce 11 % Riešenie informačnej bezpečnosti u porovnatelných organizácií* 5% Information security solutions from peers* 5% Tlak/požiadavky zákazníkov 11 % Client pressure/requirements 8% Hrozba negatívnej medializácie* 4% Threat of negative picture in media* 4% Tlak/požiadavky obchodných partnerov 14 % Business partners pressure/requirements 2008 13 % Hrozba finančných sankcií* 2006 3% Threat of financial sanctions* 2004 2% Platná aj pripravovaná legislatíva Európskej a Menovej Únie 10 % Valid or prepared EU and European Monetary Union legislation 12 % * možnosti prvý krát k dispozícii až v PSIB SR ´08 10 % ** možnosť v PSIB SR ´08 už nie je k dispozícii Iné dôvody** * option appeared in the 2008 survey for the first time 6% Other reasons** ** option is no longer available in the 2008 survey Graf 8: Okolnosti, ktoré majú najväčší vplyv na presadzovanie informačnej bezpečnosti 9 Chart 8: Circumstances with most impact on information security implementation PSIB SR ´08
  11. 11. Pre jednu tretinu spoločností je pravidelná tvorba správ o informačnej bezpečnosti zabehnutá prax, avšak pre 20 % stále nepreskúmaná oblasť. 30 % spoločností vydáva správy podľa potreby. Zaujímavým bodom v tejto oblasti je informácia, že pätina spoločností nikdy túto správu nepripravila, a preto je otázne, akým spôsobom je informačná bezpečnosť u nich riadená. A third of companies stated that regular preparation of reports on information security is a common practice; however, for 20% it remains an unexplored area. 30% of companies issue reports when necessary. An interesting fact in this area is that a fifth of the companies have never prepared a report and it is therefore questionable how information security is managed in their organisations. 20 % Nikdy 30 % Never Ad-hoc 4% Ad-hoc Niekoľkokrát ročne More often that once a year 30 % 16 % Ročne Menej ako jedenkrát ročne Once a year Less than once a year Graf 9: Ako často sa pripravuje správa o stave informačnej bezpečnosti Chart 9: How often is prepared reports on the state of information security Podniky, ktoré správy o stave informačnej bezpečnosti tvoria, ich predkladajú najvyššiemu vedeniu vo viac ako dvoch tretinách prípadov, čo potvrdzuje trend uvedomovania si dôležitosti IT pre podporu firemných procesov a tým i rastúcu zainteresovanosť vrcholového vedenia. V 8 % prípadov si správu vyžaduje materská spoločnosť a nie je výnimkou, ak sa správy dostanú do rúk viacero zainteresovaných príjemcov. Companies that compile reports on the state of information security submit them to top management in more than two thirds of cases, which is also confirmed by the trend of awareness of IT importance for the support of corporate procedures and the related increasing involvement of top management. In 8% of cases, reports are required by parent companies and it is quite usual for reports to end up on the desks of a number of interested recipients. 7% Bezpečnostnému manažérovi/strednej úrovni riadenia Security manager/Middle management 2% Bezpečnostnému špecialistovi (nemanažérska pozícia) Security specialist (non-managerial position) 8% Materskej spoločnosti Parent company 70 % 13 % Najvyššiemu vedeniu Top management Viacerým príjemcom Several recipients Graf 10: Komu sú správy o stave informačnej bezpečnosti určené? Chart 10: Who are the reports on the state of information security prepared for? 10 PSIB SR ´08
  12. 12. Najviac priestoru pre zlepšovanie úrovne informačnej bezpečnosti vidí skoro polovica respondentov v ešte väčšej podpore vrcholového vedenia, napriek výsledku z Grafu 10. Tato situácia by mohla naznačovať, že správy predkladané vedeniu nemajú praktický výsledok vo forme zlepšenia stavu informačnej bezpečnosti alebo sú tieto správy diplomaticky upravované. Ďalšími oblasťami, kde spoločnosti môžu upriamiť svoju pozornosť sú aj systémy prípravy pracovníkov a dostupnosť metodík a informácií o dokumentoch pre praktickú činnosť a legislatívu. Almost half of the respondents see the greatest scope for the improvement of information security as entailing more substantial support from top management, despite the results shown in Chart 10. This situation could indicate that the reports submitted to management do not have a practical result in the form of improving the state of information security, or they are diplomatically adjusted. Other areas which may also merit companies’ attention include staff preparation systems and availability of methodologies and information on documents for purposeful activity and legislation. Väčšia podpora vrcholového vedenia 48 % Better top management support Dostupnosť metodík a informácií o dokumentoch, potrebných pre praktickú činnosť 32 % Availability of methodologies and information on documents required for practice Vyriešenie systému prípravy a vzdelávania pracovníkov 31 % Development of staff preparation and education system Legislatívna úprava oblasti informačnej bezpečnosti 21 % Legal regulations in the area of information security Dostupné poradenské a konzultačné služby 16 % Available advisory and consultancy services Zvýšenie počtu podujatí, ktoré sa touto problematikou zaoberajú 10 % More events dealing with these issues Graf 11: Čo by pomohlo organizácii zvyšovať úroveň informačnej bezpečnosti? Chart 11: What would help increase the organisations' level of information security? ORGANIZAČNÉ ZABEZPEČENIE ORGANISATIONAL SECURITY V tejto oblasti hovoria výsledky sami za seba. Iba 17 % spoločností má pracovníka, ktorý sa venuje informačnej bezpečnosti ako hlavnej pracovnej náplni, pričom je stále bežná prax zlučovania funkcie informačnej bezpečnosti s IS/IT oddelením. Prieskum vypovedal i o istej vzdialenosti informačnej bezpečnosti od biznis procesov spoločností. U 46 % spoločností nie je informačná bezpečnosť a manažment rizík integrovaný. V prípade separátneho riešenia týchto dvoch oblastí môže dochádzať k neadekvátnemu využitiu zdrojov firmy a nepokrytiu obchodných rizík, ktoré idú ruka v ruke s rizikami bezpečnosti na úrovni informačných systémov. In this area the results speak for themselves. Only 17% of companies employ a professional whose main responsibility is information security. Merging the information security function with an IS/IT department remains a common practice. The survey also disclosed a certain distance between information security and corporate business processes. 46% of companies lack integration of information security with risk management. Where there is a separate solution to these two areas, corporate resources may be used inadequately and business risks inadequately covered, which goes in tandem with IS security risks. Spoločnosti sú v tejto oblasti rozdvojené. Jedna polovica ide cestou aspoň čiastočnej integrácie, druhá manaž- ment rizík a informačnú bezpečnosť v praxi nespája. Spoločnosti s plnou integráciou týchto oblastí sú primárne z bankovej, finančnej a telekomunikačnej sféry, kde je badateľný legislatívny tlak. Bude zaujímavé sledovať vývoj v tejto oblasti do budúcna. Companies are split into two categories in this area. Half pursue at least partial integration, the other half go for risk management and do not link information security with anything within practice. Companies with full integration of these areas are primarily from the banking, finance and telecommunications sectors where 11 pressure from legislation is apparent. Monitoring future developments in this area will be of interest. PSIB SR ´08
  13. 13. Oproti minulému prieskumu z roku 2006 sa v tejto oblasti veľa nezmenilo. U 17 % respondentov nie je jasne definovaná zodpovednosť. 57 % podnikov zodpovednosť za riešenie informačnej bezpečnosti dáva manažérom a viac ako jedna štvrtina spolieha na špecialistov mimo úrovní riadenia podniku. Trendom však ostáva, že zodpovednosť sa presúva na úroveň vedenia divízie/odboru. No significant changes occurred in this area compared to the 2006 survey. There is a lack of a clear definition of responsibility for 17% of respondents. 57% of companies allot responsibility for information security solutions to managers and more than a quarter rely on outsourced specialists. However, the ongoing trend is to shift responsibility to the level of divisional/departmental management. 14 % Manažér – úroveň najvyššieho riadenia 17 % Manager – top management level 29 % Manažér – úroveň vedenia divízie/odboru 25 % Manager – head of division/section level 14 % Manažér – iná úroveň riadenia Manager – other managerial level 13 % 26 % Špecialista – nemanažérska pozícia Specialist – non-managerial position 27 % 2008 17 % Nikto/nie je jasne definovaná zodpovednosť Nobody/responsibility is not clearly assigned 18 % 2006 Graf 12: Kto je v organizácii zodpovedný za riešenie informačnej bezpečnosti? Chart 12: Who is responsible for information security solutions in your organisation? Z časového hľadiska je evidentný posun z nižších platových ohodnotení pracovníkov zodpovedných za informačnú bezpečnosť do vyšších. V roku 2008 je až 40 % pracovníkov v kategórii „25 tis. Sk – 40 tis. Sk” (829,88 – 1 327,79 €). Nárast o 8 % oproti roku 2006 (a až 19 % oproti 2004) zaznamenala skupina pracovníkov s platom od 55 tis. Sk do 70 tis. Sk (1 825,70 – 2 323,57 €), kde sa teraz nachádza približne jedna štvrtina všetkých zamestnancov zodpovedných za informačnú bezpečnosť. Over time, there is an evident shift from lower remuneration levels of employees responsible for information security to higher levels. In 2008, as many as 40% of employees were in the category “SKK 25 thousand – SKK 40 thousand” (€ 829.88 – 1,327.79). The group of employees with pay ranging from SKK 55 thousand to SKK 70 thousand (€ 1,825.70 – 2,323.57), witnessed an increase of 8% on 2006 (and up 19% on 2004); this group currently incorporates a quarter of all staff responsible for information security. 7% Viac ako 70.000 Sk (2 323,57 €) 5% More than SKK 70,000 (€ 2,323.57) 0% 23 % 55.001 – 70.000 Sk (1 825,70 – 2 323,57 €) 15 % SKK 55,001 – 70,000 (€ 1,825.70 – 2,323.57) 4% 13 % 40.001 – 55.000 Sk (1 327,79 – 1 825,70 €) 10 % SKK 40,001 – 55,000 (€ 1,825.70 – 2,323.57) 18 % 40 % 25.001 – 40.000 Sk (829,88 – 1 327,79 €) 35 % SKK 25,001 – 40,000 (€ 829,88 – 1,327.79) 39 % 2008 17 % Menej ako 25.000 Sk (829,88 €) 35 % 2006 Less than SKK 25,000 (€ 829,88) 39 % 2004 Graf 13: Hrubé mesačné ohodnotenie pracovníkov v oblasti informačnej bezpečnosti Chart 13: Gross average monthly remuneration of employees responsible for information security 12 PSIB SR ´08
  14. 14. Medzi stálice na poli chýbajúcich vlastností stále patria znalosti finančného riadenia, schopnosť efektívne komunikovať s vedením organizácie a prezentačné a manažérske schopnosti. Znalosti cudzích jazykov pracovníkov v oblasti informačnej bezpečnosti sa vylepšili, keďže už chýba iba v 14 % spoločností. Flexibilita a vecná znalosť problematiky informačnej bezpečnosti je plne saturovaná vo všetkých spoločnostiach zúčastnených na prieskume, čo je určite dobrá vizitka slovenských bezpečnostných pracovníkov. Characteristics still missing include financial management skills, the ability to communicate with an organisation’s management effectively, presentation skills and managerial skills. The foreign language skills of information security staff have improved as only 14% are noted as lacking in the companies. Flexibility and understanding of information security issues have been fully absorbed in all the companies participating in the survey, which is definitely a good advert for Slovak information security staff. 32 % Znalost finančného riadenia (rozpočtovanie) 25 % Financial management skills (budgeting) 17 % 21 % Schopnosť efektívnej komunikácie s vedením organizácie 22 % Ability to communicate with management effectively 23 % 18 % Prezentačné schopnosti 13 % Presentation skills 10 % 18 % Manažérske schopnosti 9% Managerial skills 13 % 14 % Znalosť cudzieho jazyka 26 % Foreign language skills 33 % 14 % Schopnosť riadit projekty 9% Project management 10 % 14 % Technologické znalosti IS/IT 4% Technological skills 10 % 11 % Analytické schopnosti 4% Analytical skills 3% 7% Vecná znalosť fungovania organizácie 0% Understanding of organisation's functions 3% 0% Vecná znalosť problematiky informačnej bezpečnosti 4% Understanding of information security issues 0% 2008 0% Flexibilita a konštruktívny prístup k riešeniu problémov 2006 0% Flexibility and constructive approach to solving problems 7% 2004 Graf 14: Najviac chýbajúce znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti Chart 14: Most noticeably absent knowledge and skills of information security staff 13 PSIB SR ´08
  15. 15. Ako najviac cenené znalosti a schopnosti určili respondenti prieskumu vecnú znalosť problematiky informačnej bezpečnosti, technologické znalosti IS/IT a flexibilitu a konštruktívny prístup k riešeniu problémov. Prepad oproti minulému prieskumu zaznamenala vecná znalosť fungovania organizácie, čo by naznačovalo presun priorít k technologicko-bezpečnostným aspektom od zaisťovania bezpečnosti obchodných procesov. To môže súvisieť aj so zriaďovaním alebo posilňovaním právomocí oddelení interných auditov, alebo s posunom riadenia informačnej bezpečnosti k útvarom IS/IT, ako naznačili odpovede na otázku zodpovednosti za informačnú bezpečnosť. The survey respondents stated that the most valued knowledge and skills were understanding of information security issues, IS/IT technological skills as well as flexibility and a constructive approach to problem-solving. Understanding of the organisation’s functions recorded a decrease on last year’s survey, which would indicate a shift in priorities from ensuring the security of business processes towards technological and security aspects. This may also relate to the establishing or strengthening of authority of the internal audit departments, or to a shift of information security management towards IS/IT units, as was indicated in the answers to the question relating to information security. 75 % Vecná znalosť problematiky informačnej bezpečnosti 57 % Understanding of information security issues 80 % 36 % Technologické znalosti IS/IT 43 % Technological skills 53 % 32 % Flexibilita a konštruktívny prístup k riešeniu problémov 35 % Flexibility and constructive approach to solving problems 40 % 32 % Schopnosť efektívnej komunikácie s vedením organizácie 17 % Ability to communicate with management effectively 20 % 21 % Analytické schopnosti 30 % Analytical skills 17 % 21 % Manažérske schopnosti 22 % Managerial skills 23 % 18 % Vecná znalosť fungovania organizácie 43 % Understanding of organisation's functions 23 % 18 % Prezentačné schopnosti 13 % Presentation skills 7% 14 % Znalosť cudzieho jazyka 0% Foreign language skills 7% 7% Schopnosť riadiť projekty 30 % Project management 7% 2008 4% Znalosť finančného riadenia (rozpočtovanie) 4% 2006 Financial management skills (budgeting) 3% 2004 Graf 15: Najviac cenené znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti Chart 15: Most valued knowledge and skills of information security staff 14 PSIB SR ´08
  16. 16. Prevažujúcim riešením začlenenia útvaru informačnej bezpečnosti do organizačnej štruktúry spoločnosti je spojenie s existujúcim IS/IT oddelením v 64 % prípadov. Tak ako po minulé roky sa vynára otázka zlučovania právomocí a zvyšovania rizika konfliktov záujmov v týchto spoločnostiach. Ekonomický a finančný útvar už zostáva zodpovedný za informačnú bezpečnosť iba v 7 % spoločností, oproti 12 % v roku 2006. Špecializovaný útvar bezpečnosti má iba 5 % firiem, čo sa v kontexte veľkosti spoločností zúčastnených v prieskume (28 % spoločností s počtom zamestnancov viac ako 500) javí ako nízke číslo. The leading solution to incorporating an information security unit within a company’s organisational structure is to link it in with the existing IS/IT department in 64% of cases. As in the previous years, there is an issue relating to the merging of duties and an increasing risk of conflict of interest in these companies. Economic and finance units remain responsible for information security in only 7% of companies, compared to 12% in 2006. A specialised security unit is to be found in only 5% of companies, which, in the terms of the size of the companies participating in the survey (28% of companies with a number of employees exceeding 500) seems to be a rather low number. 7% Iný útvar 12 % Other department 12 % 2% Útvar vnútorných/centrálnych služieb 1% Internal/Central services department 1% 7% Ekonomický alebo finančný útvar 12 % Economic or Financial department 16 % 4% Útvar kontroly, revízie alebo auditu 3% Control, Review or Audit department 2% 64 % Útvar IS/IT 57 % IS/IT department 53 % 5% Útvar bezpečnosti 5% Security department 5% 2008 11 % Žiadny útvar 2006 10 % No department 11 % 2004 Graf 16: Útvar zodpovedný za informačnú bezpečnosť Chart 16: Unit responsible for information security BEZPEČNOSTNÁ POLITIKA A ŠTANDARDY SECURITY POLICY AND STANDARDS V roku 2008 sa nepotvrdil trend z roku 2006 a podiel podnikov s formálne definovanou bezpečnostnou politikou klesol na 65 %. V porovnaní s Českou republikou a prieskumom z roku 2007 sú slovenské podniky o 12 % napred. Absencia takejto formálne definovanej politiky sa môže následne prejaviť na chýbajúcich alebo zlých metrikách vlastného sebahodnotenia kvality informačnej bezpečnosti, ktoré je tým pádom nevyhnutné brať s rezervou. Kvalitne spracovaná a zadefinovaná bezpečnostná politika je základným stavebným kameňom konzistentnosti, efektívnosti a kvality riešenia informačnej bezpečnosti. In 2008, the trend identified in 2006 was not confirmed and the ratio of companies with a formally documented security policy reduced to 65%. Compared to the 2007 survey in Czech Republic, Slovak companies are in the lead by 12%. The lack of a formally documented policy may in turn result in missing or improper measurements of self-assessment of information security quality, which in this case must thus be taken less seriously. A properly developed and defined security policy is the cornerstone of information security consistency, effectiveness and quality. 15 PSIB SR ´08
  17. 17. 65 % Áno 70 % Yes 58 % 2008 35 % Nie 30 % 2006 No 42 % 2004 Graf 17: Má organizácia vo forme dokumentu formálne definovanú a najvyšším vedením prijatú bezpečnostnú politiku? Chart 17: Does the organisation have a security policy in place, which would be formally documented and accepted by the top management? Oproti minulým rokom sa objem firemných bezpečnostných politík významne nezmenil. Skoro 60 % spoločností preferuje stredne rozsiahlu bezpečnostnú politiku. Zmenu na takúto cestu definovania politiky volili aj niektoré firmy doteraz presadzujúce voľnejšiu a nie tak obšírnu variantu, ktorá je iba deklarovaním hodnôt a cieľov. Compared to last year, the volume of corporate security policies has not changed significantly. Almost 60% of companies prefer a medium-sized security policy. Certain companies which had previously promoted a looser and less extensive variant, which only declares their values and objectives, have also changed the method of promoting their policy to a medium one. 18 % Rozsiahla (niekoľko desiatok strán, detailný opis všetkých oblastí) Extensive (more than 20 pages, detailed description of all areas) 17 % 59 % Stredná (cca do 20 strán, podrobnejší opis požiadaviek a organizačného zabezpečenia) Medium (approx. up to 20 pages, detailed description of requirements and security organisation) 57 % 23 % Stručná (cca do 3 strán, skôr deklaratívny charakter) Brief (approx. up to 3 pages, somewhat declarational in nature) 26 % Graf 18: Charakteristika rozsahu bezpečnostnej politiky. 2008 Chart 18: Characteristics of security policy scope 2006 Drvivá väčšina respondentov poskytla pozitívnu odpoveď, približne tretina má pre oblasť ochrany osobných údajov v bezpečnostnej politike vyhradený najväčší priestor. Skoro by to vyzeralo, akoby bezpečnostná politika niekedy vznikala ako dôsledok zákona na ochranu osobných údajov. Iba 6 % respondentov priznalo, že sa v rámci svojej bezpečnostnej politiky úprave ochrany osobných údajov vôbec nevenuje. The overwhelming majority of respondents responded positively; a third have reserved the largest scope for issues relating to personal data protection. At times, security policy seems almost to be originating as a consequence of the Act on Personal Data Protection. Only 6% of respondents claimed that they pay no attention to personal data protection in their security policies. 31 % Áno, je to najväčšia časť bezpečnostnej politiky Yes, it is the major part of our security policy 39 % 63 % Áno, je to jedna z častí bezpečnostnej politiky Yes, it is a part of our security policy 55 % 6% Nie 2008 No 6% 2006 Graf 19: Pokrýva bezpečnostná politika oblasť ochrany osobných údajov v zmysle zákona o ochrane osobných údajov? 16 Chart 19: Does security policy also cover the area of personal data protection, as per the Act on Personal Data Protection? PSIB SR ´08

×