Průzkum stavu informační bezpečnosti

Už mám dost těch nejrůznějších průzkumů stavu informační bezpečnosti prováděných a zveřejňovaných nejrůznějšími společnostmi.

K čemu vlastně jsou, komu vlastně mají sloužit a jakou mají vůbec vypovídající hodnotu? Tvrdím, že většina statistik a analýz zveřejňovaných nejrůznějšími společnostmi nevypovídá zhola nic o stavu informační bezpečnosti v konkrétních firmách. Výsledky těchto průzkumů se dají často vyjádřit velice stručně a to takto:

„Úroveň bezpečnosti se roku od roku zvyšuje, většina společností řeší podobné problémy, obávají se výpadku elektrického proudu a poruchy hardwaru, zvyšuje se bezpečnostní povědomí, stále více společností provádí analýzu rizik, má bezpečnostní politiku, plán obnovy funkčnosti, nějakou zkušenost s outsourcingem, pociťují rostoucí tlak na prosazování informační bezpečnosti a zaznamenávají zvyšující se nároky na kvalifikační požadavky pracovníků informační bezpečnosti, kde je stále častěji vyžadována i znalost finančního řízení a manažerské a prezentační schopnosti.“

Pomohl vám někdy výsledek takového průzkumu? Jak? Dozvěděli jste se něco nového? Zajímá opravdu někoho z vás, zda byl nárůst v některé sledované oblasti oproti předchozímu roku o dvě procenta nebo o tři? Dále se musím ptát: Kolik společností z celkového počtu se hodnocení zúčastnilo a které konkrétně to byly? Byl oslovený vzorek dostatečně reprezentativní a statisticky významný, aby se výsledky průzkumu daly brát vůbec vážně? Byly osloveny stejné společnosti jako v předchozím období? Kolik % stejných společností jako v předchozím období bylo osloveno? V jakém odvětví dané společnosti působí? Komu byly otázky položeny a jakou formou? Jak přesně zněly ony otázky? Jak zněly pokyny pro vyplnění dotazníku? Byla při vyhodnocení ať už respondentem nebo zadavatelem vzata v úvahu výše inflace, úroková sazba a kurz koruny k ostatním měnám? Jaké hodnoty nám průzkum vlastně předkládá, průměr nebo medián? Odpovídal na otázky opravdu ten, kdo je pod ním podepsaný? Nesnažili se respondenti vylepšit si pozitivně svůj image, byť je průzkum často anonymní?

Nejvíce mě vždycky pobaví, když se uvádí, kolik procent IT rozpočtu nebo rozpočtu společnosti vůbec, připadá na řešení bezpečnosti. Když se nad tím hlouběji zamyslíte, dospějete snad stejně jako já k závěru, že odvozovat jen na základě rostoucí nebo klesající výše investic do  bezpečnosti úroveň bezpečnosti je nesmysl.

Vyšší výdaje na bezpečnost než v předchozím roce mohou mít zcela jiný důvod, než jaký jim je běžně přisuzován – vyšší povědomí managementu a snaha tuto problematiku řešit. Vyšší výdaj v jednom roce totiž může souviset s reinvesticemi. Skončila doba životnosti dané technologie, došlo k morálnímu opotřebení, výrobce přestal danou technologii podporovat, bylo nutné z provozních důvodů provést upgrade nebo technologii dokoupit, zvýšila se cena vstupů. Důvodů, proč tomu tak bylo, může být zase více. Mohlo dojít k expanzi nebo fůzi společnosti. Je to logické – větší počet zaměstnanců, poboček nebo klientů si žádá výkonnější technologie pokud má být zajištěna požadovaná kvalita poskytovaných služeb.

V průzkumech je snaha úroveň bezpečnosti nějak měřit. Uveďme si některá kritéria, která se k tomu používají:

Počet bezpečnostních incidentů

Kolik bylo detekováno bezpečnostních incidentů za sledované období? Když je jich méně, je to vyhodnoceno jako zlepšení. Je však třeba se ptát, jakého byly BI typu. To že jich bylo méně nebo více než v předchozím období nic neznamená. Útoků mohlo být méně třeba proto, že společnost přestala být pro útočníka atraktivním cílem. Detekci BI byla věnována menší pozornost. Také bychom se měli ptát, kolik incidentů bylo vyřešeno. Počet detekovaných a vyřešených se totiž může značně lišit.

Bezpečnostní politika

Má společnost bezpečnostní politiku? Odpověď ano automaticky neznamená, že se bezpečnost zvýšila. Politika mohla být vytvořena bez toho, aniž by se provedla analýza rizik. Stejně tak mohla být zkopírována od jiné společnosti, stažena z internetu a vytvořena jen proto, aby byl uspokojen požadavek auditu. Otázka také zní, zda všichni zaměstnanci společnosti politiku znají, rozumějí a dodržují.

Analýza rizik

Provedla společnost analýzu rizik? To, že byla AR provedena, ještě neznamená, že se s výsledky AR pracuje a že jsou rizika v dané společnosti správně zvládána.

Plán obnovy

Má společnost vypracovaný plán obnovy? To, že je plán obnovy vypracován, neznamená nic. Opravdu funguje, byl otestován, s jakou úspěšností?

Výdaje na školení zaměstnanců

Kolik společnost investovala do školení svých zaměstnanců. Vyšší náklady na školení nemusí být zárukou vyšší úrovně bezpečnostního povědomí. Školení nemuselo být kvalitní, nemuselo odpovídat aktuálním potřebám organizace, protože jí nebylo ušito na míru. Hodnotil někdo úspěšnost školení a jak? Je možné zaplatit drahé školení, které k ničemu není a stejně tak je možné sehnat levné školení, které ke zvýšení bezpečnosti přispěje mnohem více.

Počet zaměstnanců a výše platů

Jaký je poměr pracovníků bezpečnosti k ostatním zaměstnancům společnosti? Jaké jsou mzdové náklady na pracovníky bezpečnosti? Vyšší mzdové náklady nic neznamenají. Je třeba si uvědomit, že výše platů je do značné míry dána trhem. Zaměstnání vyššího počtu pracovníků nebo poskytnutí vyššího finančního ohodnocení se na úrovni bezpečnosti nemusí vůbec projevit.

Investice do bezpečnosti může být neuvážená a bezpečnost s rostoucí výší investic růst vůbec nemusí, naopak může klesat. Příčinou je například nasazení nevhodných, nedostatečně otestovaných technologií, nezvládnutí implementace nebo naprostá absence procesů. Tyto a spoustu dalších veličin je nutné sledovat a vyhodnocovat, teprve poté je možné rozhodnout, zda rostoucí investice do bezpečnosti společnosti přinášejí i vyšší bezpečnost.

Aby management věděl, do jaké oblasti fyzické, logické, personální, organizační a technické bezpečnosti investovat a kolik, měl by nechat provést analýzu rizik.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. DoVla

    Souhlasim s autorem, obecne zavery nemaji kontrolovatelnou vypovidajici hodnotu. Ve vetsine organizaci se bezpecnosti zacnou zabyvat az po poradnem BI. A jelikoz okamzite zavedeni odpovidajici bezpecnosti stoji pro firmu velke naklady, tak vysledek zavedeni bezpecnosti muzeme nazvat „Vlk se nazral, koza zustala cela“. Ale do vysledku pruzkumu se dostane jen „Vlk“.
    Na bezpecnosti ve firme je nutne pracovat neustale, je to trvaly proces a ne jednorazova akce az neco se „spalilo“. Tak se naklady rozprostrou do delsiho casoveho obdobi a to zvladne i mensi firma.

  2. HonzaM

    docela dobrý rozbor průzkumu na Slovensku: http://vyskoc.blog.sme.sk/c/180579/Stav-informacnej-bezpecnosti-na-Slovensku.html


K článku “Průzkum stavu informační bezpečnosti” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: