We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare
and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able
to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least
a basic idea of preparedness and information security development across the whole territory of the EU, with all
the risks, threats and possibilities which this integration brings with it.
Information Security Survey in Slovak Republic 2008
1. PSIB SR ´08
®
Prieskum stavu informaènej bezpeènosti v SR 2008
Information Security Survey in Slovak Republic 2008
2.
3. PRIESKUM STAVU INFORMAČNEJ BEZPEČNOSTI V SR 2008
INFORMATION SECURITY SURVEY IN SLOVAK REPUBLIC 2008
Tretíročník Prieskumu stavu informačnej bezpečnosti v Slovenskej republike je tu a môžeme opäť porovnávať
a hodnotiť, po akých cestách sa vydala informačná bezpečnosť od posledného prieskumu z roku 2006. Vďaka tomu,
že máme navyše i možnosť porovnať naše výsledky s výsledkami PSIB ČR ´07, môžeme si urobiť aspoň rámcovú
predstavu o pripravenosti a vývoji informačnej bezpečnosti, na v súčasnosti už naozaj európsky previazanom teritóriu
so všetkými rizikami, hrozbami i možnosťami, ktoré táto integrácia prináša.
We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare
and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able
to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least
a basic idea of preparedness and information security development across the whole territory of the EU, with all
the risks, threats and possibilities which this integration brings with it.
Po preštudovaní výsledkov prieskumu a komentárov autorov k jednotlivým bodom môže čitateľ získať dojem, že počas
obrovského technologického boomu a vývoja celej spoločnosti sa základné hrozby, a z nich plynúce riziká v našom
priestore a čase, významne nemenia. To by mohlo naznačovať i možné dôvody, prečo pätina spoločností z prieskumu
doposiaľ neuskutočnila analýzu rizík a väčšina respondentov nemá zriadenú ani pracovnú funkciu, ktorá by sa
zaoberala prioritne informačnou bezpečnosťou. Ponúka sa aj jedno aktuálne vysvetlenie, a to, že súčasná príprava
prechodu na Euro v informačných systémoch spoločností absolútne zatienila ostatné interné projekty.
After studying the survey results and the authors’ comments on individual points, the reader may get the impression that
the basic threats and resulting risks have not currently altered here at all, despite the high-tech boom and the society-wide
development. This could also indicate possible reasons why a fifth of the companies taking part in the survey have still
not performed a risk analysis and why most of the respondents do not have a work-role in place with a preferential
focus on information security. However, a plausible explanation for this is that the current preparation for
Euro-conversion in corporate information systems has wholly overshadowed other internal projects.
Dnes, v dobe tak dynamickej a rýchlej, že niektoré spoločnosti zmiznú z trhu skôr ako stačia vôbec identifikovať svoje
hrozby pre informačnú bezpečnosť, je teda dobre, že existujú aspoň základné pravidlá a uznávané praktiky v oblasti
bezpečnosti, ktorými sa tí ostatní môžu riadiť a ktoré udávajú smer na ceste za lepšou a kvalitnejšou bezpečnosťou
v rámci finančne možného. Kvalitné riadenie informačnej bezpečnosti v praxi vždy narazí na nečakanú prekážku,
ako môžeme v poslednej dobe vidieť na príklade úniku informácií od významných a dobre zabezpečených spoločností,
od ktorých by sa to neočakávalo.
Today, in the dynamic and fast-changing times where some companies vanish from the market before they even have
a chance to identify their information security threats, it is good that there are at least basic security rules and accepted
practices which others can follow and point the way towards improved and higher quality security, always respecting the
financial considerations. In practice, high-quality information security management always encounters an unexpected
obstacle, which we could recently have seen in the example of information outflow from leading and prosperous
companies, which was a surprise to everybody.
Ak je najvýznamnejšie udávaným dôvodom zlepšovanie informačnej bezpečnosti potreba ochrany osobných
a obchodných údajov, presúvame sa ďalej do roviny, kde použité informačné technológie umožňujú túto ochranu tak,
ako to bolo pôvodne zamýšľané. Zodpovední pracovníci majú síce jednoznačnejší cieľ, ale na druhej strane stále ťažšiu
pozíciu pre zdôvodnenie výšky investícii do týchto technológii. Tejto situácii nahrávajú i prieskumom naznačené
očakávania manažérov IT, že pracovníci bezpečnosti vhodne skĺbia znalosti informačnej bezpečnosti s efektívnou
komunikáciou s vrcholovým vedením.
Consequently, if the reason cited as the most significant for improving information security is the need for personal and
business data protection, we move on to those companies where applied information technologies solely play the role of
an enabler of the above protection as it was initially intended. The responsible employees now have a clearer objective
but, on the other hand, it is seldom easy for them to substantiate the extent of investments in these technologies. This
situation is also supported by the expectations of IT managers, as indicated in the survey, that the security staff bring
information security expertise appropriately into accord with effective communication with the top management.
Partneri tohtoročného prieskumu: Ernst & Young, Národný bezpečnostný úrad SR, časopis DSM – Data Security
Management a TATE International Slovakia veria, že čitatelia a používatelia výsledkov tohtoročného prieskumu budú
mať čas sa na svojej ceste k ideálnemu stavu informačnej bezpečnosti zastaviť, obzrieť sa a vybrať si z prieskumu
to zaujímavé a potrebné k tomu, aby našli svoj cieľ.
The partners in this year’s survey – Ernst & Young, the National Security Authority SR, the magazine DSM – Data Security
Management and TATE International Slovakia – believe that the readers and users of this survey’s results will have time
1
to stop, look back and choose from the survey interesting and necessary information in order to identify their objectives
in heading towards the ideal state of information security.
PSIB SR ´08
4. HLAVNÉ ZISTENIA
V roku 2008 prikladá informačnej bezpečnosti význam 92 % opýtaných spoločností na Slovensku, no napriek tomu
18 % z nich hodnotí svoj stav informačnej bezpečnosti stále ako nízky alebo nedostatočný.
Ako najviac motivujúce faktory pre investície do informačnej bezpečnosti spoločnosti označujú bezpečnosť a ochranu
údajov, rýchly vývoj v oblasti IT a hrozbu útoku.
83 % spoločností nemá zamestnaného žiadneho špecialistu zaoberajúceho sa prioritne informačnou bezpečnosťou.
Pracovníci, ktorí aktívne pôsobia v oblasti informačnej bezpečnosti, v priemere zarábajú okolo 43.000 Sk
(1 427,34 €), čo je oproti minulému prieskumu z roku 2006 výrazný nárast.
Spoločnosti si najviac u svojich bezpečnostných pracovníkov cenia vecné znalosti problematiky, IT technológií
a flexibilitu, a naopak im najviac chýba znalosť finančného riadenia a schopnosť efektívnej komunikácie s vedením.
Bežnou praxou v spoločnostiach je integrácia informačnej bezpečnosti pod IS/IT oddelenia. Priemerný rozpočet na
bezpečnostné záležitosti tvoria firmy iba v 18 % prípadov a to väčšinou vo veľkosti 10 % z celkového rozpočtu na
IS/IT. Iba slabá tretina spoločností následne kalkuluje návratnosť investícií do informačnej bezpečnosti.
65 % spoločností má vytvorené bezpečnostné politiky a tieto sú v 43 % pravidelne prepracovávané a aktualizované.
Pribúda politík stredného rozsahu, ktoré spoločnosti preferujú pred obšírnejšími aj tými najstručnejšími.
Majorita spoločností stále spolieha na interné štandardy alebo tie prevzaté od materských spoločností.
Medzi najvýznamnejšie identifikované hrozby stále patria výpadky prúdu, SPAM a porucha hardvérového vybavenia.
Oproti roku 2006 problematika počítačových vírusov ustupuje do pozadia.
Najväčšími výzvami posledného obdobia sú pre spoločnosti participujúce na prieskume prechod na Euro
a implementácia nových operačných systémov.
Až 34 % spoločností nemá vypracovaný systém monitorovania bezpečnostných incidentov a viac ako štvrtina
nedisponuje žiadnymi formálnymi postupmi v tejto oblasti.
Rastie podiel podnikov, ktoré majú vypracované a pripravené plány obnovy funkčnosti, ktoré majorita z nich
pravidelne aktualizuje a testuje.
Hlavnými prioritami na riešenie v oblasti informačnej bezpečnosti sa stávajú už identifikované, známe problémy
firiem. Vývoj nových riešení v oblasti IT už nie je významnou prioritou, a rovnako sa menší dôraz prikladá na
analýzy a výsledky auditov, prípadne odporúčania dodávateľov.
Skoro 20 % podnikov ešte nikdy nevykonalo analýzu rizík informačného systému.
Tretina podnikov rieši informačnú bezpečnosť vo vlastnej réžii, dve tretiny volia externých dodávateľov riešení.
Iba zanedbateľné percento túto oblasť nerieši vôbec.
Oproti roku 2006 klesol podiel spoločností, ktoré dokážu a môžu využívať elektronický podpis z jednej tretiny
na jednu štvrtinu. Taký istý počet jeho zavedenie vôbec neplánuje. Nedostatok aplikácií podporujúcich elektronický
podpis a zriedkavá akceptácia zo strany štátu sú hlavné prekážky pre jeho zavádzanie do praxe.
Rýchlejšiemu rozvoju informačnej bezpečnosti bránia nízke povedomie o bezpečnosti a finančná náročnosť.
Lídrami v oblasti informačnej bezpečnosti stále zostávajú banky a finančné inštitúcie spolu s IT spoločnosťami,
ktoré dosahujú nadpriemerné výsledky.
2
PSIB SR ´08
5. THE MAIN FINDINGS
In 2008, 92% of Slovak companies taking part in the survey asserted that information security was
important, whereas 18% of them still assessed their state of information security as poor or inadequate.
Data security, data protection, the rapid pace of developments in IT and concerns about attacks were
cited by companies as the factors most motivating them to invest in information security.
83% of companies do not employ a specialist whose priority role is to focus on information security.
Employees who are actively engaged in information security earn on average around SKK 43,000
(€ 1,427.34), which is a substantial increase on the previous survey carried out in 2006.
What the companies value most with regard to their information security staff includes understanding
of related issues, IT technologies and their flexibility. On the other hand, they lack expertise in financial
management and the ability to communicate effectively with the management.
It is common practice to integrate information security within IS/IT departments. Only in 18% of cases
do companies plan an average budget for security issues; predominantly, this represents 10% of the
overall budget for IS/IT. Only a poor third of companies then calculates any return on their investment
in information security.
65% of companies have security policies in place, which in 43% of cases are regularly redesigned and
updated. More and more companies implement policies of intermediate extent, in preference to both
long-term and short-term policies.
Most companies are subject to their own internal standards or to those of their parent companies.
The major identified threats are seen to be those posed by power outage, SPAM or hardware malfunction.
Compared to 2006, issues relating to computer viruses have begun to reduce in severity.
The greatest challenges recently faced by the respondent companies are Euro-conversion
and the implementation of new operating systems.
Up to 34% of companies have no system in place for monitoring security incidents and more than
a quarter have no appropriate formal procedures in place.
There is a growing number of companies that have drawn up and prepared Disaster Recovery Plans
and the majority of them update and test them on a regular basis.
The main priorities for information security are solving problems which companies have already
identified. The development of new IT solutions is no longer a significant priority and, similarly, reduced
emphasis is placed on analyses and findings of audits or recommendations of suppliers.
Almost 20% of companies have never performed an IS risk analysis.
A third of companies resolve their information security issues at their own expense and two-thirds turn
to external suppliers for their solutions. An insignificant percentage has no dealings in this area at all.
Compared to 2006, the share of companies who are able to and permitted to use an electronic signature
dropped from a third to a quarter. The same number has no plan to introduce electronic signatures
at all. The lack of applications supporting electronic signatures and its random acceptance by the state
represent the main obstacles to its introduction into practice.
A faster pace for the development of information security is impeded by a low level of security
awareness and high associated costs.
Banks and financial institutions still represent the leaders in the information security area, along with IT
companies which deliver outstanding results.
3
PSIB SR ´08
6. RESPONDENTI
RESPONDENTS
Prieskum z oblasti informačnej bezpečnosti je už od roku 2004 zameraný na spoločnosti s viac ako 100
zamestnancami. Viac ako dvojtretinové zastúpenie v prieskume majú spoločnosti do 500 zamestnancov.
Oproti roku 2006 sa zastúpenie firiem s 501 až 1 000 zamestnancami zvýšilo, na úrok veľkých spoločností
s viac ako 1 000 zamestnancami.
The information security survey has focused since 2004 on companies with more than 100 employees.
More than two-thirds of companies participating in the survey have up to 500 employees. Compared to
2006, the ratio of companies with 501 to 1,000 employees increased at the expense of large companies
with more than 1,000 employees.
8%
Viac než 1 000 zamestnancov
More than 1,000 employees
72 %
100 – 500 zamestnancov
20 % 100 – 500 employees
501 – 1 000 zamestnancov
501 – 1,000 employees
Graf 1: Distribúcia respondentov podľa počtu zamestnancov
Chart 1: Distribution of respondents by number of employees
Iná oblasť pôsobnosti
17 %
Other areas
Strojárstvo
12 %
Mechanical engineering
Stavebný priemysel
11 %
Building industry
Predaj/obchod a distribúcia
8%
Sales/Trade/Distribution
Potravinársky priemysel
7%
Food & Drink industry
Textilný priemysel
6%
Textile industry
Financie/bankovníctvo
6%
Finance/Banking
Štátna správa
5%
State administration
Elektrotechnický priemysel
5%
Electrical engineering
Poradenstvo/služby
4%
Consultancy/Services
Informačné technológie/telekomunikácie
4%
IT/Telecommunications
Chemický priemysel
3%
Chemical industry
Doprava
3%
Transport
Zdravotníctvo/farmaceutický priemysel
2%
Health care/Pharmaceuticals industry
Vodovody a kanalizácie
2%
Water distribution and Sewerage
Energetika/elektroenergetika/distribučná spol.
2%
Energy sector/Electro-energy/Distribution
Drevospracujúci priemysel
2%
Woodworking
Graf 2: Distribúcia respondentov podľa oboru pôsobnosti
Plynárenstvo a ropný priemysel
1%
4
Chart 2: Distribution of respondents by industry
Gas and Oil industry
PSIB SR ´08
7. Až 17 % podiel na prieskume majú spoločnosti s „inou oblasťou pôsobnosti“, ktorá sa nehodila
do žiadnej z ostatných kategórií. Oproti predchádzajúcemu prieskumu sa nám podarilo podiel
nezaraditeľných spoločností výrazne znížiť, keďže v roku 2006 táto skupina tvorila viac ako
štvrtinu respondentov. Ďalej je výrazne v prieskume zastúpené strojárstvo (12 %) nasledované
stavebným priemyslom. Ostatné oblasti si zachovali podobné zastúpenie ako v roku 2006.
Companies with other area of activity which did not fit into any one category comprised
as much as 17% of the survey. Compared to the previous survey, we managed to decrease
the number of unclassifiable companies significantly, as in 2006 this group represented more
than a quarter of respondents. Another significant proportion is represented by Mechanical
engineering (12%) followed by the Building industry. Other areas maintained a similar
proportion to 2006.
Vedúci oddelenia IS/IT
39 %
IS/IT Department Manager
Špecialista IS/IT
17 %
IS/IT Specialist
Riaditeľ IS/IT
11 %
IS/IT Director
Špecialista bezpečnosti
7%
Security Specialist
Iná pozícia
6%
Other Position
Ekonomický/finanční riaditeľ
6%
Economic/Financial Director
Riaditeľ/manažér bezpečnosti
5%
Security Director/Manager
Riaditeľ/konateľ/majiteľ spoločnosti
4%
Director
Pracovník marketingu
3%
Marketing employee
Obchodný/technický/prevádzkový riaditeľ
2%
Business/Technical/Operational Director
Graf 3: Kto za organizácie odpovedal
Chart 3: Who provided answers on behalf of organisations
Za spoločnosti na otázky prieskumu odpovedali vedúci pracovníci v dvoch tretinách
prípadov. Rovnaký podiel odpovedí poskytli aj pracovníci IS/IT zamerania. Celkovo
trend v tejto oblasti signalizuje prechod zodpovednosti za vypĺňanie dotazníka na
manažérov a IS/IT zamestnancov.
In two-thirds of cases, managers were the persons who responded for the
companies. IS/IT staff also provided a similar proportion of responses.
On aggregate, the trend in this area signals the transfer of responsibility
for completing the questionnaire towards managers and IS/IT staff.
5
PSIB SR ´08
8. VÝZNAM INFORMAČNEJ BEZPEČNOSTI
IMPORTANCE OF INFORMATION SECURITY
Z výsledkov prieskumu vyplýva jednoznačná orientácia na zaistenie vysokého stupňa kvality informačnej bezpečnosti
a pochopenie dôležitosti informačnej bezpečnosti pre dosiahnutie primárnych cieľov organizácie. 92 % spoločností pokladá
informačnú bezpečnosť za stredne významnú alebo veľmi významnú. Iba 2 % spoločností jej prisúdili zanedbateľný význam.
The results of the survey show a definite focus on ensuring a high level of information security quality and understanding
its importance in meeting the primary goals of organisations. 92% of companies stated that information security had medium
significance or high significance. Only 2% of companies claimed that information security was of negligible significance.
2%
Zanedbateľný význam
Negligible significance
48 %
6% Veľký význam
Malý význam High significance
Low significance
44 %
Stredný význam
Medium significance
Graf 4: Význam informačnej bezpečnosti z hľadiska primárnych cieľov organizácie
Chart 4: Importance of information security in terms of primary goals of organisations
Financie/bankovníctvo
91 % 9%
Finance/Banking
Zdravotníctvo/farmaceutický priemysel
25 %
75 %
Health care/Pharmaceuticals industry
Vodovody a kanalizácie
67 % 33 %
Water distribution and Sewerage
Informačné technológie/telekomunikácie
62 % 38 %
IT/Telecommunications
Doprava
40 %
60 %
Transport
Predaj/obchod a distribúcia
40 % 7%
53 %
Sales/Trade/Distribution
Iná oblasť pôsobnosti
39 % 9%
52 %
Other areas
Poradenstvo/služby
50 % 50 %
Consultancy/Services
Chemický priemysel
50 % 50 %
Chemical industry
Plynárenstvo a ropný priemysel
50 % 50 %
Gas and Oil industry
Potravinársky priemysel
38 % 16 %
46 %
Food & Drinks industry
Textilný priemysel
46 % 9%
45 %
Textile industry
Stavebný priemysel
45 % 55 %
Building industry
Štátna správa
11 %
44 % 45 %
State Administration
Elektrotechnický priemysel
10 %
50 %
40 %
Electrical engineering
Energetika/elektroenergetika/distribučná spol.
67 %
33 %
Energy industry/Electro-energy/Distribution
Strojárstvo
14 %
63 %
23 %
Mechanical engineering
Drevospracujúci priemysel
100 %
Woodworking
Stredný význam Malý alebo zanedbatelný význam
Velký význam
Medium significance Low or Negligible significance
High significance
Graf 5: Význam informačnej bezpečnosti podľa oboru pôsobnosti
6
Chart 5: Importance of information security by industry
PSIB SR ´08
9. Pri pohľade na rozdelenie významu informačnej bezpečnosti podľa oboru pôsobnosti
podnikov sa na prvých priečkach umiestnili, tak ako po minulé roky, spoločnosti z oblasti
bankovníctva a financií. Zdravotnícky a farmaceutický priemysel, vodovody a kanalizácie
a doprava boli v prieskume zastúpené iba malým percentom, čo skresľuje pohľad na ich
dosiahnuté umiestnenie. Drevospracujúce a strojárske podniky prikladajú informačnej
bezpečnosti skôr menší význam. Spoľahlivé výsledky tejto časti prieskumu môžeme
vidieť v priemernej dôležitosti informačnej bezpečnosti pre podniky z oblasti
poradenstva, štátnej správy a potravinárskeho priemyslu.
When looking at the break-down of importance for information security by the sphere
of activity of companies, the first ranks are occupied by companies from banking
and finance world (as in the previous years). Health care and the pharmaceuticals
industry, water distribution and sewerage as well as transport were only represented
by a minor percentage, which distorts the picture in respect of the position they
acquired. Woodworking and mechanical engineering companies claimed that information
security is less important to them. The reliable results of this part of the survey may be
observed through the average information security for companies active in consultancy,
state administration and the food & drinks industry.
17 %
Nízka úroveň
Low level
1%
Nedostatočná úroveň
Inadequate level
56 % 26 %
Dobrá úroveň Výborná úroveň
Good level Excellent level
Graf 6: Úroveň riešenia informačnej bezpečnosti v organizácii (celkovo)
Chart 6: Level of information security in organisation (total)
Až 82 % organizácií v prieskume hodnotí svoju informačnú bezpečnosť pozitívne
a optimisticky. Viac ako štvrtina pokladá svoju informačnú bezpečnosť za výbornú,
na druhej strane iba menej ako jedna pätina firiem ju vidí na nízkej úrovni.
Oproti minulému prieskumu vidieť nepatrné zmeny k lepšiemu v sebahodnotení
úrovne informačnej bezpečnosti organizáciami, keď sa ľahko navýšil podiel
spoločností, ktoré svoju úroveň riešenia informačnej bezpečnosti hodnotia
ako výbornú (z 20 % na 26 %). Tento posun sa primárne udial na úkor spoločností
s „dobrou úrovňou“ (z 65 % na 56 %).
Up to 82% of organisations participating in the survey evaluate their information
security positively and are optimistic about its development. More than a quarter
of the companies rated the level of their information security as excellent.
On the other hand, just under a fifth of companies consider it to be at a low level.
Compared to the last survey, only slight changes for the better may be visible
in the self-assessment of information security by organisations, as the ratio
of companies which rate their information security solutions as excellent increased
slightly (from 20% to 26%). This movement primarily happened at the expense
of companies with a “good level” (from 65% down to 56%).
7
PSIB SR ´08
10. Spoločnosti z plynárenského, ropného a chemického priemyslu hodnotia svoje riešenia bezpečnosti ako výborné v polovici
prípadoch; obchod a elektrotechnický priemysel v 40 %. Najkritickejšie odvetvie k svojej informačnej bezpečnosti je
strojárstvo, nasledované poradenstvom alebo službami a vodovodmi a kanalizáciami. Výsledky približne kopírujú
dôležitosť, ktorú spoločnosti z jednotlivých odvetví prikladajú informačnej bezpečnosti, čo dokladajú výsledky
napríklad farmaceutického priemyslu a oblasti informačných technológií.
Companies from the gas, oil and chemical industries assess their security solutions as excellent in half of the cases;
trade and electrical engineering in 40%. The most critical approach to its information security is maintained by mechanical
engineering, followed by consultancy or services and water distribution and sewerage. The results approximately reflect
the level of importance which is assigned by companies from individual sectors to information security, which is also
demonstrated by the results of, for example, the pharmaceuticals industry or the information technology sector.
Chemický priemysel
50 % 33 % 17 %
Chemical industry
Plynárenstvo a ropný priemysel
50 % 50 %
Gas and Oil industry
Predaj/obchod a distribúcia
47 % 13 %
40 %
Sales/Trade/Distribution
Elektrotechnický priemysel
40 % 50 % 10 %
Electrical engineering
Vodovody a kanalizácie
34 % 33 %
33 %
Water distribution and Sewerage
Iná oblasť pôsobnosti
49 % 21 %
30 %
Other areas
Textilný priemysel
64 % 9%
27 %
Textile industry
Financie/bankovníctvo
9%
64 %
27 %
Finance/Banking
Poradenstvo/služby
38 %
25 % 37 %
Consultancy/Services
Zdravotníctvo/farmaceutický priemysel
75 %
25 %
Health care/Pharmaceuticals Industry
Informačné technológie/telekomunikácie
25 % 75 %
IT/Telecommunications
Potravinársky priemysel
69 % 8%
23 %
Food & Drinks industry
Štátna správa
22 % 22 %
56 %
State administration
Doprava
60 % 20 %
20 %
Transport
Stavebný priemysel
70 % 15 %
15 %
Building industry
Strojárstvo
45 % 41 %
14 %
Mechanical engineering
Drevospracujúci priemysel
100 %
Woodworking
Energetika/elektroenergetika/distribučná spol.
67 % 33 %
Energy industry/Electro-energy/Distribution
Výborná úroveň Dobrá úroveň Nízka alebo nedostatočná úroveň
Excellent level Good level Low or Insufficient level
Graf 7: Úroveň riešenia informačnej bezpečnosti v organizácii podľa oboru pôsobnosti
8 Chart 7: Level of information security in organisation by industry
PSIB SR ´08
11. Prím v rizikách, ktoré vedú firmy k zdokonaľovaniu informačnej bezpečnosti, hrá ochrana údajov (66 %), ktorá sa
v prieskume objavila tento rok prvý krát. Tak ako po minulé roky, rýchly vývoj informačných technológií (35 %), požiadavky
na prepájanie smerom von aj dnu (29 % a 21 %) a hrozba útoku (31 %) sú medzi faktormi, ktoré podľa firiem majú najväčší
vplyv. Oproti minulým rokom firmy zrejme prehodnotili dôležitosť niektorých faktorov a tým pádom došlo k preskupeniu
percentuálneho zastúpenia. Prepad o 11 % oproti roku 2006 zaznamenal tlak zo strany legislatívy SR a o 10 % zo strany EU.
The main risk driving companies to strengthen their information security is data protection (66%) which this year appeared
in the survey for the first time. As in the previous years, the fast pace in the development of information technologies (35%),
requirements for external as well as internal connections (29% and 21%) and threat of attack (31%) represent the factors
with the greatest influence, as assessed by the companies. Compared to the previous years, companies apparently
reassessed the importance of certain factors, thereby rearranging percentages. Compared to 2006, a reduction of 11%
and 10% resulted from pressure from the SR legislation and the EU, respectively.
Ochrana údajov*
66 %
Data protection*
35 %
Rýchly vývoj v oblasti IT
50 %
Rapid pace of IT developments
56 %
Hrozba útoku*
31 %
Threat of attack*
29 %
Prepájanie informacných systémov smerom von
53 %
Connection of IS outside
55 %
21 %
Prepájanie informacných systémov vo vnútri organizácie
32 %
Connection of IS within organisation
38 %
21 %
Výsledky vykonaného auditu/odporúcaní audítorov
23 %
Audit results/Auditors' recommendations
22 %
15 %
Legislatívny tlak v SR
26 %
Legislative pressure in the SR
27 %
8%
Tlak/požiadavky zo strany investorov/akcionárov/vlastníkov
10 %
Investor/shareholder/Owner pressure/Requirements
12 %
7%
Požiadavky na mobilné spracovanie informácií
14 %
Mobile information processing requirements
13 %
Splnenie obchodných cieľov*
7%
Business plan fulfilment*
7%
E-business a/alebo e-commerce
9%
E-business and/or E-commerce
11 %
Riešenie informačnej bezpečnosti u porovnatelných organizácií*
5%
Information security solutions from peers*
5%
Tlak/požiadavky zákazníkov
11 %
Client pressure/requirements
8%
Hrozba negatívnej medializácie*
4%
Threat of negative picture in media*
4%
Tlak/požiadavky obchodných partnerov
14 %
Business partners pressure/requirements 2008
13 %
Hrozba finančných sankcií* 2006
3%
Threat of financial sanctions*
2004
2%
Platná aj pripravovaná legislatíva Európskej a Menovej Únie
10 %
Valid or prepared EU and European Monetary Union legislation
12 %
* možnosti prvý krát k dispozícii až v PSIB SR ´08
10 % ** možnosť v PSIB SR ´08 už nie je k dispozícii
Iné dôvody**
* option appeared in the 2008 survey for the first time
6%
Other reasons** ** option is no longer available in the 2008 survey
Graf 8: Okolnosti, ktoré majú najväčší vplyv na presadzovanie informačnej bezpečnosti
9
Chart 8: Circumstances with most impact on information security implementation
PSIB SR ´08
12. Pre jednu tretinu spoločností je pravidelná tvorba správ o informačnej bezpečnosti zabehnutá prax,
avšak pre 20 % stále nepreskúmaná oblasť. 30 % spoločností vydáva správy podľa potreby.
Zaujímavým bodom v tejto oblasti je informácia, že pätina spoločností nikdy túto správu nepripravila,
a preto je otázne, akým spôsobom je informačná bezpečnosť u nich riadená.
A third of companies stated that regular preparation of reports on information security is a common
practice; however, for 20% it remains an unexplored area. 30% of companies issue reports when
necessary. An interesting fact in this area is that a fifth of the companies have never prepared
a report and it is therefore questionable how information security is managed in their organisations.
20 %
Nikdy
30 % Never
Ad-hoc
4%
Ad-hoc
Niekoľkokrát ročne
More often that once a year
30 %
16 % Ročne
Menej ako jedenkrát ročne Once a year
Less than once a year
Graf 9: Ako často sa pripravuje správa o stave informačnej bezpečnosti
Chart 9: How often is prepared reports on the state of information security
Podniky, ktoré správy o stave informačnej bezpečnosti tvoria, ich predkladajú najvyššiemu vedeniu vo viac ako
dvoch tretinách prípadov, čo potvrdzuje trend uvedomovania si dôležitosti IT pre podporu firemných procesov
a tým i rastúcu zainteresovanosť vrcholového vedenia. V 8 % prípadov si správu vyžaduje materská
spoločnosť a nie je výnimkou, ak sa správy dostanú do rúk viacero zainteresovaných príjemcov.
Companies that compile reports on the state of information security submit them to top management in more
than two thirds of cases, which is also confirmed by the trend of awareness of IT importance for the support
of corporate procedures and the related increasing involvement of top management. In 8% of cases, reports
are required by parent companies and it is quite usual for reports to end up on the desks of a number
of interested recipients.
7%
Bezpečnostnému manažérovi/strednej úrovni riadenia
Security manager/Middle management
2%
Bezpečnostnému špecialistovi (nemanažérska pozícia)
Security specialist (non-managerial position)
8%
Materskej spoločnosti
Parent company
70 %
13 %
Najvyššiemu vedeniu
Top management Viacerým príjemcom
Several recipients
Graf 10: Komu sú správy o stave informačnej bezpečnosti určené?
Chart 10: Who are the reports on the state of information security prepared for?
10
PSIB SR ´08
13. Najviac priestoru pre zlepšovanie úrovne informačnej bezpečnosti vidí skoro polovica respondentov v ešte
väčšej podpore vrcholového vedenia, napriek výsledku z Grafu 10. Tato situácia by mohla naznačovať, že
správy predkladané vedeniu nemajú praktický výsledok vo forme zlepšenia stavu informačnej bezpečnosti
alebo sú tieto správy diplomaticky upravované. Ďalšími oblasťami, kde spoločnosti môžu upriamiť svoju
pozornosť sú aj systémy prípravy pracovníkov a dostupnosť metodík a informácií o dokumentoch pre praktickú
činnosť a legislatívu.
Almost half of the respondents see the greatest scope for the improvement of information security as entailing
more substantial support from top management, despite the results shown in Chart 10. This situation could
indicate that the reports submitted to management do not have a practical result in the form of improving the
state of information security, or they are diplomatically adjusted. Other areas which may also merit companies’
attention include staff preparation systems and availability of methodologies and information on documents
for purposeful activity and legislation.
Väčšia podpora vrcholového vedenia
48 %
Better top management support
Dostupnosť metodík a informácií o dokumentoch, potrebných pre praktickú činnosť
32 %
Availability of methodologies and information on documents required for practice
Vyriešenie systému prípravy a vzdelávania pracovníkov
31 %
Development of staff preparation and education system
Legislatívna úprava oblasti informačnej bezpečnosti
21 %
Legal regulations in the area of information security
Dostupné poradenské a konzultačné služby
16 %
Available advisory and consultancy services
Zvýšenie počtu podujatí, ktoré sa touto problematikou zaoberajú
10 %
More events dealing with these issues
Graf 11: Čo by pomohlo organizácii zvyšovať úroveň informačnej bezpečnosti?
Chart 11: What would help increase the organisations' level of information security?
ORGANIZAČNÉ ZABEZPEČENIE
ORGANISATIONAL SECURITY
V tejto oblasti hovoria výsledky sami za seba. Iba 17 % spoločností má pracovníka, ktorý sa venuje informačnej
bezpečnosti ako hlavnej pracovnej náplni, pričom je stále bežná prax zlučovania funkcie informačnej bezpečnosti s IS/IT
oddelením. Prieskum vypovedal i o istej vzdialenosti informačnej bezpečnosti od biznis procesov spoločností. U 46 %
spoločností nie je informačná bezpečnosť a manažment rizík integrovaný. V prípade separátneho riešenia týchto dvoch
oblastí môže dochádzať k neadekvátnemu využitiu zdrojov firmy a nepokrytiu obchodných rizík, ktoré idú ruka v ruke
s rizikami bezpečnosti na úrovni informačných systémov.
In this area the results speak for themselves. Only 17% of companies employ a professional whose main responsibility
is information security. Merging the information security function with an IS/IT department remains a common practice.
The survey also disclosed a certain distance between information security and corporate business processes.
46% of companies lack integration of information security with risk management. Where there is a separate solution
to these two areas, corporate resources may be used inadequately and business risks inadequately covered,
which goes in tandem with IS security risks.
Spoločnosti sú v tejto oblasti rozdvojené. Jedna polovica ide cestou aspoň čiastočnej integrácie, druhá manaž-
ment rizík a informačnú bezpečnosť v praxi nespája. Spoločnosti s plnou integráciou týchto oblastí sú primárne
z bankovej, finančnej a telekomunikačnej sféry, kde je badateľný legislatívny tlak. Bude zaujímavé sledovať vývoj
v tejto oblasti do budúcna.
Companies are split into two categories in this area. Half pursue at least partial integration, the other half go
for risk management and do not link information security with anything within practice. Companies with full
integration of these areas are primarily from the banking, finance and telecommunications sectors where
11
pressure from legislation is apparent. Monitoring future developments in this area will be of interest.
PSIB SR ´08
14. Oproti minulému prieskumu z roku 2006 sa v tejto oblasti veľa nezmenilo. U 17 % respondentov nie je jasne
definovaná zodpovednosť. 57 % podnikov zodpovednosť za riešenie informačnej bezpečnosti dáva manažérom
a viac ako jedna štvrtina spolieha na špecialistov mimo úrovní riadenia podniku. Trendom však ostáva, že
zodpovednosť sa presúva na úroveň vedenia divízie/odboru.
No significant changes occurred in this area compared to the 2006 survey. There is a lack of a clear definition
of responsibility for 17% of respondents. 57% of companies allot responsibility for information security solutions
to managers and more than a quarter rely on outsourced specialists. However, the ongoing trend is to shift
responsibility to the level of divisional/departmental management.
14 %
Manažér – úroveň najvyššieho riadenia
17 %
Manager – top management level
29 %
Manažér – úroveň vedenia divízie/odboru
25 %
Manager – head of division/section level
14 %
Manažér – iná úroveň riadenia
Manager – other managerial level 13 %
26 %
Špecialista – nemanažérska pozícia
Specialist – non-managerial position 27 %
2008
17 %
Nikto/nie je jasne definovaná zodpovednosť
Nobody/responsibility is not clearly assigned 18 % 2006
Graf 12: Kto je v organizácii zodpovedný za riešenie informačnej bezpečnosti?
Chart 12: Who is responsible for information security solutions in your organisation?
Z časového hľadiska je evidentný posun z nižších platových ohodnotení pracovníkov zodpovedných za informačnú
bezpečnosť do vyšších. V roku 2008 je až 40 % pracovníkov v kategórii „25 tis. Sk – 40 tis. Sk” (829,88 – 1 327,79 €).
Nárast o 8 % oproti roku 2006 (a až 19 % oproti 2004) zaznamenala skupina pracovníkov s platom od 55 tis. Sk do 70 tis.
Sk (1 825,70 – 2 323,57 €), kde sa teraz nachádza približne jedna štvrtina všetkých zamestnancov zodpovedných za
informačnú bezpečnosť.
Over time, there is an evident shift from lower remuneration levels of employees responsible for information security
to higher levels. In 2008, as many as 40% of employees were in the category “SKK 25 thousand – SKK 40 thousand”
(€ 829.88 – 1,327.79). The group of employees with pay ranging from SKK 55 thousand to SKK 70 thousand
(€ 1,825.70 – 2,323.57), witnessed an increase of 8% on 2006 (and up 19% on 2004); this group currently
incorporates a quarter of all staff responsible for information security.
7%
Viac ako 70.000 Sk (2 323,57 €)
5%
More than SKK 70,000 (€ 2,323.57)
0%
23 %
55.001 – 70.000 Sk (1 825,70 – 2 323,57 €)
15 %
SKK 55,001 – 70,000 (€ 1,825.70 – 2,323.57)
4%
13 %
40.001 – 55.000 Sk (1 327,79 – 1 825,70 €)
10 %
SKK 40,001 – 55,000 (€ 1,825.70 – 2,323.57)
18 %
40 %
25.001 – 40.000 Sk (829,88 – 1 327,79 €)
35 %
SKK 25,001 – 40,000 (€ 829,88 – 1,327.79)
39 %
2008
17 %
Menej ako 25.000 Sk (829,88 €)
35 % 2006
Less than SKK 25,000 (€ 829,88)
39 % 2004
Graf 13: Hrubé mesačné ohodnotenie pracovníkov v oblasti informačnej bezpečnosti
Chart 13: Gross average monthly remuneration of employees responsible for information security
12
PSIB SR ´08
15. Medzi stálice na poli chýbajúcich vlastností stále patria znalosti finančného riadenia, schopnosť efektívne
komunikovať s vedením organizácie a prezentačné a manažérske schopnosti. Znalosti cudzích jazykov pracovníkov
v oblasti informačnej bezpečnosti sa vylepšili, keďže už chýba iba v 14 % spoločností. Flexibilita a vecná znalosť
problematiky informačnej bezpečnosti je plne saturovaná vo všetkých spoločnostiach zúčastnených na prieskume,
čo je určite dobrá vizitka slovenských bezpečnostných pracovníkov.
Characteristics still missing include financial management skills, the ability to communicate with an organisation’s
management effectively, presentation skills and managerial skills. The foreign language skills of information security
staff have improved as only 14% are noted as lacking in the companies. Flexibility and understanding of information
security issues have been fully absorbed in all the companies participating in the survey, which is definitely a good
advert for Slovak information security staff.
32 %
Znalost finančného riadenia (rozpočtovanie)
25 %
Financial management skills (budgeting)
17 %
21 %
Schopnosť efektívnej komunikácie s vedením organizácie
22 %
Ability to communicate with management effectively
23 %
18 %
Prezentačné schopnosti
13 %
Presentation skills
10 %
18 %
Manažérske schopnosti
9%
Managerial skills
13 %
14 %
Znalosť cudzieho jazyka
26 %
Foreign language skills
33 %
14 %
Schopnosť riadit projekty
9%
Project management
10 %
14 %
Technologické znalosti IS/IT
4%
Technological skills
10 %
11 %
Analytické schopnosti
4%
Analytical skills
3%
7%
Vecná znalosť fungovania organizácie
0%
Understanding of organisation's functions
3%
0%
Vecná znalosť problematiky informačnej bezpečnosti
4%
Understanding of information security issues
0%
2008
0%
Flexibilita a konštruktívny prístup k riešeniu problémov 2006
0%
Flexibility and constructive approach to solving problems
7% 2004
Graf 14: Najviac chýbajúce znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti
Chart 14: Most noticeably absent knowledge and skills of information security staff
13
PSIB SR ´08
16. Ako najviac cenené znalosti a schopnosti určili respondenti prieskumu vecnú znalosť problematiky informačnej
bezpečnosti, technologické znalosti IS/IT a flexibilitu a konštruktívny prístup k riešeniu problémov.
Prepad oproti minulému prieskumu zaznamenala vecná znalosť fungovania organizácie, čo by naznačovalo presun priorít
k technologicko-bezpečnostným aspektom od zaisťovania bezpečnosti obchodných procesov. To môže súvisieť aj so
zriaďovaním alebo posilňovaním právomocí oddelení interných auditov, alebo s posunom riadenia informačnej
bezpečnosti k útvarom IS/IT, ako naznačili odpovede na otázku zodpovednosti za informačnú bezpečnosť.
The survey respondents stated that the most valued knowledge and skills were understanding of information security
issues, IS/IT technological skills as well as flexibility and a constructive approach to problem-solving. Understanding
of the organisation’s functions recorded a decrease on last year’s survey, which would indicate a shift in priorities
from ensuring the security of business processes towards technological and security aspects. This may also relate
to the establishing or strengthening of authority of the internal audit departments, or to a shift of information security
management towards IS/IT units, as was indicated in the answers to the question relating to information security.
75 %
Vecná znalosť problematiky informačnej bezpečnosti
57 %
Understanding of information security issues
80 %
36 %
Technologické znalosti IS/IT
43 %
Technological skills
53 %
32 %
Flexibilita a konštruktívny prístup k riešeniu problémov
35 %
Flexibility and constructive approach to solving problems
40 %
32 %
Schopnosť efektívnej komunikácie s vedením organizácie
17 %
Ability to communicate with management effectively
20 %
21 %
Analytické schopnosti
30 %
Analytical skills
17 %
21 %
Manažérske schopnosti
22 %
Managerial skills
23 %
18 %
Vecná znalosť fungovania organizácie
43 %
Understanding of organisation's functions
23 %
18 %
Prezentačné schopnosti
13 %
Presentation skills
7%
14 %
Znalosť cudzieho jazyka
0%
Foreign language skills
7%
7%
Schopnosť riadiť projekty
30 %
Project management
7%
2008
4%
Znalosť finančného riadenia (rozpočtovanie)
4% 2006
Financial management skills (budgeting)
3% 2004
Graf 15: Najviac cenené znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti
Chart 15: Most valued knowledge and skills of information security staff
14
PSIB SR ´08
17. Prevažujúcim riešením začlenenia útvaru informačnej bezpečnosti do organizačnej štruktúry spoločnosti je spojenie
s existujúcim IS/IT oddelením v 64 % prípadov. Tak ako po minulé roky sa vynára otázka zlučovania právomocí
a zvyšovania rizika konfliktov záujmov v týchto spoločnostiach. Ekonomický a finančný útvar už zostáva zodpovedný
za informačnú bezpečnosť iba v 7 % spoločností, oproti 12 % v roku 2006. Špecializovaný útvar bezpečnosti má
iba 5 % firiem, čo sa v kontexte veľkosti spoločností zúčastnených v prieskume (28 % spoločností s počtom
zamestnancov viac ako 500) javí ako nízke číslo.
The leading solution to incorporating an information security unit within a company’s organisational structure is
to link it in with the existing IS/IT department in 64% of cases. As in the previous years, there is an issue relating
to the merging of duties and an increasing risk of conflict of interest in these companies. Economic and finance
units remain responsible for information security in only 7% of companies, compared to 12% in 2006.
A specialised security unit is to be found in only 5% of companies, which, in the terms of the size of the
companies participating in the survey (28% of companies with a number of employees exceeding 500) seems
to be a rather low number.
7%
Iný útvar
12 %
Other department
12 %
2%
Útvar vnútorných/centrálnych služieb
1%
Internal/Central services department
1%
7%
Ekonomický alebo finančný útvar
12 %
Economic or Financial department
16 %
4%
Útvar kontroly, revízie alebo auditu
3%
Control, Review or Audit department
2%
64 %
Útvar IS/IT
57 %
IS/IT department
53 %
5%
Útvar bezpečnosti
5%
Security department
5% 2008
11 %
Žiadny útvar 2006
10 %
No department
11 % 2004
Graf 16: Útvar zodpovedný za informačnú bezpečnosť
Chart 16: Unit responsible for information security
BEZPEČNOSTNÁ POLITIKA A ŠTANDARDY
SECURITY POLICY AND STANDARDS
V roku 2008 sa nepotvrdil trend z roku 2006 a podiel podnikov s formálne definovanou bezpečnostnou politikou klesol na
65 %. V porovnaní s Českou republikou a prieskumom z roku 2007 sú slovenské podniky o 12 % napred. Absencia takejto
formálne definovanej politiky sa môže následne prejaviť na chýbajúcich alebo zlých metrikách vlastného sebahodnotenia
kvality informačnej bezpečnosti, ktoré je tým pádom nevyhnutné brať s rezervou. Kvalitne spracovaná a zadefinovaná
bezpečnostná politika je základným stavebným kameňom konzistentnosti, efektívnosti a kvality riešenia informačnej
bezpečnosti.
In 2008, the trend identified in 2006 was not confirmed and the ratio of companies with a formally documented security
policy reduced to 65%. Compared to the 2007 survey in Czech Republic, Slovak companies are in the lead by 12%.
The lack of a formally documented policy may in turn result in missing or improper measurements of self-assessment
of information security quality, which in this case must thus be taken less seriously. A properly developed and defined
security policy is the cornerstone of information security consistency, effectiveness and quality.
15
PSIB SR ´08
18. 65 %
Áno
70 %
Yes
58 %
2008
35 %
Nie
30 % 2006
No
42 % 2004
Graf 17: Má organizácia vo forme dokumentu formálne definovanú a najvyšším vedením prijatú bezpečnostnú politiku?
Chart 17: Does the organisation have a security policy in place, which would be formally documented
and accepted by the top management?
Oproti minulým rokom sa objem firemných bezpečnostných politík významne nezmenil. Skoro 60 % spoločností
preferuje stredne rozsiahlu bezpečnostnú politiku. Zmenu na takúto cestu definovania politiky volili aj niektoré
firmy doteraz presadzujúce voľnejšiu a nie tak obšírnu variantu, ktorá je iba deklarovaním hodnôt a cieľov.
Compared to last year, the volume of corporate security policies has not changed significantly.
Almost 60% of companies prefer a medium-sized security policy. Certain companies which had previously
promoted a looser and less extensive variant, which only declares their values and objectives, have also
changed the method of promoting their policy to a medium one.
18 %
Rozsiahla (niekoľko desiatok strán, detailný opis všetkých oblastí)
Extensive (more than 20 pages, detailed description of all areas)
17 %
59 %
Stredná (cca do 20 strán, podrobnejší opis požiadaviek a organizačného zabezpečenia)
Medium (approx. up to 20 pages, detailed description of requirements and security organisation) 57 %
23 %
Stručná (cca do 3 strán, skôr deklaratívny charakter)
Brief (approx. up to 3 pages, somewhat declarational in nature) 26 %
Graf 18: Charakteristika rozsahu bezpečnostnej politiky. 2008
Chart 18: Characteristics of security policy scope 2006
Drvivá väčšina respondentov poskytla pozitívnu odpoveď, približne tretina má pre oblasť ochrany osobných údajov
v bezpečnostnej politike vyhradený najväčší priestor. Skoro by to vyzeralo, akoby bezpečnostná politika niekedy vznikala
ako dôsledok zákona na ochranu osobných údajov. Iba 6 % respondentov priznalo, že sa v rámci svojej bezpečnostnej
politiky úprave ochrany osobných údajov vôbec nevenuje.
The overwhelming majority of respondents responded positively; a third have reserved the largest scope for issues
relating to personal data protection. At times, security policy seems almost to be originating as a consequence of the Act
on Personal Data Protection. Only 6% of respondents claimed that they pay no attention to personal data protection in
their security policies.
31 %
Áno, je to najväčšia časť bezpečnostnej politiky
Yes, it is the major part of our security policy
39 %
63 %
Áno, je to jedna z častí bezpečnostnej politiky
Yes, it is a part of our security policy 55 %
6%
Nie 2008
No 6%
2006
Graf 19: Pokrýva bezpečnostná politika oblasť ochrany osobných údajov v zmysle zákona o ochrane osobných údajov?
16
Chart 19: Does security policy also cover the area of personal data protection, as per the Act on Personal Data Protection?
PSIB SR ´08