PSIB ÈR ´07
                   ®




 Prùzkum stavu informaèní bezpeènosti v ÈR 2007
Information Security Survey in Czech ...
PRŮZKUM STAVU
INFORMAČNÍ BEZPEČNOSTI V ČR 2007
INFORMATION SECURITY SURVEY
IN CZECH REPUBLIC 2007


            Zdá se to ...
HLAVNÍ ZJIŠTĚNÍ



      Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou.
...
THE MAIN FINDINGS



  More than 80% of organizations rate their information security solution as at least good. Nearly ev...
RESPONDENTI
    RESPONDENTS

     Cílem průzkumu je již od jeho prvního ročníku zmapovat situaci v oblasti informační bezp...
Státní správa zůstává nejsilněji zastoupeným oborem působnosti,
následovaná strojírenstvím. V porovnání s rokem 2005
je od...
OUTSOURCING
    OUTSOURCING

    64 % organizací, které se zúčastnily průzkumu, outsourcuje alespoň jednu část IS/IT – ste...
HODNOCENÍ INFORMAČNÍ BEZPEČNOSTI
  EVALUATING INFORMATION SECURITY


                Optimistický význam má i sebehodnocen...
Pokud se podíváme na rozložení podle oboru působnosti, vidíme nejlepší sebehodnocení
    u IT/telekomunikací, financí/bank...
V roce 2007 vidíme velmi zajímavý nárůst vnímání důležitosti tlaku zákazníků na prosazování informační
        bezpečnosti...
ORGANIZAČNÍ ZABEZPEČENÍ
     ORGANISATIONAL SECURITY

                    Přestože u téměř pětiny respondentů není zodpově...
Tři nejvíce ceněné oblasti znalostí a schopností pracovníků informační bezpečnosti zůstávají
                     nezměněn...
Znalosti finančního řízení a rozpočtování jsou evergreenem mezi postrádanými schopnostmi pracovníků,
     kteří se pohybuj...
Na tomto místě již tradičně komentujeme začlenění problematiky informační bezpečnosti
                              do org...
BEZPEČNOSTNÍ POLITIKA A STANDARDY
     SECURITY POLICY AND STANDARDS

     Ročník 2007 je opravdu zlomový a plný optimisti...
Respondenti průzkumu jasně preferují interně vyvinuté standardy. Lze se jen dohadovat, do jaké míry jsou tyto normy
 odvoz...
Undoubtedly, SPAM remains the most frequently occurring security incident. It even scored the whole 5 percentage points
  ...
Ústup virů ze „slávy“ vidíme i na vnímání nejzávažnějších bezpečnostních incidentů. Sportovní hantýrkou
řečeno se viry pro...
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Upcoming SlideShare
Loading in...5
×

Information Security Survey in Czech Republic 2007

1,345

Published on

It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such
survey to be performed. The survey has been mapping the situation and developments in information security
since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results
and structure. Some survey questions have already lost their sense, and we have let them retire.
On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and
monitor – for example, the advent of SPAM, outsourcing or new security standards.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,345
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Information Security Survey in Czech Republic 2007

  1. 1. PSIB ÈR ´07 ® Prùzkum stavu informaèní bezpeènosti v ÈR 2007 Information Security Survey in Czech Republic 2007
  2. 2. PRŮZKUM STAVU INFORMAČNÍ BEZPEČNOSTI V ČR 2007 INFORMATION SECURITY SURVEY IN CZECH REPUBLIC 2007 Zdá se to neuvěřitelné, ale letošní průzkum stavu informační bezpečnosti v ČR je již pátým v pořadí. Průzkum mapuje stav a vývoj informační bezpečnosti už od roku 1999, a to je v této oblasti už velmi dlouhá doba. Na výsledcích průzkumu, ale i jeho struktuře, je to velmi dobře znát. Některé otázky průzkumu se již vnitřně vyčerpaly a rozhodli jsme se umožnit jim zasloužený odpočinek. Na druhou stranu se IS/IT komunita potýká s novými výzvami, které se snaží průzkum mapovat a sledovat – zmiňme alespoň nástup SPAMu, outsourcing, či nové bezpečnostní standardy. It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such survey to be performed. The survey has been mapping the situation and developments in information security since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results and structure. Some survey questions have already lost their sense, and we have let them retire. On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and monitor – for example, the advent of SPAM, outsourcing or new security standards. Letošní ročník se nese obecně v optimistickém duchu. Přípravy a aktualizace plánů obnovy funkčnosti, přijímání bezpečnostních politik nebo nezávislé externí posuzování informační bezpečnosti jsou dnes pro většinu společností samozřejmou součástí řízení informační bezpečnosti. Také používání elektronického podpisu zažívá, podle účastníků průzkumu, v tomto roce raketový růst. A konečně i sebehodnocení úrovně řešení bezpečnosti samotnými respondenty je zase o kousek pozitivnější než v roce 2005. This year's survey is characterised by its optimism. Recovery plan preparation and updating, security policy implementation or independent expert appraisals of information security are an organic part of information security management for most companies these days. According to the survey respondents, use of the electronic signature is booming this year. And finally, a self-evaluation by respondents of the level of their information security system is a little more optimistic than in 2005. Průzkum má ale také své „stálice“, které ukazují, že budování a řešení informační bezpečnosti není úkol, ale celoživotní mise. Existence rozpočtů na informační bezpečnost je pořád ještě spíše výjimkou, a jednou z hlavních postrádaných vlastností pracovníků informační bezpečnosti jsou stále znalosti finančního řízení. Tvrdošíjně také lpíme na zařazení bezpečnosti do útvarů IS/IT. Obecné bezpečnostní povědomí nás trápí již od počátků průzkumu, ale zatím jsme asi nenašli způsob jak s ním bojovat. Of course, the survey has its old standbys, proving that the development and treatment of information security are not tasks, but a lifelong mission. Standalone budgets for information security are still very rare and one ability that most information security staff still lack continues to be knowledge of financial management. Moreover, we are tenaciously sticking to the idea that security should be a part of IS/IT departments. The issue of general security awareness has been troubling us since the first survey was launched and we have not yet found a way to resolve it. Letošní průzkum je zkrátka opět plný zajímavých informací, které nám pomáhají udělat si obrázek o tom, kam jsme se, a v jakém stavu, se zaváděním informační bezpečnosti v ČR dostali. Pokud je možné vypůjčit si terminologii z oblasti výtvarného umění, je to však obrázek spíše abstraktní, který nabízí více způsobů výkladu a při každém dalším pohledu přináší nová překvapení, možné souvislosti, významy a náměty k diskusím. Příjemný „umělecký“ zážitek vám přejí partneři, kteří se podíleli na vzniku letošního průzkumu: Ernst & Young, Národní bezpečnostní úřad a časopis DSM - data security management. Simply put, this year's survey is again full of interesting information that helps us draw a picture of the situation and the progress made in information security implementation in the Czech Republic. Expressed in the terminology of the visual arts, this picture is rather abstract, providing for multiple interpretations and yielding surprising new insights, potential connections, meanings and topics for discussion with every subsequent look. The partners involved in the creation of this year's survey wish you a pleasant “artistic“ experience: Ernst & Young, National Security Agency and DSM - data security management and. PSIB ÈR ´07 1
  3. 3. HLAVNÍ ZJIŠTĚNÍ Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou. Téměř pětina organizací hodnotí vlastní úroveň jako výbornou. Nejlépe se hodnotí společnosti v oblasti IT/telekomunikací a financí/bankovnictví. Tlak zákazníků má, ze všech sledovaných okolností, nejrychleji rostoucí význam na prosazování informační bezpečnosti. Roste zapojení vyššího managementu do řízení informační bezpečnosti. Vzrůstá diverzita odměňování pracovníků působících v oblasti informační bezpečnosti. Nejrychleji rostoucí kategorií odměňování jsou platy nad 70 tis. Kč a od 25 do 40 tis. Kč. Nejvíce postrádanými vlastnostmi pracovníků informační bezpečnosti jsou znalosti finančního řízení, manažerské a prezentační dovednosti. Roste role dedikovaných útvarů bezpečnosti, nicméně informační bezpečnost je v 70 % začleněna do úseků IS/IT. 80 % organizací nemá zaveden funkční program pro zvyšování bezpečnostního povědomí svých zaměstnanců. Přitom obecně nízké bezpečnostní povědomí je vnímáno jako nejvýznamnější překážka rychlejšího prosazování informační bezpečnosti u nás. Přes polovinu společností má definovanou a nejvyšším vedením přijatou bezpečnostní politiku. 45 % společností spoléhá při řízení informační bezpečnosti na interně vyvinuté standardy, ať již na lokální, či korporátní úrovni. Stále roste výskyt nevyžádané elektronické komunikace (SPAMu). V posledních dvou letech se s ním setkalo 92 % společností. Výpadky proudu zůstávají nejčastějším bezpečnostním incidentem. Selhání WAN je bezpečnostním incidentem s nejvyššími průměrnými přímými dopady ve výši 1,2 mil. Kč. Došlo ke skokovému nárůstu počtu společností, které mají vypracované a připravené plány obnovy funkčnosti informačních systémů. 68 % společností tyto plány testuje nejméně každé dva roky. Pětina společností nikdy neprovedla analýzu rizik IS. Řešení problematiky informační bezpečnosti ve spolupráci s externími firmami je běžný postup pro 60 % společností. Naprostá většina (80 %) společností nemá na informační bezpečnost vyhrazen finanční rozpočet. U organizací nad 1000 zaměstnanců došlo ve srovnání se situací v roce 2005 k poklesu poměru celkových ročních výdajů na bezpečnost v porovnání s celkovým rozpočtem na IS/IT. U menších organizací se tento poměr naopak zvýšil. Přes 60 % společností má, nebo plánuje mít, oblast informační bezpečnosti posouzenou externím subjektem. Pouze 6 % společností nepředpokládá v budoucnosti využití elektronického podpisu. 20 % společností však není schopno identifikovat výhody, které používání elektronického podpisu přináší. PSIB ÈR ´07 2
  4. 4. THE MAIN FINDINGS More than 80% of organizations rate their information security solution as at least good. Nearly every fifth organization evaluates its solution as excellent. Companies in the IT/telecommunications and finance/banking sectors express the highest satisfaction. Of all factors considered by the survey, customer pressure is perceived as the most important factor in the implementation of information security. Senior management involvement in assuring information security increases. Salaries of information security personnel are increasingly diversified; salaries exceeding CZK 70 thousand and salaries from CZK 25 thousand to CZK 40 thousand are the two most quickly growing categories. Financial management and management and presentation skills continue to be the most missing competences of information security personnel. Dedicated security departments start to play a more prominent role; however, IS/IT departments are still responsible for information security in 70% of organizations. 80% of organizations have not implemented a working program for increasing the security awareness of their employees yet. At the same time, low security awareness is perceived as a key obstacle hampering the implementation of information security in the Czech Republic. Every second organization has a security policy which has been documented and approved by top management. 45% of organizations use internal standards for information security management, developed either locally or at the corporate level. Unsolicited electronic emails (SPAM) are more frequent; 92% of organizations came across this type of security incident during the last two years. Power failures remain the most frequent security incident. WAN failures placed second in terms of direct financial impact, with average damages exceeding CZK 1.2 million. The number of organizations that have adopted a disaster recovery plan has shot up. 68% test such plans at least bi-annually. Every fifth company has never performed an IS risk analysis. 60% of organizations perceive outsourcing of information security solutions as a usual practice. An overwhelming majority (80%) of organizations does not have a dedicated information security budget. The share of annual information security expenditures of companies with more than 1000 employees in their total IS/IT budget has dropped compared to 2005. Small organizations show an opposite trend. Over 60% of organizations have, or are planning to have, their information security system assessed by an independent third party. Only 6% of organizations are not planning to use electronic signature in the future. However, 20% are unable to recognize the benefits that the use of electronic signature may bring. PSIB ÈR ´07 3
  5. 5. RESPONDENTI RESPONDENTS Cílem průzkumu je již od jeho prvního ročníku zmapovat situaci v oblasti informační bezpečnosti ve společnostech působících v České republice, které mají více než 100 zaměstnanců. Složení respondentů zůstává oproti minulému průzkumu v podstatě nezměněno a dává dobrou možnost srovnávat vývoj v oblasti informační bezpečnosti za poslední dva roky. Nejvíce jsou letos znovu zastoupeny společnosti do 500 zaměstnanců (59 %). Since the first year of its existence the survey has been aimed at mapping the information security situation in companies which operate in the Czech Republic and have more than 100 employees. The composition of respondents remains more or less the same as in the last survey and gives a good possibility to compare the developments in information security over the last two years. This year, companies having up to 500 employees are again represented most (59%). 19 % víc než 1000 zaměstnanců more than 1,000 employees 59 % 100 – 500 zaměstnanců 22 % 100 – 500 employees 501 – 1000 zaměstnanců 501 – 1,000 employees Graf 1: Distribuce respondentů podle počtu zaměstnanců Chart 1: Distribution of respondents by number of employees státní správa 16 % government administration strojírenství 13 % mechanical engineering jiná oblast 13 % other area chemie/zdravotnictví/farmacie 9% chemical industry/health care/pharmaceuticals zemědělství/potravinářství 7% agriculture/food industry prodej/poradenství/služby 6% sales/consultancy/services energetika/distribuční společnosti 6% energy industry/distribution companies IT/telekomunikace 6% IT/telecommunications stavební průmysl 5% building industry finance/bankovnictví 5% finance/banking doprava 4% transport textilní průmysl 4% textile industry elektrotechnika 4% electrical engineering dřevozpracující průmysl 2% wood-products industry Graf 2: Distribuce respondentů podle oboru působnosti Chart 2: Distribution of respondents by industry PSIB ÈR ´07 4
  6. 6. Státní správa zůstává nejsilněji zastoupeným oborem působnosti, následovaná strojírenstvím. V porovnání s rokem 2005 je odvětvová struktura respondentů v podstatě nezměněna. Government administration continues to be the most strongly represented respondent industry, followed by mechanical engineering industry. In comparison with the year 2005, an industry structure of the respondents remains unchanged. vedoucí oddělení IS/IT 42 % IS/IT department head ředitel IS/IT 15 % IS/IT manager ředitel/jednatel/majitel společnosti 13 % CEO/registered agent/owner specialista IS/IT 12 % IS/IT specialist specialista bezpečnosti 6% security specialist ředitel bezpečnosti 5% security manager jiná pozice 3% other position obchodní/technický/provozní/výrobní ředitel 2% sales/technical/operations/production manager ekonomický/finanční ředitel 2% financial manager Graf 3: Kdo za organizace odpovídal Chart 3: Who provided answers on behalf of organisations V 79 % případů odpovídali za společnosti pracovníci ve vedoucích pozicích. U 11 % respondentů pak odpovědi přišly od pracovníků zabývajících se primárně bezpečností. Naprostou převahu mají v tomto průzkumu, stejně jako v minulých letech, odpovědi od pracovníků IS/IT – celkem 69 %. Nicméně je to drobný pokles oproti předloňským třem čtvrtinám. Department heads on behalf of companies answered the questions in 79% of respondents. 11% of respondents was staff primarily involved in security. Similarly to previous years, the vast majority of answers to this survey, 69%, was provided by IS/IT staff. Despite this fact, this number indicates a slight drop in comparison with the three-fourths in the year before last. PSIB ÈR ´07 5
  7. 7. OUTSOURCING OUTSOURCING 64 % organizací, které se zúčastnily průzkumu, outsourcuje alespoň jednu část IS/IT – stejně jako v roce 2005 nejvíce internetové připojení. Z organizací, které nesvěřili část svého IS/IT třetí straně, jich má 58 % méně než 500 zaměstnanců. Lze se pouze dohadovat, kde jsou příčiny nevyužívání outsourcingu v tomto segmentu společností. Jedním z důvodů může být celkově relativně malá velikost IS/IT a neujasněnost pojmu „outsourcing“. Pokud jsou v těchto případech některé služby poskytovány externími subjekty, jedná se zpravidla o jednotlivé fyzické osoby a tyto vztahy pak nejsou chápány a označovány jako „outsourcing“. 64% of organizations, which took part in the survey, outsources at least one part of their IS/IT – most often, similarly to the year 2005, their Internet connectivity. Of the organizations that did not outsource any part of IS/IT, 58% has less than 500 employees. We can only speculate about the reasons why this segment of companies does not use outsourcing. One of the reasons can be a relatively small size of IS/IT as a whole and not clearly defined term quot;outsourcingquot;. If, in these cases, some services are provided by external entities, then these external entities are often individuals and the relationships with these individuals are not usually considered and designated as outsourcing. žádnou 36 % none jiná část 20 % other part internetové připojení 44 % internet connection provoz/údržba IS/IT 23 % IS/IT operation/maintenance finanční/účetní systém 11 % financial/accounting systems Graf 4: Jaké části IS/IT organizace outsourcují Chart 4: What parts of IS/IT do organisations outsource V této oblasti došlo k zásadní proměně situace. Prudce narostl podíl společností, které zjišťují, jaká je úroveň bezpečnosti u poskytovatele služeb. Zároveň velice vzrostl počet společností, které hodnotí bezpečnost poskytovatele služeb jako srovnatelnou, či vyšší než ve vlastní společnosti (dohromady 77 %). Toto je jedna z nejvíce pozitivních změn, které lze oproti roku 2005 vysledovat. This area underwent a radical change. The share of companies evaluating a security level of service provider sharply increased. Concurrently, the number of companies evaluating the security of service provider as comparable with or higher than their own information security (altogether 77%) significantly increased. This is one of the most favorable changes compared to 2005. 18 % tuto skutečnost nezjišťujeme 41 % we do not assess it 5% je nižší it is lower 2% 46 % je srovnatelná 34 % it is comparable 2007 31 % je vyšší 22 % it is higher 2005 Graf 4a: Hodnocení bezpečnosti poskytovatele outsourcingu Chart 4a: How is the security of outsourcing provider evaluated PSIB ÈR ´07 6
  8. 8. HODNOCENÍ INFORMAČNÍ BEZPEČNOSTI EVALUATING INFORMATION SECURITY Optimistický význam má i sebehodnocení respondentů při pohledu na vlastní řešení informační bezpečnosti. Již téměř pětina společností účastnících se průzkumu považuje úroveň informační bezpečnosti za výbornou. Zároveň poklesl podíl společností s „nízkou“ úrovní pod 20 %. An optimistic trend can also be noted in the self-evaluation of respondents with respect to their own solutions of information security. Almost one-fifth of companies participating in the survey evaluates the level of their own information security as excellent. Concurrently, the share of companies evaluating this level as low dropped below 20%. 1% nedostatečná úroveň 1% insufficient level 16 % nízká úroveň 20 % low level 65 % dobrá úroveň 69 % good level 2007 18 % výborná úroveň 10 % excellent level 2005 Graf 5: Jak organizace hodnotí vlastní úroveň řešení bezpečnosti Chart 5: How do organisations rate their own handing of security IT/telekomunikace 35 % 50 % 15 % IT/telecommunications finance/bankovnictví 33 % 67 % finance/banking stavební průmysl 65 % 12 % 24 % building industry doprava 21 % 58 % 21 % transport prodej/poradenství/služby 75 % 5% 20 % sales/constultancy/services dřevozpracující průmysl 60 % 20 % 20 % wood-products industry státní správa 64 % 17 % 19 % government administration elektrotechnika 83 % 17 % electrical engineering chemie/zdravotnictví/farmacie 65 % 16 % 19 % chemical industry/health care/pharmaceuticals strojírenství 58 % 28 % 14 % mechanical engineering jiná oblast 12 % 74 % 14 % other areas energetika/distribuční společnosti 70 % 20 % 10 % energy industry/distribution companies zemědělství/potravinářství 9% 32 % 59 % agriculture/food industry textilní průmysl 69 % 23 % 8% textile industry výborná úroveň dobrá úroveň nízká nebo nedostatečná úroveň excellent level good level low or insufficient level Graf 6: Hodnocení úrovně informační bezpečnosti podle oboru působnosti Chart 6: Evaluation of information security level by industry PSIB ÈR ´07 7
  9. 9. Pokud se podíváme na rozložení podle oboru působnosti, vidíme nejlepší sebehodnocení u IT/telekomunikací, financí/bankovnictví a u stavebního průmyslu. Zajímavá jsou srovnání s rokem 2005 – na výbornou se hodnotí o 17 procentních bodů více společností v IT/telekomunikacích, o 14 bodů ve stavebním průmyslu, o 20 ve dřevozpracujícím a o 17 v elektrotechnickém průmyslu. Nejvíce skeptičtí vůči úrovni řešení informační bezpečnosti jsou společnosti v zemědělství/potravinářství, textilním průmyslu a strojírenství. Taking into consideration the distribution by industry, organizations in IT/telecommunications, finance/banking and building sectors rate themselves as the best. Interesting are comparisons with the year 2005: the number of companies rating themselves as excellent increased by 17 percentage points in IT/telecommunications sector, by 14 percentage points in building sector, by 20 percentage points in wood-products industry and by 17 percentage points in electrical engineering industry. The most sceptical about the level of information security solution are companies from the agricultural/food, textile and machinery engineering industries. V pomyslném žebříčku oborů s vysokým významem informační bezpečnosti došlo oproti minulým letům k jedné zajímavé změně. Na druhé místo se dostala oblast chemie/zdravotnictví/farmacie a státní správa, s poklesem o 7 procentních bodů, „klesla“ na čtvrté místo. Compared to previous years, there was a remarkable change in imaginary ranking of industries with high importance of information security. The second position is now occupied by chemical/healthcare/pharmaceutical industries, while government administration dropped by 7 percentage points to the fourth position. finance/bankovnictví 89 % 11 % finance/banking chemie/zdravotnictví/farmacie 23 % 3% 74 % chemical industry/health care/pharmaceuticals IT/telekomunikace 71 % 24 % 5% IT/telecommunications státní správa 69 % 31 % government administration prodej/poradenství/služby 35 % 65 % sales/constultancy/services stavební průmysl 53 % 47 % building industry zemědělství/potravinářství 41 % 14 % 45 % agriculture/food industry energetika/distribuční společnosti 43 % 52 % 5% energy industry/distribution companies dřevozpracující průmysl 40 % 60 % wood-products doprava 50 % 14 % 36 % transport strojírenství 60 % 5% 35 % mechanical engineering jiná oblast 29 % 64 % 7% other areas elektrotechnika 8% 17 % 75 % electrical engineering textilní průmysl 8% 77 % 15 % textile industry význam malý význam velký význam significance low significance high significance Graf 7: Význam informační bezpečnosti podle oboru působnosti Chart 7: Importance of information security by industry PSIB ÈR ´07 8
  10. 10. V roce 2007 vidíme velmi zajímavý nárůst vnímání důležitosti tlaku zákazníků na prosazování informační bezpečnosti – 8 procentních bodů oproti roku 2005. Také výsledky provedených auditů (růst o 3 procentní body každé dva roky od r. 2003) a legislativní tlak v ČR jsou oblastmi zvýšené pozornosti respondentů. Naopak hrozby útoku a propojování informačních systémů směrem ven jsou, zdá se, částečně na ústupu. Stále však, spolu s rychlým vývojem v oblasti IT, představují jedny z nejdůležitějších faktorů ovlivňujících oblast informační bezpečnosti. In 2007 we can note a very interesting rise in perception of importance of customer pressure on information security implementation – by 8 percentage points compared to the year 2005. The audit results (growth by 3 percentage points every two years since 2003) and legislative pressure in the Czech Republic are in the centre of increased respondents' attention. The threat of attack and external connectivity of information systems seem to partially diminish. However, the above factors, together with rapid developments in IT area, are the most important factors influencing the information security. 47 % hrozba útoku threat of attack 55 % 43 % rychlý vývoj v oblasti IT fast IT developments 42 % 40 % propojování informačních systémů směrem ven connection of IS outside 48 % 26 % výsledky provedeného auditu/doporučení auditorů audit results/ auditors' recommendations 22 % 24 % propojování informačních systémů uvnitř organizace connection of IS within organisation 31 % 20 % legislativní tlak v ČR legislative pressure in the CR 16 % 18 % požadavky na mobilní zpracování informací mobile information processing requirements 18 % 17 % tlak/požadavky zákazníků customer pressure/requirements 9% 14 % tlak/požadavky ze strany investorů/akcionářů/vlastníků investor/shareholder/owner pressure/requirements 14 % 11 % hrozba negativní medializace threat of negative picture in media 10 % 9% řešení informační bezpečnosti u srovnatelných organizací information security solutions at peers 7% 7% hrozba finančních sankcí threat of financial sanctions 6% 7% tlak/požadavky obchodních partnerů business partners pressure/requirements 3% 6% e-business a/nebo e-commerce e-business and/or e-commerce 8% 2007 5% platná i připravovaná legislativa EU a Evropské měnové unie valid or prepared EU and European Monetary Union legislation 7% 2005 Graf 8: Okolnosti, které mají největší vliv na prosazování informační bezpečnosti Chart 8: Circumstances having the greatest impact on information security implementation PSIB ÈR ´07 9
  11. 11. ORGANIZAČNÍ ZABEZPEČENÍ ORGANISATIONAL SECURITY Přestože u téměř pětiny respondentů není zodpovědnost za informační bezpečnost jasně definována, je celkové vyznění odpovědí na tuto otázku a zejména pohled na změny oproti roku 2005 velmi pozitivní. Zodpovědnost je posunována na vyšší úrovně řízení a (byť mírně) klesá podíl společností, kde není za tuto oblast zodpovědnost definována. Although nearly one-fifth of respondents has no clearly defined responsibility for information security, a general tone of answers to this question and, in particular, view of changes are very positive compared to 2005. Responsibility is shifted to higher levels of management and the number of companies with no defined responsibility for this area drops (though only slightly). 19 % nikdo/není jasně definována zodpovědnost 25 % nobody/responsibility is not clearly defined 22 % specialista – nemanažerská pozice 22 % specialist – non-managerial position 13 % manažer – jiná úroveň řízení manager – other managerial level 9% 28 % manažer – úroveň vedení divize/odboru manager – head of division/section level 28 % 2007 18 % manažer – úroveň nejvyššího vedení manager – top management level 16 % 2005 Graf 9: Kdo je v organizacích zodpovědný za řešení informační bezpečnosti Chart 9: Who is responsible for information security solution Fakt, že narostl (o 5 procentních bodů) podíl pracovníků s platem nad 70 tis. Kč, můžeme dávat do souvislosti s posunem zodpovědností za tuto oblast do vyšších „manažerských pater“, spíše než s obecným zlepšováním odměňování pracovníků v oblasti informační bezpečnosti. 44 % specialistů IT, kteří se o informační bezpečnost starají, se řadí do kategorie „méně než 25 tis. Kč“. Zajímavé také je, že 32 % manažerů nejvyšší úrovně vedení, se zodpovědností za informační bezpečnost, spadá do kategorie 25 až 40 tis. Kč. The fact that the number of staff with salary above CZK 70 thousand increased (by 5 percentage points) can be associated with the shift of responsibilities for this area to the higher “management levels” rather than with a general improvement of remuneration of information security staff. 44% of IT specialists involved in information security ranks in category “less than CZK 25 thousand”. Interesting is that 32% of managers at the highest management level responsible for information security ranks in category “CZK 25 thousand to CZK 40 thousand”. 13 % více jak 70.000 Kč 8% more than CZK 70,000 4% 7% 55.001 – 70.000 Kč 16 % CZK 55,001 – 70,000 2% 19 % 40.001 – 55.000 Kč 16 % CZK 40,001 – 55,000 16 % 41 % 25.001 – 40.000 Kč 30 % CZK 25,001 – 40,000 49 % 2007 20 % méně než 25.000 Kč 2005 30 % less than CZK 25,000 29 % 2003 Graf 10: Hrubé průměrné měsíční finanční ohodnocení pracovníků v oblasti informační bezpečnosti Chart 10: Gross average monthly wages of information security staff PSIB ÈR ´07 10
  12. 12. Tři nejvíce ceněné oblasti znalostí a schopností pracovníků informační bezpečnosti zůstávají nezměněny – věcná znalost problematiky, technologické znalosti a flexibilita. Oproti letům 2003 a 2005 však vidíme zřetelný „ústup ze slávy“. V ostatních oblastech, vyjma „prezentačních dovedností“, se vnímání oproti minulému ročníku průzkumu v podstatě nezměnilo. Three most valued areas of knowledge and abilities of information security staff remain unchanged. These are factual knowledge of the related issues, technological knowledge and flexibility. However, we can see a marked “decline from the glory” compared to the years 2003 and 2005. In other areas, except for presentation skills, the perception almost did not change in comparison with the last survey. 64 % věcná znalost problematiky informační bezpečnosti 71 % understanding of information security issues 67 % 50 % technologické znalosti IS/IT 52 % technological IS/IT knowledge 65 % 46 % flexibilita a konstruktivní přístup k řešení problémů 52 % flexible and constructive approach to solving problems 61 % 31 % věcná znalost fungování vaší organizace 35 % understanding of the organisation's functions 35 % 31 % analytické schopnosti 33 % analytical skills 30 % 31 % schopnost efektivní komunikace s vedením organizace 29 % ability to communicate with management efectively 20 % 21 % manažerské schopnosti 23 % managerial skills 13 % 16 % prezentační dovednosti 12 % presentation skills 11 % 11 % schopnost řídit projekty 17 % project management 11 % 10 % znalost cizího jazyka 10 % foreign language skills 2% 3% 2007 znalost finančního řízení (rozpočtování) 8% 2005 financial management skills (budgeting) 0% 2003 Graf 11: Nejvíce ceněné znalosti a schopnosti pracovníků v oblasti informační bezpečnosti Chart 11: Most highly valued information security staff skills and abilities PSIB ÈR ´07 11
  13. 13. Znalosti finančního řízení a rozpočtování jsou evergreenem mezi postrádanými schopnostmi pracovníků, kteří se pohybují okolo informační bezpečnosti. Následují manažerské a prezentační dovednosti. S nadsázkou lze říci, „co Čech, to informačně bezpečnostní odborník“. Vypadá to, že se znalostmi této problematiky nemáme nejmenší problém. Tyto znalosti jsou nejvíce ceněny a nejsou vůbec postrádány. Financial management and budgeting knowledge are evergreens in lacked abilities of information security staff, followed by managerial and presentation skills. Said with exaggeration: “Every Czech is information security expert”. It seems that we do not have a slightest problem with knowledge of this issue. Such knowledge is mostly valued and is not lacked at all. 29 % znalost finančního řízení (rozpočtování) 37 % financial management skills (budgeting) 22 % 19 % manažerské schopnosti 21 % managerial skills 13 % 17 % prezentační dovednosti 33 % presentation skills 17 % 17 % schopnost efektivní komunikace s vedením organizace 23 % ability to communicate with management effectively 20 % 14 % znalost cizího jazyka 19 % foreign language skills 13 % 9% schopnost řídit projekty 15 % project management 4% 7% technologické znalosti IS/IT 15 % technological IS/IT knowledge 24 % 4% flexibilita a konstruktivní přístup k řešení problémů 2% flexible and constructive approach to solving problems 2% 3% věcná znalost fungování vaší organizace 8% understanding of the organisation's functions 9% 3% analytické schopnosti 2% analytical skills 2% 0% 2007 věcná znalost problematiky informační bezpečnosti 4% 2005 understanding of information security issues 7% 2003 Graf 12: Nejvíce postrádané znalosti a schopnosti pracovníků v oblasti informační bezpečnosti Chart 12: Skills and abilities most lacking in information security staff PSIB ÈR ´07 12
  14. 14. Na tomto místě již tradičně komentujeme začlenění problematiky informační bezpečnosti do organizačních struktur organizací účastnících se průzkumu. Přes určitý nárůst podílu firem, kde je tato oblast svěřena specializovanému útvaru bezpečnosti (8 % oproti pouhým 4 % v roce 2005), je stále naprosto převažujícím řešením svěřit řešení této problematiky útvaru IS/IT. At this point we traditionally make comments on information security integration into organizational structures of surveyed companies. In spite of a certain increase in the number of companies in which this area is delegated to a specialized security department (8% in comparison with 4% in 2005), absolutely the most typical solution is making the IS/IT department responsible for this area. útvar IS/IT 71 % IS/IT department žádný útvar 8% no department útvar bezpečnosti 8% security department ekonomický/finanční útvar 5% economic/financial department jiný útvar 4% other department útvar vnitřních/centrálních služeb 2% internal/central services department útvar kontroly/revize/auditu 2% control/review/audit department Graf 13: Útvar zodpovědný za informační bezpečnost Chart 13: Department responsible for information security Pokles respondentů, kteří nemají program pro zvyšování bezpečnostního povědomí svých zaměstnanců (nebo mají nefunkční program), je za dva roky v rozsahu statistické chyby (81 % oproti 83 %). Přesto roste optimistické hodnocení úrovně řešení informační bezpečnosti (viz. Graf 6). Přes třetinu společností považuje obecně nízké bezpečnostní povědomí za překážku rychlejšího prosazování informační bezpečnosti u nás (viz. Graf 35). Vyznění odpovědí na tuto otázku je tedy trochu rozporuplné – z nějakého důvodu se nedaří programy ke zvyšování bezpečnostního povědomí prosazovat v praxi. Tato skutečnost je vnímána jako problém, nicméně nebrání pozitivnímu hodnocení celé oblasti informační bezpečnosti. The decrease in the number respondents who have no program to heighten staff awareness of security (or have a program that does not work) falls within a statistical error range (81% compared to 83%) over the last two years. Yet, an optimistic evaluation of the quality of information security solutions increases (see Chart 6). More than one-third of companies considers a generally low security awareness to be an obstacle to a quicker implementation of information security in our country (see Chart 35). The tone of answers to this question is rather contradictory: for some reason the programs to heighten security awareness are not successfully implemented in practice and, though this fact is perceived as problem, it does not prevent respondents from evaluating the whole information security positively. 19 % ano a funkční yes and functioning 59 % 22 % ne/no ano, ale spíše nefunkční yes but rather non-functioning Graf 14: Existuje u organizací funkční program ke zvyšování bezpečnostního povědomí svých zaměstnanců? Chart 14: Do organizations have a functioning program to heighten employee awareness of security? PSIB ÈR ´07 13
  15. 15. BEZPEČNOSTNÍ POLITIKA A STANDARDY SECURITY POLICY AND STANDARDS Ročník 2007 je opravdu zlomový a plný optimistických údajů. Poprvé za celé konání těchto průzkumů se počet společností s formálně definovanou bezpečnostní politikou dostal přes 50 %. Při tomto tempu se, s nadsázkou řečeno, dostaneme na 100 % někdy okolo roku 2015. Už méně optimistické je konstatování, že 6 % společností hodnotí řešení své informační bezpečnosti na výbornou nebo dobrou bez toho, že u nich existovala bezpečnostní politika. Přístupy k této oblasti jsou velmi různorodé a je doporučeníhodná mimořádná flexibilita. Nicméně je velmi složité prosazovat jakákoliv bezpečnostní opatření bez existence zastřešující normy, jakou bezpečnostní politika je. The year 2007 is actually a break-through year, full of optimistic information. For the first time in the history of this survey, the number of companies having a formally defined security policy exceeded 50%. This speed can bring us to 100% sometime around the year 2015. The less optimistic fact is that 6% of companies evaluates their information security as excellent or good though they have no security policy in place. Approaches to this area are very mixed and an extraordinary flexibility is recommended. Nevertheless, it is very complicated to take any security measures without the existence of a general standard such as security policy. 65 % 57 % 54 % 53 % 52 % 48 % 47 % 46 % 43 % 35 % ano/yes ne/no 1999 2001 2003 2005 2007 Graf 15: Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku? Chart 15: Do organizations have a security policy that is formally defined and approved by senior management? „Zlatá střední cesta“ si zjevně získává stále více příznivců. Již téměř 60 % respondentů preferuje středně rozsáhlou bezpečnostní politiku. Zkušenosti společností zřejmě ukazují, že jak zvýšený počet bezpečnostních norem (model stručné politiky s dodatečnými výkladovými normami) i rozsáhlá zastřešující bezpečnostní politika jsou pro konečné uživatele zřejmě za hranou „stravitelnosti“. Navíc bez robustního programu pro zvyšování bezpečnostního povědomí je „kompromisní“ řešení nejlépe zdůvodnitelné. Obviously, the “golden mean” approach wins more and more sympathizers. Almost 60% of respondents now prefers a medium-scope security policy. The companies’ experience shows that an increased number of security standards (a concise policy model including additional interpretive standards) as well as broad general security policy are most probably beyond the level of acceptability by end-users. Moreover, a compromise is the best justifiable solution if no robust program to heighten security awareness exists. 11 % rozsáhlá/elaborated 31 % stručná/brief Graf 16: Charakteristika rozsahu bezpečnostní politiky Chart 16: Characteristics of security policy scope rozsáhlá – několik desítek stran, detailní popis všech oblastí elaborated – dozens of pages, detailed description of all areas 58 % stručná – cca do 3 stran, spíše deklarativní charakter střední/medium brief – approximately up to 3 pages, rather declarative nature střední – cca do 20 stran, podrobnější popis požadavků a organizačního zabezpečení medium – approximately up to 20 pages, quite detailed destription of requirements and security organisation PSIB ÈR ´07 14
  16. 16. Respondenti průzkumu jasně preferují interně vyvinuté standardy. Lze se jen dohadovat, do jaké míry jsou tyto normy odvozeny od některého z obecných bezpečnostních standardů. Použití ISO/IEC 17799/BS 7799 je stále na vzestupu (nárůst o 8 procentních bodů oproti roku 2005). Zajímavé je, že 41 % respondentů uvádí použití více než jednoho standardu. Nejčastěji jsou spojovány interní standardy se standardy řady ITIL a ISO/IEC 17799/BS 7799. The survey respondents clearly prefer internally developed standards. We can only speculate about the extent to what these standards are derived from any of general security standards. The use of ISO/IEC 17799/BS 7799 is growing (increase by 8 percentage points compared to the year 2005). It is interesting that 41% of respondents states using more than one standard. The internal standards are most often associated with the ITIL and ISO/IEC 17799/BS 7799 standards. interní standardy a směrnice vaší mateřské společnosti, či skupiny 45 % internal standards and policies from group or mother company ISO/IEC 17799/BS 7799 25 % ISO/IEC 17799/BS 7799 ITIL 11 % ITIL ISO/IEC TR 13335 10 % ISO/IEC TR 13335 jiný standard 8% other standard standardy a nařízení Evropské unie pro oblast bezpečnosti IS 6% European Union standards and directives for IS security COBIT 4% COBIT standard německého BSI 3% BSI Germany standards standardy a publikace NIST pro oblast bezpečnosti IS/IT 2% NIST IS/IT security standards and guidance Graf 17: Jaké využíváte mezinárodní standardy v oblasti informační bezpečnosti a/nebo IT governance při řešení informační bezpečnosti? Chart 17: What international standards apply to information security and/or IT governance when addressing information security issues? nevyžádaná elektronická pošta (SPAM) 92 % unsolicited electronic email (SPAM) výpadek proudu 86 % power failure porucha hardware 76 % hardware failure chyba uživatele 58 % user's fault počítačový virus 52 % computer virus chyba programového vybavení 47 % software error selhání LAN 41 % LAN failure selhání WAN 41 % WAN failure chyba administrátora nebo obsluhy 29 % administrator's or operator's fault krádež zařízení 23 % theft of equipment nepovolený přístup k datům – zevnitř 10 % unauthorized data access – internal zneužití zařízení rostoucí trend 6% misuse of equipment increasing trend přírodní katastrofa stejný trend 6% natural disaster equal trend nepovolený přístup k datům – zvenčí klesající trend 3% unauthorized data access – external decreasing trend Graf 18: Výskyt bezpečnostních incidentů za poslední dva roky a trend jejich výskytu Chart 18: Occurrence and trending of security incidents over the last two years SPAM zůstává bezkonkurenčně nejčastěji se vyskytujícím bezpečnostním incidentem. Dokonce zaznamenal nárůst celých 5 procentních bodů oproti roku 2005, kdy byla tato kategorie v rámci průzkumu poprvé sledována. V ostatních kategoriích nedochází k zásadním změnám, vyjma následujících dvou „zvratů“: selhání WAN poskočilo o 7 procentních bodů oproti roku 2005 a lze říci, že od roku 1999 výskyt těchto incidentů stále lehce stoupá. Je však pravděpodobné, že tento trend je spíš odrazem rozšiřujícího se využívání WAN sítí, než jejich vzrůstající chybovosti. Je zajímavé, že výskyt počítačových virů se dostal na hranici 50 % (pokles o 22 procentních bodů oproti roku 2005), kde byl naposledy v roce 1999. PSIB ÈR ´07 15
  17. 17. Undoubtedly, SPAM remains the most frequently occurring security incident. It even scored the whole 5 percentage points compared to the year 2005 when this category was monitored in the survey for the first time. Other categories experienced no principal changes except for the following two turnouts. Failure of WAN jumped 7 percentage points compared to the year 2005 and the occurrence of these incidents has been showing a continuous slight increase since 1999. However, it is likely that this trend rather reflects an expanding use of WAN networks than their increasing failures. Interestingly, the occurrence of computer viruses reached 50% (decrease by 22 percentage points compared to the year 2005), i.e. the level of the year 1999. nevyžádaná elektronická pošta (SPAM) 92 % 86 % unsolicited electronic email (SPAM) 86 % 85 % výpadek proudu 89 % power failure 85 % 91 % 76 % 78 % porucha hardware 77 % hardware failure 74 % 79 % 58 % 59 % chyba uživatele 60 % user's fault 61 % 48 % 52 % 74 % počítačový virus 79 % computer virus 71 % 55 % 47 % 49 % chyba programového vybavení 48 % software error 48 % 54 % 41 % 43 % selhání LAN 44 % LAN failure 40 % 55 % 41 % 34 % selhání WAN 35 % WAN failure 32 % 30 % 29 % 30 % chyba administrátora nebo obsluhy 25 % administrator's or operator's fault 26 % 33 % 23 % 22 % krádež zařízení 17 % theft of equipment 17 % 28 % 10 % 9% nepovolený přístup k datům – zevnitř 9% unauthorized data access – internal 10 % 2007 10 % 2005 6 % 6 % zneužití zařízení 2003 6 % misuse of equipment 6 % 2001 6 % 1999 6% 5% přírodní katastrofa 20 % natural disaster 5% 17 % 3% 3% nepovolený přístup k datům – zvenčí Graf 19: Výskyt bezpečnostních incidentů za posledních 8 let 7% unauthorized data access – external 6% Chart 19: Occurrence of security incidents over the last eight years 2% Můžeme asi jen spekulovat o „dospělosti“, širokém nasazení antivirových technologií, standardizaci virových útoků a dalších faktorech, které tento dramatický pokles mohou, ale nemusí, mít na svědomí. Bude zajímavé sledovat, zda se tento trend za dva roky potvrdí. We can only speculate about the “maturity”, broad application of antivirus technologies, standardization of virus attacks and other factors that may/may not cause this dramatic decrease. We will monitor whether this trend will be confirmed in two years. PSIB ÈR ´07 16
  18. 18. Ústup virů ze „slávy“ vidíme i na vnímání nejzávažnějších bezpečnostních incidentů. Sportovní hantýrkou řečeno se viry propadly z vedoucí skupinky někam na konec pelotonu. Výpadek proudu a porucha hardware zůstávají stálicemi a i v tomto ročníku se „dostaly na bednu“. A decline of viruses from the glory has also an impact on the perception of the most serious security incidents. Using the sports terminology: viruses stepped down from the head of the field. Blackout and hardware failure are evergreens and they again mounted the winners rostrum. výpadek proudu 35 % power failure porucha hardware 24 % hardware failure chyba programového vybavení 9% software error nevyžádaná elektronická pošta (SPAM) 7% unsolicited electronic email (SPAM) selhání WAN 6% WAN failure selhání LAN 6% LAN failure chyba administrátora nebo obsluhy 3% administrator's or operator's fault počítačový virus 2% computer virus chyba uživatele 2% user's fault přírodní katastrofa 2% natural disaster nepovolený přístup k datům – zevnitř 2% unauthorized data access – internal krádež zařízení 2% theft of equipment Graf 20: Bezpečnostní incidenty s nejzávažnějším dopadem Chart 20: Security incidents and the most serious impact Pro zvýšení vypovídací schopnosti údajů jsme zařadili do této tabulky pouze ty incidenty, u kterých alespoň 6 respondentů uvedlo přímý finanční dopad. Dopady bezpečnostních incidentů zaznamenaly řádový skok oproti roku 2005. Jedná se o náhodný výkyv, zlepšené metody pro sledování a vyčíslování dopadů incidentů nebo nový trend? Na tuto otázku nám bude muset odpovědět až příští ročník průzkumu a diskuse, které nad těmito údaji budeme v mezičase vést. U technologií WAN se nabízí stejné vysvětlení, jaké jsme zmínili již v komentáři ke Grafu 18 – velké rozšíření a masové nasazování s sebou nese zvýšenou závislost, vyšší rizika a nárůst potenciálních dopadů. To enhance an informative value, we only put in this table the incidents for which at least six respondents noted a direct financial impact. Impacts of security incidents recorded a several-order jump compared to the year 2005. Is this an accidental fluctuation, improved methods of monitoring or quantification of incident impacts or new trend? This question will be answered in the next survey and in discussions about this information that we will meanwhile conduct. With respect to WAN technologies, the same explanation suggests itself as that we mentioned in our commentary on Chart 18 – wide spread out and mass utilization carry an increased dependency, higher risks and increase in potential impacts. selhání WAN 1 200 000 Kč WAN failure chyba programového vybavení 1 000 000 Kč software error výpadek proudu 260 000 Kč power failure krádež zařízení 225 000 Kč theft of equipment porucha hardware 200 000 Kč hardware failure nevyžádaná elektronická pošta (SPAM) 160 000 Kč unsolicited electronic email (SPAM) selhání LAN 80 000 Kč LAN failure Tabulka 1: Průměrné přímé finanční dopady nejvážnějších bezpečnostních incidentů Table 1: Average direct financial impacts of the most serious security incidents PSIB ÈR ´07 17

×