Výzkum skutečné úrovně kybernetické bezpečnosti v ČR – výzva

Rád bych realizoval formou online dotazníku výzkum za účelem zjištění skutečné úrovně kybernetické bezpečnosti v organizacích v ČR.

Výzkum bych pak rád opakoval každý rok s tím, že výsledky tohoto výzkumu by byly dostupné na webu pro všechny. Způsob provedení výzkumu a konečnou podobu dotazníku bych rád doladil s vámi.

Anonymita vs. validita

Chápu, že ideální by bylo, kdyby výzkum byl zcela anonymní, ale nevím, jak zajistit, aby nedošlo ke znehodnocení získaných dat třetími stranami sledujícími své vlastní zájmy.

Jak byste to řešili? Dávalo by vám třeba smysl umístění dotazníku na nepredikovatelnou URL adresu nebo pod heslem a jeho zahrnutí do zpracování až v okamžiku, kdy z uvedené adresy přijde potvrzující e-mail?

Taxonomie hrozeb

Vzhledem k tomu, že hrozeb je poměrně velké množství a neexistuje jednotná taxonomie, což potvrzuje i odkazovaná studie v článku, tak bude nejprve nutné se dohodnout na určité množině hrozeb, která bude předmětem hodnocení. Těch by nemělo být příliš mnoho ale ani málo.

Seznam hrozeb by měl vycházet z hrozeb, kterým organizace v ČR skutečně čelí.

Podoba dotazníku

Dotazník se bude skládat z pěti části. První by měla sloužit ke zjištění základních informací o organizaci (odvětví, ve kterém organizace působí, velikost organizace dle počtu zaměstnanců), druhá zavedeným bezpečnostním opatřením organizační a technické povahy (byť nepřímo, prostřednictvím vhodně formulovaných dotazů), třetí by se měla věnovat hrozbám (vektory útoku, proběhnuvší útoky, největší hrozby), čtvrtá jejich dopadům (jaká škoda v souvislosti s realizovanou hrozbou organizaci vznikla) a konečně pátá největším obavám (tedy jakých hrozeb se organizace nejvíce obávají, což nemusí být nutně hrozby, kterým aktuálně čelí) .

Volba odpovědí by se prováděla výběrem z rozbalovacího menu a zaškrtnutím příslušného checkboxu.

Vyhodnocení dotazníku

Na základě zodpovězení těchto otázek by se pak rovnou generovala i jakási míra ohrožení a návrh bezpečnostních opatření, které by organizace měla zavést. Toto vyhodnocení by se zobrazovalo jen po vyplnění a odeslání dotazníku každému respondentovi a byla by to i jakási forma odměny za čas věnovaný jeho vyplnění.

Základní podoba druhé části dotazníku se nachází zde. Budu rád za vaše připomínky.