SlideShare a Scribd company logo
1 of 32
PSIB ÈR ´07
                   ®




 Prùzkum stavu informaèní bezpeènosti v ÈR 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
PRŮZKUM STAVU
INFORMAČNÍ BEZPEČNOSTI V ČR 2007
INFORMATION SECURITY SURVEY
IN CZECH REPUBLIC 2007


            Zdá se to neuvěřitelné, ale letošní průzkum stavu informační bezpečnosti v ČR je již pátým v pořadí.
            Průzkum mapuje stav a vývoj informační bezpečnosti už od roku 1999, a to je v této oblasti už velmi dlouhá
            doba. Na výsledcích průzkumu, ale i jeho struktuře, je to velmi dobře znát. Některé otázky průzkumu se již
            vnitřně vyčerpaly a rozhodli jsme se umožnit jim zasloužený odpočinek. Na druhou stranu se IS/IT komunita
            potýká s novými výzvami, které se snaží průzkum mapovat a sledovat – zmiňme alespoň nástup SPAMu,
            outsourcing, či nové bezpečnostní standardy.

            It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such
            survey to be performed. The survey has been mapping the situation and developments in information security
            since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results
            and structure. Some survey questions have already lost their sense, and we have let them retire.
            On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and
            monitor – for example, the advent of SPAM, outsourcing or new security standards.



Letošní ročník se nese obecně v optimistickém duchu. Přípravy a aktualizace plánů obnovy funkčnosti,
přijímání bezpečnostních politik nebo nezávislé externí posuzování informační bezpečnosti jsou dnes pro
většinu společností samozřejmou součástí řízení informační bezpečnosti. Také používání elektronického
podpisu zažívá, podle účastníků průzkumu, v tomto roce raketový růst. A konečně i sebehodnocení úrovně
řešení bezpečnosti samotnými respondenty je zase o kousek pozitivnější než v roce 2005.

This year's survey is characterised by its optimism. Recovery plan preparation and updating, security policy
implementation or independent expert appraisals of information security are an organic part of information
security management for most companies these days. According to the survey respondents, use of the
electronic signature is booming this year. And finally, a self-evaluation by respondents of the level of their
information security system is a little more optimistic than in 2005.



            Průzkum má ale také své „stálice“, které ukazují, že budování a řešení informační bezpečnosti není úkol,
            ale celoživotní mise. Existence rozpočtů na informační bezpečnost je pořád ještě spíše výjimkou, a jednou
            z hlavních postrádaných vlastností pracovníků informační bezpečnosti jsou stále znalosti finančního řízení.
            Tvrdošíjně také lpíme na zařazení bezpečnosti do útvarů IS/IT. Obecné bezpečnostní povědomí nás trápí
            již od počátků průzkumu, ale zatím jsme asi nenašli způsob jak s ním bojovat.

            Of course, the survey has its old standbys, proving that the development and treatment of information security
            are not tasks, but a lifelong mission. Standalone budgets for information security are still very rare and one
            ability that most information security staff still lack continues to be knowledge of financial management.
            Moreover, we are tenaciously sticking to the idea that security should be a part of IS/IT departments.
            The issue of general security awareness has been troubling us since the first survey was launched
            and we have not yet found a way to resolve it.



Letošní průzkum je zkrátka opět plný zajímavých informací, které nám pomáhají udělat si obrázek o tom,
kam jsme se, a v jakém stavu, se zaváděním informační bezpečnosti v ČR dostali. Pokud je možné vypůjčit si
terminologii z oblasti výtvarného umění, je to však obrázek spíše abstraktní, který nabízí více způsobů výkladu
a při každém dalším pohledu přináší nová překvapení, možné souvislosti, významy a náměty k diskusím.
Příjemný „umělecký“ zážitek vám přejí partneři, kteří se podíleli na vzniku letošního průzkumu:
Ernst & Young, Národní bezpečnostní úřad a časopis DSM - data security management.

Simply put, this year's survey is again full of interesting information that helps us draw a picture of the situation
and the progress made in information security implementation in the Czech Republic. Expressed
in the terminology of the visual arts, this picture is rather abstract, providing for multiple interpretations
and yielding surprising new insights, potential connections, meanings and topics for discussion with every
subsequent look. The partners involved in the creation of this year's survey wish you a pleasant “artistic“
experience: Ernst & Young, National Security Agency and DSM - data security management and.



                                                                                                     PSIB ÈR ´07               1
HLAVNÍ ZJIŠTĚNÍ



      Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou.
      Téměř pětina organizací hodnotí vlastní úroveň jako výbornou. Nejlépe se hodnotí společnosti
      v oblasti IT/telekomunikací a financí/bankovnictví.

      Tlak zákazníků má, ze všech sledovaných okolností, nejrychleji rostoucí význam na prosazování
      informační bezpečnosti.

      Roste zapojení vyššího managementu do řízení informační bezpečnosti.

      Vzrůstá diverzita odměňování pracovníků působících v oblasti informační bezpečnosti.
      Nejrychleji rostoucí kategorií odměňování jsou platy nad 70 tis. Kč a od 25 do 40 tis. Kč.

      Nejvíce postrádanými vlastnostmi pracovníků informační bezpečnosti jsou znalosti
      finančního řízení, manažerské a prezentační dovednosti.

      Roste role dedikovaných útvarů bezpečnosti, nicméně informační bezpečnost je v 70 % začleněna
      do úseků IS/IT.

      80 % organizací nemá zaveden funkční program pro zvyšování bezpečnostního povědomí svých
      zaměstnanců. Přitom obecně nízké bezpečnostní povědomí je vnímáno jako nejvýznamnější překážka
      rychlejšího prosazování informační bezpečnosti u nás.

      Přes polovinu společností má definovanou a nejvyšším vedením přijatou bezpečnostní politiku.

      45 % společností spoléhá při řízení informační bezpečnosti na interně vyvinuté standardy,
      ať již na lokální, či korporátní úrovni.

      Stále roste výskyt nevyžádané elektronické komunikace (SPAMu). V posledních dvou letech
      se s ním setkalo 92 % společností.

      Výpadky proudu zůstávají nejčastějším bezpečnostním incidentem. Selhání WAN je bezpečnostním
      incidentem s nejvyššími průměrnými přímými dopady ve výši 1,2 mil. Kč.

      Došlo ke skokovému nárůstu počtu společností, které mají vypracované a připravené plány obnovy
      funkčnosti informačních systémů. 68 % společností tyto plány testuje nejméně každé dva roky.

      Pětina společností nikdy neprovedla analýzu rizik IS.

      Řešení problematiky informační bezpečnosti ve spolupráci s externími firmami je běžný postup
      pro 60 % společností.

      Naprostá většina (80 %) společností nemá na informační bezpečnost vyhrazen finanční rozpočet.

      U organizací nad 1000 zaměstnanců došlo ve srovnání se situací v roce 2005 k poklesu poměru
      celkových ročních výdajů na bezpečnost v porovnání s celkovým rozpočtem na IS/IT.
      U menších organizací se tento poměr naopak zvýšil.

      Přes 60 % společností má, nebo plánuje mít, oblast informační bezpečnosti posouzenou
      externím subjektem.

      Pouze 6 % společností nepředpokládá v budoucnosti využití elektronického podpisu. 20 % společností
      však není schopno identifikovat výhody, které používání elektronického podpisu přináší.




     PSIB ÈR ´07
2
THE MAIN FINDINGS



  More than 80% of organizations rate their information security solution as at least good. Nearly every
  fifth organization evaluates its solution as excellent. Companies in the IT/telecommunications
  and finance/banking sectors express the highest satisfaction.

  Of all factors considered by the survey, customer pressure is perceived as the most important factor
  in the implementation of information security.

  Senior management involvement in assuring information security increases.

  Salaries of information security personnel are increasingly diversified; salaries exceeding
  CZK 70 thousand and salaries from CZK 25 thousand to CZK 40 thousand are the two most quickly
  growing categories.

  Financial management and management and presentation skills continue to be the most missing
  competences of information security personnel.

  Dedicated security departments start to play a more prominent role; however, IS/IT departments are still
  responsible for information security in 70% of organizations.

  80% of organizations have not implemented a working program for increasing the security awareness
  of their employees yet. At the same time, low security awareness is perceived as a key obstacle
  hampering the implementation of information security in the Czech Republic.

  Every second organization has a security policy which has been documented and approved
  by top management.

  45% of organizations use internal standards for information security management, developed either
  locally or at the corporate level.

  Unsolicited electronic emails (SPAM) are more frequent; 92% of organizations came across this type
  of security incident during the last two years.

  Power failures remain the most frequent security incident. WAN failures placed second in terms of direct
  financial impact, with average damages exceeding CZK 1.2 million.

  The number of organizations that have adopted a disaster recovery plan has shot up.
  68% test such plans at least bi-annually.

  Every fifth company has never performed an IS risk analysis.

  60% of organizations perceive outsourcing of information security solutions as a usual practice.

  An overwhelming majority (80%) of organizations does not have a dedicated information security
  budget.

  The share of annual information security expenditures of companies with more than 1000 employees
  in their total IS/IT budget has dropped compared to 2005. Small organizations show an opposite trend.

  Over 60% of organizations have, or are planning to have, their information security system assessed
  by an independent third party.

  Only 6% of organizations are not planning to use electronic signature in the future.
  However, 20% are unable to recognize the benefits that the use of electronic signature may bring.




                                                                                PSIB ÈR ´07                  3
RESPONDENTI
    RESPONDENTS

     Cílem průzkumu je již od jeho prvního ročníku zmapovat situaci v oblasti informační bezpečnosti ve společnostech
     působících v České republice, které mají více než 100 zaměstnanců. Složení respondentů zůstává oproti minulému
     průzkumu v podstatě nezměněno a dává dobrou možnost srovnávat vývoj v oblasti informační bezpečnosti za poslední
     dva roky. Nejvíce jsou letos znovu zastoupeny společnosti do 500 zaměstnanců (59 %).

     Since the first year of its existence the survey has been aimed at mapping the information security situation in
     companies which operate in the Czech Republic and have more than 100 employees. The composition of respondents
     remains more or less the same as in the last survey and gives a good possibility to compare the developments
     in information security over the last two years. This year, companies having up to 500 employees are again
     represented most (59%).

                                                  19 %
                                       víc než 1000 zaměstnanců
                                       more than 1,000 employees



                                                                                                              59 %
                                                                                                      100 – 500 zaměstnanců
                                             22 %                                                      100 – 500 employees
                                   501 – 1000 zaměstnanců
                                    501 – 1,000 employees



       Graf 1: Distribuce respondentů podle počtu zaměstnanců
      Chart 1: Distribution of respondents by number of employees



                                                státní správa
                                                                                                                         16 %
                                    government administration

                                                 strojírenství
                                                                                                              13 %
                                      mechanical engineering

                                                    jiná oblast
                                                                                                              13 %
                                                    other area

                                 chemie/zdravotnictví/farmacie
                                                                                               9%
                 chemical industry/health care/pharmaceuticals

                                    zemědělství/potravinářství
                                                                                         7%
                                      agriculture/food industry

                                     prodej/poradenství/služby
                                                                                    6%
                                    sales/consultancy/services

                             energetika/distribuční společnosti
                                                                                    6%
                        energy industry/distribution companies

                                             IT/telekomunikace
                                                                                    6%
                                        IT/telecommunications

                                             stavební průmysl
                                                                                  5%
                                              building industry

                                          finance/bankovnictví
                                                                                  5%
                                               finance/banking

                                                       doprava
                                                                             4%
                                                      transport

                                               textilní průmysl
                                                                             4%
                                                textile industry

                                                elektrotechnika
                                                                             4%
                                         electrical engineering

                                      dřevozpracující průmysl
                                                                      2%
                                      wood-products industry


                                                      Graf 2: Distribuce respondentů podle oboru působnosti
                                                     Chart 2: Distribution of respondents by industry



     PSIB ÈR ´07
4
Státní správa zůstává nejsilněji zastoupeným oborem působnosti,
následovaná strojírenstvím. V porovnání s rokem 2005
je odvětvová struktura respondentů v podstatě nezměněna.

Government administration continues to be the most strongly
represented respondent industry, followed by mechanical engineering
industry. In comparison with the year 2005, an industry structure
of the respondents remains unchanged.




                          vedoucí oddělení IS/IT
                                                                                                                42 %
                          IS/IT department head

                                      ředitel IS/IT
                                                                       15 %
                                   IS/IT manager

               ředitel/jednatel/majitel společnosti
                                                                    13 %
                     CEO/registered agent/owner

                                 specialista IS/IT
                                                                   12 %
                                  IS/IT specialist

                          specialista bezpečnosti
                                                           6%
                               security specialist

                              ředitel bezpečnosti
                                                           5%
                                security manager

                                       jiná pozice
                                                      3%
                                    other position

      obchodní/technický/provozní/výrobní ředitel
                                                      2%
   sales/technical/operations/production manager

                      ekonomický/finanční ředitel
                                                      2%
                              financial manager


                                         Graf 3: Kdo za organizace odpovídal
                                        Chart 3: Who provided answers on behalf of organisations




                                 V 79 % případů odpovídali za společnosti pracovníci ve vedoucích pozicích.
                                 U 11 % respondentů pak odpovědi přišly od pracovníků zabývajících se primárně
                                 bezpečností. Naprostou převahu mají v tomto průzkumu, stejně jako v minulých
                                 letech, odpovědi od pracovníků IS/IT – celkem 69 %. Nicméně je to drobný
                                 pokles oproti předloňským třem čtvrtinám.

                                 Department heads on behalf of companies answered the questions
                                 in 79% of respondents. 11% of respondents was staff primarily involved in security.
                                 Similarly to previous years, the vast majority of answers to this survey, 69%, was
                                 provided by IS/IT staff. Despite this fact, this number indicates a slight drop
                                 in comparison with the three-fourths in the year before last.




                                                                                         PSIB ÈR ´07                   5
OUTSOURCING
    OUTSOURCING

    64 % organizací, které se zúčastnily průzkumu, outsourcuje alespoň jednu část IS/IT – stejně jako
    v roce 2005 nejvíce internetové připojení.
    Z organizací, které nesvěřili část svého IS/IT třetí straně, jich má 58 % méně než 500 zaměstnanců.
    Lze se pouze dohadovat, kde jsou příčiny nevyužívání outsourcingu v tomto segmentu společností.
    Jedním z důvodů může být celkově relativně malá velikost IS/IT a neujasněnost pojmu „outsourcing“.
    Pokud jsou v těchto případech některé služby poskytovány externími subjekty, jedná se zpravidla
    o jednotlivé fyzické osoby a tyto vztahy pak nejsou chápány a označovány jako „outsourcing“.

    64% of organizations, which took part in the survey, outsources at least one part of their IS/IT – most
    often, similarly to the year 2005, their Internet connectivity.
    Of the organizations that did not outsource any part of IS/IT, 58% has less than 500 employees.
    We can only speculate about the reasons why this segment of companies does not use outsourcing.
    One of the reasons can be a relatively small size of IS/IT as a whole and not clearly defined term
    quot;outsourcingquot;. If, in these cases, some services are provided by external entities, then these external
    entities are often individuals and the relationships with these individuals are not usually considered
    and designated as outsourcing.




                                              žádnou
                                                                                      36 %
                                                none
                                            jiná část
                                                                             20 %
                                           other part
                               internetové připojení
                                                                                             44 %
                                 internet connection
                                provoz/údržba IS/IT
                                                                              23 %
                      IS/IT operation/maintenance
                            finanční/účetní systém
                                                                      11 %
                     financial/accounting systems

                                           Graf 4: Jaké části IS/IT organizace outsourcují
                                          Chart 4: What parts of IS/IT do organisations outsource


               V této oblasti došlo k zásadní proměně situace. Prudce narostl podíl společností, které zjišťují, jaká je úroveň
               bezpečnosti u poskytovatele služeb. Zároveň velice vzrostl počet společností, které hodnotí bezpečnost
               poskytovatele služeb jako srovnatelnou, či vyšší než ve vlastní společnosti (dohromady 77 %).
               Toto je jedna z nejvíce pozitivních změn, které lze oproti roku 2005 vysledovat.

               This area underwent a radical change. The share of companies evaluating a security level of service provider
               sharply increased. Concurrently, the number of companies evaluating the security of service provider
               as comparable with or higher than their own information security (altogether 77%) significantly increased.
               This is one of the most favorable changes compared to 2005.




                                                                                     18 %
                                       tuto skutečnost nezjišťujeme
                                                                                                           41 %
                                                 we do not assess it

                                                                              5%
                                                                  je nižší
                                                              it is lower    2%

                                                                                                              46 %
                                                           je srovnatelná
                                                                                                    34 %
                                                        it is comparable
                                                                                                                               2007
                                                                                                31 %
                                                                 je vyšší
                                                                                        22 %
                                                             it is higher                                                      2005


                                                              Graf 4a: Hodnocení bezpečnosti poskytovatele outsourcingu
                                                             Chart 4a: How is the security of outsourcing provider evaluated




       PSIB ÈR ´07
6
HODNOCENÍ INFORMAČNÍ BEZPEČNOSTI
  EVALUATING INFORMATION SECURITY


                Optimistický význam má i sebehodnocení respondentů při pohledu na vlastní řešení informační bezpečnosti.
                Již téměř pětina společností účastnících se průzkumu považuje úroveň informační bezpečnosti za výbornou.
                Zároveň poklesl podíl společností s „nízkou“ úrovní pod 20 %.

                An optimistic trend can also be noted in the self-evaluation of respondents with respect to their own solutions
                of information security. Almost one-fifth of companies participating in the survey evaluates the level of their own
                information security as excellent. Concurrently, the share of companies evaluating this level as low dropped
                below 20%.



                              1%
  nedostatečná úroveň
                              1%
      insufficient level

                                            16 %
          nízká úroveň
                                               20 %
              low level

                                                                                    65 %
          dobrá úroveň
                                                                                       69 %
            good level
                                                                                                                            2007
                                               18 %
        výborná úroveň
                                      10 %
         excellent level                                                                                                    2005

              Graf 5: Jak organizace hodnotí vlastní úroveň řešení bezpečnosti
             Chart 5: How do organisations rate their own handing of security




                            IT/telekomunikace
                                                                 35 %                          50 %                         15 %
                       IT/telecommunications
                           finance/bankovnictví
                                                                33 %                                  67 %
                                finance/banking
                               stavební průmysl
                                                                                              65 %                          12 %
                                                            24 %
                                building industry
                                        doprava
                                                          21 %                          58 %                            21 %
                                       transport
                   prodej/poradenství/služby
                                                                                              75 %                               5%
                                                        20 %
                  sales/constultancy/services
                      dřevozpracující průmysl
                                                                                      60 %                              20 %
                                                        20 %
                      wood-products industry
                               státní správa
                                                                                        64 %                              17 %
                                                        19 %
                   government administration
                                  elektrotechnika
                                                                                               83 %
                                                       17 %
                           electrical engineering
                chemie/zdravotnictví/farmacie
                                                                                      65 %
                                                       16 %                                                               19 %
chemical industry/health care/pharmaceuticals
                                 strojírenství
                                                                               58 %                                  28 %
                                                      14 %
                      mechanical engineering
                                      jiná oblast
                                                      12 %                            74 %                                  14 %
                                     other areas
            energetika/distribuční společnosti
                                                                                 70 %                                   20 %
                                                     10 %
       energy industry/distribution companies
                   zemědělství/potravinářství
                                                      9%                                                           32 %
                                                                             59 %
                     agriculture/food industry
                                 textilní průmysl
                                                                               69 %                                    23 %
                                                     8%
                                  textile industry


                                                           výborná úroveň     dobrá úroveň            nízká nebo nedostatečná úroveň
                                                           excellent level    good level              low or insufficient level


                                       Graf 6: Hodnocení úrovně informační bezpečnosti podle oboru působnosti
                                      Chart 6: Evaluation of information security level by industry


                                                                                                      PSIB ÈR ´07                      7
Pokud se podíváme na rozložení podle oboru působnosti, vidíme nejlepší sebehodnocení
    u IT/telekomunikací, financí/bankovnictví a u stavebního průmyslu. Zajímavá jsou srovnání s rokem
    2005 – na výbornou se hodnotí o 17 procentních bodů více společností v IT/telekomunikacích, o 14 bodů
    ve stavebním průmyslu, o 20 ve dřevozpracujícím a o 17 v elektrotechnickém průmyslu. Nejvíce skeptičtí
    vůči úrovni řešení informační bezpečnosti jsou společnosti v zemědělství/potravinářství, textilním průmyslu
    a strojírenství.


    Taking into consideration the distribution by industry, organizations in IT/telecommunications,
    finance/banking and building sectors rate themselves as the best. Interesting are comparisons with the year
    2005: the number of companies rating themselves as excellent increased by 17 percentage points
    in IT/telecommunications sector, by 14 percentage points in building sector, by 20 percentage points
    in wood-products industry and by 17 percentage points in electrical engineering industry.
    The most sceptical about the level of information security solution are companies from the agricultural/food,
    textile and machinery engineering industries.




                 V pomyslném žebříčku oborů s vysokým významem informační bezpečnosti došlo oproti minulým letům k jedné
                 zajímavé změně. Na druhé místo se dostala oblast chemie/zdravotnictví/farmacie a státní správa, s poklesem
                 o 7 procentních bodů, „klesla“ na čtvrté místo.

                 Compared to previous years, there was a remarkable change in imaginary ranking of industries with high
                 importance of information security. The second position is now occupied by chemical/healthcare/pharmaceutical
                 industries, while government administration dropped by 7 percentage points to the fourth position.




                             finance/bankovnictví
                                                                                      89 %                                               11 %
                                  finance/banking
                    chemie/zdravotnictví/farmacie
                                                                                                                             23 %              3%
                                                                               74 %
    chemical industry/health care/pharmaceuticals
                                IT/telekomunikace
                                                                              71 %                                         24 %            5%
                           IT/telecommunications
                                   státní správa
                                                                             69 %                                            31 %
                       government administration
                       prodej/poradenství/služby
                                                                                                                          35 %
                                                                            65 %
                      sales/constultancy/services
                                stavební průmysl
                                                                                                                 53 %
                                                                     47 %
                                 building industry
                       zemědělství/potravinářství
                                                                                                          41 %                          14 %
                                                                    45 %
                         agriculture/food industry
                energetika/distribuční společnosti
                                                                    43 %                                      52 %                         5%
           energy industry/distribution companies
                         dřevozpracující průmysl
                                                                 40 %                                         60 %
                                 wood-products
                                          doprava
                                                                                                       50 %                             14 %
                                                               36 %
                                         transport
                                    strojírenství
                                                                                                         60 %                              5%
                                                              35 %
                         mechanical engineering
                                       jiná oblast
                                                             29 %                                      64 %                                7%
                                      other areas
                                   elektrotechnika
                                                                                                                                          8%
                                                      17 %                                      75 %
                            electrical engineering
                                  textilní průmysl
                                                                                                                                          8%
                                                                                              77 %
                                                      15 %
                                   textile industry


                                                                                       význam                        malý význam
                                                        velký význam
                                                                                       significance                  low significance
                                                        high significance



                                        Graf 7: Význam informační bezpečnosti podle oboru působnosti
                                       Chart 7: Importance of information security by industry




        PSIB ÈR ´07
8
V roce 2007 vidíme velmi zajímavý nárůst vnímání důležitosti tlaku zákazníků na prosazování informační
        bezpečnosti – 8 procentních bodů oproti roku 2005. Také výsledky provedených auditů (růst o 3 procentní
        body každé dva roky od r. 2003) a legislativní tlak v ČR jsou oblastmi zvýšené pozornosti respondentů.
        Naopak hrozby útoku a propojování informačních systémů směrem ven jsou, zdá se, částečně na ústupu.
        Stále však, spolu s rychlým vývojem v oblasti IT, představují jedny z nejdůležitějších faktorů ovlivňujících
        oblast informační bezpečnosti.

        In 2007 we can note a very interesting rise in perception of importance of customer pressure
        on information security implementation – by 8 percentage points compared to the year 2005. The audit
        results (growth by 3 percentage points every two years since 2003) and legislative pressure in the Czech
        Republic are in the centre of increased respondents' attention. The threat of attack and external
        connectivity of information systems seem to partially diminish. However, the above factors,
        together with rapid developments in IT area, are the most important factors influencing
        the information security.



                                                                                                                         47 %
                                                                   hrozba útoku
                                                                 threat of attack                                               55 %

                                                                                                                    43 %
                                                        rychlý vývoj v oblasti IT
                                                          fast IT developments                                     42 %

                                                                                                                  40 %
                                propojování informačních systémů směrem ven
                                                      connection of IS outside                                           48 %

                                                                                                      26 %
                             výsledky provedeného auditu/doporučení auditorů
                                      audit results/ auditors' recommendations                     22 %

                                                                                                    24 %
                           propojování informačních systémů uvnitř organizace
                                            connection of IS within organisation                           31 %

                                                                                                20 %
                                                            legislativní tlak v ČR
                                                  legislative pressure in the CR             16 %

                                                                                                18 %
                                   požadavky na mobilní zpracování informací
                                   mobile information processing requirements                   18 %

                                                                                             17 %
                                                     tlak/požadavky zákazníků
                                               customer pressure/requirements          9%

                                                                                            14 %
                         tlak/požadavky ze strany investorů/akcionářů/vlastníků
                              investor/shareholder/owner pressure/requirements              14 %

                                                                                         11 %
                                                  hrozba negativní medializace
                                             threat of negative picture in media        10 %

                                                                                       9%
                      řešení informační bezpečnosti u srovnatelných organizací
                                         information security solutions at peers      7%

                                                                                      7%
                                                       hrozba finančních sankcí
                                                    threat of financial sanctions     6%

                                                                                       7%
                                          tlak/požadavky obchodních partnerů
                                      business partners pressure/requirements        3%

                                                                                      6%
                                                e-business a/nebo e-commerce
                                                e-business and/or e-commerce           8%
                                                                                                                                  2007
                                                                                     5%
                   platná i připravovaná legislativa EU a Evropské měnové unie
                 valid or prepared EU and European Monetary Union legislation         7%                                          2005



 Graf 8: Okolnosti, které mají největší vliv na prosazování informační bezpečnosti
Chart 8: Circumstances having the greatest impact on information security implementation




                                                                                                       PSIB ÈR ´07                       9
ORGANIZAČNÍ ZABEZPEČENÍ
     ORGANISATIONAL SECURITY

                    Přestože u téměř pětiny respondentů není zodpovědnost za informační bezpečnost jasně definována,
                    je celkové vyznění odpovědí na tuto otázku a zejména pohled na změny oproti roku 2005 velmi pozitivní.
                    Zodpovědnost je posunována na vyšší úrovně řízení a (byť mírně) klesá podíl společností,
                    kde není za tuto oblast zodpovědnost definována.

                    Although nearly one-fifth of respondents has no clearly defined responsibility for information security,
                    a general tone of answers to this question and, in particular, view of changes are very positive compared to
                    2005. Responsibility is shifted to higher levels of management and the number of companies with no defined
                    responsibility for this area drops (though only slightly).


                                                                                         19 %
     nikdo/není jasně definována zodpovědnost
                                                                                                        25 %
     nobody/responsibility is not clearly defined

                                                                                                 22 %
             specialista – nemanažerská pozice
                                                                                                 22 %
            specialist – non-managerial position

                                                                            13 %
                  manažer – jiná úroveň řízení
              manager – other managerial level                        9%

                                                                                                               28 %
       manažer – úroveň vedení divize/odboru
       manager – head of division/section level                                                                28 %
                                                                                                                                2007
                                                                                       18 %
          manažer – úroveň nejvyššího vedení
            manager – top management level                                         16 %                                         2005


                                        Graf 9: Kdo je v organizacích zodpovědný za řešení informační bezpečnosti
                                       Chart 9: Who is responsible for information security solution


     Fakt, že narostl (o 5 procentních bodů) podíl pracovníků s platem nad 70 tis. Kč, můžeme dávat do souvislosti
     s posunem zodpovědností za tuto oblast do vyšších „manažerských pater“, spíše než s obecným zlepšováním
     odměňování pracovníků v oblasti informační bezpečnosti. 44 % specialistů IT, kteří se o informační bezpečnost
     starají, se řadí do kategorie „méně než 25 tis. Kč“. Zajímavé také je, že 32 % manažerů nejvyšší úrovně vedení,
     se zodpovědností za informační bezpečnost, spadá do kategorie 25 až 40 tis. Kč.

     The fact that the number of staff with salary above CZK 70 thousand increased (by 5 percentage points) can be
     associated with the shift of responsibilities for this area to the higher “management levels” rather than with a general
     improvement of remuneration of information security staff. 44% of IT specialists involved in information security
     ranks in category “less than CZK 25 thousand”. Interesting is that 32% of managers at the highest management
     level responsible for information security ranks in category “CZK 25 thousand to CZK 40 thousand”.


                                                    13 %
        více jak 70.000 Kč
                                               8%
     more than CZK 70,000
                                        4%
                                             7%
       55.001 – 70.000 Kč
                                                        16 %
      CZK 55,001 – 70,000
                                    2%
                                                            19 %
       40.001 – 55.000 Kč
                                                        16 %
      CZK 40,001 – 55,000
                                                        16 %
                                                                                              41 %
       25.001 – 40.000 Kč
                                                                            30 %
      CZK 25,001 – 40,000
                                                                                                        49 %
                                                                                                                                2007
                                                               20 %
       méně než 25.000 Kč                                                                                                       2005
                                                                            30 %
      less than CZK 25,000
                                                                           29 %                                                 2003

                  Graf 10: Hrubé průměrné měsíční finanční ohodnocení pracovníků v oblasti informační bezpečnosti
                 Chart 10: Gross average monthly wages of information security staff



          PSIB ÈR ´07
10
Tři nejvíce ceněné oblasti znalostí a schopností pracovníků informační bezpečnosti zůstávají
                     nezměněny – věcná znalost problematiky, technologické znalosti a flexibilita. Oproti letům 2003
                     a 2005 však vidíme zřetelný „ústup ze slávy“. V ostatních oblastech, vyjma „prezentačních dovedností“,
                     se vnímání oproti minulému ročníku průzkumu v podstatě nezměnilo.

                     Three most valued areas of knowledge and abilities of information security staff remain unchanged.
                     These are factual knowledge of the related issues, technological knowledge and flexibility. However,
                     we can see a marked “decline from the glory” compared to the years 2003 and 2005. In other areas,
                     except for presentation skills, the perception almost did not change in comparison with the last survey.




                                                                                                                        64 %
                věcná znalost problematiky informační bezpečnosti
                                                                                                                             71 %
                      understanding of information security issues
                                                                                                                          67 %

                                                                                                              50 %
                                          technologické znalosti IS/IT
                                                                                                               52 %
                                       technological IS/IT knowledge
                                                                                                                         65 %

                                                                                                            46 %
                  flexibilita a konstruktivní přístup k řešení problémů
                                                                                                                52 %
             flexible and constructive approach to solving problems
                                                                                                                       61 %

                                                                                                  31 %
                          věcná znalost fungování vaší organizace
                                                                                                     35 %
                       understanding of the organisation's functions
                                                                                                     35 %

                                                                                                  31 %
                                                analytické schopnosti
                                                                                                    33 %
                                                       analytical skills
                                                                                                  30 %

                                                                                                  31 %
             schopnost efektivní komunikace s vedením organizace
                                                                                                 29 %
                ability to communicate with management efectively
                                                                                          20 %

                                                                                          21 %
                                             manažerské schopnosti
                                                                                           23 %
                                                  managerial skills
                                                                                   13 %

                                                                                     16 %
                                              prezentační dovednosti
                                                                                  12 %
                                                   presentation skills
                                                                                 11 %

                                                                                  11 %
                                              schopnost řídit projekty
                                                                                      17 %
                                                project management
                                                                                  11 %


                                                                                 10 %
                                                 znalost cizího jazyka
                                                                                 10 %
                                               foreign language skills
                                                                            2%


                                                                            3%                                                  2007
                            znalost finančního řízení (rozpočtování)
                                                                                 8%                                             2005
                            financial management skills (budgeting)
                                                                           0%                                                   2003




 Graf 11: Nejvíce ceněné znalosti a schopnosti pracovníků v oblasti informační bezpečnosti
Chart 11: Most highly valued information security staff skills and abilities



                                                                                                            PSIB ÈR ´07                11
Znalosti finančního řízení a rozpočtování jsou evergreenem mezi postrádanými schopnostmi pracovníků,
     kteří se pohybují okolo informační bezpečnosti. Následují manažerské a prezentační dovednosti. S nadsázkou lze
     říci, „co Čech, to informačně bezpečnostní odborník“. Vypadá to, že se znalostmi této problematiky nemáme
     nejmenší problém. Tyto znalosti jsou nejvíce ceněny a nejsou vůbec postrádány.

     Financial management and budgeting knowledge are evergreens in lacked abilities of information security staff,
     followed by managerial and presentation skills. Said with exaggeration: “Every Czech is information security expert”.
     It seems that we do not have a slightest problem with knowledge of this issue. Such knowledge is mostly valued
     and is not lacked at all.




                                                                                                                         29 %
                                  znalost finančního řízení (rozpočtování)
                                                                                                                                       37 %
                                  financial management skills (budgeting)
                                                                                                               22 %

                                                                                                          19 %
                                                   manažerské schopnosti
                                                                                                             21 %
                                                        managerial skills
                                                                                                 13 %

                                                                                                        17 %
                                                    prezentační dovednosti
                                                                                                                                33 %
                                                         presentation skills
                                                                                                        17 %

                                                                                                        17 %
                  schopnost efektivní komunikace s vedením organizace
                                                                                                                 23 %
                     ability to communicate with management effectively
                                                                                                           20 %

                                                                                                  14 %
                                                       znalost cizího jazyka
                                                                                                          19 %
                                                     foreign language skills
                                                                                                 13 %

                                                                                            9%
                                                    schopnost řídit projekty
                                                                                                   15 %
                                                      project management
                                                                                      4%

                                                                                           7%
                                                technologické znalosti IS/IT
                                                                                                   15 %
                                             technological IS/IT knowledge
                                                                                                                  24 %

                                                                                      4%
                        flexibilita a konstruktivní přístup k řešení problémů
                                                                                  2%
                   flexible and constructive approach to solving problems
                                                                                  2%

                                                                                      3%
                                věcná znalost fungování vaší organizace
                                                                                           8%
                             understanding of the organisation's functions
                                                                                            9%


                                                                                   3%
                                                      analytické schopnosti
                                                                                  2%
                                                             analytical skills
                                                                                  2%

                                                                                 0%                                                     2007
                      věcná znalost problematiky informační bezpečnosti
                                                                                      4%                                                2005
                            understanding of information security issues
                                                                                           7%                                           2003




                                    Graf 12: Nejvíce postrádané znalosti a schopnosti pracovníků v oblasti informační bezpečnosti
                                   Chart 12: Skills and abilities most lacking in information security staff



        PSIB ÈR ´07
12
Na tomto místě již tradičně komentujeme začlenění problematiky informační bezpečnosti
                              do organizačních struktur organizací účastnících se průzkumu. Přes určitý nárůst podílu firem,
                              kde je tato oblast svěřena specializovanému útvaru bezpečnosti (8 % oproti pouhým 4 % v roce
                              2005), je stále naprosto převažujícím řešením svěřit řešení této problematiky útvaru IS/IT.

                              At this point we traditionally make comments on information security integration into organizational
                              structures of surveyed companies. In spite of a certain increase in the number of companies
                              in which this area is delegated to a specialized security department (8% in comparison
                              with 4% in 2005), absolutely the most typical solution is making the IS/IT department responsible
                              for this area.



                          útvar IS/IT
                                                                                                                                71 %
                   IS/IT department
                        žádný útvar
                                                8%
                     no department
                  útvar bezpečnosti
                                                8%
                security department
         ekonomický/finanční útvar
                                            5%
     economic/financial department
                           jiný útvar
                                           4%
                   other department
   útvar vnitřních/centrálních služeb
                                        2%
internal/central services department
        útvar kontroly/revize/auditu
                                        2%
    control/review/audit department


                          Graf 13: Útvar zodpovědný za informační bezpečnost
                         Chart 13: Department responsible for information security




Pokles respondentů, kteří nemají program pro zvyšování bezpečnostního povědomí svých zaměstnanců
(nebo mají nefunkční program), je za dva roky v rozsahu statistické chyby (81 % oproti 83 %). Přesto roste
optimistické hodnocení úrovně řešení informační bezpečnosti (viz. Graf 6). Přes třetinu společností považuje
obecně nízké bezpečnostní povědomí za překážku rychlejšího prosazování informační bezpečnosti u nás
(viz. Graf 35). Vyznění odpovědí na tuto otázku je tedy trochu rozporuplné – z nějakého důvodu se nedaří
programy ke zvyšování bezpečnostního povědomí prosazovat v praxi. Tato skutečnost je vnímána jako
problém, nicméně nebrání pozitivnímu hodnocení celé oblasti informační bezpečnosti.

The decrease in the number respondents who have no program to heighten staff awareness of security
(or have a program that does not work) falls within a statistical error range (81% compared to 83%) over
the last two years. Yet, an optimistic evaluation of the quality of information security solutions increases
(see Chart 6). More than one-third of companies considers a generally low security awareness
to be an obstacle to a quicker implementation of information security in our country (see Chart 35).
The tone of answers to this question is rather contradictory: for some reason the programs to heighten
security awareness are not successfully implemented in practice and, though this fact is perceived
as problem, it does not prevent respondents from evaluating the whole information security positively.


                                                                                                       19 %
                                                                                                    ano a funkční
                                                                                                 yes and functioning




                                                     59 %
                                                                                                                       22 %
                                                     ne/no
                                                                                                           ano, ale spíše nefunkční
                                                                                                         yes but rather non-functioning




  Graf 14: Existuje u organizací funkční program ke zvyšování bezpečnostního povědomí svých zaměstnanců?
 Chart 14: Do organizations have a functioning program to heighten employee awareness of security?



                                                                                                      PSIB ÈR ´07                         13
BEZPEČNOSTNÍ POLITIKA A STANDARDY
     SECURITY POLICY AND STANDARDS

     Ročník 2007 je opravdu zlomový a plný optimistických údajů. Poprvé za celé konání těchto průzkumů se počet společností
     s formálně definovanou bezpečnostní politikou dostal přes 50 %. Při tomto tempu se, s nadsázkou řečeno, dostaneme na
     100 % někdy okolo roku 2015. Už méně optimistické je konstatování, že 6 % společností hodnotí řešení své informační
     bezpečnosti na výbornou nebo dobrou bez toho, že u nich existovala bezpečnostní politika. Přístupy k této oblasti jsou
     velmi různorodé a je doporučeníhodná mimořádná flexibilita. Nicméně je velmi složité prosazovat jakákoliv bezpečnostní
     opatření bez existence zastřešující normy, jakou bezpečnostní politika je.

     The year 2007 is actually a break-through year, full of optimistic information. For the first time in the history of this survey,
     the number of companies having a formally defined security policy exceeded 50%. This speed can bring us to 100%
     sometime around the year 2015. The less optimistic fact is that 6% of companies evaluates their information security
     as excellent or good though they have no security policy in place. Approaches to this area are very mixed
     and an extraordinary flexibility is recommended. Nevertheless, it is very complicated to take any security
     measures without the existence of a general standard such as security policy.


                          65 %
                                                 57 %
                                                                        54 %                                       53 %
                                                                                                52 %
                                                                                         48 %                             47 %
                                                                 46 %
                                          43 %
                   35 %




                                                                                                                                                  ano/yes

                                                                                                                                                  ne/no
                      1999                    2001                   2003                   2005                     2007

      Graf 15: Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku?
     Chart 15: Do organizations have a security policy that is formally defined and approved by senior management?




     „Zlatá střední cesta“ si zjevně získává stále více příznivců. Již téměř 60 % respondentů preferuje středně rozsáhlou
     bezpečnostní politiku. Zkušenosti společností zřejmě ukazují, že jak zvýšený počet bezpečnostních norem (model stručné
     politiky s dodatečnými výkladovými normami) i rozsáhlá zastřešující bezpečnostní politika jsou pro konečné uživatele
     zřejmě za hranou „stravitelnosti“. Navíc bez robustního programu pro zvyšování bezpečnostního povědomí je
     „kompromisní“ řešení nejlépe zdůvodnitelné.

     Obviously, the “golden mean” approach wins more and more sympathizers. Almost 60% of respondents now prefers
     a medium-scope security policy. The companies’ experience shows that an increased number of security standards
     (a concise policy model including additional interpretive standards) as well as broad general security policy are most
     probably beyond the level of acceptability by end-users. Moreover, a compromise is the best justifiable solution
     if no robust program to heighten security awareness exists.

                                                                                                   11 %
                                                                                           rozsáhlá/elaborated
                                                                                                                                            31 %
                                                                                                                                         stručná/brief



      Graf 16: Charakteristika rozsahu bezpečnostní politiky
     Chart 16: Characteristics of security policy scope

     rozsáhlá – několik desítek stran, detailní popis všech oblastí
     elaborated – dozens of pages, detailed description of all areas
                                                                                                                                     58 %
     stručná – cca do 3 stran, spíše deklarativní charakter
                                                                                                                                 střední/medium
     brief – approximately up to 3 pages, rather declarative nature
     střední – cca do 20 stran, podrobnější popis požadavků a organizačního zabezpečení
     medium – approximately up to 20 pages, quite detailed destription of requirements and security organisation




         PSIB ÈR ´07
14
Respondenti průzkumu jasně preferují interně vyvinuté standardy. Lze se jen dohadovat, do jaké míry jsou tyto normy
 odvozeny od některého z obecných bezpečnostních standardů. Použití ISO/IEC 17799/BS 7799 je stále na vzestupu
 (nárůst o 8 procentních bodů oproti roku 2005). Zajímavé je, že 41 % respondentů uvádí použití více než jednoho
 standardu. Nejčastěji jsou spojovány interní standardy se standardy řady ITIL a ISO/IEC 17799/BS 7799.

 The survey respondents clearly prefer internally developed standards. We can only speculate about the extent to what
 these standards are derived from any of general security standards. The use of ISO/IEC 17799/BS 7799 is growing
 (increase by 8 percentage points compared to the year 2005). It is interesting that 41% of respondents states using more
 than one standard. The internal standards are most often associated with the ITIL and ISO/IEC 17799/BS 7799 standards.

interní standardy a směrnice vaší mateřské společnosti, či skupiny
                                                                                                                                        45 %
     internal standards and policies from group or mother company
                                            ISO/IEC 17799/BS 7799
                                                                                                                     25 %
                                            ISO/IEC 17799/BS 7799
                                                                  ITIL
                                                                                             11 %
                                                                  ITIL
                                                  ISO/IEC TR 13335
                                                                                            10 %
                                                  ISO/IEC TR 13335
                                                        jiný standard
                                                                                      8%
                                                      other standard
      standardy a nařízení Evropské unie pro oblast bezpečnosti IS
                                                                                 6%
            European Union standards and directives for IS security
                                                               COBIT
                                                                                4%
                                                               COBIT
                                           standard německého BSI
                                                                            3%
                                             BSI Germany standards
           standardy a publikace NIST pro oblast bezpečnosti IS/IT
                                                                            2%
                        NIST IS/IT security standards and guidance

  Graf 17: Jaké využíváte mezinárodní standardy v oblasti informační bezpečnosti a/nebo IT governance při řešení informační bezpečnosti?
 Chart 17: What international standards apply to information security and/or IT governance when addressing information security issues?

  nevyžádaná elektronická pošta (SPAM)
                                                                                                                                 92 %
     unsolicited electronic email (SPAM)
                         výpadek proudu
                                                                                                                              86 %
                             power failure
                       porucha hardware
                                                                                                                    76 %
                         hardware failure
                          chyba uživatele
                                                                                                    58 %
                               user's fault
                         počítačový virus
                                                                                              52 %
                           computer virus
          chyba programového vybavení
                                                                                        47 %
                            software error
                              selhání LAN
                                                                                     41 %
                               LAN failure
                             selhání WAN
                                                                                     41 %
                              WAN failure
      chyba administrátora nebo obsluhy
                                                                         29 %
        administrator's or operator's fault
                          krádež zařízení
                                                                     23 %
                       theft of equipment
    nepovolený přístup k datům – zevnitř
                                                         10 %
     unauthorized data access – internal
                         zneužití zařízení                                                                 rostoucí trend
                                                     6%
                    misuse of equipment                                                                    increasing trend
                       přírodní katastrofa                                                                 stejný trend
                                                     6%
                          natural disaster                                                                 equal trend
    nepovolený přístup k datům – zvenčí                                                                    klesající trend
                                                  3%
    unauthorized data access – external                                                                    decreasing trend

                                Graf 18: Výskyt bezpečnostních incidentů za poslední dva roky a trend jejich výskytu
                               Chart 18: Occurrence and trending of security incidents over the last two years

 SPAM zůstává bezkonkurenčně nejčastěji se vyskytujícím bezpečnostním incidentem. Dokonce zaznamenal nárůst celých
 5 procentních bodů oproti roku 2005, kdy byla tato kategorie v rámci průzkumu poprvé sledována. V ostatních kategoriích
 nedochází k zásadním změnám, vyjma následujících dvou „zvratů“: selhání WAN poskočilo o 7 procentních bodů oproti
 roku 2005 a lze říci, že od roku 1999 výskyt těchto incidentů stále lehce stoupá. Je však pravděpodobné, že tento trend je
 spíš odrazem rozšiřujícího se využívání WAN sítí, než jejich vzrůstající chybovosti. Je zajímavé, že výskyt počítačových
 virů se dostal na hranici 50 % (pokles o 22 procentních bodů oproti roku 2005), kde byl naposledy v roce 1999.



                                                                                                                          PSIB ÈR ´07      15
Undoubtedly, SPAM remains the most frequently occurring security incident. It even scored the whole 5 percentage points
     compared to the year 2005 when this category was monitored in the survey for the first time. Other categories experienced
     no principal changes except for the following two turnouts. Failure of WAN jumped 7 percentage points compared to the year
     2005 and the occurrence of these incidents has been showing a continuous slight increase since 1999. However, it is likely that
     this trend rather reflects an expanding use of WAN networks than their increasing failures. Interestingly, the occurrence
     of computer viruses reached 50% (decrease by 22 percentage points compared to the year 2005), i.e. the level of the year 1999.


     nevyžádaná elektronická pošta (SPAM)                                                                                         92 %
                                                                                                                           86 %
        unsolicited electronic email (SPAM)
                                                                                                                            86 %
                                                                                                                           85 %
                             výpadek proudu
                                                                                                                              89 %
                                power failure                                                                              85 %
                                                                                                                                91 %
                                                                                                                 76 %
                                                                                                                   78 %
                          porucha hardware
                                                                                                                  77 %
                            hardware failure                                                                    74 %
                                                                                                                    79 %
                                                                                                    58 %
                                                                                                     59 %
                             chyba uživatele
                                                                                                      60 %
                                 user's fault                                                          61 %
                                                                                          48 %
                                                                                             52 %
                                                                                                                74 %
                            počítačový virus
                                                                                                                    79 %
                             computer virus                                                                   71 %
                                                                                                 55 %
                                                                                          47 %
                                                                                            49 %
             chyba programového vybavení
                                                                                           48 %
                            software error                                                 48 %
                                                                                                54 %
                                                                                   41 %
                                                                                    43 %
                                 selhání LAN
                                                                                     44 %
                                  LAN failure                                     40 %
                                                                                                 55 %
                                                                                   41 %
                                                                           34 %
                                selhání WAN
                                                                            35 %
                                 WAN failure                             32 %
                                                                        30 %
                                                                        29 %
                                                                         30 %
         chyba administrátora nebo obsluhy
                                                                     25 %
           administrator's or operator's fault                        26 %
                                                                           33 %
                                                                   23 %
                                                                  22 %
                             krádež zařízení
                                                              17 %
                          theft of equipment                  17 %
                                                                       28 %
                                                       10 %
                                                       9%
       nepovolený přístup k datům – zevnitř
                                                       9%
        unauthorized data access – internal            10 %
                                                                                                                                         2007
                                                       10 %
                                                                                                                                         2005
                                                   6   %
                                                   6   %
                           zneužití zařízení                                                                                             2003
                                                   6   %
                       misuse of equipment         6   %
                                                                                                                                         2001
                                                   6   %
                                                                                                                                         1999
                                                  6%
                                                  5%
                          přírodní katastrofa
                                                                20 %
                             natural disaster     5%
                                                              17 %
                                                 3%
                                                 3%
       nepovolený přístup k datům – zvenčí
                                                                        Graf 19: Výskyt bezpečnostních incidentů za posledních 8 let
                                                    7%
       unauthorized data access – external         6%
                                                                       Chart 19: Occurrence of security incidents over the last eight years
                                                 2%


     Můžeme asi jen spekulovat o „dospělosti“, širokém nasazení antivirových technologií, standardizaci virových útoků a dalších faktorech,
     které tento dramatický pokles mohou, ale nemusí, mít na svědomí. Bude zajímavé sledovat, zda se tento trend za dva roky potvrdí.

     We can only speculate about the “maturity”, broad application of antivirus technologies, standardization of virus attacks and other
     factors that may/may not cause this dramatic decrease. We will monitor whether this trend will be confirmed in two years.




         PSIB ÈR ´07
16
Ústup virů ze „slávy“ vidíme i na vnímání nejzávažnějších bezpečnostních incidentů. Sportovní hantýrkou
řečeno se viry propadly z vedoucí skupinky někam na konec pelotonu. Výpadek proudu a porucha
hardware zůstávají stálicemi a i v tomto ročníku se „dostaly na bednu“.

A decline of viruses from the glory has also an impact on the perception of the most serious security
incidents. Using the sports terminology: viruses stepped down from the head of the field. Blackout
and hardware failure are evergreens and they again mounted the winners rostrum.

                                      výpadek proudu
                                                                                                         35 %
                                          power failure
                                    porucha hardware
                                                                                            24 %
                                      hardware failure
                       chyba programového vybavení
                                                                           9%
                                         software error
               nevyžádaná elektronická pošta (SPAM)
                                                                       7%
                  unsolicited electronic email (SPAM)
                                          selhání WAN
                                                                     6%
                                            WAN failure
                                           selhání LAN
                                                                     6%
                                            LAN failure
                   chyba administrátora nebo obsluhy
                                                                3%
                     administrator's or operator's fault
                                      počítačový virus
                                                              2%
                                        computer virus
                                       chyba uživatele
                                                              2%
                                            user's fault
                                    přírodní katastrofa
                                                              2%
                                       natural disaster
                 nepovolený přístup k datům – zevnitř
                                                              2%
                  unauthorized data access – internal
                                       krádež zařízení
                                                              2%
                                    theft of equipment

                                             Graf 20: Bezpečnostní incidenty s nejzávažnějším dopadem
                                            Chart 20: Security incidents and the most serious impact

           Pro zvýšení vypovídací schopnosti údajů jsme zařadili do této tabulky pouze ty incidenty, u kterých alespoň
           6 respondentů uvedlo přímý finanční dopad.
           Dopady bezpečnostních incidentů zaznamenaly řádový skok oproti roku 2005. Jedná se o náhodný výkyv,
           zlepšené metody pro sledování a vyčíslování dopadů incidentů nebo nový trend? Na tuto otázku nám bude
           muset odpovědět až příští ročník průzkumu a diskuse, které nad těmito údaji budeme v mezičase vést.
           U technologií WAN se nabízí stejné vysvětlení, jaké jsme zmínili již v komentáři ke Grafu 18 – velké rozšíření
           a masové nasazování s sebou nese zvýšenou závislost, vyšší rizika a nárůst potenciálních dopadů.

           To enhance an informative value, we only put in this table the incidents for which at least six respondents
           noted a direct financial impact.
           Impacts of security incidents recorded a several-order jump compared to the year 2005. Is this an accidental
           fluctuation, improved methods of monitoring or quantification of incident impacts or new trend? This question
           will be answered in the next survey and in discussions about this information that we will meanwhile conduct.
           With respect to WAN technologies, the same explanation suggests itself as that we mentioned in our
           commentary on Chart 18 – wide spread out and mass utilization carry an increased dependency,
           higher risks and increase in potential impacts.

                                                                            selhání WAN
                                                                                                          1 200 000 Kč
                                                                             WAN failure
                                                        chyba programového vybavení
                                                                                                          1 000 000 Kč
                                                                           software error
                                                                        výpadek proudu
                                                                                                           260 000 Kč
                                                                            power failure
                                                                         krádež zařízení
                                                                                                           225 000 Kč
                                                                      theft of equipment
                                                                      porucha hardware
                                                                                                           200 000 Kč
                                                                        hardware failure
                                                 nevyžádaná elektronická pošta (SPAM)
                                                                                                           160 000 Kč
                                                    unsolicited electronic email (SPAM)
                                                                             selhání LAN
                                                                                                            80 000 Kč
                                                                              LAN failure


                                           Tabulka 1: Průměrné přímé finanční dopady nejvážnějších bezpečnostních incidentů
                                             Table 1: Average direct financial impacts of the most serious security incidents



                                                                                                   PSIB ÈR ´07                  17
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007

More Related Content

What's hot

Sans 20 CSC: Connecting Security to the Business Mission
Sans 20 CSC: Connecting Security to the Business MissionSans 20 CSC: Connecting Security to the Business Mission
Sans 20 CSC: Connecting Security to the Business MissionTripwire
 
Harvey Nash UK & IRE Cyber Security Survey 2016
Harvey Nash UK & IRE Cyber Security Survey 2016Harvey Nash UK & IRE Cyber Security Survey 2016
Harvey Nash UK & IRE Cyber Security Survey 2016Bryan Smith
 
Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...
Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...
Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...Mighty Guides, Inc.
 
2013 Incident Response Survey
2013 Incident Response Survey2013 Incident Response Survey
2013 Incident Response SurveyFireEye, Inc.
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends studyBee_Ware
 
rp-esg-tackling-attack-detection-incident-response
rp-esg-tackling-attack-detection-incident-responserp-esg-tackling-attack-detection-incident-response
rp-esg-tackling-attack-detection-incident-responseMaciej Buczkowski
 
SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)
SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)
SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)Sarah Jarvis
 
Data security: How a proactive C-suite can reduce cyber-risk for the enterprise
Data security: How a proactive C-suite can reduce cyber-risk for the enterpriseData security: How a proactive C-suite can reduce cyber-risk for the enterprise
Data security: How a proactive C-suite can reduce cyber-risk for the enterpriseThe Economist Media Businesses
 
SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us
SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us
SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us SolarWinds
 
cybersecurity-in-the-c-suite-a-matt
cybersecurity-in-the-c-suite-a-mattcybersecurity-in-the-c-suite-a-matt
cybersecurity-in-the-c-suite-a-mattYigal Behar
 
How close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe SecurityHow close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe SecurityRahul Tyagi
 
2017 cost of cyber crime study accenture
2017 cost of cyber crime study   accenture2017 cost of cyber crime study   accenture
2017 cost of cyber crime study accenturejob Titri company
 
The State of IT Security for 2019
The State of IT Security for 2019The State of IT Security for 2019
The State of IT Security for 2019Precisely
 
A CIRO's-eye view of Digital Risk Management
A CIRO's-eye view of Digital Risk ManagementA CIRO's-eye view of Digital Risk Management
A CIRO's-eye view of Digital Risk ManagementDaren Dunkel
 
SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...
SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...
SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...SolarWinds
 
Briefing paper: Third-Party Risks: The cyber dimension
Briefing paper: Third-Party Risks: The cyber dimensionBriefing paper: Third-Party Risks: The cyber dimension
Briefing paper: Third-Party Risks: The cyber dimensionThe Economist Media Businesses
 

What's hot (20)

Sans 20 CSC: Connecting Security to the Business Mission
Sans 20 CSC: Connecting Security to the Business MissionSans 20 CSC: Connecting Security to the Business Mission
Sans 20 CSC: Connecting Security to the Business Mission
 
Harvey Nash UK & IRE Cyber Security Survey 2016
Harvey Nash UK & IRE Cyber Security Survey 2016Harvey Nash UK & IRE Cyber Security Survey 2016
Harvey Nash UK & IRE Cyber Security Survey 2016
 
Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...
Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...
Using Security Metrics to Drive Action in Asia Pacific - 22 Experts Share How...
 
2013 Incident Response Survey
2013 Incident Response Survey2013 Incident Response Survey
2013 Incident Response Survey
 
Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
Breaches Are Bad for Business. How Will You Detect and Respond to Your Next C...
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
 
rp-esg-tackling-attack-detection-incident-response
rp-esg-tackling-attack-detection-incident-responserp-esg-tackling-attack-detection-incident-response
rp-esg-tackling-attack-detection-incident-response
 
SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)
SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)
SYMANTEC_DELOITTE_PARTNERSHIP-UK (3)
 
Data security: How a proactive C-suite can reduce cyber-risk for the enterprise
Data security: How a proactive C-suite can reduce cyber-risk for the enterpriseData security: How a proactive C-suite can reduce cyber-risk for the enterprise
Data security: How a proactive C-suite can reduce cyber-risk for the enterprise
 
SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us
SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us
SolarWinds Federal Webinar: Government Cyber Security Survey: What you told us
 
cybersecurity-in-the-c-suite-a-matt
cybersecurity-in-the-c-suite-a-mattcybersecurity-in-the-c-suite-a-matt
cybersecurity-in-the-c-suite-a-matt
 
How close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe SecurityHow close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe Security
 
EMA Megatrends in Cyber-Security
EMA Megatrends in Cyber-SecurityEMA Megatrends in Cyber-Security
EMA Megatrends in Cyber-Security
 
July 2010 Cover Story
July 2010 Cover StoryJuly 2010 Cover Story
July 2010 Cover Story
 
2017 cost of cyber crime study accenture
2017 cost of cyber crime study   accenture2017 cost of cyber crime study   accenture
2017 cost of cyber crime study accenture
 
The State of IT Security for 2019
The State of IT Security for 2019The State of IT Security for 2019
The State of IT Security for 2019
 
A CIRO's-eye view of Digital Risk Management
A CIRO's-eye view of Digital Risk ManagementA CIRO's-eye view of Digital Risk Management
A CIRO's-eye view of Digital Risk Management
 
SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...
SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...
SolarWinds Federal Cybersecurity Survey 2017: Government Regulations, IT Mode...
 
Briefing paper: Third-Party Risks: The cyber dimension
Briefing paper: Third-Party Risks: The cyber dimensionBriefing paper: Third-Party Risks: The cyber dimension
Briefing paper: Third-Party Risks: The cyber dimension
 
2017 global-cyber-risk-transfer-report-final
2017 global-cyber-risk-transfer-report-final2017 global-cyber-risk-transfer-report-final
2017 global-cyber-risk-transfer-report-final
 

Viewers also liked

Reflexions Davant D’Un Mirall 2.1
Reflexions Davant D’Un Mirall 2.1Reflexions Davant D’Un Mirall 2.1
Reflexions Davant D’Un Mirall 2.1hospitaletcrp
 
Page 2 Of 3 Post Hole Bank Of $1.00 Gold Pieces
Page 2 Of 3 Post Hole Bank Of $1.00 Gold PiecesPage 2 Of 3 Post Hole Bank Of $1.00 Gold Pieces
Page 2 Of 3 Post Hole Bank Of $1.00 Gold Piecesguest96406
 
E L Terror De La Jungla
E L Terror De La JunglaE L Terror De La Jungla
E L Terror De La JunglaRosamad
 
ITIL Incident management
ITIL Incident managementITIL Incident management
ITIL Incident managementManageEngine
 

Viewers also liked (7)

Bracciali1
Bracciali1Bracciali1
Bracciali1
 
Reflexions Davant D’Un Mirall 2.1
Reflexions Davant D’Un Mirall 2.1Reflexions Davant D’Un Mirall 2.1
Reflexions Davant D’Un Mirall 2.1
 
Wild Animals
Wild AnimalsWild Animals
Wild Animals
 
Page 2 Of 3 Post Hole Bank Of $1.00 Gold Pieces
Page 2 Of 3 Post Hole Bank Of $1.00 Gold PiecesPage 2 Of 3 Post Hole Bank Of $1.00 Gold Pieces
Page 2 Of 3 Post Hole Bank Of $1.00 Gold Pieces
 
E L Terror De La Jungla
E L Terror De La JunglaE L Terror De La Jungla
E L Terror De La Jungla
 
Marcybrafman
MarcybrafmanMarcybrafman
Marcybrafman
 
ITIL Incident management
ITIL Incident managementITIL Incident management
ITIL Incident management
 

Similar to Information Security Survey in Czech Republic 2007

Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008Rastislav Turek
 
Information Security - Hiring Trends and Trends for the Future PDF
Information Security - Hiring Trends and Trends for the Future PDFInformation Security - Hiring Trends and Trends for the Future PDF
Information Security - Hiring Trends and Trends for the Future PDFAlexander Goodwin
 
vision 2020 testimony
vision 2020 testimonyvision 2020 testimony
vision 2020 testimonyRob Arnold
 
The 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global InformationThe 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global Informationjtfoster
 
CompTIA Security Study [Report]
CompTIA  Security Study [Report]CompTIA  Security Study [Report]
CompTIA Security Study [Report]Assespro Nacional
 
Information Security Benchmarking 2015
Information Security Benchmarking 2015Information Security Benchmarking 2015
Information Security Benchmarking 2015Capgemini
 
Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)PwC France
 
Insights from the IBM Chief Information Security Officer Assessment
Insights from the IBM Chief Information Security Officer AssessmentInsights from the IBM Chief Information Security Officer Assessment
Insights from the IBM Chief Information Security Officer AssessmentIBM Security
 
Securing the Digital Future
Securing the Digital FutureSecuring the Digital Future
Securing the Digital FutureCognizant
 
Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)Paperjam_redaction
 
State of Security Operations 2016 report of capabilities and maturity of cybe...
State of Security Operations 2016 report of capabilities and maturity of cybe...State of Security Operations 2016 report of capabilities and maturity of cybe...
State of Security Operations 2016 report of capabilities and maturity of cybe...at MicroFocus Italy ❖✔
 
State of Security Operations 2016
State of Security Operations 2016State of Security Operations 2016
State of Security Operations 2016Tim Grieveson
 
Priming your digital immune system: Cybersecurity in the cognitive era
Priming your digital immune system: Cybersecurity in the cognitive eraPriming your digital immune system: Cybersecurity in the cognitive era
Priming your digital immune system: Cybersecurity in the cognitive eraLuke Farrell
 
Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...
Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...
Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...International Federation of Accountants
 
Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -
Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -
Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -Marcello Marchesini
 
Assessing and Managing IT Security Risks
Assessing and Managing IT Security RisksAssessing and Managing IT Security Risks
Assessing and Managing IT Security RisksChris Ross
 

Similar to Information Security Survey in Czech Republic 2007 (20)

Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
 
Information Security - Hiring Trends and Trends for the Future PDF
Information Security - Hiring Trends and Trends for the Future PDFInformation Security - Hiring Trends and Trends for the Future PDF
Information Security - Hiring Trends and Trends for the Future PDF
 
vision 2020 testimony
vision 2020 testimonyvision 2020 testimony
vision 2020 testimony
 
The 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global InformationThe 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global Information
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EY
 
The meaning of security in the 21st century
The meaning of security in the 21st centuryThe meaning of security in the 21st century
The meaning of security in the 21st century
 
CompTIA Security Study [Report]
CompTIA  Security Study [Report]CompTIA  Security Study [Report]
CompTIA Security Study [Report]
 
Information Security Benchmarking 2015
Information Security Benchmarking 2015Information Security Benchmarking 2015
Information Security Benchmarking 2015
 
Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)
 
Finding a strategic voice
Finding a strategic voiceFinding a strategic voice
Finding a strategic voice
 
Insights from the IBM Chief Information Security Officer Assessment
Insights from the IBM Chief Information Security Officer AssessmentInsights from the IBM Chief Information Security Officer Assessment
Insights from the IBM Chief Information Security Officer Assessment
 
Securing the Digital Future
Securing the Digital FutureSecuring the Digital Future
Securing the Digital Future
 
Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)
 
State of Security Operations 2016 report of capabilities and maturity of cybe...
State of Security Operations 2016 report of capabilities and maturity of cybe...State of Security Operations 2016 report of capabilities and maturity of cybe...
State of Security Operations 2016 report of capabilities and maturity of cybe...
 
State of Security Operations 2016
State of Security Operations 2016State of Security Operations 2016
State of Security Operations 2016
 
CISO Survey Report 2010
CISO Survey Report 2010CISO Survey Report 2010
CISO Survey Report 2010
 
Priming your digital immune system: Cybersecurity in the cognitive era
Priming your digital immune system: Cybersecurity in the cognitive eraPriming your digital immune system: Cybersecurity in the cognitive era
Priming your digital immune system: Cybersecurity in the cognitive era
 
Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...
Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...
Responding to Cybersecurity Threats: What SMEs and Professional Accountants N...
 
Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -
Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -
Ponemon report : 'Critical Infrastructure: Security Preparedness and Maturity -
 
Assessing and Managing IT Security Risks
Assessing and Managing IT Security RisksAssessing and Managing IT Security Risks
Assessing and Managing IT Security Risks
 

More from Rastislav Turek

Sociálne siete a bezpečnosť
Sociálne siete a bezpečnosťSociálne siete a bezpečnosť
Sociálne siete a bezpečnosťRastislav Turek
 
Socialne siete: navod pre deti
Socialne siete: navod pre detiSocialne siete: navod pre deti
Socialne siete: navod pre detiRastislav Turek
 
Dodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciDodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciRastislav Turek
 
Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Rastislav Turek
 
Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Rastislav Turek
 
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skKritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skRastislav Turek
 
SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0Rastislav Turek
 
Cílené útoky na klienty banky
Cílené útoky na klienty bankyCílené útoky na klienty banky
Cílené útoky na klienty bankyRastislav Turek
 
Slovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoruSlovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoruRastislav Turek
 
Rodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRastislav Turek
 
Vraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláVraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláRastislav Turek
 
Pravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímPravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímRastislav Turek
 

More from Rastislav Turek (17)

Sociálne siete a bezpečnosť
Sociálne siete a bezpečnosťSociálne siete a bezpečnosť
Sociálne siete a bezpečnosť
 
Socialne siete: navod pre deti
Socialne siete: navod pre detiSocialne siete: navod pre deti
Socialne siete: navod pre deti
 
Dodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciDodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraci
 
Zmluva o spolupraci
Zmluva o spolupraciZmluva o spolupraci
Zmluva o spolupraci
 
Credit Card Frauds
Credit Card FraudsCredit Card Frauds
Credit Card Frauds
 
Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008
 
Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007
 
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skKritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
 
SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0
 
Cílené útoky na klienty banky
Cílené útoky na klienty bankyCílené útoky na klienty banky
Cílené útoky na klienty banky
 
Slovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoruSlovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoru
 
Rodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows Vista
 
Vraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláVraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidlá
 
Pravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímPravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosím
 
OWASP Testing Guide v3
OWASP Testing Guide v3OWASP Testing Guide v3
OWASP Testing Guide v3
 
Practical Web Attacks
Practical Web AttacksPractical Web Attacks
Practical Web Attacks
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcamp
 

Recently uploaded

activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfJamie (Taka) Wang
 
UiPath Studio Web workshop series - Day 7
UiPath Studio Web workshop series - Day 7UiPath Studio Web workshop series - Day 7
UiPath Studio Web workshop series - Day 7DianaGray10
 
COMPUTER 10 Lesson 8 - Building a Website
COMPUTER 10 Lesson 8 - Building a WebsiteCOMPUTER 10 Lesson 8 - Building a Website
COMPUTER 10 Lesson 8 - Building a Websitedgelyza
 
Salesforce Miami User Group Event - 1st Quarter 2024
Salesforce Miami User Group Event - 1st Quarter 2024Salesforce Miami User Group Event - 1st Quarter 2024
Salesforce Miami User Group Event - 1st Quarter 2024SkyPlanner
 
Crea il tuo assistente AI con lo Stregatto (open source python framework)
Crea il tuo assistente AI con lo Stregatto (open source python framework)Crea il tuo assistente AI con lo Stregatto (open source python framework)
Crea il tuo assistente AI con lo Stregatto (open source python framework)Commit University
 
9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding Team9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding TeamAdam Moalla
 
UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6DianaGray10
 
Computer 10: Lesson 10 - Online Crimes and Hazards
Computer 10: Lesson 10 - Online Crimes and HazardsComputer 10: Lesson 10 - Online Crimes and Hazards
Computer 10: Lesson 10 - Online Crimes and HazardsSeth Reyes
 
Meet the new FSP 3000 M-Flex800™
Meet the new FSP 3000 M-Flex800™Meet the new FSP 3000 M-Flex800™
Meet the new FSP 3000 M-Flex800™Adtran
 
Comparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and IstioComparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and IstioChristian Posta
 
UiPath Platform: The Backend Engine Powering Your Automation - Session 1
UiPath Platform: The Backend Engine Powering Your Automation - Session 1UiPath Platform: The Backend Engine Powering Your Automation - Session 1
UiPath Platform: The Backend Engine Powering Your Automation - Session 1DianaGray10
 
Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...
Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...
Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...Will Schroeder
 
UiPath Community: AI for UiPath Automation Developers
UiPath Community: AI for UiPath Automation DevelopersUiPath Community: AI for UiPath Automation Developers
UiPath Community: AI for UiPath Automation DevelopersUiPathCommunity
 
20230202 - Introduction to tis-py
20230202 - Introduction to tis-py20230202 - Introduction to tis-py
20230202 - Introduction to tis-pyJamie (Taka) Wang
 
How Accurate are Carbon Emissions Projections?
How Accurate are Carbon Emissions Projections?How Accurate are Carbon Emissions Projections?
How Accurate are Carbon Emissions Projections?IES VE
 
Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )Brian Pichman
 
UiPath Solutions Management Preview - Northern CA Chapter - March 22.pdf
UiPath Solutions Management Preview - Northern CA Chapter - March 22.pdfUiPath Solutions Management Preview - Northern CA Chapter - March 22.pdf
UiPath Solutions Management Preview - Northern CA Chapter - March 22.pdfDianaGray10
 
Nanopower In Semiconductor Industry.pdf
Nanopower  In Semiconductor Industry.pdfNanopower  In Semiconductor Industry.pdf
Nanopower In Semiconductor Industry.pdfPedro Manuel
 

Recently uploaded (20)

activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
 
UiPath Studio Web workshop series - Day 7
UiPath Studio Web workshop series - Day 7UiPath Studio Web workshop series - Day 7
UiPath Studio Web workshop series - Day 7
 
201610817 - edge part1
201610817 - edge part1201610817 - edge part1
201610817 - edge part1
 
COMPUTER 10 Lesson 8 - Building a Website
COMPUTER 10 Lesson 8 - Building a WebsiteCOMPUTER 10 Lesson 8 - Building a Website
COMPUTER 10 Lesson 8 - Building a Website
 
Salesforce Miami User Group Event - 1st Quarter 2024
Salesforce Miami User Group Event - 1st Quarter 2024Salesforce Miami User Group Event - 1st Quarter 2024
Salesforce Miami User Group Event - 1st Quarter 2024
 
Crea il tuo assistente AI con lo Stregatto (open source python framework)
Crea il tuo assistente AI con lo Stregatto (open source python framework)Crea il tuo assistente AI con lo Stregatto (open source python framework)
Crea il tuo assistente AI con lo Stregatto (open source python framework)
 
9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding Team9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding Team
 
UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6
 
Computer 10: Lesson 10 - Online Crimes and Hazards
Computer 10: Lesson 10 - Online Crimes and HazardsComputer 10: Lesson 10 - Online Crimes and Hazards
Computer 10: Lesson 10 - Online Crimes and Hazards
 
Meet the new FSP 3000 M-Flex800™
Meet the new FSP 3000 M-Flex800™Meet the new FSP 3000 M-Flex800™
Meet the new FSP 3000 M-Flex800™
 
Comparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and IstioComparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and Istio
 
UiPath Platform: The Backend Engine Powering Your Automation - Session 1
UiPath Platform: The Backend Engine Powering Your Automation - Session 1UiPath Platform: The Backend Engine Powering Your Automation - Session 1
UiPath Platform: The Backend Engine Powering Your Automation - Session 1
 
Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...
Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...
Apres-Cyber - The Data Dilemma: Bridging Offensive Operations and Machine Lea...
 
UiPath Community: AI for UiPath Automation Developers
UiPath Community: AI for UiPath Automation DevelopersUiPath Community: AI for UiPath Automation Developers
UiPath Community: AI for UiPath Automation Developers
 
20230202 - Introduction to tis-py
20230202 - Introduction to tis-py20230202 - Introduction to tis-py
20230202 - Introduction to tis-py
 
How Accurate are Carbon Emissions Projections?
How Accurate are Carbon Emissions Projections?How Accurate are Carbon Emissions Projections?
How Accurate are Carbon Emissions Projections?
 
20150722 - AGV
20150722 - AGV20150722 - AGV
20150722 - AGV
 
Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )
 
UiPath Solutions Management Preview - Northern CA Chapter - March 22.pdf
UiPath Solutions Management Preview - Northern CA Chapter - March 22.pdfUiPath Solutions Management Preview - Northern CA Chapter - March 22.pdf
UiPath Solutions Management Preview - Northern CA Chapter - March 22.pdf
 
Nanopower In Semiconductor Industry.pdf
Nanopower  In Semiconductor Industry.pdfNanopower  In Semiconductor Industry.pdf
Nanopower In Semiconductor Industry.pdf
 

Information Security Survey in Czech Republic 2007

  • 1. PSIB ÈR ´07 ® Prùzkum stavu informaèní bezpeènosti v ÈR 2007 Information Security Survey in Czech Republic 2007
  • 3. PRŮZKUM STAVU INFORMAČNÍ BEZPEČNOSTI V ČR 2007 INFORMATION SECURITY SURVEY IN CZECH REPUBLIC 2007 Zdá se to neuvěřitelné, ale letošní průzkum stavu informační bezpečnosti v ČR je již pátým v pořadí. Průzkum mapuje stav a vývoj informační bezpečnosti už od roku 1999, a to je v této oblasti už velmi dlouhá doba. Na výsledcích průzkumu, ale i jeho struktuře, je to velmi dobře znát. Některé otázky průzkumu se již vnitřně vyčerpaly a rozhodli jsme se umožnit jim zasloužený odpočinek. Na druhou stranu se IS/IT komunita potýká s novými výzvami, které se snaží průzkum mapovat a sledovat – zmiňme alespoň nástup SPAMu, outsourcing, či nové bezpečnostní standardy. It seems hard to believe, but the 2007 Czech Republic information security survey is already the fifth such survey to be performed. The survey has been mapping the situation and developments in information security since 1999, which is quite a long time in a field like this and has unquestionably influenced the survey results and structure. Some survey questions have already lost their sense, and we have let them retire. On the other hand, the IS/IT community is struggling with new challenges that the survey is trying to map and monitor – for example, the advent of SPAM, outsourcing or new security standards. Letošní ročník se nese obecně v optimistickém duchu. Přípravy a aktualizace plánů obnovy funkčnosti, přijímání bezpečnostních politik nebo nezávislé externí posuzování informační bezpečnosti jsou dnes pro většinu společností samozřejmou součástí řízení informační bezpečnosti. Také používání elektronického podpisu zažívá, podle účastníků průzkumu, v tomto roce raketový růst. A konečně i sebehodnocení úrovně řešení bezpečnosti samotnými respondenty je zase o kousek pozitivnější než v roce 2005. This year's survey is characterised by its optimism. Recovery plan preparation and updating, security policy implementation or independent expert appraisals of information security are an organic part of information security management for most companies these days. According to the survey respondents, use of the electronic signature is booming this year. And finally, a self-evaluation by respondents of the level of their information security system is a little more optimistic than in 2005. Průzkum má ale také své „stálice“, které ukazují, že budování a řešení informační bezpečnosti není úkol, ale celoživotní mise. Existence rozpočtů na informační bezpečnost je pořád ještě spíše výjimkou, a jednou z hlavních postrádaných vlastností pracovníků informační bezpečnosti jsou stále znalosti finančního řízení. Tvrdošíjně také lpíme na zařazení bezpečnosti do útvarů IS/IT. Obecné bezpečnostní povědomí nás trápí již od počátků průzkumu, ale zatím jsme asi nenašli způsob jak s ním bojovat. Of course, the survey has its old standbys, proving that the development and treatment of information security are not tasks, but a lifelong mission. Standalone budgets for information security are still very rare and one ability that most information security staff still lack continues to be knowledge of financial management. Moreover, we are tenaciously sticking to the idea that security should be a part of IS/IT departments. The issue of general security awareness has been troubling us since the first survey was launched and we have not yet found a way to resolve it. Letošní průzkum je zkrátka opět plný zajímavých informací, které nám pomáhají udělat si obrázek o tom, kam jsme se, a v jakém stavu, se zaváděním informační bezpečnosti v ČR dostali. Pokud je možné vypůjčit si terminologii z oblasti výtvarného umění, je to však obrázek spíše abstraktní, který nabízí více způsobů výkladu a při každém dalším pohledu přináší nová překvapení, možné souvislosti, významy a náměty k diskusím. Příjemný „umělecký“ zážitek vám přejí partneři, kteří se podíleli na vzniku letošního průzkumu: Ernst & Young, Národní bezpečnostní úřad a časopis DSM - data security management. Simply put, this year's survey is again full of interesting information that helps us draw a picture of the situation and the progress made in information security implementation in the Czech Republic. Expressed in the terminology of the visual arts, this picture is rather abstract, providing for multiple interpretations and yielding surprising new insights, potential connections, meanings and topics for discussion with every subsequent look. The partners involved in the creation of this year's survey wish you a pleasant “artistic“ experience: Ernst & Young, National Security Agency and DSM - data security management and. PSIB ÈR ´07 1
  • 4. HLAVNÍ ZJIŠTĚNÍ Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou. Téměř pětina organizací hodnotí vlastní úroveň jako výbornou. Nejlépe se hodnotí společnosti v oblasti IT/telekomunikací a financí/bankovnictví. Tlak zákazníků má, ze všech sledovaných okolností, nejrychleji rostoucí význam na prosazování informační bezpečnosti. Roste zapojení vyššího managementu do řízení informační bezpečnosti. Vzrůstá diverzita odměňování pracovníků působících v oblasti informační bezpečnosti. Nejrychleji rostoucí kategorií odměňování jsou platy nad 70 tis. Kč a od 25 do 40 tis. Kč. Nejvíce postrádanými vlastnostmi pracovníků informační bezpečnosti jsou znalosti finančního řízení, manažerské a prezentační dovednosti. Roste role dedikovaných útvarů bezpečnosti, nicméně informační bezpečnost je v 70 % začleněna do úseků IS/IT. 80 % organizací nemá zaveden funkční program pro zvyšování bezpečnostního povědomí svých zaměstnanců. Přitom obecně nízké bezpečnostní povědomí je vnímáno jako nejvýznamnější překážka rychlejšího prosazování informační bezpečnosti u nás. Přes polovinu společností má definovanou a nejvyšším vedením přijatou bezpečnostní politiku. 45 % společností spoléhá při řízení informační bezpečnosti na interně vyvinuté standardy, ať již na lokální, či korporátní úrovni. Stále roste výskyt nevyžádané elektronické komunikace (SPAMu). V posledních dvou letech se s ním setkalo 92 % společností. Výpadky proudu zůstávají nejčastějším bezpečnostním incidentem. Selhání WAN je bezpečnostním incidentem s nejvyššími průměrnými přímými dopady ve výši 1,2 mil. Kč. Došlo ke skokovému nárůstu počtu společností, které mají vypracované a připravené plány obnovy funkčnosti informačních systémů. 68 % společností tyto plány testuje nejméně každé dva roky. Pětina společností nikdy neprovedla analýzu rizik IS. Řešení problematiky informační bezpečnosti ve spolupráci s externími firmami je běžný postup pro 60 % společností. Naprostá většina (80 %) společností nemá na informační bezpečnost vyhrazen finanční rozpočet. U organizací nad 1000 zaměstnanců došlo ve srovnání se situací v roce 2005 k poklesu poměru celkových ročních výdajů na bezpečnost v porovnání s celkovým rozpočtem na IS/IT. U menších organizací se tento poměr naopak zvýšil. Přes 60 % společností má, nebo plánuje mít, oblast informační bezpečnosti posouzenou externím subjektem. Pouze 6 % společností nepředpokládá v budoucnosti využití elektronického podpisu. 20 % společností však není schopno identifikovat výhody, které používání elektronického podpisu přináší. PSIB ÈR ´07 2
  • 5. THE MAIN FINDINGS More than 80% of organizations rate their information security solution as at least good. Nearly every fifth organization evaluates its solution as excellent. Companies in the IT/telecommunications and finance/banking sectors express the highest satisfaction. Of all factors considered by the survey, customer pressure is perceived as the most important factor in the implementation of information security. Senior management involvement in assuring information security increases. Salaries of information security personnel are increasingly diversified; salaries exceeding CZK 70 thousand and salaries from CZK 25 thousand to CZK 40 thousand are the two most quickly growing categories. Financial management and management and presentation skills continue to be the most missing competences of information security personnel. Dedicated security departments start to play a more prominent role; however, IS/IT departments are still responsible for information security in 70% of organizations. 80% of organizations have not implemented a working program for increasing the security awareness of their employees yet. At the same time, low security awareness is perceived as a key obstacle hampering the implementation of information security in the Czech Republic. Every second organization has a security policy which has been documented and approved by top management. 45% of organizations use internal standards for information security management, developed either locally or at the corporate level. Unsolicited electronic emails (SPAM) are more frequent; 92% of organizations came across this type of security incident during the last two years. Power failures remain the most frequent security incident. WAN failures placed second in terms of direct financial impact, with average damages exceeding CZK 1.2 million. The number of organizations that have adopted a disaster recovery plan has shot up. 68% test such plans at least bi-annually. Every fifth company has never performed an IS risk analysis. 60% of organizations perceive outsourcing of information security solutions as a usual practice. An overwhelming majority (80%) of organizations does not have a dedicated information security budget. The share of annual information security expenditures of companies with more than 1000 employees in their total IS/IT budget has dropped compared to 2005. Small organizations show an opposite trend. Over 60% of organizations have, or are planning to have, their information security system assessed by an independent third party. Only 6% of organizations are not planning to use electronic signature in the future. However, 20% are unable to recognize the benefits that the use of electronic signature may bring. PSIB ÈR ´07 3
  • 6. RESPONDENTI RESPONDENTS Cílem průzkumu je již od jeho prvního ročníku zmapovat situaci v oblasti informační bezpečnosti ve společnostech působících v České republice, které mají více než 100 zaměstnanců. Složení respondentů zůstává oproti minulému průzkumu v podstatě nezměněno a dává dobrou možnost srovnávat vývoj v oblasti informační bezpečnosti za poslední dva roky. Nejvíce jsou letos znovu zastoupeny společnosti do 500 zaměstnanců (59 %). Since the first year of its existence the survey has been aimed at mapping the information security situation in companies which operate in the Czech Republic and have more than 100 employees. The composition of respondents remains more or less the same as in the last survey and gives a good possibility to compare the developments in information security over the last two years. This year, companies having up to 500 employees are again represented most (59%). 19 % víc než 1000 zaměstnanců more than 1,000 employees 59 % 100 – 500 zaměstnanců 22 % 100 – 500 employees 501 – 1000 zaměstnanců 501 – 1,000 employees Graf 1: Distribuce respondentů podle počtu zaměstnanců Chart 1: Distribution of respondents by number of employees státní správa 16 % government administration strojírenství 13 % mechanical engineering jiná oblast 13 % other area chemie/zdravotnictví/farmacie 9% chemical industry/health care/pharmaceuticals zemědělství/potravinářství 7% agriculture/food industry prodej/poradenství/služby 6% sales/consultancy/services energetika/distribuční společnosti 6% energy industry/distribution companies IT/telekomunikace 6% IT/telecommunications stavební průmysl 5% building industry finance/bankovnictví 5% finance/banking doprava 4% transport textilní průmysl 4% textile industry elektrotechnika 4% electrical engineering dřevozpracující průmysl 2% wood-products industry Graf 2: Distribuce respondentů podle oboru působnosti Chart 2: Distribution of respondents by industry PSIB ÈR ´07 4
  • 7. Státní správa zůstává nejsilněji zastoupeným oborem působnosti, následovaná strojírenstvím. V porovnání s rokem 2005 je odvětvová struktura respondentů v podstatě nezměněna. Government administration continues to be the most strongly represented respondent industry, followed by mechanical engineering industry. In comparison with the year 2005, an industry structure of the respondents remains unchanged. vedoucí oddělení IS/IT 42 % IS/IT department head ředitel IS/IT 15 % IS/IT manager ředitel/jednatel/majitel společnosti 13 % CEO/registered agent/owner specialista IS/IT 12 % IS/IT specialist specialista bezpečnosti 6% security specialist ředitel bezpečnosti 5% security manager jiná pozice 3% other position obchodní/technický/provozní/výrobní ředitel 2% sales/technical/operations/production manager ekonomický/finanční ředitel 2% financial manager Graf 3: Kdo za organizace odpovídal Chart 3: Who provided answers on behalf of organisations V 79 % případů odpovídali za společnosti pracovníci ve vedoucích pozicích. U 11 % respondentů pak odpovědi přišly od pracovníků zabývajících se primárně bezpečností. Naprostou převahu mají v tomto průzkumu, stejně jako v minulých letech, odpovědi od pracovníků IS/IT – celkem 69 %. Nicméně je to drobný pokles oproti předloňským třem čtvrtinám. Department heads on behalf of companies answered the questions in 79% of respondents. 11% of respondents was staff primarily involved in security. Similarly to previous years, the vast majority of answers to this survey, 69%, was provided by IS/IT staff. Despite this fact, this number indicates a slight drop in comparison with the three-fourths in the year before last. PSIB ÈR ´07 5
  • 8. OUTSOURCING OUTSOURCING 64 % organizací, které se zúčastnily průzkumu, outsourcuje alespoň jednu část IS/IT – stejně jako v roce 2005 nejvíce internetové připojení. Z organizací, které nesvěřili část svého IS/IT třetí straně, jich má 58 % méně než 500 zaměstnanců. Lze se pouze dohadovat, kde jsou příčiny nevyužívání outsourcingu v tomto segmentu společností. Jedním z důvodů může být celkově relativně malá velikost IS/IT a neujasněnost pojmu „outsourcing“. Pokud jsou v těchto případech některé služby poskytovány externími subjekty, jedná se zpravidla o jednotlivé fyzické osoby a tyto vztahy pak nejsou chápány a označovány jako „outsourcing“. 64% of organizations, which took part in the survey, outsources at least one part of their IS/IT – most often, similarly to the year 2005, their Internet connectivity. Of the organizations that did not outsource any part of IS/IT, 58% has less than 500 employees. We can only speculate about the reasons why this segment of companies does not use outsourcing. One of the reasons can be a relatively small size of IS/IT as a whole and not clearly defined term quot;outsourcingquot;. If, in these cases, some services are provided by external entities, then these external entities are often individuals and the relationships with these individuals are not usually considered and designated as outsourcing. žádnou 36 % none jiná část 20 % other part internetové připojení 44 % internet connection provoz/údržba IS/IT 23 % IS/IT operation/maintenance finanční/účetní systém 11 % financial/accounting systems Graf 4: Jaké části IS/IT organizace outsourcují Chart 4: What parts of IS/IT do organisations outsource V této oblasti došlo k zásadní proměně situace. Prudce narostl podíl společností, které zjišťují, jaká je úroveň bezpečnosti u poskytovatele služeb. Zároveň velice vzrostl počet společností, které hodnotí bezpečnost poskytovatele služeb jako srovnatelnou, či vyšší než ve vlastní společnosti (dohromady 77 %). Toto je jedna z nejvíce pozitivních změn, které lze oproti roku 2005 vysledovat. This area underwent a radical change. The share of companies evaluating a security level of service provider sharply increased. Concurrently, the number of companies evaluating the security of service provider as comparable with or higher than their own information security (altogether 77%) significantly increased. This is one of the most favorable changes compared to 2005. 18 % tuto skutečnost nezjišťujeme 41 % we do not assess it 5% je nižší it is lower 2% 46 % je srovnatelná 34 % it is comparable 2007 31 % je vyšší 22 % it is higher 2005 Graf 4a: Hodnocení bezpečnosti poskytovatele outsourcingu Chart 4a: How is the security of outsourcing provider evaluated PSIB ÈR ´07 6
  • 9. HODNOCENÍ INFORMAČNÍ BEZPEČNOSTI EVALUATING INFORMATION SECURITY Optimistický význam má i sebehodnocení respondentů při pohledu na vlastní řešení informační bezpečnosti. Již téměř pětina společností účastnících se průzkumu považuje úroveň informační bezpečnosti za výbornou. Zároveň poklesl podíl společností s „nízkou“ úrovní pod 20 %. An optimistic trend can also be noted in the self-evaluation of respondents with respect to their own solutions of information security. Almost one-fifth of companies participating in the survey evaluates the level of their own information security as excellent. Concurrently, the share of companies evaluating this level as low dropped below 20%. 1% nedostatečná úroveň 1% insufficient level 16 % nízká úroveň 20 % low level 65 % dobrá úroveň 69 % good level 2007 18 % výborná úroveň 10 % excellent level 2005 Graf 5: Jak organizace hodnotí vlastní úroveň řešení bezpečnosti Chart 5: How do organisations rate their own handing of security IT/telekomunikace 35 % 50 % 15 % IT/telecommunications finance/bankovnictví 33 % 67 % finance/banking stavební průmysl 65 % 12 % 24 % building industry doprava 21 % 58 % 21 % transport prodej/poradenství/služby 75 % 5% 20 % sales/constultancy/services dřevozpracující průmysl 60 % 20 % 20 % wood-products industry státní správa 64 % 17 % 19 % government administration elektrotechnika 83 % 17 % electrical engineering chemie/zdravotnictví/farmacie 65 % 16 % 19 % chemical industry/health care/pharmaceuticals strojírenství 58 % 28 % 14 % mechanical engineering jiná oblast 12 % 74 % 14 % other areas energetika/distribuční společnosti 70 % 20 % 10 % energy industry/distribution companies zemědělství/potravinářství 9% 32 % 59 % agriculture/food industry textilní průmysl 69 % 23 % 8% textile industry výborná úroveň dobrá úroveň nízká nebo nedostatečná úroveň excellent level good level low or insufficient level Graf 6: Hodnocení úrovně informační bezpečnosti podle oboru působnosti Chart 6: Evaluation of information security level by industry PSIB ÈR ´07 7
  • 10. Pokud se podíváme na rozložení podle oboru působnosti, vidíme nejlepší sebehodnocení u IT/telekomunikací, financí/bankovnictví a u stavebního průmyslu. Zajímavá jsou srovnání s rokem 2005 – na výbornou se hodnotí o 17 procentních bodů více společností v IT/telekomunikacích, o 14 bodů ve stavebním průmyslu, o 20 ve dřevozpracujícím a o 17 v elektrotechnickém průmyslu. Nejvíce skeptičtí vůči úrovni řešení informační bezpečnosti jsou společnosti v zemědělství/potravinářství, textilním průmyslu a strojírenství. Taking into consideration the distribution by industry, organizations in IT/telecommunications, finance/banking and building sectors rate themselves as the best. Interesting are comparisons with the year 2005: the number of companies rating themselves as excellent increased by 17 percentage points in IT/telecommunications sector, by 14 percentage points in building sector, by 20 percentage points in wood-products industry and by 17 percentage points in electrical engineering industry. The most sceptical about the level of information security solution are companies from the agricultural/food, textile and machinery engineering industries. V pomyslném žebříčku oborů s vysokým významem informační bezpečnosti došlo oproti minulým letům k jedné zajímavé změně. Na druhé místo se dostala oblast chemie/zdravotnictví/farmacie a státní správa, s poklesem o 7 procentních bodů, „klesla“ na čtvrté místo. Compared to previous years, there was a remarkable change in imaginary ranking of industries with high importance of information security. The second position is now occupied by chemical/healthcare/pharmaceutical industries, while government administration dropped by 7 percentage points to the fourth position. finance/bankovnictví 89 % 11 % finance/banking chemie/zdravotnictví/farmacie 23 % 3% 74 % chemical industry/health care/pharmaceuticals IT/telekomunikace 71 % 24 % 5% IT/telecommunications státní správa 69 % 31 % government administration prodej/poradenství/služby 35 % 65 % sales/constultancy/services stavební průmysl 53 % 47 % building industry zemědělství/potravinářství 41 % 14 % 45 % agriculture/food industry energetika/distribuční společnosti 43 % 52 % 5% energy industry/distribution companies dřevozpracující průmysl 40 % 60 % wood-products doprava 50 % 14 % 36 % transport strojírenství 60 % 5% 35 % mechanical engineering jiná oblast 29 % 64 % 7% other areas elektrotechnika 8% 17 % 75 % electrical engineering textilní průmysl 8% 77 % 15 % textile industry význam malý význam velký význam significance low significance high significance Graf 7: Význam informační bezpečnosti podle oboru působnosti Chart 7: Importance of information security by industry PSIB ÈR ´07 8
  • 11. V roce 2007 vidíme velmi zajímavý nárůst vnímání důležitosti tlaku zákazníků na prosazování informační bezpečnosti – 8 procentních bodů oproti roku 2005. Také výsledky provedených auditů (růst o 3 procentní body každé dva roky od r. 2003) a legislativní tlak v ČR jsou oblastmi zvýšené pozornosti respondentů. Naopak hrozby útoku a propojování informačních systémů směrem ven jsou, zdá se, částečně na ústupu. Stále však, spolu s rychlým vývojem v oblasti IT, představují jedny z nejdůležitějších faktorů ovlivňujících oblast informační bezpečnosti. In 2007 we can note a very interesting rise in perception of importance of customer pressure on information security implementation – by 8 percentage points compared to the year 2005. The audit results (growth by 3 percentage points every two years since 2003) and legislative pressure in the Czech Republic are in the centre of increased respondents' attention. The threat of attack and external connectivity of information systems seem to partially diminish. However, the above factors, together with rapid developments in IT area, are the most important factors influencing the information security. 47 % hrozba útoku threat of attack 55 % 43 % rychlý vývoj v oblasti IT fast IT developments 42 % 40 % propojování informačních systémů směrem ven connection of IS outside 48 % 26 % výsledky provedeného auditu/doporučení auditorů audit results/ auditors' recommendations 22 % 24 % propojování informačních systémů uvnitř organizace connection of IS within organisation 31 % 20 % legislativní tlak v ČR legislative pressure in the CR 16 % 18 % požadavky na mobilní zpracování informací mobile information processing requirements 18 % 17 % tlak/požadavky zákazníků customer pressure/requirements 9% 14 % tlak/požadavky ze strany investorů/akcionářů/vlastníků investor/shareholder/owner pressure/requirements 14 % 11 % hrozba negativní medializace threat of negative picture in media 10 % 9% řešení informační bezpečnosti u srovnatelných organizací information security solutions at peers 7% 7% hrozba finančních sankcí threat of financial sanctions 6% 7% tlak/požadavky obchodních partnerů business partners pressure/requirements 3% 6% e-business a/nebo e-commerce e-business and/or e-commerce 8% 2007 5% platná i připravovaná legislativa EU a Evropské měnové unie valid or prepared EU and European Monetary Union legislation 7% 2005 Graf 8: Okolnosti, které mají největší vliv na prosazování informační bezpečnosti Chart 8: Circumstances having the greatest impact on information security implementation PSIB ÈR ´07 9
  • 12. ORGANIZAČNÍ ZABEZPEČENÍ ORGANISATIONAL SECURITY Přestože u téměř pětiny respondentů není zodpovědnost za informační bezpečnost jasně definována, je celkové vyznění odpovědí na tuto otázku a zejména pohled na změny oproti roku 2005 velmi pozitivní. Zodpovědnost je posunována na vyšší úrovně řízení a (byť mírně) klesá podíl společností, kde není za tuto oblast zodpovědnost definována. Although nearly one-fifth of respondents has no clearly defined responsibility for information security, a general tone of answers to this question and, in particular, view of changes are very positive compared to 2005. Responsibility is shifted to higher levels of management and the number of companies with no defined responsibility for this area drops (though only slightly). 19 % nikdo/není jasně definována zodpovědnost 25 % nobody/responsibility is not clearly defined 22 % specialista – nemanažerská pozice 22 % specialist – non-managerial position 13 % manažer – jiná úroveň řízení manager – other managerial level 9% 28 % manažer – úroveň vedení divize/odboru manager – head of division/section level 28 % 2007 18 % manažer – úroveň nejvyššího vedení manager – top management level 16 % 2005 Graf 9: Kdo je v organizacích zodpovědný za řešení informační bezpečnosti Chart 9: Who is responsible for information security solution Fakt, že narostl (o 5 procentních bodů) podíl pracovníků s platem nad 70 tis. Kč, můžeme dávat do souvislosti s posunem zodpovědností za tuto oblast do vyšších „manažerských pater“, spíše než s obecným zlepšováním odměňování pracovníků v oblasti informační bezpečnosti. 44 % specialistů IT, kteří se o informační bezpečnost starají, se řadí do kategorie „méně než 25 tis. Kč“. Zajímavé také je, že 32 % manažerů nejvyšší úrovně vedení, se zodpovědností za informační bezpečnost, spadá do kategorie 25 až 40 tis. Kč. The fact that the number of staff with salary above CZK 70 thousand increased (by 5 percentage points) can be associated with the shift of responsibilities for this area to the higher “management levels” rather than with a general improvement of remuneration of information security staff. 44% of IT specialists involved in information security ranks in category “less than CZK 25 thousand”. Interesting is that 32% of managers at the highest management level responsible for information security ranks in category “CZK 25 thousand to CZK 40 thousand”. 13 % více jak 70.000 Kč 8% more than CZK 70,000 4% 7% 55.001 – 70.000 Kč 16 % CZK 55,001 – 70,000 2% 19 % 40.001 – 55.000 Kč 16 % CZK 40,001 – 55,000 16 % 41 % 25.001 – 40.000 Kč 30 % CZK 25,001 – 40,000 49 % 2007 20 % méně než 25.000 Kč 2005 30 % less than CZK 25,000 29 % 2003 Graf 10: Hrubé průměrné měsíční finanční ohodnocení pracovníků v oblasti informační bezpečnosti Chart 10: Gross average monthly wages of information security staff PSIB ÈR ´07 10
  • 13. Tři nejvíce ceněné oblasti znalostí a schopností pracovníků informační bezpečnosti zůstávají nezměněny – věcná znalost problematiky, technologické znalosti a flexibilita. Oproti letům 2003 a 2005 však vidíme zřetelný „ústup ze slávy“. V ostatních oblastech, vyjma „prezentačních dovedností“, se vnímání oproti minulému ročníku průzkumu v podstatě nezměnilo. Three most valued areas of knowledge and abilities of information security staff remain unchanged. These are factual knowledge of the related issues, technological knowledge and flexibility. However, we can see a marked “decline from the glory” compared to the years 2003 and 2005. In other areas, except for presentation skills, the perception almost did not change in comparison with the last survey. 64 % věcná znalost problematiky informační bezpečnosti 71 % understanding of information security issues 67 % 50 % technologické znalosti IS/IT 52 % technological IS/IT knowledge 65 % 46 % flexibilita a konstruktivní přístup k řešení problémů 52 % flexible and constructive approach to solving problems 61 % 31 % věcná znalost fungování vaší organizace 35 % understanding of the organisation's functions 35 % 31 % analytické schopnosti 33 % analytical skills 30 % 31 % schopnost efektivní komunikace s vedením organizace 29 % ability to communicate with management efectively 20 % 21 % manažerské schopnosti 23 % managerial skills 13 % 16 % prezentační dovednosti 12 % presentation skills 11 % 11 % schopnost řídit projekty 17 % project management 11 % 10 % znalost cizího jazyka 10 % foreign language skills 2% 3% 2007 znalost finančního řízení (rozpočtování) 8% 2005 financial management skills (budgeting) 0% 2003 Graf 11: Nejvíce ceněné znalosti a schopnosti pracovníků v oblasti informační bezpečnosti Chart 11: Most highly valued information security staff skills and abilities PSIB ÈR ´07 11
  • 14. Znalosti finančního řízení a rozpočtování jsou evergreenem mezi postrádanými schopnostmi pracovníků, kteří se pohybují okolo informační bezpečnosti. Následují manažerské a prezentační dovednosti. S nadsázkou lze říci, „co Čech, to informačně bezpečnostní odborník“. Vypadá to, že se znalostmi této problematiky nemáme nejmenší problém. Tyto znalosti jsou nejvíce ceněny a nejsou vůbec postrádány. Financial management and budgeting knowledge are evergreens in lacked abilities of information security staff, followed by managerial and presentation skills. Said with exaggeration: “Every Czech is information security expert”. It seems that we do not have a slightest problem with knowledge of this issue. Such knowledge is mostly valued and is not lacked at all. 29 % znalost finančního řízení (rozpočtování) 37 % financial management skills (budgeting) 22 % 19 % manažerské schopnosti 21 % managerial skills 13 % 17 % prezentační dovednosti 33 % presentation skills 17 % 17 % schopnost efektivní komunikace s vedením organizace 23 % ability to communicate with management effectively 20 % 14 % znalost cizího jazyka 19 % foreign language skills 13 % 9% schopnost řídit projekty 15 % project management 4% 7% technologické znalosti IS/IT 15 % technological IS/IT knowledge 24 % 4% flexibilita a konstruktivní přístup k řešení problémů 2% flexible and constructive approach to solving problems 2% 3% věcná znalost fungování vaší organizace 8% understanding of the organisation's functions 9% 3% analytické schopnosti 2% analytical skills 2% 0% 2007 věcná znalost problematiky informační bezpečnosti 4% 2005 understanding of information security issues 7% 2003 Graf 12: Nejvíce postrádané znalosti a schopnosti pracovníků v oblasti informační bezpečnosti Chart 12: Skills and abilities most lacking in information security staff PSIB ÈR ´07 12
  • 15. Na tomto místě již tradičně komentujeme začlenění problematiky informační bezpečnosti do organizačních struktur organizací účastnících se průzkumu. Přes určitý nárůst podílu firem, kde je tato oblast svěřena specializovanému útvaru bezpečnosti (8 % oproti pouhým 4 % v roce 2005), je stále naprosto převažujícím řešením svěřit řešení této problematiky útvaru IS/IT. At this point we traditionally make comments on information security integration into organizational structures of surveyed companies. In spite of a certain increase in the number of companies in which this area is delegated to a specialized security department (8% in comparison with 4% in 2005), absolutely the most typical solution is making the IS/IT department responsible for this area. útvar IS/IT 71 % IS/IT department žádný útvar 8% no department útvar bezpečnosti 8% security department ekonomický/finanční útvar 5% economic/financial department jiný útvar 4% other department útvar vnitřních/centrálních služeb 2% internal/central services department útvar kontroly/revize/auditu 2% control/review/audit department Graf 13: Útvar zodpovědný za informační bezpečnost Chart 13: Department responsible for information security Pokles respondentů, kteří nemají program pro zvyšování bezpečnostního povědomí svých zaměstnanců (nebo mají nefunkční program), je za dva roky v rozsahu statistické chyby (81 % oproti 83 %). Přesto roste optimistické hodnocení úrovně řešení informační bezpečnosti (viz. Graf 6). Přes třetinu společností považuje obecně nízké bezpečnostní povědomí za překážku rychlejšího prosazování informační bezpečnosti u nás (viz. Graf 35). Vyznění odpovědí na tuto otázku je tedy trochu rozporuplné – z nějakého důvodu se nedaří programy ke zvyšování bezpečnostního povědomí prosazovat v praxi. Tato skutečnost je vnímána jako problém, nicméně nebrání pozitivnímu hodnocení celé oblasti informační bezpečnosti. The decrease in the number respondents who have no program to heighten staff awareness of security (or have a program that does not work) falls within a statistical error range (81% compared to 83%) over the last two years. Yet, an optimistic evaluation of the quality of information security solutions increases (see Chart 6). More than one-third of companies considers a generally low security awareness to be an obstacle to a quicker implementation of information security in our country (see Chart 35). The tone of answers to this question is rather contradictory: for some reason the programs to heighten security awareness are not successfully implemented in practice and, though this fact is perceived as problem, it does not prevent respondents from evaluating the whole information security positively. 19 % ano a funkční yes and functioning 59 % 22 % ne/no ano, ale spíše nefunkční yes but rather non-functioning Graf 14: Existuje u organizací funkční program ke zvyšování bezpečnostního povědomí svých zaměstnanců? Chart 14: Do organizations have a functioning program to heighten employee awareness of security? PSIB ÈR ´07 13
  • 16. BEZPEČNOSTNÍ POLITIKA A STANDARDY SECURITY POLICY AND STANDARDS Ročník 2007 je opravdu zlomový a plný optimistických údajů. Poprvé za celé konání těchto průzkumů se počet společností s formálně definovanou bezpečnostní politikou dostal přes 50 %. Při tomto tempu se, s nadsázkou řečeno, dostaneme na 100 % někdy okolo roku 2015. Už méně optimistické je konstatování, že 6 % společností hodnotí řešení své informační bezpečnosti na výbornou nebo dobrou bez toho, že u nich existovala bezpečnostní politika. Přístupy k této oblasti jsou velmi různorodé a je doporučeníhodná mimořádná flexibilita. Nicméně je velmi složité prosazovat jakákoliv bezpečnostní opatření bez existence zastřešující normy, jakou bezpečnostní politika je. The year 2007 is actually a break-through year, full of optimistic information. For the first time in the history of this survey, the number of companies having a formally defined security policy exceeded 50%. This speed can bring us to 100% sometime around the year 2015. The less optimistic fact is that 6% of companies evaluates their information security as excellent or good though they have no security policy in place. Approaches to this area are very mixed and an extraordinary flexibility is recommended. Nevertheless, it is very complicated to take any security measures without the existence of a general standard such as security policy. 65 % 57 % 54 % 53 % 52 % 48 % 47 % 46 % 43 % 35 % ano/yes ne/no 1999 2001 2003 2005 2007 Graf 15: Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku? Chart 15: Do organizations have a security policy that is formally defined and approved by senior management? „Zlatá střední cesta“ si zjevně získává stále více příznivců. Již téměř 60 % respondentů preferuje středně rozsáhlou bezpečnostní politiku. Zkušenosti společností zřejmě ukazují, že jak zvýšený počet bezpečnostních norem (model stručné politiky s dodatečnými výkladovými normami) i rozsáhlá zastřešující bezpečnostní politika jsou pro konečné uživatele zřejmě za hranou „stravitelnosti“. Navíc bez robustního programu pro zvyšování bezpečnostního povědomí je „kompromisní“ řešení nejlépe zdůvodnitelné. Obviously, the “golden mean” approach wins more and more sympathizers. Almost 60% of respondents now prefers a medium-scope security policy. The companies’ experience shows that an increased number of security standards (a concise policy model including additional interpretive standards) as well as broad general security policy are most probably beyond the level of acceptability by end-users. Moreover, a compromise is the best justifiable solution if no robust program to heighten security awareness exists. 11 % rozsáhlá/elaborated 31 % stručná/brief Graf 16: Charakteristika rozsahu bezpečnostní politiky Chart 16: Characteristics of security policy scope rozsáhlá – několik desítek stran, detailní popis všech oblastí elaborated – dozens of pages, detailed description of all areas 58 % stručná – cca do 3 stran, spíše deklarativní charakter střední/medium brief – approximately up to 3 pages, rather declarative nature střední – cca do 20 stran, podrobnější popis požadavků a organizačního zabezpečení medium – approximately up to 20 pages, quite detailed destription of requirements and security organisation PSIB ÈR ´07 14
  • 17. Respondenti průzkumu jasně preferují interně vyvinuté standardy. Lze se jen dohadovat, do jaké míry jsou tyto normy odvozeny od některého z obecných bezpečnostních standardů. Použití ISO/IEC 17799/BS 7799 je stále na vzestupu (nárůst o 8 procentních bodů oproti roku 2005). Zajímavé je, že 41 % respondentů uvádí použití více než jednoho standardu. Nejčastěji jsou spojovány interní standardy se standardy řady ITIL a ISO/IEC 17799/BS 7799. The survey respondents clearly prefer internally developed standards. We can only speculate about the extent to what these standards are derived from any of general security standards. The use of ISO/IEC 17799/BS 7799 is growing (increase by 8 percentage points compared to the year 2005). It is interesting that 41% of respondents states using more than one standard. The internal standards are most often associated with the ITIL and ISO/IEC 17799/BS 7799 standards. interní standardy a směrnice vaší mateřské společnosti, či skupiny 45 % internal standards and policies from group or mother company ISO/IEC 17799/BS 7799 25 % ISO/IEC 17799/BS 7799 ITIL 11 % ITIL ISO/IEC TR 13335 10 % ISO/IEC TR 13335 jiný standard 8% other standard standardy a nařízení Evropské unie pro oblast bezpečnosti IS 6% European Union standards and directives for IS security COBIT 4% COBIT standard německého BSI 3% BSI Germany standards standardy a publikace NIST pro oblast bezpečnosti IS/IT 2% NIST IS/IT security standards and guidance Graf 17: Jaké využíváte mezinárodní standardy v oblasti informační bezpečnosti a/nebo IT governance při řešení informační bezpečnosti? Chart 17: What international standards apply to information security and/or IT governance when addressing information security issues? nevyžádaná elektronická pošta (SPAM) 92 % unsolicited electronic email (SPAM) výpadek proudu 86 % power failure porucha hardware 76 % hardware failure chyba uživatele 58 % user's fault počítačový virus 52 % computer virus chyba programového vybavení 47 % software error selhání LAN 41 % LAN failure selhání WAN 41 % WAN failure chyba administrátora nebo obsluhy 29 % administrator's or operator's fault krádež zařízení 23 % theft of equipment nepovolený přístup k datům – zevnitř 10 % unauthorized data access – internal zneužití zařízení rostoucí trend 6% misuse of equipment increasing trend přírodní katastrofa stejný trend 6% natural disaster equal trend nepovolený přístup k datům – zvenčí klesající trend 3% unauthorized data access – external decreasing trend Graf 18: Výskyt bezpečnostních incidentů za poslední dva roky a trend jejich výskytu Chart 18: Occurrence and trending of security incidents over the last two years SPAM zůstává bezkonkurenčně nejčastěji se vyskytujícím bezpečnostním incidentem. Dokonce zaznamenal nárůst celých 5 procentních bodů oproti roku 2005, kdy byla tato kategorie v rámci průzkumu poprvé sledována. V ostatních kategoriích nedochází k zásadním změnám, vyjma následujících dvou „zvratů“: selhání WAN poskočilo o 7 procentních bodů oproti roku 2005 a lze říci, že od roku 1999 výskyt těchto incidentů stále lehce stoupá. Je však pravděpodobné, že tento trend je spíš odrazem rozšiřujícího se využívání WAN sítí, než jejich vzrůstající chybovosti. Je zajímavé, že výskyt počítačových virů se dostal na hranici 50 % (pokles o 22 procentních bodů oproti roku 2005), kde byl naposledy v roce 1999. PSIB ÈR ´07 15
  • 18. Undoubtedly, SPAM remains the most frequently occurring security incident. It even scored the whole 5 percentage points compared to the year 2005 when this category was monitored in the survey for the first time. Other categories experienced no principal changes except for the following two turnouts. Failure of WAN jumped 7 percentage points compared to the year 2005 and the occurrence of these incidents has been showing a continuous slight increase since 1999. However, it is likely that this trend rather reflects an expanding use of WAN networks than their increasing failures. Interestingly, the occurrence of computer viruses reached 50% (decrease by 22 percentage points compared to the year 2005), i.e. the level of the year 1999. nevyžádaná elektronická pošta (SPAM) 92 % 86 % unsolicited electronic email (SPAM) 86 % 85 % výpadek proudu 89 % power failure 85 % 91 % 76 % 78 % porucha hardware 77 % hardware failure 74 % 79 % 58 % 59 % chyba uživatele 60 % user's fault 61 % 48 % 52 % 74 % počítačový virus 79 % computer virus 71 % 55 % 47 % 49 % chyba programového vybavení 48 % software error 48 % 54 % 41 % 43 % selhání LAN 44 % LAN failure 40 % 55 % 41 % 34 % selhání WAN 35 % WAN failure 32 % 30 % 29 % 30 % chyba administrátora nebo obsluhy 25 % administrator's or operator's fault 26 % 33 % 23 % 22 % krádež zařízení 17 % theft of equipment 17 % 28 % 10 % 9% nepovolený přístup k datům – zevnitř 9% unauthorized data access – internal 10 % 2007 10 % 2005 6 % 6 % zneužití zařízení 2003 6 % misuse of equipment 6 % 2001 6 % 1999 6% 5% přírodní katastrofa 20 % natural disaster 5% 17 % 3% 3% nepovolený přístup k datům – zvenčí Graf 19: Výskyt bezpečnostních incidentů za posledních 8 let 7% unauthorized data access – external 6% Chart 19: Occurrence of security incidents over the last eight years 2% Můžeme asi jen spekulovat o „dospělosti“, širokém nasazení antivirových technologií, standardizaci virových útoků a dalších faktorech, které tento dramatický pokles mohou, ale nemusí, mít na svědomí. Bude zajímavé sledovat, zda se tento trend za dva roky potvrdí. We can only speculate about the “maturity”, broad application of antivirus technologies, standardization of virus attacks and other factors that may/may not cause this dramatic decrease. We will monitor whether this trend will be confirmed in two years. PSIB ÈR ´07 16
  • 19. Ústup virů ze „slávy“ vidíme i na vnímání nejzávažnějších bezpečnostních incidentů. Sportovní hantýrkou řečeno se viry propadly z vedoucí skupinky někam na konec pelotonu. Výpadek proudu a porucha hardware zůstávají stálicemi a i v tomto ročníku se „dostaly na bednu“. A decline of viruses from the glory has also an impact on the perception of the most serious security incidents. Using the sports terminology: viruses stepped down from the head of the field. Blackout and hardware failure are evergreens and they again mounted the winners rostrum. výpadek proudu 35 % power failure porucha hardware 24 % hardware failure chyba programového vybavení 9% software error nevyžádaná elektronická pošta (SPAM) 7% unsolicited electronic email (SPAM) selhání WAN 6% WAN failure selhání LAN 6% LAN failure chyba administrátora nebo obsluhy 3% administrator's or operator's fault počítačový virus 2% computer virus chyba uživatele 2% user's fault přírodní katastrofa 2% natural disaster nepovolený přístup k datům – zevnitř 2% unauthorized data access – internal krádež zařízení 2% theft of equipment Graf 20: Bezpečnostní incidenty s nejzávažnějším dopadem Chart 20: Security incidents and the most serious impact Pro zvýšení vypovídací schopnosti údajů jsme zařadili do této tabulky pouze ty incidenty, u kterých alespoň 6 respondentů uvedlo přímý finanční dopad. Dopady bezpečnostních incidentů zaznamenaly řádový skok oproti roku 2005. Jedná se o náhodný výkyv, zlepšené metody pro sledování a vyčíslování dopadů incidentů nebo nový trend? Na tuto otázku nám bude muset odpovědět až příští ročník průzkumu a diskuse, které nad těmito údaji budeme v mezičase vést. U technologií WAN se nabízí stejné vysvětlení, jaké jsme zmínili již v komentáři ke Grafu 18 – velké rozšíření a masové nasazování s sebou nese zvýšenou závislost, vyšší rizika a nárůst potenciálních dopadů. To enhance an informative value, we only put in this table the incidents for which at least six respondents noted a direct financial impact. Impacts of security incidents recorded a several-order jump compared to the year 2005. Is this an accidental fluctuation, improved methods of monitoring or quantification of incident impacts or new trend? This question will be answered in the next survey and in discussions about this information that we will meanwhile conduct. With respect to WAN technologies, the same explanation suggests itself as that we mentioned in our commentary on Chart 18 – wide spread out and mass utilization carry an increased dependency, higher risks and increase in potential impacts. selhání WAN 1 200 000 Kč WAN failure chyba programového vybavení 1 000 000 Kč software error výpadek proudu 260 000 Kč power failure krádež zařízení 225 000 Kč theft of equipment porucha hardware 200 000 Kč hardware failure nevyžádaná elektronická pošta (SPAM) 160 000 Kč unsolicited electronic email (SPAM) selhání LAN 80 000 Kč LAN failure Tabulka 1: Průměrné přímé finanční dopady nejvážnějších bezpečnostních incidentů Table 1: Average direct financial impacts of the most serious security incidents PSIB ÈR ´07 17