Společnost Ernst & Young provedla celosvětový průzkum bezpečnosti informačních systémů, kterého se zúčastnilo 1400 firem působících ve 26 průmyslových odvětvích.
Výsledky studie prokázaly, že více než jedna třetina dotázaných firem je nedostatečně připravena na odhalení napadení svého informačního systému. Pouze 34 % společností uvedlo, že splňuje předpisy v oblasti bezpečnosti informačních systémů. V České republice společnost Ernst & Young ve spolupráci s časopisem DSM a pod záštitou Národního bezpečnostního úřadu provedla na jaře letošního roku „Průzkum stavu informační bezpečnosti v ČR 2003“ (dále jen „PSIB 2003“), kterého se zúčastnilo 380 organizací ze všech odvětví průmyslu i státní správy v ČR.
Z celosvětového průzkumu informační bezpečnosti 2003 (Global Information Security Survey 2003), provedeného začátkem tohoto roku společností Ernst & Young, vyšlo najevo, že jedna třetina organizací ohodnotila svou schopnost reagovat na napadení svého informačního systému jako nedostatečnou. Více než jedna třetina organizací označila svou schopnost zjistit, zda byl jejich systém napaden, za méně než dostatečnou. Pouze 34 % společností uvedlo, že splňuje předpisy v oblasti zabezpečení. „V České republice pětina společností neprovádí analýzu zaznamenaných bezpečnostních údajů (logů) nikdy, nebo jen občas. 56 % společností provádí tuto analýzu pouze v případě potřeby, což je z hlediska efektivního monitorování naprosto nedostatečné,“ uvedl Martin Smekal, partner zodpovědný za služby podnikatelského poradenství Ernst & Young Česká republika.
Mezi nejčastější důvody výpadku bezpečnostních systémů patří selhání hardwaru, což uvedlo 34 % společností. Problém telekomunikačního systému uvedlo jako důvod výpadku 31 % firem a selháni softwaru 25 % společností. Viry uvedlo jako důvod 22 % firem (viz příloha tiskové zprávy.)
Z analýzy Ernst & Young vyplývá, že výdaje na technologie, vzdělávání, školení a infrastrukturu podporující bezpečnost informačních systémů se propadají stále níže na seznamu investičních priorit firem. Více než polovina společností, které se zúčastnily průzkumu, uvedla jako největší překážku účinného zabezpečení informací nedostatečný rozpočet (viz příloha tiskové zprávy). Téměř polovina respondentů „PSIB 2003“ v České republice uvedla, že se praktické realizaci informační bezpečnosti v jejich společnosti nevěnuje dostatečná pozornost.
„Je zde zcela zřetelný nesoulad mezi tím, co organizace definují jako své hlavní cíle, včetně ochrany vlastních informačních zdrojů, a tím, kam směřují jejich investice,“ uvedl Martin Smekal. „Pouze několik organizací bere v oblasti bezpečnosti informačních systémů v úvahu všechny možné faktory, a to jak potenciální hrozby, tak příležitosti. Z našeho průzkumu vyplývá, že znalost finančního řízení a schopnost efektivní komunikace s vedením organizace se umístily na 2. a 3. místě v žebříčku nejvíce postrádaných vlastností pracovníků v oboru informační bezpečnosti, hned za technologickými znalostmi IS/IT. Přetrvávající pohled na informační bezpečnosti jako na čistě “IT” záležitost je ilustrována také faktem, že v téměř 80 % našich společností je za tuto oblast zodpovědný právě útvar IS/IT,“ dodal Martin Smekal.
Kritickým faktorem je v oblasti zabezpečení informací obvykle výpočet návratnosti investic do informačních technologií. Na druhou stranu 60 % posuzovaných společností uvedlo, že při zabezpečení informací málokdy nebo dokonce nikdy nepočítají s návratností. V České republice je toto číslo ještě vyšší – 67 % firem nepočítá návratnost investic do informační bezpečnosti nikdy, 23 % jen občas. Celkem 85 % společností u nás nemá na informační bezpečnost vyhrazený rozpočet. „Bezpečnost informačních systémů je obvykle vnímána jako výsadní oblast počítačových expertů,“ pokračoval Martin Smekal. „Průzkum ale prokázal, že je nutné, aby uměli odborníci na bezpečnost informačních systémů přesvědčit nejvyšší vedení,“ dodal Martin Smekal.
Výsledky průzkumu rovněž odhalily výrazný rozdíl mezi typy výdajů na informační bezpečnost. 83 % organizací označilo za největší položku rozpočtu pro informační bezpečnost výdaje na technologie. Přitom pouze 29 % organizací uvedlo, že většina jejich rozpočtu na informační bezpečnost jde na zvýšení povědomí o bezpečnosti mezi zaměstnanci a jejich školení v této oblasti.
Mnoho vedoucích manažerů se stále zaměřuje na ty nedostatky v oblasti informační bezpečnosti, které přitahují zájem médií, jako je například napadení viry nebo hackery. Podle Martina Smekala je ale nutné věnovat vyšší pozornost méně viditelným a méně medializovaným hrozbám – nespokojení zaměstnanci a bývalí zaměstnanci, síťové propojení s obchodními partnery používajícími nespolehlivé systémy, krádeže laptopů a dalších přenosných počítačů a nedostatečně zabezpečené bezdrátového přístupu zaměstnanců k firemní síti. Tyto faktory mohou nejen způsobit velmi vážné finanční škody, ale mohou rovněž ohrozit pověst společnosti.
Celosvětového průzkumu bezpečnosti informačních systémů Ernst & Young se zúčastnilo více než 1400 organizací ze 66 zemí působících ve 26 průmyslových odvětvích. Celkem 88 % procent firem byly komerční subjekty, zbylých 12 % byly organizace neziskové. Českého průzkumu „PSIB 2003“ se zúčastnilo 380 organizací s více než 100 zaměstnanci, kde 18 % tvořila státní správa a zbylých 82 % komerční subjekty. Stejně jako při celosvětovém průzkumu respondenty byli ředitelé úseků informačních systémů, ředitelé oddělení informační bezpečnosti a další vedoucí pracovníci v oblasti informačních technologií.
Informace o Ernst & Young:
Společnost Ernst & Young je přední globální společností na poli profesionálních služeb, která vychází vstříc potřebám svých klientů. Díky rozsáhlým znalostem a praktickým zkušenostem pomáhá svým klientům po celém světě uskutečňovat rychlá a efektivní rozhodnutí ve finančních otázkách, vyhledávat a využívat obchodní příležitosti a řídit možná rizika. Firma má více než 110.000 odborníků působících ve 140 zemích světa. Společnost Ernst & Young je důvěryhodným obchodním partnerem poskytujícím auditorské a daňové služby, jakož i služby v oblasti podnikových financí jak mezinárodním korporacím, tak rychle rostoucím lokálním společnostem. Právní služby jsou poskytovány v různých zemích na světě, kde to příslušný legislativní systém umožňuje.
