It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such
survey to be performed. The survey has been mapping the situation and developments in information security
since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results
and structure. Some survey questions have already lost their sense, and we have let them retire.
On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and
monitor – for example, the advent of SPAM, outsourcing or new security standards.
Information Security Survey in Czech Republic 2007
1. PSIB ÈR ´07
®
Prùzkum stavu informaèní bezpeènosti v ÈR 2007
Information Security Survey in Czech Republic 2007
3. PRŮZKUM STAVU
INFORMAČNÍ BEZPEČNOSTI V ČR 2007
INFORMATION SECURITY SURVEY
IN CZECH REPUBLIC 2007
Zdá se to neuvěřitelné, ale letošní průzkum stavu informační bezpečnosti v ČR je již pátým v pořadí.
Průzkum mapuje stav a vývoj informační bezpečnosti už od roku 1999, a to je v této oblasti už velmi dlouhá
doba. Na výsledcích průzkumu, ale i jeho struktuře, je to velmi dobře znát. Některé otázky průzkumu se již
vnitřně vyčerpaly a rozhodli jsme se umožnit jim zasloužený odpočinek. Na druhou stranu se IS/IT komunita
potýká s novými výzvami, které se snaží průzkum mapovat a sledovat – zmiňme alespoň nástup SPAMu,
outsourcing, či nové bezpečnostní standardy.
It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such
survey to be performed. The survey has been mapping the situation and developments in information security
since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results
and structure. Some survey questions have already lost their sense, and we have let them retire.
On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and
monitor – for example, the advent of SPAM, outsourcing or new security standards.
Letošní ročník se nese obecně v optimistickém duchu. Přípravy a aktualizace plánů obnovy funkčnosti,
přijímání bezpečnostních politik nebo nezávislé externí posuzování informační bezpečnosti jsou dnes pro
většinu společností samozřejmou součástí řízení informační bezpečnosti. Také používání elektronického
podpisu zažívá, podle účastníků průzkumu, v tomto roce raketový růst. A konečně i sebehodnocení úrovně
řešení bezpečnosti samotnými respondenty je zase o kousek pozitivnější než v roce 2005.
This year's survey is characterised by its optimism. Recovery plan preparation and updating, security policy
implementation or independent expert appraisals of information security are an organic part of information
security management for most companies these days. According to the survey respondents, use of the
electronic signature is booming this year. And finally, a self-evaluation by respondents of the level of their
information security system is a little more optimistic than in 2005.
Průzkum má ale také své „stálice“, které ukazují, že budování a řešení informační bezpečnosti není úkol,
ale celoživotní mise. Existence rozpočtů na informační bezpečnost je pořád ještě spíše výjimkou, a jednou
z hlavních postrádaných vlastností pracovníků informační bezpečnosti jsou stále znalosti finančního řízení.
Tvrdošíjně také lpíme na zařazení bezpečnosti do útvarů IS/IT. Obecné bezpečnostní povědomí nás trápí
již od počátků průzkumu, ale zatím jsme asi nenašli způsob jak s ním bojovat.
Of course, the survey has its old standbys, proving that the development and treatment of information security
are not tasks, but a lifelong mission. Standalone budgets for information security are still very rare and one
ability that most information security staff still lack continues to be knowledge of financial management.
Moreover, we are tenaciously sticking to the idea that security should be a part of IS/IT departments.
The issue of general security awareness has been troubling us since the first survey was launched
and we have not yet found a way to resolve it.
Letošní průzkum je zkrátka opět plný zajímavých informací, které nám pomáhají udělat si obrázek o tom,
kam jsme se, a v jakém stavu, se zaváděním informační bezpečnosti v ČR dostali. Pokud je možné vypůjčit si
terminologii z oblasti výtvarného umění, je to však obrázek spíše abstraktní, který nabízí více způsobů výkladu
a při každém dalším pohledu přináší nová překvapení, možné souvislosti, významy a náměty k diskusím.
Příjemný „umělecký“ zážitek vám přejí partneři, kteří se podíleli na vzniku letošního průzkumu:
Ernst & Young, Národní bezpečnostní úřad a časopis DSM - data security management.
Simply put, this year's survey is again full of interesting information that helps us draw a picture of the situation
and the progress made in information security implementation in the Czech Republic. Expressed
in the terminology of the visual arts, this picture is rather abstract, providing for multiple interpretations
and yielding surprising new insights, potential connections, meanings and topics for discussion with every
subsequent look. The partners involved in the creation of this year's survey wish you a pleasant “artistic“
experience: Ernst & Young, National Security Agency and DSM - data security management and.
PSIB ÈR ´07 1
4. HLAVNÍ ZJIŠTĚNÍ
Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou.
Téměř pětina organizací hodnotí vlastní úroveň jako výbornou. Nejlépe se hodnotí společnosti
v oblasti IT/telekomunikací a financí/bankovnictví.
Tlak zákazníků má, ze všech sledovaných okolností, nejrychleji rostoucí význam na prosazování
informační bezpečnosti.
Roste zapojení vyššího managementu do řízení informační bezpečnosti.
Vzrůstá diverzita odměňování pracovníků působících v oblasti informační bezpečnosti.
Nejrychleji rostoucí kategorií odměňování jsou platy nad 70 tis. Kč a od 25 do 40 tis. Kč.
Nejvíce postrádanými vlastnostmi pracovníků informační bezpečnosti jsou znalosti
finančního řízení, manažerské a prezentační dovednosti.
Roste role dedikovaných útvarů bezpečnosti, nicméně informační bezpečnost je v 70 % začleněna
do úseků IS/IT.
80 % organizací nemá zaveden funkční program pro zvyšování bezpečnostního povědomí svých
zaměstnanců. Přitom obecně nízké bezpečnostní povědomí je vnímáno jako nejvýznamnější překážka
rychlejšího prosazování informační bezpečnosti u nás.
Přes polovinu společností má definovanou a nejvyšším vedením přijatou bezpečnostní politiku.
45 % společností spoléhá při řízení informační bezpečnosti na interně vyvinuté standardy,
ať již na lokální, či korporátní úrovni.
Stále roste výskyt nevyžádané elektronické komunikace (SPAMu). V posledních dvou letech
se s ním setkalo 92 % společností.
Výpadky proudu zůstávají nejčastějším bezpečnostním incidentem. Selhání WAN je bezpečnostním
incidentem s nejvyššími průměrnými přímými dopady ve výši 1,2 mil. Kč.
Došlo ke skokovému nárůstu počtu společností, které mají vypracované a připravené plány obnovy
funkčnosti informačních systémů. 68 % společností tyto plány testuje nejméně každé dva roky.
Pětina společností nikdy neprovedla analýzu rizik IS.
Řešení problematiky informační bezpečnosti ve spolupráci s externími firmami je běžný postup
pro 60 % společností.
Naprostá většina (80 %) společností nemá na informační bezpečnost vyhrazen finanční rozpočet.
U organizací nad 1000 zaměstnanců došlo ve srovnání se situací v roce 2005 k poklesu poměru
celkových ročních výdajů na bezpečnost v porovnání s celkovým rozpočtem na IS/IT.
U menších organizací se tento poměr naopak zvýšil.
Přes 60 % společností má, nebo plánuje mít, oblast informační bezpečnosti posouzenou
externím subjektem.
Pouze 6 % společností nepředpokládá v budoucnosti využití elektronického podpisu. 20 % společností
však není schopno identifikovat výhody, které používání elektronického podpisu přináší.
PSIB ÈR ´07
2
5. THE MAIN FINDINGS
More than 80% of organizations rate their information security solution as at least good. Nearly every
fifth organization evaluates its solution as excellent. Companies in the IT/telecommunications
and finance/banking sectors express the highest satisfaction.
Of all factors considered by the survey, customer pressure is perceived as the most important factor
in the implementation of information security.
Senior management involvement in assuring information security increases.
Salaries of information security personnel are increasingly diversified; salaries exceeding
CZK 70 thousand and salaries from CZK 25 thousand to CZK 40 thousand are the two most quickly
growing categories.
Financial management and management and presentation skills continue to be the most missing
competences of information security personnel.
Dedicated security departments start to play a more prominent role; however, IS/IT departments are still
responsible for information security in 70% of organizations.
80% of organizations have not implemented a working program for increasing the security awareness
of their employees yet. At the same time, low security awareness is perceived as a key obstacle
hampering the implementation of information security in the Czech Republic.
Every second organization has a security policy which has been documented and approved
by top management.
45% of organizations use internal standards for information security management, developed either
locally or at the corporate level.
Unsolicited electronic emails (SPAM) are more frequent; 92% of organizations came across this type
of security incident during the last two years.
Power failures remain the most frequent security incident. WAN failures placed second in terms of direct
financial impact, with average damages exceeding CZK 1.2 million.
The number of organizations that have adopted a disaster recovery plan has shot up.
68% test such plans at least bi-annually.
Every fifth company has never performed an IS risk analysis.
60% of organizations perceive outsourcing of information security solutions as a usual practice.
An overwhelming majority (80%) of organizations does not have a dedicated information security
budget.
The share of annual information security expenditures of companies with more than 1000 employees
in their total IS/IT budget has dropped compared to 2005. Small organizations show an opposite trend.
Over 60% of organizations have, or are planning to have, their information security system assessed
by an independent third party.
Only 6% of organizations are not planning to use electronic signature in the future.
However, 20% are unable to recognize the benefits that the use of electronic signature may bring.
PSIB ÈR ´07 3
6. RESPONDENTI
RESPONDENTS
Cílem průzkumu je již od jeho prvního ročníku zmapovat situaci v oblasti informační bezpečnosti ve společnostech
působících v České republice, které mají více než 100 zaměstnanců. Složení respondentů zůstává oproti minulému
průzkumu v podstatě nezměněno a dává dobrou možnost srovnávat vývoj v oblasti informační bezpečnosti za poslední
dva roky. Nejvíce jsou letos znovu zastoupeny společnosti do 500 zaměstnanců (59 %).
Since the first year of its existence the survey has been aimed at mapping the information security situation in
companies which operate in the Czech Republic and have more than 100 employees. The composition of respondents
remains more or less the same as in the last survey and gives a good possibility to compare the developments
in information security over the last two years. This year, companies having up to 500 employees are again
represented most (59%).
19 %
víc než 1000 zaměstnanců
more than 1,000 employees
59 %
100 – 500 zaměstnanců
22 % 100 – 500 employees
501 – 1000 zaměstnanců
501 – 1,000 employees
Graf 1: Distribuce respondentů podle počtu zaměstnanců
Chart 1: Distribution of respondents by number of employees
státní správa
16 %
government administration
strojírenství
13 %
mechanical engineering
jiná oblast
13 %
other area
chemie/zdravotnictví/farmacie
9%
chemical industry/health care/pharmaceuticals
zemědělství/potravinářství
7%
agriculture/food industry
prodej/poradenství/služby
6%
sales/consultancy/services
energetika/distribuční společnosti
6%
energy industry/distribution companies
IT/telekomunikace
6%
IT/telecommunications
stavební průmysl
5%
building industry
finance/bankovnictví
5%
finance/banking
doprava
4%
transport
textilní průmysl
4%
textile industry
elektrotechnika
4%
electrical engineering
dřevozpracující průmysl
2%
wood-products industry
Graf 2: Distribuce respondentů podle oboru působnosti
Chart 2: Distribution of respondents by industry
PSIB ÈR ´07
4
7. Státní správa zůstává nejsilněji zastoupeným oborem působnosti,
následovaná strojírenstvím. V porovnání s rokem 2005
je odvětvová struktura respondentů v podstatě nezměněna.
Government administration continues to be the most strongly
represented respondent industry, followed by mechanical engineering
industry. In comparison with the year 2005, an industry structure
of the respondents remains unchanged.
vedoucí oddělení IS/IT
42 %
IS/IT department head
ředitel IS/IT
15 %
IS/IT manager
ředitel/jednatel/majitel společnosti
13 %
CEO/registered agent/owner
specialista IS/IT
12 %
IS/IT specialist
specialista bezpečnosti
6%
security specialist
ředitel bezpečnosti
5%
security manager
jiná pozice
3%
other position
obchodní/technický/provozní/výrobní ředitel
2%
sales/technical/operations/production manager
ekonomický/finanční ředitel
2%
financial manager
Graf 3: Kdo za organizace odpovídal
Chart 3: Who provided answers on behalf of organisations
V 79 % případů odpovídali za společnosti pracovníci ve vedoucích pozicích.
U 11 % respondentů pak odpovědi přišly od pracovníků zabývajících se primárně
bezpečností. Naprostou převahu mají v tomto průzkumu, stejně jako v minulých
letech, odpovědi od pracovníků IS/IT – celkem 69 %. Nicméně je to drobný
pokles oproti předloňským třem čtvrtinám.
Department heads on behalf of companies answered the questions
in 79% of respondents. 11% of respondents was staff primarily involved in security.
Similarly to previous years, the vast majority of answers to this survey, 69%, was
provided by IS/IT staff. Despite this fact, this number indicates a slight drop
in comparison with the three-fourths in the year before last.
PSIB ÈR ´07 5
8. OUTSOURCING
OUTSOURCING
64 % organizací, které se zúčastnily průzkumu, outsourcuje alespoň jednu část IS/IT – stejně jako
v roce 2005 nejvíce internetové připojení.
Z organizací, které nesvěřili část svého IS/IT třetí straně, jich má 58 % méně než 500 zaměstnanců.
Lze se pouze dohadovat, kde jsou příčiny nevyužívání outsourcingu v tomto segmentu společností.
Jedním z důvodů může být celkově relativně malá velikost IS/IT a neujasněnost pojmu „outsourcing“.
Pokud jsou v těchto případech některé služby poskytovány externími subjekty, jedná se zpravidla
o jednotlivé fyzické osoby a tyto vztahy pak nejsou chápány a označovány jako „outsourcing“.
64% of organizations, which took part in the survey, outsources at least one part of their IS/IT – most
often, similarly to the year 2005, their Internet connectivity.
Of the organizations that did not outsource any part of IS/IT, 58% has less than 500 employees.
We can only speculate about the reasons why this segment of companies does not use outsourcing.
One of the reasons can be a relatively small size of IS/IT as a whole and not clearly defined term
quot;outsourcingquot;. If, in these cases, some services are provided by external entities, then these external
entities are often individuals and the relationships with these individuals are not usually considered
and designated as outsourcing.
žádnou
36 %
none
jiná část
20 %
other part
internetové připojení
44 %
internet connection
provoz/údržba IS/IT
23 %
IS/IT operation/maintenance
finanční/účetní systém
11 %
financial/accounting systems
Graf 4: Jaké části IS/IT organizace outsourcují
Chart 4: What parts of IS/IT do organisations outsource
V této oblasti došlo k zásadní proměně situace. Prudce narostl podíl společností, které zjišťují, jaká je úroveň
bezpečnosti u poskytovatele služeb. Zároveň velice vzrostl počet společností, které hodnotí bezpečnost
poskytovatele služeb jako srovnatelnou, či vyšší než ve vlastní společnosti (dohromady 77 %).
Toto je jedna z nejvíce pozitivních změn, které lze oproti roku 2005 vysledovat.
This area underwent a radical change. The share of companies evaluating a security level of service provider
sharply increased. Concurrently, the number of companies evaluating the security of service provider
as comparable with or higher than their own information security (altogether 77%) significantly increased.
This is one of the most favorable changes compared to 2005.
18 %
tuto skutečnost nezjišťujeme
41 %
we do not assess it
5%
je nižší
it is lower 2%
46 %
je srovnatelná
34 %
it is comparable
2007
31 %
je vyšší
22 %
it is higher 2005
Graf 4a: Hodnocení bezpečnosti poskytovatele outsourcingu
Chart 4a: How is the security of outsourcing provider evaluated
PSIB ÈR ´07
6
9. HODNOCENÍ INFORMAČNÍ BEZPEČNOSTI
EVALUATING INFORMATION SECURITY
Optimistický význam má i sebehodnocení respondentů při pohledu na vlastní řešení informační bezpečnosti.
Již téměř pětina společností účastnících se průzkumu považuje úroveň informační bezpečnosti za výbornou.
Zároveň poklesl podíl společností s „nízkou“ úrovní pod 20 %.
An optimistic trend can also be noted in the self-evaluation of respondents with respect to their own solutions
of information security. Almost one-fifth of companies participating in the survey evaluates the level of their own
information security as excellent. Concurrently, the share of companies evaluating this level as low dropped
below 20%.
1%
nedostatečná úroveň
1%
insufficient level
16 %
nízká úroveň
20 %
low level
65 %
dobrá úroveň
69 %
good level
2007
18 %
výborná úroveň
10 %
excellent level 2005
Graf 5: Jak organizace hodnotí vlastní úroveň řešení bezpečnosti
Chart 5: How do organisations rate their own handing of security
IT/telekomunikace
35 % 50 % 15 %
IT/telecommunications
finance/bankovnictví
33 % 67 %
finance/banking
stavební průmysl
65 % 12 %
24 %
building industry
doprava
21 % 58 % 21 %
transport
prodej/poradenství/služby
75 % 5%
20 %
sales/constultancy/services
dřevozpracující průmysl
60 % 20 %
20 %
wood-products industry
státní správa
64 % 17 %
19 %
government administration
elektrotechnika
83 %
17 %
electrical engineering
chemie/zdravotnictví/farmacie
65 %
16 % 19 %
chemical industry/health care/pharmaceuticals
strojírenství
58 % 28 %
14 %
mechanical engineering
jiná oblast
12 % 74 % 14 %
other areas
energetika/distribuční společnosti
70 % 20 %
10 %
energy industry/distribution companies
zemědělství/potravinářství
9% 32 %
59 %
agriculture/food industry
textilní průmysl
69 % 23 %
8%
textile industry
výborná úroveň dobrá úroveň nízká nebo nedostatečná úroveň
excellent level good level low or insufficient level
Graf 6: Hodnocení úrovně informační bezpečnosti podle oboru působnosti
Chart 6: Evaluation of information security level by industry
PSIB ÈR ´07 7
10. Pokud se podíváme na rozložení podle oboru působnosti, vidíme nejlepší sebehodnocení
u IT/telekomunikací, financí/bankovnictví a u stavebního průmyslu. Zajímavá jsou srovnání s rokem
2005 – na výbornou se hodnotí o 17 procentních bodů více společností v IT/telekomunikacích, o 14 bodů
ve stavebním průmyslu, o 20 ve dřevozpracujícím a o 17 v elektrotechnickém průmyslu. Nejvíce skeptičtí
vůči úrovni řešení informační bezpečnosti jsou společnosti v zemědělství/potravinářství, textilním průmyslu
a strojírenství.
Taking into consideration the distribution by industry, organizations in IT/telecommunications,
finance/banking and building sectors rate themselves as the best. Interesting are comparisons with the year
2005: the number of companies rating themselves as excellent increased by 17 percentage points
in IT/telecommunications sector, by 14 percentage points in building sector, by 20 percentage points
in wood-products industry and by 17 percentage points in electrical engineering industry.
The most sceptical about the level of information security solution are companies from the agricultural/food,
textile and machinery engineering industries.
V pomyslném žebříčku oborů s vysokým významem informační bezpečnosti došlo oproti minulým letům k jedné
zajímavé změně. Na druhé místo se dostala oblast chemie/zdravotnictví/farmacie a státní správa, s poklesem
o 7 procentních bodů, „klesla“ na čtvrté místo.
Compared to previous years, there was a remarkable change in imaginary ranking of industries with high
importance of information security. The second position is now occupied by chemical/healthcare/pharmaceutical
industries, while government administration dropped by 7 percentage points to the fourth position.
finance/bankovnictví
89 % 11 %
finance/banking
chemie/zdravotnictví/farmacie
23 % 3%
74 %
chemical industry/health care/pharmaceuticals
IT/telekomunikace
71 % 24 % 5%
IT/telecommunications
státní správa
69 % 31 %
government administration
prodej/poradenství/služby
35 %
65 %
sales/constultancy/services
stavební průmysl
53 %
47 %
building industry
zemědělství/potravinářství
41 % 14 %
45 %
agriculture/food industry
energetika/distribuční společnosti
43 % 52 % 5%
energy industry/distribution companies
dřevozpracující průmysl
40 % 60 %
wood-products
doprava
50 % 14 %
36 %
transport
strojírenství
60 % 5%
35 %
mechanical engineering
jiná oblast
29 % 64 % 7%
other areas
elektrotechnika
8%
17 % 75 %
electrical engineering
textilní průmysl
8%
77 %
15 %
textile industry
význam malý význam
velký význam
significance low significance
high significance
Graf 7: Význam informační bezpečnosti podle oboru působnosti
Chart 7: Importance of information security by industry
PSIB ÈR ´07
8
11. V roce 2007 vidíme velmi zajímavý nárůst vnímání důležitosti tlaku zákazníků na prosazování informační
bezpečnosti – 8 procentních bodů oproti roku 2005. Také výsledky provedených auditů (růst o 3 procentní
body každé dva roky od r. 2003) a legislativní tlak v ČR jsou oblastmi zvýšené pozornosti respondentů.
Naopak hrozby útoku a propojování informačních systémů směrem ven jsou, zdá se, částečně na ústupu.
Stále však, spolu s rychlým vývojem v oblasti IT, představují jedny z nejdůležitějších faktorů ovlivňujících
oblast informační bezpečnosti.
In 2007 we can note a very interesting rise in perception of importance of customer pressure
on information security implementation – by 8 percentage points compared to the year 2005. The audit
results (growth by 3 percentage points every two years since 2003) and legislative pressure in the Czech
Republic are in the centre of increased respondents' attention. The threat of attack and external
connectivity of information systems seem to partially diminish. However, the above factors,
together with rapid developments in IT area, are the most important factors influencing
the information security.
47 %
hrozba útoku
threat of attack 55 %
43 %
rychlý vývoj v oblasti IT
fast IT developments 42 %
40 %
propojování informačních systémů směrem ven
connection of IS outside 48 %
26 %
výsledky provedeného auditu/doporučení auditorů
audit results/ auditors' recommendations 22 %
24 %
propojování informačních systémů uvnitř organizace
connection of IS within organisation 31 %
20 %
legislativní tlak v ČR
legislative pressure in the CR 16 %
18 %
požadavky na mobilní zpracování informací
mobile information processing requirements 18 %
17 %
tlak/požadavky zákazníků
customer pressure/requirements 9%
14 %
tlak/požadavky ze strany investorů/akcionářů/vlastníků
investor/shareholder/owner pressure/requirements 14 %
11 %
hrozba negativní medializace
threat of negative picture in media 10 %
9%
řešení informační bezpečnosti u srovnatelných organizací
information security solutions at peers 7%
7%
hrozba finančních sankcí
threat of financial sanctions 6%
7%
tlak/požadavky obchodních partnerů
business partners pressure/requirements 3%
6%
e-business a/nebo e-commerce
e-business and/or e-commerce 8%
2007
5%
platná i připravovaná legislativa EU a Evropské měnové unie
valid or prepared EU and European Monetary Union legislation 7% 2005
Graf 8: Okolnosti, které mají největší vliv na prosazování informační bezpečnosti
Chart 8: Circumstances having the greatest impact on information security implementation
PSIB ÈR ´07 9
12. ORGANIZAČNÍ ZABEZPEČENÍ
ORGANISATIONAL SECURITY
Přestože u téměř pětiny respondentů není zodpovědnost za informační bezpečnost jasně definována,
je celkové vyznění odpovědí na tuto otázku a zejména pohled na změny oproti roku 2005 velmi pozitivní.
Zodpovědnost je posunována na vyšší úrovně řízení a (byť mírně) klesá podíl společností,
kde není za tuto oblast zodpovědnost definována.
Although nearly one-fifth of respondents has no clearly defined responsibility for information security,
a general tone of answers to this question and, in particular, view of changes are very positive compared to
2005. Responsibility is shifted to higher levels of management and the number of companies with no defined
responsibility for this area drops (though only slightly).
19 %
nikdo/není jasně definována zodpovědnost
25 %
nobody/responsibility is not clearly defined
22 %
specialista – nemanažerská pozice
22 %
specialist – non-managerial position
13 %
manažer – jiná úroveň řízení
manager – other managerial level 9%
28 %
manažer – úroveň vedení divize/odboru
manager – head of division/section level 28 %
2007
18 %
manažer – úroveň nejvyššího vedení
manager – top management level 16 % 2005
Graf 9: Kdo je v organizacích zodpovědný za řešení informační bezpečnosti
Chart 9: Who is responsible for information security solution
Fakt, že narostl (o 5 procentních bodů) podíl pracovníků s platem nad 70 tis. Kč, můžeme dávat do souvislosti
s posunem zodpovědností za tuto oblast do vyšších „manažerských pater“, spíše než s obecným zlepšováním
odměňování pracovníků v oblasti informační bezpečnosti. 44 % specialistů IT, kteří se o informační bezpečnost
starají, se řadí do kategorie „méně než 25 tis. Kč“. Zajímavé také je, že 32 % manažerů nejvyšší úrovně vedení,
se zodpovědností za informační bezpečnost, spadá do kategorie 25 až 40 tis. Kč.
The fact that the number of staff with salary above CZK 70 thousand increased (by 5 percentage points) can be
associated with the shift of responsibilities for this area to the higher “management levels” rather than with a general
improvement of remuneration of information security staff. 44% of IT specialists involved in information security
ranks in category “less than CZK 25 thousand”. Interesting is that 32% of managers at the highest management
level responsible for information security ranks in category “CZK 25 thousand to CZK 40 thousand”.
13 %
více jak 70.000 Kč
8%
more than CZK 70,000
4%
7%
55.001 – 70.000 Kč
16 %
CZK 55,001 – 70,000
2%
19 %
40.001 – 55.000 Kč
16 %
CZK 40,001 – 55,000
16 %
41 %
25.001 – 40.000 Kč
30 %
CZK 25,001 – 40,000
49 %
2007
20 %
méně než 25.000 Kč 2005
30 %
less than CZK 25,000
29 % 2003
Graf 10: Hrubé průměrné měsíční finanční ohodnocení pracovníků v oblasti informační bezpečnosti
Chart 10: Gross average monthly wages of information security staff
PSIB ÈR ´07
10
13. Tři nejvíce ceněné oblasti znalostí a schopností pracovníků informační bezpečnosti zůstávají
nezměněny – věcná znalost problematiky, technologické znalosti a flexibilita. Oproti letům 2003
a 2005 však vidíme zřetelný „ústup ze slávy“. V ostatních oblastech, vyjma „prezentačních dovedností“,
se vnímání oproti minulému ročníku průzkumu v podstatě nezměnilo.
Three most valued areas of knowledge and abilities of information security staff remain unchanged.
These are factual knowledge of the related issues, technological knowledge and flexibility. However,
we can see a marked “decline from the glory” compared to the years 2003 and 2005. In other areas,
except for presentation skills, the perception almost did not change in comparison with the last survey.
64 %
věcná znalost problematiky informační bezpečnosti
71 %
understanding of information security issues
67 %
50 %
technologické znalosti IS/IT
52 %
technological IS/IT knowledge
65 %
46 %
flexibilita a konstruktivní přístup k řešení problémů
52 %
flexible and constructive approach to solving problems
61 %
31 %
věcná znalost fungování vaší organizace
35 %
understanding of the organisation's functions
35 %
31 %
analytické schopnosti
33 %
analytical skills
30 %
31 %
schopnost efektivní komunikace s vedením organizace
29 %
ability to communicate with management efectively
20 %
21 %
manažerské schopnosti
23 %
managerial skills
13 %
16 %
prezentační dovednosti
12 %
presentation skills
11 %
11 %
schopnost řídit projekty
17 %
project management
11 %
10 %
znalost cizího jazyka
10 %
foreign language skills
2%
3% 2007
znalost finančního řízení (rozpočtování)
8% 2005
financial management skills (budgeting)
0% 2003
Graf 11: Nejvíce ceněné znalosti a schopnosti pracovníků v oblasti informační bezpečnosti
Chart 11: Most highly valued information security staff skills and abilities
PSIB ÈR ´07 11
14. Znalosti finančního řízení a rozpočtování jsou evergreenem mezi postrádanými schopnostmi pracovníků,
kteří se pohybují okolo informační bezpečnosti. Následují manažerské a prezentační dovednosti. S nadsázkou lze
říci, „co Čech, to informačně bezpečnostní odborník“. Vypadá to, že se znalostmi této problematiky nemáme
nejmenší problém. Tyto znalosti jsou nejvíce ceněny a nejsou vůbec postrádány.
Financial management and budgeting knowledge are evergreens in lacked abilities of information security staff,
followed by managerial and presentation skills. Said with exaggeration: “Every Czech is information security expert”.
It seems that we do not have a slightest problem with knowledge of this issue. Such knowledge is mostly valued
and is not lacked at all.
29 %
znalost finančního řízení (rozpočtování)
37 %
financial management skills (budgeting)
22 %
19 %
manažerské schopnosti
21 %
managerial skills
13 %
17 %
prezentační dovednosti
33 %
presentation skills
17 %
17 %
schopnost efektivní komunikace s vedením organizace
23 %
ability to communicate with management effectively
20 %
14 %
znalost cizího jazyka
19 %
foreign language skills
13 %
9%
schopnost řídit projekty
15 %
project management
4%
7%
technologické znalosti IS/IT
15 %
technological IS/IT knowledge
24 %
4%
flexibilita a konstruktivní přístup k řešení problémů
2%
flexible and constructive approach to solving problems
2%
3%
věcná znalost fungování vaší organizace
8%
understanding of the organisation's functions
9%
3%
analytické schopnosti
2%
analytical skills
2%
0% 2007
věcná znalost problematiky informační bezpečnosti
4% 2005
understanding of information security issues
7% 2003
Graf 12: Nejvíce postrádané znalosti a schopnosti pracovníků v oblasti informační bezpečnosti
Chart 12: Skills and abilities most lacking in information security staff
PSIB ÈR ´07
12
15. Na tomto místě již tradičně komentujeme začlenění problematiky informační bezpečnosti
do organizačních struktur organizací účastnících se průzkumu. Přes určitý nárůst podílu firem,
kde je tato oblast svěřena specializovanému útvaru bezpečnosti (8 % oproti pouhým 4 % v roce
2005), je stále naprosto převažujícím řešením svěřit řešení této problematiky útvaru IS/IT.
At this point we traditionally make comments on information security integration into organizational
structures of surveyed companies. In spite of a certain increase in the number of companies
in which this area is delegated to a specialized security department (8% in comparison
with 4% in 2005), absolutely the most typical solution is making the IS/IT department responsible
for this area.
útvar IS/IT
71 %
IS/IT department
žádný útvar
8%
no department
útvar bezpečnosti
8%
security department
ekonomický/finanční útvar
5%
economic/financial department
jiný útvar
4%
other department
útvar vnitřních/centrálních služeb
2%
internal/central services department
útvar kontroly/revize/auditu
2%
control/review/audit department
Graf 13: Útvar zodpovědný za informační bezpečnost
Chart 13: Department responsible for information security
Pokles respondentů, kteří nemají program pro zvyšování bezpečnostního povědomí svých zaměstnanců
(nebo mají nefunkční program), je za dva roky v rozsahu statistické chyby (81 % oproti 83 %). Přesto roste
optimistické hodnocení úrovně řešení informační bezpečnosti (viz. Graf 6). Přes třetinu společností považuje
obecně nízké bezpečnostní povědomí za překážku rychlejšího prosazování informační bezpečnosti u nás
(viz. Graf 35). Vyznění odpovědí na tuto otázku je tedy trochu rozporuplné – z nějakého důvodu se nedaří
programy ke zvyšování bezpečnostního povědomí prosazovat v praxi. Tato skutečnost je vnímána jako
problém, nicméně nebrání pozitivnímu hodnocení celé oblasti informační bezpečnosti.
The decrease in the number respondents who have no program to heighten staff awareness of security
(or have a program that does not work) falls within a statistical error range (81% compared to 83%) over
the last two years. Yet, an optimistic evaluation of the quality of information security solutions increases
(see Chart 6). More than one-third of companies considers a generally low security awareness
to be an obstacle to a quicker implementation of information security in our country (see Chart 35).
The tone of answers to this question is rather contradictory: for some reason the programs to heighten
security awareness are not successfully implemented in practice and, though this fact is perceived
as problem, it does not prevent respondents from evaluating the whole information security positively.
19 %
ano a funkční
yes and functioning
59 %
22 %
ne/no
ano, ale spíše nefunkční
yes but rather non-functioning
Graf 14: Existuje u organizací funkční program ke zvyšování bezpečnostního povědomí svých zaměstnanců?
Chart 14: Do organizations have a functioning program to heighten employee awareness of security?
PSIB ÈR ´07 13
16. BEZPEČNOSTNÍ POLITIKA A STANDARDY
SECURITY POLICY AND STANDARDS
Ročník 2007 je opravdu zlomový a plný optimistických údajů. Poprvé za celé konání těchto průzkumů se počet společností
s formálně definovanou bezpečnostní politikou dostal přes 50 %. Při tomto tempu se, s nadsázkou řečeno, dostaneme na
100 % někdy okolo roku 2015. Už méně optimistické je konstatování, že 6 % společností hodnotí řešení své informační
bezpečnosti na výbornou nebo dobrou bez toho, že u nich existovala bezpečnostní politika. Přístupy k této oblasti jsou
velmi různorodé a je doporučeníhodná mimořádná flexibilita. Nicméně je velmi složité prosazovat jakákoliv bezpečnostní
opatření bez existence zastřešující normy, jakou bezpečnostní politika je.
The year 2007 is actually a break-through year, full of optimistic information. For the first time in the history of this survey,
the number of companies having a formally defined security policy exceeded 50%. This speed can bring us to 100%
sometime around the year 2015. The less optimistic fact is that 6% of companies evaluates their information security
as excellent or good though they have no security policy in place. Approaches to this area are very mixed
and an extraordinary flexibility is recommended. Nevertheless, it is very complicated to take any security
measures without the existence of a general standard such as security policy.
65 %
57 %
54 % 53 %
52 %
48 % 47 %
46 %
43 %
35 %
ano/yes
ne/no
1999 2001 2003 2005 2007
Graf 15: Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku?
Chart 15: Do organizations have a security policy that is formally defined and approved by senior management?
„Zlatá střední cesta“ si zjevně získává stále více příznivců. Již téměř 60 % respondentů preferuje středně rozsáhlou
bezpečnostní politiku. Zkušenosti společností zřejmě ukazují, že jak zvýšený počet bezpečnostních norem (model stručné
politiky s dodatečnými výkladovými normami) i rozsáhlá zastřešující bezpečnostní politika jsou pro konečné uživatele
zřejmě za hranou „stravitelnosti“. Navíc bez robustního programu pro zvyšování bezpečnostního povědomí je
„kompromisní“ řešení nejlépe zdůvodnitelné.
Obviously, the “golden mean” approach wins more and more sympathizers. Almost 60% of respondents now prefers
a medium-scope security policy. The companies’ experience shows that an increased number of security standards
(a concise policy model including additional interpretive standards) as well as broad general security policy are most
probably beyond the level of acceptability by end-users. Moreover, a compromise is the best justifiable solution
if no robust program to heighten security awareness exists.
11 %
rozsáhlá/elaborated
31 %
stručná/brief
Graf 16: Charakteristika rozsahu bezpečnostní politiky
Chart 16: Characteristics of security policy scope
rozsáhlá – několik desítek stran, detailní popis všech oblastí
elaborated – dozens of pages, detailed description of all areas
58 %
stručná – cca do 3 stran, spíše deklarativní charakter
střední/medium
brief – approximately up to 3 pages, rather declarative nature
střední – cca do 20 stran, podrobnější popis požadavků a organizačního zabezpečení
medium – approximately up to 20 pages, quite detailed destription of requirements and security organisation
PSIB ÈR ´07
14
17. Respondenti průzkumu jasně preferují interně vyvinuté standardy. Lze se jen dohadovat, do jaké míry jsou tyto normy
odvozeny od některého z obecných bezpečnostních standardů. Použití ISO/IEC 17799/BS 7799 je stále na vzestupu
(nárůst o 8 procentních bodů oproti roku 2005). Zajímavé je, že 41 % respondentů uvádí použití více než jednoho
standardu. Nejčastěji jsou spojovány interní standardy se standardy řady ITIL a ISO/IEC 17799/BS 7799.
The survey respondents clearly prefer internally developed standards. We can only speculate about the extent to what
these standards are derived from any of general security standards. The use of ISO/IEC 17799/BS 7799 is growing
(increase by 8 percentage points compared to the year 2005). It is interesting that 41% of respondents states using more
than one standard. The internal standards are most often associated with the ITIL and ISO/IEC 17799/BS 7799 standards.
interní standardy a směrnice vaší mateřské společnosti, či skupiny
45 %
internal standards and policies from group or mother company
ISO/IEC 17799/BS 7799
25 %
ISO/IEC 17799/BS 7799
ITIL
11 %
ITIL
ISO/IEC TR 13335
10 %
ISO/IEC TR 13335
jiný standard
8%
other standard
standardy a nařízení Evropské unie pro oblast bezpečnosti IS
6%
European Union standards and directives for IS security
COBIT
4%
COBIT
standard německého BSI
3%
BSI Germany standards
standardy a publikace NIST pro oblast bezpečnosti IS/IT
2%
NIST IS/IT security standards and guidance
Graf 17: Jaké využíváte mezinárodní standardy v oblasti informační bezpečnosti a/nebo IT governance při řešení informační bezpečnosti?
Chart 17: What international standards apply to information security and/or IT governance when addressing information security issues?
nevyžádaná elektronická pošta (SPAM)
92 %
unsolicited electronic email (SPAM)
výpadek proudu
86 %
power failure
porucha hardware
76 %
hardware failure
chyba uživatele
58 %
user's fault
počítačový virus
52 %
computer virus
chyba programového vybavení
47 %
software error
selhání LAN
41 %
LAN failure
selhání WAN
41 %
WAN failure
chyba administrátora nebo obsluhy
29 %
administrator's or operator's fault
krádež zařízení
23 %
theft of equipment
nepovolený přístup k datům – zevnitř
10 %
unauthorized data access – internal
zneužití zařízení rostoucí trend
6%
misuse of equipment increasing trend
přírodní katastrofa stejný trend
6%
natural disaster equal trend
nepovolený přístup k datům – zvenčí klesající trend
3%
unauthorized data access – external decreasing trend
Graf 18: Výskyt bezpečnostních incidentů za poslední dva roky a trend jejich výskytu
Chart 18: Occurrence and trending of security incidents over the last two years
SPAM zůstává bezkonkurenčně nejčastěji se vyskytujícím bezpečnostním incidentem. Dokonce zaznamenal nárůst celých
5 procentních bodů oproti roku 2005, kdy byla tato kategorie v rámci průzkumu poprvé sledována. V ostatních kategoriích
nedochází k zásadním změnám, vyjma následujících dvou „zvratů“: selhání WAN poskočilo o 7 procentních bodů oproti
roku 2005 a lze říci, že od roku 1999 výskyt těchto incidentů stále lehce stoupá. Je však pravděpodobné, že tento trend je
spíš odrazem rozšiřujícího se využívání WAN sítí, než jejich vzrůstající chybovosti. Je zajímavé, že výskyt počítačových
virů se dostal na hranici 50 % (pokles o 22 procentních bodů oproti roku 2005), kde byl naposledy v roce 1999.
PSIB ÈR ´07 15
18. Undoubtedly, SPAM remains the most frequently occurring security incident. It even scored the whole 5 percentage points
compared to the year 2005 when this category was monitored in the survey for the first time. Other categories experienced
no principal changes except for the following two turnouts. Failure of WAN jumped 7 percentage points compared to the year
2005 and the occurrence of these incidents has been showing a continuous slight increase since 1999. However, it is likely that
this trend rather reflects an expanding use of WAN networks than their increasing failures. Interestingly, the occurrence
of computer viruses reached 50% (decrease by 22 percentage points compared to the year 2005), i.e. the level of the year 1999.
nevyžádaná elektronická pošta (SPAM) 92 %
86 %
unsolicited electronic email (SPAM)
86 %
85 %
výpadek proudu
89 %
power failure 85 %
91 %
76 %
78 %
porucha hardware
77 %
hardware failure 74 %
79 %
58 %
59 %
chyba uživatele
60 %
user's fault 61 %
48 %
52 %
74 %
počítačový virus
79 %
computer virus 71 %
55 %
47 %
49 %
chyba programového vybavení
48 %
software error 48 %
54 %
41 %
43 %
selhání LAN
44 %
LAN failure 40 %
55 %
41 %
34 %
selhání WAN
35 %
WAN failure 32 %
30 %
29 %
30 %
chyba administrátora nebo obsluhy
25 %
administrator's or operator's fault 26 %
33 %
23 %
22 %
krádež zařízení
17 %
theft of equipment 17 %
28 %
10 %
9%
nepovolený přístup k datům – zevnitř
9%
unauthorized data access – internal 10 %
2007
10 %
2005
6 %
6 %
zneužití zařízení 2003
6 %
misuse of equipment 6 %
2001
6 %
1999
6%
5%
přírodní katastrofa
20 %
natural disaster 5%
17 %
3%
3%
nepovolený přístup k datům – zvenčí
Graf 19: Výskyt bezpečnostních incidentů za posledních 8 let
7%
unauthorized data access – external 6%
Chart 19: Occurrence of security incidents over the last eight years
2%
Můžeme asi jen spekulovat o „dospělosti“, širokém nasazení antivirových technologií, standardizaci virových útoků a dalších faktorech,
které tento dramatický pokles mohou, ale nemusí, mít na svědomí. Bude zajímavé sledovat, zda se tento trend za dva roky potvrdí.
We can only speculate about the “maturity”, broad application of antivirus technologies, standardization of virus attacks and other
factors that may/may not cause this dramatic decrease. We will monitor whether this trend will be confirmed in two years.
PSIB ÈR ´07
16
19. Ústup virů ze „slávy“ vidíme i na vnímání nejzávažnějších bezpečnostních incidentů. Sportovní hantýrkou
řečeno se viry propadly z vedoucí skupinky někam na konec pelotonu. Výpadek proudu a porucha
hardware zůstávají stálicemi a i v tomto ročníku se „dostaly na bednu“.
A decline of viruses from the glory has also an impact on the perception of the most serious security
incidents. Using the sports terminology: viruses stepped down from the head of the field. Blackout
and hardware failure are evergreens and they again mounted the winners rostrum.
výpadek proudu
35 %
power failure
porucha hardware
24 %
hardware failure
chyba programového vybavení
9%
software error
nevyžádaná elektronická pošta (SPAM)
7%
unsolicited electronic email (SPAM)
selhání WAN
6%
WAN failure
selhání LAN
6%
LAN failure
chyba administrátora nebo obsluhy
3%
administrator's or operator's fault
počítačový virus
2%
computer virus
chyba uživatele
2%
user's fault
přírodní katastrofa
2%
natural disaster
nepovolený přístup k datům – zevnitř
2%
unauthorized data access – internal
krádež zařízení
2%
theft of equipment
Graf 20: Bezpečnostní incidenty s nejzávažnějším dopadem
Chart 20: Security incidents and the most serious impact
Pro zvýšení vypovídací schopnosti údajů jsme zařadili do této tabulky pouze ty incidenty, u kterých alespoň
6 respondentů uvedlo přímý finanční dopad.
Dopady bezpečnostních incidentů zaznamenaly řádový skok oproti roku 2005. Jedná se o náhodný výkyv,
zlepšené metody pro sledování a vyčíslování dopadů incidentů nebo nový trend? Na tuto otázku nám bude
muset odpovědět až příští ročník průzkumu a diskuse, které nad těmito údaji budeme v mezičase vést.
U technologií WAN se nabízí stejné vysvětlení, jaké jsme zmínili již v komentáři ke Grafu 18 – velké rozšíření
a masové nasazování s sebou nese zvýšenou závislost, vyšší rizika a nárůst potenciálních dopadů.
To enhance an informative value, we only put in this table the incidents for which at least six respondents
noted a direct financial impact.
Impacts of security incidents recorded a several-order jump compared to the year 2005. Is this an accidental
fluctuation, improved methods of monitoring or quantification of incident impacts or new trend? This question
will be answered in the next survey and in discussions about this information that we will meanwhile conduct.
With respect to WAN technologies, the same explanation suggests itself as that we mentioned in our
commentary on Chart 18 – wide spread out and mass utilization carry an increased dependency,
higher risks and increase in potential impacts.
selhání WAN
1 200 000 Kč
WAN failure
chyba programového vybavení
1 000 000 Kč
software error
výpadek proudu
260 000 Kč
power failure
krádež zařízení
225 000 Kč
theft of equipment
porucha hardware
200 000 Kč
hardware failure
nevyžádaná elektronická pošta (SPAM)
160 000 Kč
unsolicited electronic email (SPAM)
selhání LAN
80 000 Kč
LAN failure
Tabulka 1: Průměrné přímé finanční dopady nejvážnějších bezpečnostních incidentů
Table 1: Average direct financial impacts of the most serious security incidents
PSIB ÈR ´07 17