Your SlideShare is downloading. ×
  • Like
  • Save
Information Security Survey in Czech Republic 2007
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Information Security Survey in Czech Republic 2007

  • 1,252 views
Published

It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such …

It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such
survey to be performed. The survey has been mapping the situation and developments in information security
since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results
and structure. Some survey questions have already lost their sense, and we have let them retire.
On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and
monitor – for example, the advent of SPAM, outsourcing or new security standards.

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,252
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. PSIB ÈR ´07 ® Prùzkum stavu informaèní bezpeènosti v ÈR 2007 Information Security Survey in Czech Republic 2007
  • 2. PRŮZKUM STAVU INFORMAČNÍ BEZPEČNOSTI V ČR 2007 INFORMATION SECURITY SURVEY IN CZECH REPUBLIC 2007 Zdá se to neuvěřitelné, ale letošní průzkum stavu informační bezpečnosti v ČR je již pátým v pořadí. Průzkum mapuje stav a vývoj informační bezpečnosti už od roku 1999, a to je v této oblasti už velmi dlouhá doba. Na výsledcích průzkumu, ale i jeho struktuře, je to velmi dobře znát. Některé otázky průzkumu se již vnitřně vyčerpaly a rozhodli jsme se umožnit jim zasloužený odpočinek. Na druhou stranu se IS/IT komunita potýká s novými výzvami, které se snaží průzkum mapovat a sledovat – zmiňme alespoň nástup SPAMu, outsourcing, či nové bezpečnostní standardy. It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such survey to be performed. The survey has been mapping the situation and developments in information security since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results and structure. Some survey questions have already lost their sense, and we have let them retire. On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and monitor – for example, the advent of SPAM, outsourcing or new security standards. Letošní ročník se nese obecně v optimistickém duchu. Přípravy a aktualizace plánů obnovy funkčnosti, přijímání bezpečnostních politik nebo nezávislé externí posuzování informační bezpečnosti jsou dnes pro většinu společností samozřejmou součástí řízení informační bezpečnosti. Také používání elektronického podpisu zažívá, podle účastníků průzkumu, v tomto roce raketový růst. A konečně i sebehodnocení úrovně řešení bezpečnosti samotnými respondenty je zase o kousek pozitivnější než v roce 2005. This year's survey is characterised by its optimism. Recovery plan preparation and updating, security policy implementation or independent expert appraisals of information security are an organic part of information security management for most companies these days. According to the survey respondents, use of the electronic signature is booming this year. And finally, a self-evaluation by respondents of the level of their information security system is a little more optimistic than in 2005. Průzkum má ale také své „stálice“, které ukazují, že budování a řešení informační bezpečnosti není úkol, ale celoživotní mise. Existence rozpočtů na informační bezpečnost je pořád ještě spíše výjimkou, a jednou z hlavních postrádaných vlastností pracovníků informační bezpečnosti jsou stále znalosti finančního řízení. Tvrdošíjně také lpíme na zařazení bezpečnosti do útvarů IS/IT. Obecné bezpečnostní povědomí nás trápí již od počátků průzkumu, ale zatím jsme asi nenašli způsob jak s ním bojovat. Of course, the survey has its old standbys, proving that the development and treatment of information security are not tasks, but a lifelong mission. Standalone budgets for information security are still very rare and one ability that most information security staff still lack continues to be knowledge of financial management. Moreover, we are tenaciously sticking to the idea that security should be a part of IS/IT departments. The issue of general security awareness has been troubling us since the first survey was launched and we have not yet found a way to resolve it. Letošní průzkum je zkrátka opět plný zajímavých informací, které nám pomáhají udělat si obrázek o tom, kam jsme se, a v jakém stavu, se zaváděním informační bezpečnosti v ČR dostali. Pokud je možné vypůjčit si terminologii z oblasti výtvarného umění, je to však obrázek spíše abstraktní, který nabízí více způsobů výkladu a při každém dalším pohledu přináší nová překvapení, možné souvislosti, významy a náměty k diskusím. Příjemný „umělecký“ zážitek vám přejí partneři, kteří se podíleli na vzniku letošního průzkumu: Ernst & Young, Národní bezpečnostní úřad a časopis DSM - data security management. Simply put, this year's survey is again full of interesting information that helps us draw a picture of the situation and the progress made in information security implementation in the Czech Republic. Expressed in the terminology of the visual arts, this picture is rather abstract, providing for multiple interpretations and yielding surprising new insights, potential connections, meanings and topics for discussion with every subsequent look. The partners involved in the creation of this year's survey wish you a pleasant “artistic“ experience: Ernst & Young, National Security Agency and DSM - data security management and. PSIB ÈR ´07 1
  • 3. HLAVNÍ ZJIŠTĚNÍ Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou. Téměř pětina organizací hodnotí vlastní úroveň jako výbornou. Nejlépe se hodnotí společnosti v oblasti IT/telekomunikací a financí/bankovnictví. Tlak zákazníků má, ze všech sledovaných okolností, nejrychleji rostoucí význam na prosazování informační bezpečnosti. Roste zapojení vyššího managementu do řízení informační bezpečnosti. Vzrůstá diverzita odměňování pracovníků působících v oblasti informační bezpečnosti. Nejrychleji rostoucí kategorií odměňování jsou platy nad 70 tis. Kč a od 25 do 40 tis. Kč. Nejvíce postrádanými vlastnostmi pracovníků informační bezpečnosti jsou znalosti finančního řízení, manažerské a prezentační dovednosti. Roste role dedikovaných útvarů bezpečnosti, nicméně informační bezpečnost je v 70 % začleněna do úseků IS/IT. 80 % organizací nemá zaveden funkční program pro zvyšování bezpečnostního povědomí svých zaměstnanců. Přitom obecně nízké bezpečnostní povědomí je vnímáno jako nejvýznamnější překážka rychlejšího prosazování informační bezpečnosti u nás. Přes polovinu společností má definovanou a nejvyšším vedením přijatou bezpečnostní politiku. 45 % společností spoléhá při řízení informační bezpečnosti na interně vyvinuté standardy, ať již na lokální, či korporátní úrovni. Stále roste výskyt nevyžádané elektronické komunikace (SPAMu). V posledních dvou letech se s ním setkalo 92 % společností. Výpadky proudu zůstávají nejčastějším bezpečnostním incidentem. Selhání WAN je bezpečnostním incidentem s nejvyššími průměrnými přímými dopady ve výši 1,2 mil. Kč. Došlo ke skokovému nárůstu počtu společností, které mají vypracované a připravené plány obnovy funkčnosti informačních systémů. 68 % společností tyto plány testuje nejméně každé dva roky. Pětina společností nikdy neprovedla analýzu rizik IS. Řešení problematiky informační bezpečnosti ve spolupráci s externími firmami je běžný postup pro 60 % společností. Naprostá většina (80 %) společností nemá na informační bezpečnost vyhrazen finanční rozpočet. U organizací nad 1000 zaměstnanců došlo ve srovnání se situací v roce 2005 k poklesu poměru celkových ročních výdajů na bezpečnost v porovnání s celkovým rozpočtem na IS/IT. U menších organizací se tento poměr naopak zvýšil. Přes 60 % společností má, nebo plánuje mít, oblast informační bezpečnosti posouzenou externím subjektem. Pouze 6 % společností nepředpokládá v budoucnosti využití elektronického podpisu. 20 % společností však není schopno identifikovat výhody, které používání elektronického podpisu přináší. PSIB ÈR ´07 2
  • 4. THE MAIN FINDINGS More than 80% of organizations rate their information security solution as at least good. Nearly every fifth organization evaluates its solution as excellent. Companies in the IT/telecommunications and finance/banking sectors express the highest satisfaction. Of all factors considered by the survey, customer pressure is perceived as the most important factor in the implementation of information security. Senior management involvement in assuring information security increases. Salaries of information security personnel are increasingly diversified; salaries exceeding CZK 70 thousand and salaries from CZK 25 thousand to CZK 40 thousand are the two most quickly growing categories. Financial management and management and presentation skills continue to be the most missing competences of information security personnel. Dedicated security departments start to play a more prominent role; however, IS/IT departments are still responsible for information security in 70% of organizations. 80% of organizations have not implemented a working program for increasing the security awareness of their employees yet. At the same time, low security awareness is perceived as a key obstacle hampering the implementation of information security in the Czech Republic. Every second organization has a security policy which has been documented and approved by top management. 45% of organizations use internal standards for information security management, developed either locally or at the corporate level. Unsolicited electronic emails (SPAM) are more frequent; 92% of organizations came across this type of security incident during the last two years. Power failures remain the most frequent security incident. WAN failures placed second in terms of direct financial impact, with average damages exceeding CZK 1.2 million. The number of organizations that have adopted a disaster recovery plan has shot up. 68% test such plans at least bi-annually. Every fifth company has never performed an IS risk analysis. 60% of organizations perceive outsourcing of information security solutions as a usual practice. An overwhelming majority (80%) of organizations does not have a dedicated information security budget. The share of annual information security expenditures of companies with more than 1000 employees in their total IS/IT budget has dropped compared to 2005. Small organizations show an opposite trend. Over 60% of organizations have, or are planning to have, their information security system assessed by an independent third party. Only 6% of organizations are not planning to use electronic signature in the future. However, 20% are unable to recognize the benefits that the use of electronic signature may bring. PSIB ÈR ´07 3
  • 5. RESPONDENTI RESPONDENTS Cílem průzkumu je již od jeho prvního ročníku zmapovat situaci v oblasti informační bezpečnosti ve společnostech působících v České republice, které mají více než 100 zaměstnanců. Složení respondentů zůstává oproti minulému průzkumu v podstatě nezměněno a dává dobrou možnost srovnávat vývoj v oblasti informační bezpečnosti za poslední dva roky. Nejvíce jsou letos znovu zastoupeny společnosti do 500 zaměstnanců (59 %). Since the first year of its existence the survey has been aimed at mapping the information security situation in companies which operate in the Czech Republic and have more than 100 employees. The composition of respondents remains more or less the same as in the last survey and gives a good possibility to compare the developments in information security over the last two years. This year, companies having up to 500 employees are again represented most (59%). 19 % víc než 1000 zaměstnanců more than 1,000 employees 59 % 100 – 500 zaměstnanců 22 % 100 – 500 employees 501 – 1000 zaměstnanců 501 – 1,000 employees Graf 1: Distribuce respondentů podle počtu zaměstnanců Chart 1: Distribution of respondents by number of employees státní správa 16 % government administration strojírenství 13 % mechanical engineering jiná oblast 13 % other area chemie/zdravotnictví/farmacie 9% chemical industry/health care/pharmaceuticals zemědělství/potravinářství 7% agriculture/food industry prodej/poradenství/služby 6% sales/consultancy/services energetika/distribuční společnosti 6% energy industry/distribution companies IT/telekomunikace 6% IT/telecommunications stavební průmysl 5% building industry finance/bankovnictví 5% finance/banking doprava 4% transport textilní průmysl 4% textile industry elektrotechnika 4% electrical engineering dřevozpracující průmysl 2% wood-products industry Graf 2: Distribuce respondentů podle oboru působnosti Chart 2: Distribution of respondents by industry PSIB ÈR ´07 4
  • 6. Státní správa zůstává nejsilněji zastoupeným oborem působnosti, následovaná strojírenstvím. V porovnání s rokem 2005 je odvětvová struktura respondentů v podstatě nezměněna. Government administration continues to be the most strongly represented respondent industry, followed by mechanical engineering industry. In comparison with the year 2005, an industry structure of the respondents remains unchanged. vedoucí oddělení IS/IT 42 % IS/IT department head ředitel IS/IT 15 % IS/IT manager ředitel/jednatel/majitel společnosti 13 % CEO/registered agent/owner specialista IS/IT 12 % IS/IT specialist specialista bezpečnosti 6% security specialist ředitel bezpečnosti 5% security manager jiná pozice 3% other position obchodní/technický/provozní/výrobní ředitel 2% sales/technical/operations/production manager ekonomický/finanční ředitel 2% financial manager Graf 3: Kdo za organizace odpovídal Chart 3: Who provided answers on behalf of organisations V 79 % případů odpovídali za společnosti pracovníci ve vedoucích pozicích. U 11 % respondentů pak odpovědi přišly od pracovníků zabývajících se primárně bezpečností. Naprostou převahu mají v tomto průzkumu, stejně jako v minulých letech, odpovědi od pracovníků IS/IT – celkem 69 %. Nicméně je to drobný pokles oproti předloňským třem čtvrtinám. Department heads on behalf of companies answered the questions in 79% of respondents. 11% of respondents was staff primarily involved in security. Similarly to previous years, the vast majority of answers to this survey, 69%, was provided by IS/IT staff. Despite this fact, this number indicates a slight drop in comparison with the three-fourths in the year before last. PSIB ÈR ´07 5
  • 7. OUTSOURCING OUTSOURCING 64 % organizací, které se zúčastnily průzkumu, outsourcuje alespoň jednu část IS/IT – stejně jako v roce 2005 nejvíce internetové připojení. Z organizací, které nesvěřili část svého IS/IT třetí straně, jich má 58 % méně než 500 zaměstnanců. Lze se pouze dohadovat, kde jsou příčiny nevyužívání outsourcingu v tomto segmentu společností. Jedním z důvodů může být celkově relativně malá velikost IS/IT a neujasněnost pojmu „outsourcing“. Pokud jsou v těchto případech některé služby poskytovány externími subjekty, jedná se zpravidla o jednotlivé fyzické osoby a tyto vztahy pak nejsou chápány a označovány jako „outsourcing“. 64% of organizations, which took part in the survey, outsources at least one part of their IS/IT – most often, similarly to the year 2005, their Internet connectivity. Of the organizations that did not outsource any part of IS/IT, 58% has less than 500 employees. We can only speculate about the reasons why this segment of companies does not use outsourcing. One of the reasons can be a relatively small size of IS/IT as a whole and not clearly defined term quot;outsourcingquot;. If, in these cases, some services are provided by external entities, then these external entities are often individuals and the relationships with these individuals are not usually considered and designated as outsourcing. žádnou 36 % none jiná část 20 % other part internetové připojení 44 % internet connection provoz/údržba IS/IT 23 % IS/IT operation/maintenance finanční/účetní systém 11 % financial/accounting systems Graf 4: Jaké části IS/IT organizace outsourcují Chart 4: What parts of IS/IT do organisations outsource V této oblasti došlo k zásadní proměně situace. Prudce narostl podíl společností, které zjišťují, jaká je úroveň bezpečnosti u poskytovatele služeb. Zároveň velice vzrostl počet společností, které hodnotí bezpečnost poskytovatele služeb jako srovnatelnou, či vyšší než ve vlastní společnosti (dohromady 77 %). Toto je jedna z nejvíce pozitivních změn, které lze oproti roku 2005 vysledovat. This area underwent a radical change. The share of companies evaluating a security level of service provider sharply increased. Concurrently, the number of companies evaluating the security of service provider as comparable with or higher than their own information security (altogether 77%) significantly increased. This is one of the most favorable changes compared to 2005. 18 % tuto skutečnost nezjišťujeme 41 % we do not assess it 5% je nižší it is lower 2% 46 % je srovnatelná 34 % it is comparable 2007 31 % je vyšší 22 % it is higher 2005 Graf 4a: Hodnocení bezpečnosti poskytovatele outsourcingu Chart 4a: How is the security of outsourcing provider evaluated PSIB ÈR ´07 6
  • 8. HODNOCENÍ INFORMAČNÍ BEZPEČNOSTI EVALUATING INFORMATION SECURITY Optimistický význam má i sebehodnocení respondentů při pohledu na vlastní řešení informační bezpečnosti. Již téměř pětina společností účastnících se průzkumu považuje úroveň informační bezpečnosti za výbornou. Zároveň poklesl podíl společností s „nízkou“ úrovní pod 20 %. An optimistic trend can also be noted in the self-evaluation of respondents with respect to their own solutions of information security. Almost one-fifth of companies participating in the survey evaluates the level of their own information security as excellent. Concurrently, the share of companies evaluating this level as low dropped below 20%. 1% nedostatečná úroveň 1% insufficient level 16 % nízká úroveň 20 % low level 65 % dobrá úroveň 69 % good level 2007 18 % výborná úroveň 10 % excellent level 2005 Graf 5: Jak organizace hodnotí vlastní úroveň řešení bezpečnosti Chart 5: How do organisations rate their own handing of security IT/telekomunikace 35 % 50 % 15 % IT/telecommunications finance/bankovnictví 33 % 67 % finance/banking stavební průmysl 65 % 12 % 24 % building industry doprava 21 % 58 % 21 % transport prodej/poradenství/služby 75 % 5% 20 % sales/constultancy/services dřevozpracující průmysl 60 % 20 % 20 % wood-products industry státní správa 64 % 17 % 19 % government administration elektrotechnika 83 % 17 % electrical engineering chemie/zdravotnictví/farmacie 65 % 16 % 19 % chemical industry/health care/pharmaceuticals strojírenství 58 % 28 % 14 % mechanical engineering jiná oblast 12 % 74 % 14 % other areas energetika/distribuční společnosti 70 % 20 % 10 % energy industry/distribution companies zemědělství/potravinářství 9% 32 % 59 % agriculture/food industry textilní průmysl 69 % 23 % 8% textile industry výborná úroveň dobrá úroveň nízká nebo nedostatečná úroveň excellent level good level low or insufficient level Graf 6: Hodnocení úrovně informační bezpečnosti podle oboru působnosti Chart 6: Evaluation of information security level by industry PSIB ÈR ´07 7
  • 9. Pokud se podíváme na rozložení podle oboru působnosti, vidíme nejlepší sebehodnocení u IT/telekomunikací, financí/bankovnictví a u stavebního průmyslu. Zajímavá jsou srovnání s rokem 2005 – na výbornou se hodnotí o 17 procentních bodů více společností v IT/telekomunikacích, o 14 bodů ve stavebním průmyslu, o 20 ve dřevozpracujícím a o 17 v elektrotechnickém průmyslu. Nejvíce skeptičtí vůči úrovni řešení informační bezpečnosti jsou společnosti v zemědělství/potravinářství, textilním průmyslu a strojírenství. Taking into consideration the distribution by industry, organizations in IT/telecommunications, finance/banking and building sectors rate themselves as the best. Interesting are comparisons with the year 2005: the number of companies rating themselves as excellent increased by 17 percentage points in IT/telecommunications sector, by 14 percentage points in building sector, by 20 percentage points in wood-products industry and by 17 percentage points in electrical engineering industry. The most sceptical about the level of information security solution are companies from the agricultural/food, textile and machinery engineering industries. V pomyslném žebříčku oborů s vysokým významem informační bezpečnosti došlo oproti minulým letům k jedné zajímavé změně. Na druhé místo se dostala oblast chemie/zdravotnictví/farmacie a státní správa, s poklesem o 7 procentních bodů, „klesla“ na čtvrté místo. Compared to previous years, there was a remarkable change in imaginary ranking of industries with high importance of information security. The second position is now occupied by chemical/healthcare/pharmaceutical industries, while government administration dropped by 7 percentage points to the fourth position. finance/bankovnictví 89 % 11 % finance/banking chemie/zdravotnictví/farmacie 23 % 3% 74 % chemical industry/health care/pharmaceuticals IT/telekomunikace 71 % 24 % 5% IT/telecommunications státní správa 69 % 31 % government administration prodej/poradenství/služby 35 % 65 % sales/constultancy/services stavební průmysl 53 % 47 % building industry zemědělství/potravinářství 41 % 14 % 45 % agriculture/food industry energetika/distribuční společnosti 43 % 52 % 5% energy industry/distribution companies dřevozpracující průmysl 40 % 60 % wood-products doprava 50 % 14 % 36 % transport strojírenství 60 % 5% 35 % mechanical engineering jiná oblast 29 % 64 % 7% other areas elektrotechnika 8% 17 % 75 % electrical engineering textilní průmysl 8% 77 % 15 % textile industry význam malý význam velký význam significance low significance high significance Graf 7: Význam informační bezpečnosti podle oboru působnosti Chart 7: Importance of information security by industry PSIB ÈR ´07 8
  • 10. V roce 2007 vidíme velmi zajímavý nárůst vnímání důležitosti tlaku zákazníků na prosazování informační bezpečnosti – 8 procentních bodů oproti roku 2005. Také výsledky provedených auditů (růst o 3 procentní body každé dva roky od r. 2003) a legislativní tlak v ČR jsou oblastmi zvýšené pozornosti respondentů. Naopak hrozby útoku a propojování informačních systémů směrem ven jsou, zdá se, částečně na ústupu. Stále však, spolu s rychlým vývojem v oblasti IT, představují jedny z nejdůležitějších faktorů ovlivňujících oblast informační bezpečnosti. In 2007 we can note a very interesting rise in perception of importance of customer pressure on information security implementation – by 8 percentage points compared to the year 2005. The audit results (growth by 3 percentage points every two years since 2003) and legislative pressure in the Czech Republic are in the centre of increased respondents' attention. The threat of attack and external connectivity of information systems seem to partially diminish. However, the above factors, together with rapid developments in IT area, are the most important factors influencing the information security. 47 % hrozba útoku threat of attack 55 % 43 % rychlý vývoj v oblasti IT fast IT developments 42 % 40 % propojování informačních systémů směrem ven connection of IS outside 48 % 26 % výsledky provedeného auditu/doporučení auditorů audit results/ auditors' recommendations 22 % 24 % propojování informačních systémů uvnitř organizace connection of IS within organisation 31 % 20 % legislativní tlak v ČR legislative pressure in the CR 16 % 18 % požadavky na mobilní zpracování informací mobile information processing requirements 18 % 17 % tlak/požadavky zákazníků customer pressure/requirements 9% 14 % tlak/požadavky ze strany investorů/akcionářů/vlastníků investor/shareholder/owner pressure/requirements 14 % 11 % hrozba negativní medializace threat of negative picture in media 10 % 9% řešení informační bezpečnosti u srovnatelných organizací information security solutions at peers 7% 7% hrozba finančních sankcí threat of financial sanctions 6% 7% tlak/požadavky obchodních partnerů business partners pressure/requirements 3% 6% e-business a/nebo e-commerce e-business and/or e-commerce 8% 2007 5% platná i připravovaná legislativa EU a Evropské měnové unie valid or prepared EU and European Monetary Union legislation 7% 2005 Graf 8: Okolnosti, které mají největší vliv na prosazování informační bezpečnosti Chart 8: Circumstances having the greatest impact on information security implementation PSIB ÈR ´07 9
  • 11. ORGANIZAČNÍ ZABEZPEČENÍ ORGANISATIONAL SECURITY Přestože u téměř pětiny respondentů není zodpovědnost za informační bezpečnost jasně definována, je celkové vyznění odpovědí na tuto otázku a zejména pohled na změny oproti roku 2005 velmi pozitivní. Zodpovědnost je posunována na vyšší úrovně řízení a (byť mírně) klesá podíl společností, kde není za tuto oblast zodpovědnost definována. Although nearly one-fifth of respondents has no clearly defined responsibility for information security, a general tone of answers to this question and, in particular, view of changes are very positive compared to 2005. Responsibility is shifted to higher levels of management and the number of companies with no defined responsibility for this area drops (though only slightly). 19 % nikdo/není jasně definována zodpovědnost 25 % nobody/responsibility is not clearly defined 22 % specialista – nemanažerská pozice 22 % specialist – non-managerial position 13 % manažer – jiná úroveň řízení manager – other managerial level 9% 28 % manažer – úroveň vedení divize/odboru manager – head of division/section level 28 % 2007 18 % manažer – úroveň nejvyššího vedení manager – top management level 16 % 2005 Graf 9: Kdo je v organizacích zodpovědný za řešení informační bezpečnosti Chart 9: Who is responsible for information security solution Fakt, že narostl (o 5 procentních bodů) podíl pracovníků s platem nad 70 tis. Kč, můžeme dávat do souvislosti s posunem zodpovědností za tuto oblast do vyšších „manažerských pater“, spíše než s obecným zlepšováním odměňování pracovníků v oblasti informační bezpečnosti. 44 % specialistů IT, kteří se o informační bezpečnost starají, se řadí do kategorie „méně než 25 tis. Kč“. Zajímavé také je, že 32 % manažerů nejvyšší úrovně vedení, se zodpovědností za informační bezpečnost, spadá do kategorie 25 až 40 tis. Kč. The fact that the number of staff with salary above CZK 70 thousand increased (by 5 percentage points) can be associated with the shift of responsibilities for this area to the higher “management levels” rather than with a general improvement of remuneration of information security staff. 44% of IT specialists involved in information security ranks in category “less than CZK 25 thousand”. Interesting is that 32% of managers at the highest management level responsible for information security ranks in category “CZK 25 thousand to CZK 40 thousand”. 13 % více jak 70.000 Kč 8% more than CZK 70,000 4% 7% 55.001 – 70.000 Kč 16 % CZK 55,001 – 70,000 2% 19 % 40.001 – 55.000 Kč 16 % CZK 40,001 – 55,000 16 % 41 % 25.001 – 40.000 Kč 30 % CZK 25,001 – 40,000 49 % 2007 20 % méně než 25.000 Kč 2005 30 % less than CZK 25,000 29 % 2003 Graf 10: Hrubé průměrné měsíční finanční ohodnocení pracovníků v oblasti informační bezpečnosti Chart 10: Gross average monthly wages of information security staff PSIB ÈR ´07 10
  • 12. Tři nejvíce ceněné oblasti znalostí a schopností pracovníků informační bezpečnosti zůstávají nezměněny – věcná znalost problematiky, technologické znalosti a flexibilita. Oproti letům 2003 a 2005 však vidíme zřetelný „ústup ze slávy“. V ostatních oblastech, vyjma „prezentačních dovedností“, se vnímání oproti minulému ročníku průzkumu v podstatě nezměnilo. Three most valued areas of knowledge and abilities of information security staff remain unchanged. These are factual knowledge of the related issues, technological knowledge and flexibility. However, we can see a marked “decline from the glory” compared to the years 2003 and 2005. In other areas, except for presentation skills, the perception almost did not change in comparison with the last survey. 64 % věcná znalost problematiky informační bezpečnosti 71 % understanding of information security issues 67 % 50 % technologické znalosti IS/IT 52 % technological IS/IT knowledge 65 % 46 % flexibilita a konstruktivní přístup k řešení problémů 52 % flexible and constructive approach to solving problems 61 % 31 % věcná znalost fungování vaší organizace 35 % understanding of the organisation's functions 35 % 31 % analytické schopnosti 33 % analytical skills 30 % 31 % schopnost efektivní komunikace s vedením organizace 29 % ability to communicate with management efectively 20 % 21 % manažerské schopnosti 23 % managerial skills 13 % 16 % prezentační dovednosti 12 % presentation skills 11 % 11 % schopnost řídit projekty 17 % project management 11 % 10 % znalost cizího jazyka 10 % foreign language skills 2% 3% 2007 znalost finančního řízení (rozpočtování) 8% 2005 financial management skills (budgeting) 0% 2003 Graf 11: Nejvíce ceněné znalosti a schopnosti pracovníků v oblasti informační bezpečnosti Chart 11: Most highly valued information security staff skills and abilities PSIB ÈR ´07 11
  • 13. Znalosti finančního řízení a rozpočtování jsou evergreenem mezi postrádanými schopnostmi pracovníků, kteří se pohybují okolo informační bezpečnosti. Následují manažerské a prezentační dovednosti. S nadsázkou lze říci, „co Čech, to informačně bezpečnostní odborník“. Vypadá to, že se znalostmi této problematiky nemáme nejmenší problém. Tyto znalosti jsou nejvíce ceněny a nejsou vůbec postrádány. Financial management and budgeting knowledge are evergreens in lacked abilities of information security staff, followed by managerial and presentation skills. Said with exaggeration: “Every Czech is information security expert”. It seems that we do not have a slightest problem with knowledge of this issue. Such knowledge is mostly valued and is not lacked at all. 29 % znalost finančního řízení (rozpočtování) 37 % financial management skills (budgeting) 22 % 19 % manažerské schopnosti 21 % managerial skills 13 % 17 % prezentační dovednosti 33 % presentation skills 17 % 17 % schopnost efektivní komunikace s vedením organizace 23 % ability to communicate with management effectively 20 % 14 % znalost cizího jazyka 19 % foreign language skills 13 % 9% schopnost řídit projekty 15 % project management 4% 7% technologické znalosti IS/IT 15 % technological IS/IT knowledge 24 % 4% flexibilita a konstruktivní přístup k řešení problémů 2% flexible and constructive approach to solving problems 2% 3% věcná znalost fungování vaší organizace 8% understanding of the organisation's functions 9% 3% analytické schopnosti 2% analytical skills 2% 0% 2007 věcná znalost problematiky informační bezpečnosti 4% 2005 understanding of information security issues 7% 2003 Graf 12: Nejvíce postrádané znalosti a schopnosti pracovníků v oblasti informační bezpečnosti Chart 12: Skills and abilities most lacking in information security staff PSIB ÈR ´07 12
  • 14. Na tomto místě již tradičně komentujeme začlenění problematiky informační bezpečnosti do organizačních struktur organizací účastnících se průzkumu. Přes určitý nárůst podílu firem, kde je tato oblast svěřena specializovanému útvaru bezpečnosti (8 % oproti pouhým 4 % v roce 2005), je stále naprosto převažujícím řešením svěřit řešení této problematiky útvaru IS/IT. At this point we traditionally make comments on information security integration into organizational structures of surveyed companies. In spite of a certain increase in the number of companies in which this area is delegated to a specialized security department (8% in comparison with 4% in 2005), absolutely the most typical solution is making the IS/IT department responsible for this area. útvar IS/IT 71 % IS/IT department žádný útvar 8% no department útvar bezpečnosti 8% security department ekonomický/finanční útvar 5% economic/financial department jiný útvar 4% other department útvar vnitřních/centrálních služeb 2% internal/central services department útvar kontroly/revize/auditu 2% control/review/audit department Graf 13: Útvar zodpovědný za informační bezpečnost Chart 13: Department responsible for information security Pokles respondentů, kteří nemají program pro zvyšování bezpečnostního povědomí svých zaměstnanců (nebo mají nefunkční program), je za dva roky v rozsahu statistické chyby (81 % oproti 83 %). Přesto roste optimistické hodnocení úrovně řešení informační bezpečnosti (viz. Graf 6). Přes třetinu společností považuje obecně nízké bezpečnostní povědomí za překážku rychlejšího prosazování informační bezpečnosti u nás (viz. Graf 35). Vyznění odpovědí na tuto otázku je tedy trochu rozporuplné – z nějakého důvodu se nedaří programy ke zvyšování bezpečnostního povědomí prosazovat v praxi. Tato skutečnost je vnímána jako problém, nicméně nebrání pozitivnímu hodnocení celé oblasti informační bezpečnosti. The decrease in the number respondents who have no program to heighten staff awareness of security (or have a program that does not work) falls within a statistical error range (81% compared to 83%) over the last two years. Yet, an optimistic evaluation of the quality of information security solutions increases (see Chart 6). More than one-third of companies considers a generally low security awareness to be an obstacle to a quicker implementation of information security in our country (see Chart 35). The tone of answers to this question is rather contradictory: for some reason the programs to heighten security awareness are not successfully implemented in practice and, though this fact is perceived as problem, it does not prevent respondents from evaluating the whole information security positively. 19 % ano a funkční yes and functioning 59 % 22 % ne/no ano, ale spíše nefunkční yes but rather non-functioning Graf 14: Existuje u organizací funkční program ke zvyšování bezpečnostního povědomí svých zaměstnanců? Chart 14: Do organizations have a functioning program to heighten employee awareness of security? PSIB ÈR ´07 13
  • 15. BEZPEČNOSTNÍ POLITIKA A STANDARDY SECURITY POLICY AND STANDARDS Ročník 2007 je opravdu zlomový a plný optimistických údajů. Poprvé za celé konání těchto průzkumů se počet společností s formálně definovanou bezpečnostní politikou dostal přes 50 %. Při tomto tempu se, s nadsázkou řečeno, dostaneme na 100 % někdy okolo roku 2015. Už méně optimistické je konstatování, že 6 % společností hodnotí řešení své informační bezpečnosti na výbornou nebo dobrou bez toho, že u nich existovala bezpečnostní politika. Přístupy k této oblasti jsou velmi různorodé a je doporučeníhodná mimořádná flexibilita. Nicméně je velmi složité prosazovat jakákoliv bezpečnostní opatření bez existence zastřešující normy, jakou bezpečnostní politika je. The year 2007 is actually a break-through year, full of optimistic information. For the first time in the history of this survey, the number of companies having a formally defined security policy exceeded 50%. This speed can bring us to 100% sometime around the year 2015. The less optimistic fact is that 6% of companies evaluates their information security as excellent or good though they have no security policy in place. Approaches to this area are very mixed and an extraordinary flexibility is recommended. Nevertheless, it is very complicated to take any security measures without the existence of a general standard such as security policy. 65 % 57 % 54 % 53 % 52 % 48 % 47 % 46 % 43 % 35 % ano/yes ne/no 1999 2001 2003 2005 2007 Graf 15: Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku? Chart 15: Do organizations have a security policy that is formally defined and approved by senior management? „Zlatá střední cesta“ si zjevně získává stále více příznivců. Již téměř 60 % respondentů preferuje středně rozsáhlou bezpečnostní politiku. Zkušenosti společností zřejmě ukazují, že jak zvýšený počet bezpečnostních norem (model stručné politiky s dodatečnými výkladovými normami) i rozsáhlá zastřešující bezpečnostní politika jsou pro konečné uživatele zřejmě za hranou „stravitelnosti“. Navíc bez robustního programu pro zvyšování bezpečnostního povědomí je „kompromisní“ řešení nejlépe zdůvodnitelné. Obviously, the “golden mean” approach wins more and more sympathizers. Almost 60% of respondents now prefers a medium-scope security policy. The companies’ experience shows that an increased number of security standards (a concise policy model including additional interpretive standards) as well as broad general security policy are most probably beyond the level of acceptability by end-users. Moreover, a compromise is the best justifiable solution if no robust program to heighten security awareness exists. 11 % rozsáhlá/elaborated 31 % stručná/brief Graf 16: Charakteristika rozsahu bezpečnostní politiky Chart 16: Characteristics of security policy scope rozsáhlá – několik desítek stran, detailní popis všech oblastí elaborated – dozens of pages, detailed description of all areas 58 % stručná – cca do 3 stran, spíše deklarativní charakter střední/medium brief – approximately up to 3 pages, rather declarative nature střední – cca do 20 stran, podrobnější popis požadavků a organizačního zabezpečení medium – approximately up to 20 pages, quite detailed destription of requirements and security organisation PSIB ÈR ´07 14
  • 16. Respondenti průzkumu jasně preferují interně vyvinuté standardy. Lze se jen dohadovat, do jaké míry jsou tyto normy odvozeny od některého z obecných bezpečnostních standardů. Použití ISO/IEC 17799/BS 7799 je stále na vzestupu (nárůst o 8 procentních bodů oproti roku 2005). Zajímavé je, že 41 % respondentů uvádí použití více než jednoho standardu. Nejčastěji jsou spojovány interní standardy se standardy řady ITIL a ISO/IEC 17799/BS 7799. The survey respondents clearly prefer internally developed standards. We can only speculate about the extent to what these standards are derived from any of general security standards. The use of ISO/IEC 17799/BS 7799 is growing (increase by 8 percentage points compared to the year 2005). It is interesting that 41% of respondents states using more than one standard. The internal standards are most often associated with the ITIL and ISO/IEC 17799/BS 7799 standards. interní standardy a směrnice vaší mateřské společnosti, či skupiny 45 % internal standards and policies from group or mother company ISO/IEC 17799/BS 7799 25 % ISO/IEC 17799/BS 7799 ITIL 11 % ITIL ISO/IEC TR 13335 10 % ISO/IEC TR 13335 jiný standard 8% other standard standardy a nařízení Evropské unie pro oblast bezpečnosti IS 6% European Union standards and directives for IS security COBIT 4% COBIT standard německého BSI 3% BSI Germany standards standardy a publikace NIST pro oblast bezpečnosti IS/IT 2% NIST IS/IT security standards and guidance Graf 17: Jaké využíváte mezinárodní standardy v oblasti informační bezpečnosti a/nebo IT governance při řešení informační bezpečnosti? Chart 17: What international standards apply to information security and/or IT governance when addressing information security issues? nevyžádaná elektronická pošta (SPAM) 92 % unsolicited electronic email (SPAM) výpadek proudu 86 % power failure porucha hardware 76 % hardware failure chyba uživatele 58 % user's fault počítačový virus 52 % computer virus chyba programového vybavení 47 % software error selhání LAN 41 % LAN failure selhání WAN 41 % WAN failure chyba administrátora nebo obsluhy 29 % administrator's or operator's fault krádež zařízení 23 % theft of equipment nepovolený přístup k datům – zevnitř 10 % unauthorized data access – internal zneužití zařízení rostoucí trend 6% misuse of equipment increasing trend přírodní katastrofa stejný trend 6% natural disaster equal trend nepovolený přístup k datům – zvenčí klesající trend 3% unauthorized data access – external decreasing trend Graf 18: Výskyt bezpečnostních incidentů za poslední dva roky a trend jejich výskytu Chart 18: Occurrence and trending of security incidents over the last two years SPAM zůstává bezkonkurenčně nejčastěji se vyskytujícím bezpečnostním incidentem. Dokonce zaznamenal nárůst celých 5 procentních bodů oproti roku 2005, kdy byla tato kategorie v rámci průzkumu poprvé sledována. V ostatních kategoriích nedochází k zásadním změnám, vyjma následujících dvou „zvratů“: selhání WAN poskočilo o 7 procentních bodů oproti roku 2005 a lze říci, že od roku 1999 výskyt těchto incidentů stále lehce stoupá. Je však pravděpodobné, že tento trend je spíš odrazem rozšiřujícího se využívání WAN sítí, než jejich vzrůstající chybovosti. Je zajímavé, že výskyt počítačových virů se dostal na hranici 50 % (pokles o 22 procentních bodů oproti roku 2005), kde byl naposledy v roce 1999. PSIB ÈR ´07 15
  • 17. Undoubtedly, SPAM remains the most frequently occurring security incident. It even scored the whole 5 percentage points compared to the year 2005 when this category was monitored in the survey for the first time. Other categories experienced no principal changes except for the following two turnouts. Failure of WAN jumped 7 percentage points compared to the year 2005 and the occurrence of these incidents has been showing a continuous slight increase since 1999. However, it is likely that this trend rather reflects an expanding use of WAN networks than their increasing failures. Interestingly, the occurrence of computer viruses reached 50% (decrease by 22 percentage points compared to the year 2005), i.e. the level of the year 1999. nevyžádaná elektronická pošta (SPAM) 92 % 86 % unsolicited electronic email (SPAM) 86 % 85 % výpadek proudu 89 % power failure 85 % 91 % 76 % 78 % porucha hardware 77 % hardware failure 74 % 79 % 58 % 59 % chyba uživatele 60 % user's fault 61 % 48 % 52 % 74 % počítačový virus 79 % computer virus 71 % 55 % 47 % 49 % chyba programového vybavení 48 % software error 48 % 54 % 41 % 43 % selhání LAN 44 % LAN failure 40 % 55 % 41 % 34 % selhání WAN 35 % WAN failure 32 % 30 % 29 % 30 % chyba administrátora nebo obsluhy 25 % administrator's or operator's fault 26 % 33 % 23 % 22 % krádež zařízení 17 % theft of equipment 17 % 28 % 10 % 9% nepovolený přístup k datům – zevnitř 9% unauthorized data access – internal 10 % 2007 10 % 2005 6 % 6 % zneužití zařízení 2003 6 % misuse of equipment 6 % 2001 6 % 1999 6% 5% přírodní katastrofa 20 % natural disaster 5% 17 % 3% 3% nepovolený přístup k datům – zvenčí Graf 19: Výskyt bezpečnostních incidentů za posledních 8 let 7% unauthorized data access – external 6% Chart 19: Occurrence of security incidents over the last eight years 2% Můžeme asi jen spekulovat o „dospělosti“, širokém nasazení antivirových technologií, standardizaci virových útoků a dalších faktorech, které tento dramatický pokles mohou, ale nemusí, mít na svědomí. Bude zajímavé sledovat, zda se tento trend za dva roky potvrdí. We can only speculate about the “maturity”, broad application of antivirus technologies, standardization of virus attacks and other factors that may/may not cause this dramatic decrease. We will monitor whether this trend will be confirmed in two years. PSIB ÈR ´07 16
  • 18. Ústup virů ze „slávy“ vidíme i na vnímání nejzávažnějších bezpečnostních incidentů. Sportovní hantýrkou řečeno se viry propadly z vedoucí skupinky někam na konec pelotonu. Výpadek proudu a porucha hardware zůstávají stálicemi a i v tomto ročníku se „dostaly na bednu“. A decline of viruses from the glory has also an impact on the perception of the most serious security incidents. Using the sports terminology: viruses stepped down from the head of the field. Blackout and hardware failure are evergreens and they again mounted the winners rostrum. výpadek proudu 35 % power failure porucha hardware 24 % hardware failure chyba programového vybavení 9% software error nevyžádaná elektronická pošta (SPAM) 7% unsolicited electronic email (SPAM) selhání WAN 6% WAN failure selhání LAN 6% LAN failure chyba administrátora nebo obsluhy 3% administrator's or operator's fault počítačový virus 2% computer virus chyba uživatele 2% user's fault přírodní katastrofa 2% natural disaster nepovolený přístup k datům – zevnitř 2% unauthorized data access – internal krádež zařízení 2% theft of equipment Graf 20: Bezpečnostní incidenty s nejzávažnějším dopadem Chart 20: Security incidents and the most serious impact Pro zvýšení vypovídací schopnosti údajů jsme zařadili do této tabulky pouze ty incidenty, u kterých alespoň 6 respondentů uvedlo přímý finanční dopad. Dopady bezpečnostních incidentů zaznamenaly řádový skok oproti roku 2005. Jedná se o náhodný výkyv, zlepšené metody pro sledování a vyčíslování dopadů incidentů nebo nový trend? Na tuto otázku nám bude muset odpovědět až příští ročník průzkumu a diskuse, které nad těmito údaji budeme v mezičase vést. U technologií WAN se nabízí stejné vysvětlení, jaké jsme zmínili již v komentáři ke Grafu 18 – velké rozšíření a masové nasazování s sebou nese zvýšenou závislost, vyšší rizika a nárůst potenciálních dopadů. To enhance an informative value, we only put in this table the incidents for which at least six respondents noted a direct financial impact. Impacts of security incidents recorded a several-order jump compared to the year 2005. Is this an accidental fluctuation, improved methods of monitoring or quantification of incident impacts or new trend? This question will be answered in the next survey and in discussions about this information that we will meanwhile conduct. With respect to WAN technologies, the same explanation suggests itself as that we mentioned in our commentary on Chart 18 – wide spread out and mass utilization carry an increased dependency, higher risks and increase in potential impacts. selhání WAN 1 200 000 Kč WAN failure chyba programového vybavení 1 000 000 Kč software error výpadek proudu 260 000 Kč power failure krádež zařízení 225 000 Kč theft of equipment porucha hardware 200 000 Kč hardware failure nevyžádaná elektronická pošta (SPAM) 160 000 Kč unsolicited electronic email (SPAM) selhání LAN 80 000 Kč LAN failure Tabulka 1: Průměrné přímé finanční dopady nejvážnějších bezpečnostních incidentů Table 1: Average direct financial impacts of the most serious security incidents PSIB ÈR ´07 17
  • 19. Tato série grafů ukazuje zajímavý pohled na „časové křivky“ hlavních bezpečnostních incidentů. Do přehledu jsme zařadili jen ty incidenty, které uvedlo alespoň 10 respondentů. Za pozornost stojí např. problémy vznikající v souvislosti s chybami programového vybavení. Graf vcelku odpovídá empirické zkušenosti, že chyba takovéhoto typu se buď opraví ihned (41 % respondentů uvádí do 4 hodin), nebo se vleče dny a (u tří procent organizací) i týdny. Zajímavé je také, že 29 % respondentů zaznamenalo časové výpadky způsobené SPAMem a u některých (8 %) tento výpadek trval více než 12 hodin. 71 % The series of graphs shows an interesting view of time nevyžádaná elektronická pošta (SPAM) curves of main security incidents. The summary only unsolicited electronic email (SPAM) includes the incidents which were stated by at least 10 respondents. Attention should be paid in particular to issues arising in connection with errors of program equipment. In general, the chart corresponds to empiric experience that such an error can either be repaired immediately (41% of respondents states 17 % a four-hour period as a maximum), or it takes several 8% days or several weeks (3% of companies). 4% 0% 0% Another interesting fact is that 29% of respondents recorded a system downtime caused by SPAM žádný méně než méně než méně než méně než více než and that this type of downtime took more than none 4 hodiny 12 hodin 1 den 1 týden 1 týden less than less than less than less than more than 12 hours at some respondents (8%). 4 hours 12 hours 1 day 1 week 1 week chyba programového vybavení software error porucha hardware 41 % hardware failure 26 % 23 % 22 % 17 % 17 % 14 % 14 % 10 % 9% 3% 3% žádný méně než méně než méně než méně než více než žádný méně než méně než méně než méně než více než none 4 hodiny 12 hodin 1 den 1 týden 1 týden none 4 hodiny 12 hodin 1 den 1 týden 1 týden less than less than less than less than more than less than less than less than less than more than 4 hours 12 hours 1 day 1 week 1 week 4 hours 12 hours 1 day 1 week 1 week výpadek proudu selhání WAN power failure WAN failure 45 % 40 % 40 % 28 % 14 % 11 % 10 % 5% 5% 3% 0% 0% žádný méně než méně než méně než méně než více než žádný méně než méně než méně než méně než více než none 4 hodiny 12 hodin 1 den none 4 hodiny 12 hodin 1 den 1 týden 1 týden 1 týden 1 týden less than less than less than less than more than less than less than less than less than more than 4 hours 12 hours 1 day 1 week 1 week 4 hours 12 hours 1 day 1 week 1 week chyba administrátora nebo obsluhy selhání LAN administrator's or operator's fault LAN failure 36 % 30 % 25 % 25 % 18 % 18 % 18 % 10 % 9% 5% 5% 0% žádný méně než méně než méně než méně než více než žádný méně než méně než méně než méně než více než none 4 hodiny 12 hodin 1 den 1 týden 1 týden none 4 hodiny 12 hodin 1 den 1 týden 1 týden less than less than less than less than more than less than less than less than less than more than 4 hours 1 day 1 day 1 week 1 week 4 hours 12 hours 1 day 1 week 1 week Graf 21: Časové výpadky způsobené nejvážnějšími bezpečnostními incidenty Chart 21: System downtime caused by the most serious security incidents PSIB ÈR ´07 18
  • 20. PLÁNY OBNOVY FUNKČNOSTI DISASTER RECOVERY PLANS Dobrých zpráv je v letošním ročníku průzkumu opravdu hodně. Fakt, že výrazně nadpoloviční většina společností má vypracované plány obnovy funkčnosti, se k tomuto druhu zpráv rozhodně řadí. Po dlouhých letech stavu „fifty-fifty“se jedná o přímo skokové zlepšení. This year survey is abundant in good news. Such good news is, for example, that a vast majority of companies has prepared disaster recovery plans. This is a straight leap in improvement after many years of fifty-fifty situation. 61 % 52 % 52 % 51 % 49 % 50 % 50 % 48 % 48 % 39 % ano/yes ne/no 1999 2001 2003 2005 2007 Graf 22: Mají organizace vypracované a připravené plány obnovy funkčnosti informačního systému? Chart 22: Have organizations formulated and prepared disaster recovery plans? Už druhý ročník průzkumu po sobě ukázal, že ubylo společností, které nikdy netestovaly své plány obnovy funkčnosti. Procento těchto společností se letos dokonce dostalo pod magických 10 %. Téměř každá druhá společnost účastnící se průzkumu testuje tyto své plány alespoň jednou ročně. During the recent two years of survey, the number of companies that never tested their recovery plans decreased. The percentage of these companies dropped below magical 10% this year. Almost every other company participating in the survey tests its recovery plans at least once a year. alespoň jednou za rok 47 % at least once a year alespoň jednou za dva roky 21 % at least once every two years méně často než jednou za dva roky 24 % less than once every two years nikdy 8% never Graf 23: Testování plánů obnovy funkčnosti Chart 23: Recovery plan testing Každé dva roky má alespoň jednou aktualizovaný plán obnovy funkčnosti 70 % společností. To je více než dostačující důvod pokládat tuto oblast za dobře řízenou. 70% of companies updates recovery plans at least once in two years. This is more than sufficient reason to consider this area as well managed. alespoň jednou za rok 41 % at least once a year alespoň jednou za dva roky 29 % at least once every two years méně často než jednou za dva roky 13 % less than once every two years v případě změny informačního systému 16 % in case of information system changes nikdy 1% never Graf 24: Aktualizace plánů obnovy funkčnosti Chart 24: Recovery plan updating PSIB ÈR ´07 19
  • 21. ŘEŠENÍ BEZPEČNOSTI APPROACH TO SECURITY Organizací, které nikdy neprováděly analýzu rizik, s každým dalším ročníkem průzkumu ubývá. Přesto je jich stále necelá čtvrtina. Všechny tyto společnosti v úvodní části průzkumu souhlasí s tím, že informační bezpečnost má (velký) význam a polovina z nich hodnotí úroveň řešení informační bezpečnosti jako dobrou. K zamyšlení vybízí rostoucí procento společností, které prováděly analýzu rizik před více než dvěma lety. Zde je možná analýza rizik řešena spíše na bázi projektů, než jako vnitřně definovaný a řízený proces. The number of organizations that have never performed a risk analysis decreases each year the survey is conducted. Nevertheless, the number of such organizations is still less than one-fourth. In the survey introduction, all these companies agree that the information security is of (great) importance and a half of them evaluates the level of information security solution as good. An increasing percentage of companies that performed a risk analysis more than two years ago is thought-provoking. In this case, a possible risk analysis is resolved rather on the basis of projects than on the basis of internally defined and managed process. 22 % nikdy 33 % never 28 % 18 % v době delší než 24 měsíců 15 % over 24 months ago 11 % 20 % v posledních 24 měsících 16 % in the last 24 months 20 % 2007 40 % v posledních 12 měsících 2005 36 % in the last 12 months 41 % 2003 Graf 25: Kdy organizace naposledy prováděly analýzu rizik IS? Chart 25: When did organisations last perform IS risk analyses? Přístup k využívání externí pomoci při řešení informační bezpečnosti je v podstatě od roku 2003 stabilizovaný a firem, které využívají externí zdroje jsou letos téměř dvě třetiny. An approach to the information security outsourcing has been stabilized since 2003 and nearly two thirds of companies use external resources in this area this year. 2007 2% 2% neřeší vůbec 2005 2% not tackling the issue at all 2003 3% 2001 2 % 2 % řeší výhradně dodavatelsky externí firmou 2 % only outsourcing 2 % 60 % 57 % řeší ve spolupráci s externími firmami 57 % through cooperation with external companies 46 % 36 % 39 % řeší výhradně vlastními silami 39 % through their in-house resources only 49 % Graf 26: Jak organizace přistupují k řešení informační bezpečnosti Chart 26: How do organizations approach the handling of information security PSIB ÈR ´07 20
  • 22. Je zřejmé, že rozpočetnictví a finanční výkaznictví není vnímáno jako něco, co by mělo být primárním úkolem pro řízení informační bezpečnosti. Podíl společností, které mají vyhrazen na tuto oblast rozpočet, zůstává stále nezměněn. Ani u velkých společností nad 1000 zaměstnanců se procento společností s vlastním rozpočtem nedostává přes 30 %. Jedním z faktorů, který hraje asi rozhodující roli, je začlenění bezpečnosti do řídících struktur IT. Rozpočtování zřejmě primárně probíhá na této nadřazené úrovni a existence samostatného rozpočtu je vnímána jako dodatečné byrokratické cvičení, které nepřináší valný užitek. Při známém problému s vyčíslením přínosů bezpečnostních opatření je pochopitelné (i když ne nutně správné) řešení bezpečnosti jako nákladového střediska, či podobné finanční struktury. Zde je zajímavé zmínit, že 10 % respondentů provádí u bezpečnostních investičních rozhodování vždy výpočet ROI (návratnosti investic). 64 % společností tak nečiní nikdy. It is obvious that budgeting and financial reporting are not perceived as something that should be a primary task in information security management. The number of companies having a separate information security budget remains unchanged. Even with respect of big companies with more than 1,000 employees, the percentage of companies having its own budget does not exceed 30%. One of the factors playing a key role is incorporation of the security into the IT managing structures. Budgeting is primarily performed on this superior level and the existence of separate budget is perceived as an additional bureaucratic exercise bringing a rather weak benefit. Due to the fact that quantifying the benefits from security measures represents an issue, the security solution in the form of cost centre or similar financial structure is understandable (though not necessarily correct). It should be noted that 10% of respondents always determines ROI when making decisions on security investments. 64% of companies never does so. 20 % ano/yes 80 % ne/no Graf 27: Existuje vyhrazený finanční rozpočet na informační bezpečnost? Chart 27: Is there a separate financial budget for information security? I když stále platí, že čím větší organizace, tím větší je pravděpodobnost existence samostatného rozpočtu na bezpečnost, je třeba říci, že se smazávají rozdíly mezi společnostmi do a nad 1000 zaměstnanců. Poměrové ukazatele velikosti ročních výdajů na bezpečnost vůči celkovým IS/IT výdajům zaznamenaly dokonce u největších společností zhoršení (okolo jednoho procentního bodu) v porovnání s rokem 2005. Společnosti do 1000 zaměstnanců si naopak polepšily v obou ukazatelích téměř o dva procentní body. Although it still holds that the bigger organization the higher probability of the existence of separate security budget, it is necessary to note that the differences between the companies having up to and more than 1,000 employees are diminishing. Ratios of annual security expenses to total IS/IT expenses even showed a deterioration for the biggest companies (approximately 1 percentage point) compared to the year 2005. On the contrary, companies having up to 1,000 employees improved the both ratios for almost two percentage points. velikost ročních finančních výdajů velikost ročních finančních výdajů procento organizací na informační bezpečnost v poměru na informační bezpečnost v poměru s vyhrazeným rozpočtem na k celkovému rozpočtu na IS/IT k celkovému rozpočtu na IS/IT informační bezpečnost (průměr v % z nenulových hodnot) (celkový průměr v %) percentage of organisations budget size in a proportion budget size in a proportion počet zaměstnanců with a separate information to total IS/IT budget to total IS/IT budget number of employees security budget (average in % of non-zero values) (total average in %) 100 až 500 16 % 9,79 % 6,19 % 100 to 500 501 až 1.000 25 % 10,18 % 6,00 % 501 to 1,000 více než 1.000 27 % 6,88 % 3,66 % more than 1,000 Tabulka 2: Existence a velikost finančního rozpočtu na informační bezpečnost v závislosti na velikosti organizace Table 2: Existence and size of the financial budget for information security in connection with organization size PSIB ÈR ´07 21
  • 23. Jakým způsobem definují organizace priority pro oblast informační bezpečnosti? Tato otázka byla zařazena v letošním průzkumu poprvé. Třetina společností upřednostňuje empirický přístup k řešení informační bezpečnosti a rozhoduje se při prioritizaci podle svých znalostí stávajících problémů. Pětina společností využívá výsledků analýzy rizik. Pikantní je, že tři respondenti, kteří využívají tento přístup, nikdy analýzu rizik neprovedli. Pro auditorskou obec je příjemné zjištění, že jejich doporučení vstupují do rozhodovacích procesů o bezpečnosti u 12 % respondentů. How do the organizations define the information security priorities? This question was asked within the survey for the first time this year. One-third of companies prefers an empiric approach to information security solutions and makes decisions on priorities based on their knowledge of existing problems. One-fifth of companies uses the risk analysis results. It is interesting that three respondents using this approach have never performed the risk analysis. Auditors surely welcome the finding that 12% of respondents takes into consideration their recommendations during security decision making. podle známých problémů 34 % based on known issues podle výsledků analýz rizik 20 % based on risk analysis na základě strategických cílů organizace 18 % based on company strategic goals podle zjištění interních/externích auditů 12 % based on internal/external audit findings podle trendů v oblasti informační bezpečnosti a technologií 11 % based on information security and technology trends podle doporučení dodavatelů 3% based on suppliers' recommendations jiným způsobem 2% other means Graf 28: Jakým způsobem definují organizace priority pro oblast informační bezpečnosti Chart 28: How do the organizations define the information security priorities A dobrým zprávám pro auditory není ještě konec – 62 % respondentů uvádí, že využívají, nebo plánují využít externí subjekt pro posouzení informační bezpečnosti. Vzhledem k potenciálním konfliktům zájmů vyplývajícím z převažujícího organizačního začlenění informační bezpečnosti do útvaru IS/IT, lze nezávislé posouzení externím subjektem určitě doporučit všem organizacím, které považují tuto oblast za důležitou. Good news for auditors continues – 62% of respondents answers that they use or plan to use an external entity to evaluate information security. Owing to potential conflict of interests arising from the prevailing type of organizational incorporation of information security into the IS/IT department, an independent evaluation by external entity is recommended to all organizations that consider this area important. 37 % 38 % ano/yes ne, takové posouzení neplánujeme no, no plans for such evaluation 25 % ne, ale plánujeme posouzení v budoucnosti no, but plans exist for future evaluation Graf 29: Byla oblast informační bezpečnosti posouzena externím subjektem (např. audit nebo bezpečnostní certifikace)? Chart 29: Were the information security issues evaluated by an external entity (such as audit or security certification)? PSIB ÈR ´07 22
  • 24. ELEKTRONICKÝ PODPIS ELECTRONIC SIGNATURE Podle výsledků průzkumu žijeme v době masivního nasazování elektronického podpisu. 77 % organizací buď e-podpis již využívá, nebo tak plánuje v horizontu jednoho roku. Méně než desetina organizací nemá v této oblasti žádné plány. The survey results show that we live in the period of mass implementation of electronic signature. 77% of organizations either uses e-signature, or plans to use it within one year. Less than one-tenth of organizations has no plans in this area. 6% 2007 ne a zatím nepředpokládáme využití 11 % no, and we don't expect to use it for the time being 2005 12 % 2003 17 % ne, ale předpokládáme využití někdy v budoucnu 24 % no, but use is anticipated sometime in the future 37 % 9% ne, ale předpokládáme využití v horizontu jednoho roku 13 % no, but use is anticipated within one year 20 % 68 % ano 52 % yes 31 % Graf 30: Využívají organizace v rámci svých činností elektronický podpis? Chart 30: Do organisations use electronic signatures? Pro nadpoloviční většinu respondentů je hlavním důvodem nasazování této technologie zvýšení bezpečnosti. V souvislosti s konstatováním silného „boomu“ využívání elektronického podpisu je zajímavé, že pro zhruba 20 % organizací, které e-podpis používají, nebo to plánují, nemá jeho využití žádné výhody, nebo tyto výhody nejsou schopni určit. The vast majority of respondents replies that the main reason of implementation is to enhance security. In connection with the current boom of using electronic signature, it is necessary to note that about 20% of organizations using or planning to use electronic signature does not have, or is not able to determine, any benefits from using it. 14 % nevíme/nedokážeme určit don't know/can not determine 6% 53 % žádné/none zvýšení bezpečnosti 4% increased security konkurenční výhoda competitive advantage 23 % snížení nákladů cost reduction Graf 31: Jaké výhody přináší používání elektronického podpisu? Chart 31: What are the benefits of using the electronic signature? PSIB ÈR ´07 23
  • 25. PROBLEMATIKA OCHRANY OSOBNÍCH ÚDAJŮ A UTAJOVANÝCH INFORMACÍ PROTECTION OF PERSONAL DATA AND CLASSIFIED INFORMATION Zákon o ochraně osobních údajů již zdaleka není novinkou, ke které by společnosti hledaly ten správný přístup. Stále má pro 40 % velký význam, ale zároveň roste podíl společností, které považují jeho vliv na informační bezpečnost za malý. Může to být také projevem rutinního zvládnutí všech aspektů řízení v souladu s požadavky tohoto zákona. The Personal Data Protection Act is not a new law requiring from the companies to look for an appropriate approach. 40% of companies still considers the Act as an important issue but, at the same time, the share of companies increases which consider its impact on information security as low. This situation can also result from routine handling of all management aspects in compliance with the Act. 11 % 10 % žádný 9% none 12 % 48 % 46 % malý 42 % small 57 % 2007 41 % 2005 44 % velký 2003 49 % substantial 31 % 2001 Graf 32: Vliv zákona o ochraně osobních údajů na informační bezpečnost Chart 32: Impact of the Personal Data Protection Act on information security Podobná situace jako u ochrany osobních údajů je zřejmě i u ochrany utajovaných informací. Nepotvrdil se trend z minulých let, kdy stále rostoucí podíl společností považoval vliv tohoto zákona za velký. Ve zjištěných procentech dále hraje velkou roli podíl respondentů ze státní správy. The issue of protection of classified information is similar to the issue of personal data protection. The trend of previous years, when steadily increasing number of companies considered the impact of this Act significant, was not confirmed. Respondents from government administration also account for a significant share of identified percentage. 14 % 7% žádný 9% none 11 % 49 % 43 % malý 53 % small 56 % 2007 37 % 2005 50 % velký 2003 38 % substantial 33 % 2001 Graf 33: Vliv zákona o ochraně utajovaných informací na informační bezpečnost Chart 33: Impact of the Act on the Protection of Classified Information on information security PSIB ÈR ´07 24
  • 26. SITUACE V ČESKÉ REPUBLICE SITUATION IN THE CZECH REPUBLIC Tato otázka nepřinesla žádné překvapení. Od roku 2005 převažuje spíše pozitivní hodnocení domácí úrovně informační bezpečnosti – téměř 60 % respondentů hodnotí situaci jako stejnou nebo lepší ve vztahu k západoevropským státům. This question did not bring any surprise. Since 2005 a rather positive evaluation of the domestic level of information security has been prevailing: almost 60% of respondents evaluates the situation as the same or better in relation to western European countries. 0% 0% výrazně lepší 0% significantly better 0% 1% 5% 4% lepší 3% better 5% 1% 53 % 55 % stejná 41 % same 44 % 24 % 40 % 38 % horší 51 % worse 46 % 58 % 2007 2% 3% 2005 výrazně horší 5% 2003 significantly worse 5% 2001 16 % 1999 Graf 34: Hodnocení úrovně informační bezpečnosti v ČR ve vztahu k západoevropským státům Chart 34: Evaluation of the level of information security in the Czech Republic in relation to western European countries PSIB ÈR ´07 25
  • 27. Jedinou zásadně se měnící kategorií je ústup názoru, že pro rychlejší prosazování informační bezpečnosti v České republice je zapotřebí specifického českého bezpečnostního standardu. V ostatních oblastech jsou názory respondentů v podstatě ustálené – nízké bezpečnostní povědomí a finanční náročnost trápí dlouhodobě přes 50 % společností. Zde je však zároveň dobré připomenout si, že funkční programy pro zvyšování bezpečnostního povědomí, ani samostatné rozpočty pro informační bezpečnost nejsou v ČR příliš rozšířené. Samozřejmě jsou tyto nástroje jen jednou malou součástí řešení této problematiky. Avšak jsou to součásti základní, bez kterých je těžké konzistentně, soustavně, efektivně a koordinovaně překážky rozšiřování kvalitního řešení informační bezpečnosti odstraňovat. The only principal change consists of decreasing the number of opinions that a faster information security implementation in the Czech Republic requires a specific Czech security standard. The respondents’ opinions on other areas are more or less stable – low security awareness and demand for financing trouble more than 50% of companies over the long term. However, it should be noted that neither functioning programs to heighten security awareness nor separate budgets for information security are widespread in the Czech Republic. Of course, these tools only represent a small part of information security solution. Nevertheless, this small part is principal one the lack of which would make it difficult to remove the obstacles to promotion of quality information security solutions in a consistent, systematic, effective and coordinated manner. 35 % 32 % obecně nízké bezpečnostní vědomí 35 % generally low security awareness 33 % 31 % 19 % 17 % finanční náročnost 17 % financial intensity 14 % 20 % 15% 16% nedostatečná podpora ze strany vedení organizace 14 % inadequate management support 21 % 13 % 14 % 12 % nedostatečná a nevyvážená legislativa ČR 13 % inadequate and unbalanced legislation in the Czech Republic 11 % 10 % 5% 8% neexistence českého bezpečnostního standardu 10 % non-existence of a Czech security standard 11 % 14 % 4% 6% nezájem a nekompetentnost státních orgánů 5% disinterest and incompetence of state bodies 4% 4% 4% 5% nedostatek informací 4% lack of information 4% 6% 1 % 2007 1 % technologická náročnost 1 % 2005 technological intensity 1 % 2003 1 % 2001 2% 0% 1999 nedostatek tuzemských expertů 0% lack of domestic experts * nebylo předmětem průzkumu/n/a 1% 1% 1% 3% jiný důvod * other reason Graf 35: Největší překážky rychlejšího * prosazování informační bezpečnosti v ČR * Chart 35: Greatest obstacles to faster information security implementation in the Czech Republic PSIB ÈR ´07 26
  • 28. Závěrečná tabulka ukazuje stav řešení informační bezpečnosti podle odvětví působení respondentů. Oproti roku 2005 byla kritéria přepracována. Vybrali jsme celkem 5 oblastí, které lze považovat za indikátor kvalitního přístupu k řešení informační bezpečnosti. Zeleně jsou zvýrazněna pole, kde procento společností v daném odvětví, které splňují příslušné kritérium, překračuje průměr v rámci celé hodnotící kategorie o více než 25 %. Červené zvýraznění naopak indikuje podprůměrné (znovu o více než 25 %) procento společností v odvětví. Pomyslnými vítězi se stávají společnosti v oboru IT/telekomunikací a financí/bankovnictví, které nadprůměrně plní všechna kritéria. Na třetí místo se dostala státní správa. Na opačném konci spektra se ocitly obory dřevozpracujícího a textilního průmyslu a doprava. The final table shows the situation in information security solution by respondents' industry. The criteria were redone in comparison with the criteria used in the 2005 survey. We chose five areas that can be considered as indicators of quality approach to information security solution. Green highlighted are fields in which the percentage of companies, meeting the relevant criterion and involved in the same industry, exceeds an average by 25% in the whole evaluating category. Red highlighted are fields indicating below-average (again by more than 25%) percentage of companies in a single industry. Imaginary winners are companies from the IT/telecommunications and finance/banking sectors that meet all criteria above the average. The third position is occupied by government administration. The opposite end of the spectrum belongs to wood-products, textile and transportation sectors. zodpovědnost existence za řešení vyhrazeného informační provedená rozpočtu na bezpečnosti analýza rizik informační na manažerské existence existence v posledních bezpečnost úrovni bezpečnostní plánů obnovy 24 měsících existence of responsibility politiky funkčnosti risk a separate for information existence of existence analysis information security at a security of recovery performed in the security managerial level policy plans last 24 months budget státní správa 50 46 48 70 24 government administration IT/telekomunikace 100 90 81 80 38 IT/telecommunications finance/bankovnictví 78 100 89 83 67 finance/banking strojírenství 51 51 42 53 16 mechanical engineering energetika/distribuční společnosti 55 52 48 57 33 energy industry/distribution companies chemie/zdravotnictví/farmacie 58 45 61 48 13 chemical industry/health care/pharmaceuticals zemědělství/potravinářství 50 41 73 59 14 agriculture/food industry elektrotechnika 67 42 67 58 17 electrical engineering dřevozpracující průmysl 40 40 40 80 20 wood-products industry textilní půmysl 54 23 62 54 0 textile industry stavební průmysl 53 47 65 53 6 building industry doprava 54 36 57 46 7 transport prodej/poradenství/služby 74 55 80 65 5 sales/consultancy/services jiná oblast 56 55 66 46 15 other area Průměr 59 53 61 60 20 Average Tabulka 3: Srovnání podle oboru působnosti Table 3: Comparison by industry PSIB ÈR ´07 27
  • 29. O PRŮZKUMU ABOUT THE SURVEY Průzkum stavu informační bezpečnosti v ČR 2007 probíhal od května do července 2007. Byl zaměřen na vybraný reprezentativní vzorek středních a velkých společností v České republice pokrývající všechny vertikální segmenty. V anonymně prováděném průzkumu odpovídaly společnosti na celkem 51 podrobných otázek z oblasti informační bezpečnosti rozdělených do 11 tematických skupin. The Czech Republic information security survey 2007 was conducted from March to July 2007. It was directed toward a representative sample of medium-size and large businesses in the Czech Republic and covered all vertical segments. In an anonymous survey the companies gave answers to 51 detailed questions on information security, broken down into 11 groups by topics. Bylo osloveno 1 100 společností, vrátilo se 352 vyplněných dotazníků a z nich bylo 333 zařazených do zpracování výsledků. Vyřazených 19 dotazníků obsahovalo závažné formální chyby nebo organizace uvedly menší počet zaměstnanců než 100. Addressed was over 1 100 companies, 352 filled in questionnaires were returned, out of which 333 were included for the processing. 19 questionnaires were rejected because of major formal errors or the organization’s stated number of employees was less than 100. Ačkoliv společnosti podílející se na přípravě a realizaci tohoto průzkumu vynaložily maximální úsilí při zajištění přesnosti informací v tomto průzkumu, nepřijímají žádnou zodpovědnost za případné chyby nebo nepřesnosti vzniklé libovolným způsobem. Even though companies participating in the preparation and implementation of the research took maximum effort to ensure the accuracy of information, they cannot accept any responsibility for possible errors or inaccuracies incurred in any way. V případě citace libovolné části, grafu nebo tabulky z tohoto průzkumu musí být u citace uveden název průzkumu a názvy všech společností, které se na realizaci průzkumu podílely, tj. „Zdroj PSIB ČR ‘07, Ernst & Young, NBÚ, DSM – data security management“. If quoting any part, chart or table from this research report, the quotation must include the title of the research and names of all the companies participating in the research, i.e. quot;Sources: PSIB ČR ‘07, Ernst & Young, NBÚ, DSM – data security managementquot;. PSIB ÈR ´07 28
  • 30. PARTNEŘI PRŮZKUMU PARTNERS OF THE SURVEY Ernst & Young Ernst & Young Společnost Ernst & Young je poradenskou společností Ernst & Young is a worldwide consulting company, ranking s celosvětovou působností a řadí se k největším ve svém among the largest in its business. In the Czech Republic oboru. Také v České republice (www.ey.com/cz) nabízí mimo (www.ey.com/cz), it offers traditional audit and tax advisory tradiční auditorské a daňové služby rovněž tým zkušených services along with a team of experienced professionals odborníků, kteří poskytují služby v oblastech jako je řízení providing services in the management of technology and technologických a informačních rizik, problematika integrity information risks, integrity and security of ERP solutions, a bezpečnosti ERP řešení, penetrační testování, ochrana penetration testing, personal data protection, IT governance, osobních údajů, IT Governance, řízení projektových rizik, project risk management, and assistance in the selection či pomoc s výběrem informačních systémů. Multidisciplinární of information systems. A multidisciplinary approach enables přístup umožňuje dodávat zákazníkům řešení, která přesahují solutions going beyond a narrow technological view on úzce technologický pohled na informační bezpečnost, information security, as well as the consideration a zohledňovat také širší obchodní, finanční, of broader business, financial, legal or tax risks, právní, či daňová rizika. to be delivered to clients. Kontaktní osoba ve věci průzkumu/Contact person for the survey: Ing. Lukáš Mikeska, CISA, ACCA Ernst & Young, Karlovo náměstí 10, 120 00 Praha 2, Česká republika Tel.: +420 225 335 225; www.ey.com/cz; lukas.mikeska@cz.ey.com Národní bezpečnostní úřad National Security Authority Národní bezpečnostní úřad (www.nbu.cz) byl zřízen The National Security Agency (www.nbu.cz)) was established zákonem č. 148/1998 Sb. jako ústřední správní úřad by Act No. 148/1998 Coll. in 1998 as a government pro oblast ochrany utajovaných informací. administrative body for the protection of classified information. Zajišťuje jednotné provádění ochrany utajovaných It ensures the uniform application of classified information informací v České republice, vykonává státní dozor protection in the Czech Republic, carries out government a metodickou činnost a další činnosti a úkoly inspections, institutes methodology and performs other tasks spojené s ochranou utajovaných informací, associated with the protection of classified information, včetně certifikací informačních systémů určených including certification of information systems restricted k nakládání s utajovanými informacemi. for classified information handling. Kontaktní osoba ve věci průzkumu/Contact person for the survey: Ing. Jaroslav Šmíd náměstek ředitele/Deputy Director Národní bezpečnostní úřad, P.O. BOX 49, 150 06 Praha 56, Česká republika www.nbu.cz; nbu@nbu.cz DSM – data security management DSM – data security management Časopis DSM (www.dsm.tate.cz), vydávaný společností DSM magazine (www.dsm.tate.cz), published by TATE International, s.r.o., je odborné periodikum, Tate International, s.r.o., is a professional periodical providing jež se věnuje problematice informační bezpečnosti quality, up-to date information in the field of information security. v nejširším kontextu. Největší čtenářské zastoupení má DSM magazine targets the quot;managerialquot; spectrum of people časopis mezi středním a vyšším managementem organizací, dealing with information security issues. Tate International s.r.o. jak z oblasti státní správy, tak z oblasti komerční. caters to a target group of medium-level and top managers Časopis DSM spolupracuje s odborníky z České republiky of state authorities as well as commercial organizations. i ze zahraničí a jako organizátor nebo mediální partner DSM magazine collaborates with Czech and foreign experts se podílí na významných konferencích a seminářích and is involved in organizing conferences and seminars s bezpečnostní tematikou. on security-related topics. Kontaktní osoba ve věci průzkumu/Contact person for the survey: RNDr. Viktor Seige, CSc. DSM – data security management, TATE International s.r.o., Hořejší nábřeží 21, 150 00 Praha 5, Česká republika Tel.: +420 257 920 319-20; www.dsm.tate.cz; dsm@dsm.tate.cz
  • 31. 2007 © Ernst & Young, NBÚ, DSM – data security management ISBN 978-80-86813-13-4