SlideShare ist ein Scribd-Unternehmen logo
1 von 36
PSIB SR ´08
                    ®




Prieskum stavu informaènej bezpeènosti v SR 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
PRIESKUM STAVU INFORMAČNEJ BEZPEČNOSTI V SR 2008
INFORMATION SECURITY SURVEY IN SLOVAK REPUBLIC 2008


             Tretíročník Prieskumu stavu informačnej bezpečnosti v Slovenskej republike je tu a môžeme opäť porovnávať
             a hodnotiť, po akých cestách sa vydala informačná bezpečnosť od posledného prieskumu z roku 2006. Vďaka tomu,
             že máme navyše i možnosť porovnať naše výsledky s výsledkami PSIB ČR ´07, môžeme si urobiť aspoň rámcovú
             predstavu o pripravenosti a vývoji informačnej bezpečnosti, na v súčasnosti už naozaj európsky previazanom teritóriu
             so všetkými rizikami, hrozbami i možnosťami, ktoré táto integrácia prináša.

             We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare
             and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able
             to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least
             a basic idea of preparedness and information security development across the whole territory of the EU, with all
             the risks, threats and possibilities which this integration brings with it.


Po preštudovaní výsledkov prieskumu a komentárov autorov k jednotlivým bodom môže čitateľ získať dojem, že počas
obrovského technologického boomu a vývoja celej spoločnosti sa základné hrozby, a z nich plynúce riziká v našom
priestore a čase, významne nemenia. To by mohlo naznačovať i možné dôvody, prečo pätina spoločností z prieskumu
doposiaľ neuskutočnila analýzu rizík a väčšina respondentov nemá zriadenú ani pracovnú funkciu, ktorá by sa
zaoberala prioritne informačnou bezpečnosťou. Ponúka sa aj jedno aktuálne vysvetlenie, a to, že súčasná príprava
prechodu na Euro v informačných systémoch spoločností absolútne zatienila ostatné interné projekty.

After studying the survey results and the authors’ comments on individual points, the reader may get the impression that
the basic threats and resulting risks have not currently altered here at all, despite the high-tech boom and the society-wide
development. This could also indicate possible reasons why a fifth of the companies taking part in the survey have still
not performed a risk analysis and why most of the respondents do not have a work-role in place with a preferential
focus on information security. However, a plausible explanation for this is that the current preparation for
Euro-conversion in corporate information systems has wholly overshadowed other internal projects.


             Dnes, v dobe tak dynamickej a rýchlej, že niektoré spoločnosti zmiznú z trhu skôr ako stačia vôbec identifikovať svoje
             hrozby pre informačnú bezpečnosť, je teda dobre, že existujú aspoň základné pravidlá a uznávané praktiky v oblasti
             bezpečnosti, ktorými sa tí ostatní môžu riadiť a ktoré udávajú smer na ceste za lepšou a kvalitnejšou bezpečnosťou
             v rámci finančne možného. Kvalitné riadenie informačnej bezpečnosti v praxi vždy narazí na nečakanú prekážku,
             ako môžeme v poslednej dobe vidieť na príklade úniku informácií od významných a dobre zabezpečených spoločností,
             od ktorých by sa to neočakávalo.

             Today, in the dynamic and fast-changing times where some companies vanish from the market before they even have
             a chance to identify their information security threats, it is good that there are at least basic security rules and accepted
             practices which others can follow and point the way towards improved and higher quality security, always respecting the
             financial considerations. In practice, high-quality information security management always encounters an unexpected
             obstacle, which we could recently have seen in the example of information outflow from leading and prosperous
             companies, which was a surprise to everybody.

Ak je najvýznamnejšie udávaným dôvodom zlepšovanie informačnej bezpečnosti potreba ochrany osobných
a obchodných údajov, presúvame sa ďalej do roviny, kde použité informačné technológie umožňujú túto ochranu tak,
ako to bolo pôvodne zamýšľané. Zodpovední pracovníci majú síce jednoznačnejší cieľ, ale na druhej strane stále ťažšiu
pozíciu pre zdôvodnenie výšky investícii do týchto technológii. Tejto situácii nahrávajú i prieskumom naznačené
očakávania manažérov IT, že pracovníci bezpečnosti vhodne skĺbia znalosti informačnej bezpečnosti s efektívnou
komunikáciou s vrcholovým vedením.

Consequently, if the reason cited as the most significant for improving information security is the need for personal and
business data protection, we move on to those companies where applied information technologies solely play the role of
an enabler of the above protection as it was initially intended. The responsible employees now have a clearer objective
but, on the other hand, it is seldom easy for them to substantiate the extent of investments in these technologies. This
situation is also supported by the expectations of IT managers, as indicated in the survey, that the security staff bring
information security expertise appropriately into accord with effective communication with the top management.


             Partneri tohtoročného prieskumu: Ernst & Young, Národný bezpečnostný úrad SR, časopis DSM – Data Security
             Management a TATE International Slovakia veria, že čitatelia a používatelia výsledkov tohtoročného prieskumu budú
             mať čas sa na svojej ceste k ideálnemu stavu informačnej bezpečnosti zastaviť, obzrieť sa a vybrať si z prieskumu
             to zaujímavé a potrebné k tomu, aby našli svoj cieľ.

             The partners in this year’s survey – Ernst & Young, the National Security Authority SR, the magazine DSM – Data Security
             Management and TATE International Slovakia – believe that the readers and users of this survey’s results will have time
                                                                                                                                             1
             to stop, look back and choose from the survey interesting and necessary information in order to identify their objectives
             in heading towards the ideal state of information security.


                                                                                                                                  PSIB SR ´08
HLAVNÉ ZISTENIA


         V roku 2008 prikladá informačnej bezpečnosti význam 92 % opýtaných spoločností na Slovensku, no napriek tomu
         18 % z nich hodnotí svoj stav informačnej bezpečnosti stále ako nízky alebo nedostatočný.

         Ako najviac motivujúce faktory pre investície do informačnej bezpečnosti spoločnosti označujú bezpečnosť a ochranu
         údajov, rýchly vývoj v oblasti IT a hrozbu útoku.

         83 % spoločností nemá zamestnaného žiadneho špecialistu zaoberajúceho sa prioritne informačnou bezpečnosťou.

         Pracovníci, ktorí aktívne pôsobia v oblasti informačnej bezpečnosti, v priemere zarábajú okolo 43.000 Sk
         (1 427,34 €), čo je oproti minulému prieskumu z roku 2006 výrazný nárast.

         Spoločnosti si najviac u svojich bezpečnostných pracovníkov cenia vecné znalosti problematiky, IT technológií
         a flexibilitu, a naopak im najviac chýba znalosť finančného riadenia a schopnosť efektívnej komunikácie s vedením.

         Bežnou praxou v spoločnostiach je integrácia informačnej bezpečnosti pod IS/IT oddelenia. Priemerný rozpočet na
         bezpečnostné záležitosti tvoria firmy iba v 18 % prípadov a to väčšinou vo veľkosti 10 % z celkového rozpočtu na
         IS/IT. Iba slabá tretina spoločností následne kalkuluje návratnosť investícií do informačnej bezpečnosti.

         65 % spoločností má vytvorené bezpečnostné politiky a tieto sú v 43 % pravidelne prepracovávané a aktualizované.
         Pribúda politík stredného rozsahu, ktoré spoločnosti preferujú pred obšírnejšími aj tými najstručnejšími.

         Majorita spoločností stále spolieha na interné štandardy alebo tie prevzaté od materských spoločností.

         Medzi najvýznamnejšie identifikované hrozby stále patria výpadky prúdu, SPAM a porucha hardvérového vybavenia.

         Oproti roku 2006 problematika počítačových vírusov ustupuje do pozadia.

         Najväčšími výzvami posledného obdobia sú pre spoločnosti participujúce na prieskume prechod na Euro
         a implementácia nových operačných systémov.

         Až 34 % spoločností nemá vypracovaný systém monitorovania bezpečnostných incidentov a viac ako štvrtina
         nedisponuje žiadnymi formálnymi postupmi v tejto oblasti.

         Rastie podiel podnikov, ktoré majú vypracované a pripravené plány obnovy funkčnosti, ktoré majorita z nich
         pravidelne aktualizuje a testuje.

         Hlavnými prioritami na riešenie v oblasti informačnej bezpečnosti sa stávajú už identifikované, známe problémy
         firiem. Vývoj nových riešení v oblasti IT už nie je významnou prioritou, a rovnako sa menší dôraz prikladá na
         analýzy a výsledky auditov, prípadne odporúčania dodávateľov.

         Skoro 20 % podnikov ešte nikdy nevykonalo analýzu rizík informačného systému.

         Tretina podnikov rieši informačnú bezpečnosť vo vlastnej réžii, dve tretiny volia externých dodávateľov riešení.
         Iba zanedbateľné percento túto oblasť nerieši vôbec.

         Oproti roku 2006 klesol podiel spoločností, ktoré dokážu a môžu využívať elektronický podpis z jednej tretiny
         na jednu štvrtinu. Taký istý počet jeho zavedenie vôbec neplánuje. Nedostatok aplikácií podporujúcich elektronický
         podpis a zriedkavá akceptácia zo strany štátu sú hlavné prekážky pre jeho zavádzanie do praxe.

         Rýchlejšiemu rozvoju informačnej bezpečnosti bránia nízke povedomie o bezpečnosti a finančná náročnosť.

         Lídrami v oblasti informačnej bezpečnosti stále zostávajú banky a finančné inštitúcie spolu s IT spoločnosťami,
         ktoré dosahujú nadpriemerné výsledky.




  2

PSIB SR ´08
THE MAIN FINDINGS


  In 2008, 92% of Slovak companies taking part in the survey asserted that information security was
  important, whereas 18% of them still assessed their state of information security as poor or inadequate.

  Data security, data protection, the rapid pace of developments in IT and concerns about attacks were
  cited by companies as the factors most motivating them to invest in information security.

  83% of companies do not employ a specialist whose priority role is to focus on information security.

  Employees who are actively engaged in information security earn on average around SKK 43,000
  (€ 1,427.34), which is a substantial increase on the previous survey carried out in 2006.

  What the companies value most with regard to their information security staff includes understanding
  of related issues, IT technologies and their flexibility. On the other hand, they lack expertise in financial
  management and the ability to communicate effectively with the management.

  It is common practice to integrate information security within IS/IT departments. Only in 18% of cases
  do companies plan an average budget for security issues; predominantly, this represents 10% of the
  overall budget for IS/IT. Only a poor third of companies then calculates any return on their investment
  in information security.

  65% of companies have security policies in place, which in 43% of cases are regularly redesigned and
  updated. More and more companies implement policies of intermediate extent, in preference to both
  long-term and short-term policies.

  Most companies are subject to their own internal standards or to those of their parent companies.

  The major identified threats are seen to be those posed by power outage, SPAM or hardware malfunction.

  Compared to 2006, issues relating to computer viruses have begun to reduce in severity.

  The greatest challenges recently faced by the respondent companies are Euro-conversion
  and the implementation of new operating systems.

  Up to 34% of companies have no system in place for monitoring security incidents and more than
  a quarter have no appropriate formal procedures in place.

  There is a growing number of companies that have drawn up and prepared Disaster Recovery Plans
  and the majority of them update and test them on a regular basis.

  The main priorities for information security are solving problems which companies have already
  identified. The development of new IT solutions is no longer a significant priority and, similarly, reduced
  emphasis is placed on analyses and findings of audits or recommendations of suppliers.

  Almost 20% of companies have never performed an IS risk analysis.

  A third of companies resolve their information security issues at their own expense and two-thirds turn
  to external suppliers for their solutions. An insignificant percentage has no dealings in this area at all.

  Compared to 2006, the share of companies who are able to and permitted to use an electronic signature
  dropped from a third to a quarter. The same number has no plan to introduce electronic signatures
  at all. The lack of applications supporting electronic signatures and its random acceptance by the state
  represent the main obstacles to its introduction into practice.

  A faster pace for the development of information security is impeded by a low level of security
  awareness and high associated costs.

  Banks and financial institutions still represent the leaders in the information security area, along with IT
  companies which deliver outstanding results.



                                                                                                                  3

                                                                                                         PSIB SR ´08
RESPONDENTI
       RESPONDENTS

         Prieskum z oblasti informačnej bezpečnosti je už od roku 2004 zameraný na spoločnosti s viac ako 100
         zamestnancami. Viac ako dvojtretinové zastúpenie v prieskume majú spoločnosti do 500 zamestnancov.
         Oproti roku 2006 sa zastúpenie firiem s 501 až 1 000 zamestnancami zvýšilo, na úrok veľkých spoločností
         s viac ako 1 000 zamestnancami.

         The information security survey has focused since 2004 on companies with more than 100 employees.
         More than two-thirds of companies participating in the survey have up to 500 employees. Compared to
         2006, the ratio of companies with 501 to 1,000 employees increased at the expense of large companies
         with more than 1,000 employees.


                      8%
          Viac než 1 000 zamestnancov
           More than 1,000 employees



                                                                                          72 %
                                                                                100 – 500 zamestnancov
                 20 %                                                             100 – 500 employees
        501 – 1 000 zamestnancov
          501 – 1,000 employees
                                                                           Graf 1: Distribúcia respondentov podľa počtu zamestnancov
                                                                          Chart 1: Distribution of respondents by number of employees


                                      Iná oblasť pôsobnosti
                                                                                                                      17 %
                                                Other areas
                                               Strojárstvo
                                                                                                         12 %
                                   Mechanical engineering
                                        Stavebný priemysel
                                                                                                    11 %
                                           Building industry
                                Predaj/obchod a distribúcia
                                                                                              8%
                                   Sales/Trade/Distribution
                                   Potravinársky priemysel
                                                                                         7%
                                    Food & Drink industry
                                         Textilný priemysel
                                                                                    6%
                                           Textile industry
                                     Financie/bankovníctvo
                                                                                    6%
                                          Finance/Banking
                                             Štátna správa
                                                                               5%
                                       State administration
                                 Elektrotechnický priemysel
                                                                               5%
                                      Electrical engineering
                                       Poradenstvo/služby
                                                                          4%
                                      Consultancy/Services
                   Informačné technológie/telekomunikácie
                                                                          4%
                                   IT/Telecommunications
                                       Chemický priemysel
                                                                     3%
                                        Chemical industry
                                                   Doprava
                                                                     3%
                                                  Transport
                     Zdravotníctvo/farmaceutický priemysel
                                                                2%
                      Health care/Pharmaceuticals industry
                                   Vodovody a kanalizácie
                                                                2%
                          Water distribution and Sewerage
              Energetika/elektroenergetika/distribučná spol.
                                                                2%
                  Energy sector/Electro-energy/Distribution
                                 Drevospracujúci priemysel
                                                                2%
                                            Woodworking
                                                                            Graf 2: Distribúcia respondentov podľa oboru pôsobnosti
                            Plynárenstvo a ropný priemysel
                                                               1%
  4
                                                                           Chart 2: Distribution of respondents by industry
                                      Gas and Oil industry




PSIB SR ´08
Až 17 % podiel na prieskume majú spoločnosti s „inou oblasťou pôsobnosti“, ktorá sa nehodila
do žiadnej z ostatných kategórií. Oproti predchádzajúcemu prieskumu sa nám podarilo podiel
nezaraditeľných spoločností výrazne znížiť, keďže v roku 2006 táto skupina tvorila viac ako
štvrtinu respondentov. Ďalej je výrazne v prieskume zastúpené strojárstvo (12 %) nasledované
stavebným priemyslom. Ostatné oblasti si zachovali podobné zastúpenie ako v roku 2006.

Companies with other area of activity which did not fit into any one category comprised
as much as 17% of the survey. Compared to the previous survey, we managed to decrease
the number of unclassifiable companies significantly, as in 2006 this group represented more
than a quarter of respondents. Another significant proportion is represented by Mechanical
engineering (12%) followed by the Building industry. Other areas maintained a similar
proportion to 2006.




                          Vedúci oddelenia IS/IT
                                                                                                              39 %
                     IS/IT Department Manager

                                Špecialista IS/IT
                                                                          17 %
                                 IS/IT Specialist

                                   Riaditeľ IS/IT
                                                                 11 %
                                   IS/IT Director

                        Špecialista bezpečnosti
                                                           7%
                            Security Specialist

                                     Iná pozícia
                                                          6%
                                  Other Position

                    Ekonomický/finanční riaditeľ
                                                          6%
                    Economic/Financial Director

                  Riaditeľ/manažér bezpečnosti
                                                         5%
                     Security Director/Manager

             Riaditeľ/konateľ/majiteľ spoločnosti
                                                      4%
                                         Director

                          Pracovník marketingu
                                                     3%
                           Marketing employee

        Obchodný/technický/prevádzkový riaditeľ
                                                    2%
         Business/Technical/Operational Director


                                       Graf 3: Kto za organizácie odpovedal
                                      Chart 3: Who provided answers on behalf of organisations




                                Za spoločnosti na otázky prieskumu odpovedali vedúci pracovníci v dvoch tretinách
                                prípadov. Rovnaký podiel odpovedí poskytli aj pracovníci IS/IT zamerania. Celkovo
                                trend v tejto oblasti signalizuje prechod zodpovednosti za vypĺňanie dotazníka na
                                manažérov a IS/IT zamestnancov.

                                In two-thirds of cases, managers were the persons who responded for the
                                companies. IS/IT staff also provided a similar proportion of responses.
                                On aggregate, the trend in this area signals the transfer of responsibility
                                for completing the questionnaire towards managers and IS/IT staff.



                                                                                                                     5

                                                                                                              PSIB SR ´08
VÝZNAM INFORMAČNEJ BEZPEČNOSTI
       IMPORTANCE OF INFORMATION SECURITY

       Z výsledkov prieskumu vyplýva jednoznačná orientácia na zaistenie vysokého stupňa kvality informačnej bezpečnosti
       a pochopenie dôležitosti informačnej bezpečnosti pre dosiahnutie primárnych cieľov organizácie. 92 % spoločností pokladá
       informačnú bezpečnosť za stredne významnú alebo veľmi významnú. Iba 2 % spoločností jej prisúdili zanedbateľný význam.

       The results of the survey show a definite focus on ensuring a high level of information security quality and understanding
       its importance in meeting the primary goals of organisations. 92% of companies stated that information security had medium
       significance or high significance. Only 2% of companies claimed that information security was of negligible significance.


                                                                     2%
                                                            Zanedbateľný význam
                                                            Negligible significance
                                                                                                                                               48 %
                                                                     6%                                                                  Veľký význam
                                                                Malý význam                                                             High significance
                                                               Low significance

                                                                         44 %
                                                                  Stredný význam
                                                                 Medium significance


        Graf 4: Význam informačnej bezpečnosti z hľadiska primárnych cieľov organizácie
       Chart 4: Importance of information security in terms of primary goals of organisations


                               Financie/bankovníctvo
                                                                                          91 %                                           9%
                                     Finance/Banking
              Zdravotníctvo/farmaceutický priemysel
                                                                                                                                 25 %
                                                                                   75 %
               Health care/Pharmaceuticals industry
                             Vodovody a kanalizácie
                                                                               67 %                                           33 %
                   Water distribution and Sewerage
            Informačné technológie/telekomunikácie
                                                                            62 %                                          38 %
                              IT/Telecommunications
                                              Doprava
                                                                                                                          40 %
                                                                            60 %
                                             Transport
                         Predaj/obchod a distribúcia
                                                                                                                   40 %                  7%
                                                                       53 %
                             Sales/Trade/Distribution
                                Iná oblasť pôsobnosti
                                                                                                                  39 %                  9%
                                                                       52 %
                                           Other areas
                                  Poradenstvo/služby
                                                                      50 %                                             50 %
                                Consultancy/Services
                                  Chemický priemysel
                                                                      50 %                                             50 %
                                    Chemical industry
                     Plynárenstvo a ropný priemysel
                                                                      50 %                                             50 %
                                 Gas and Oil industry
                             Potravinársky priemysel
                                                                                                          38 %                       16 %
                                                                     46 %
                              Food & Drinks industry
                                    Textilný priemysel
                                                                                                                46 %                     9%
                                                                    45 %
                                       Textile industry
                                  Stavebný priemysel
                                                                    45 %                                          55 %
                                     Building industry
                                        Štátna správa
                                                                                                                                        11 %
                                                                   44 %                                    45 %
                                  State Administration
                          Elektrotechnický priemysel
                                                                                                                                        10 %
                                                                                                          50 %
                                                                 40 %
                                Electrical engineering
       Energetika/elektroenergetika/distribučná spol.
                                                                                                           67 %
                                                              33 %
         Energy industry/Electro-energy/Distribution
                                            Strojárstvo
                                                                                                                                     14 %
                                                                                                 63 %
                                                          23 %
                             Mechanical engineering
                          Drevospracujúci priemysel
                                                                                             100 %
                                        Woodworking

                                                                                          Stredný význam                  Malý alebo zanedbatelný význam
                                                           Velký význam
                                                                                          Medium significance             Low or Negligible significance
                                                           High significance


                                             Graf 5: Význam informačnej bezpečnosti podľa oboru pôsobnosti

  6
                                            Chart 5: Importance of information security by industry




PSIB SR ´08
Pri pohľade na rozdelenie významu informačnej bezpečnosti podľa oboru pôsobnosti
podnikov sa na prvých priečkach umiestnili, tak ako po minulé roky, spoločnosti z oblasti
bankovníctva a financií. Zdravotnícky a farmaceutický priemysel, vodovody a kanalizácie
a doprava boli v prieskume zastúpené iba malým percentom, čo skresľuje pohľad na ich
dosiahnuté umiestnenie. Drevospracujúce a strojárske podniky prikladajú informačnej
bezpečnosti skôr menší význam. Spoľahlivé výsledky tejto časti prieskumu môžeme
vidieť v priemernej dôležitosti informačnej bezpečnosti pre podniky z oblasti
poradenstva, štátnej správy a potravinárskeho priemyslu.

When looking at the break-down of importance for information security by the sphere
of activity of companies, the first ranks are occupied by companies from banking
and finance world (as in the previous years). Health care and the pharmaceuticals
industry, water distribution and sewerage as well as transport were only represented
by a minor percentage, which distorts the picture in respect of the position they
acquired. Woodworking and mechanical engineering companies claimed that information
security is less important to them. The reliable results of this part of the survey may be
observed through the average information security for companies active in consultancy,
state administration and the food & drinks industry.




                                                                   17 %
                                                                Nízka úroveň
                                                                  Low level

                                                                               1%
                                                                    Nedostatočná úroveň
                                                                      Inadequate level


                56 %                                                    26 %
            Dobrá úroveň                                           Výborná úroveň
             Good level                                             Excellent level




                              Graf 6: Úroveň riešenia informačnej bezpečnosti v organizácii (celkovo)
                             Chart 6: Level of information security in organisation (total)




                                        Až 82 % organizácií v prieskume hodnotí svoju informačnú bezpečnosť pozitívne
                                        a optimisticky. Viac ako štvrtina pokladá svoju informačnú bezpečnosť za výbornú,
                                        na druhej strane iba menej ako jedna pätina firiem ju vidí na nízkej úrovni.
                                        Oproti minulému prieskumu vidieť nepatrné zmeny k lepšiemu v sebahodnotení
                                        úrovne informačnej bezpečnosti organizáciami, keď sa ľahko navýšil podiel
                                        spoločností, ktoré svoju úroveň riešenia informačnej bezpečnosti hodnotia
                                        ako výbornú (z 20 % na 26 %). Tento posun sa primárne udial na úkor spoločností
                                        s „dobrou úrovňou“ (z 65 % na 56 %).

                                        Up to 82% of organisations participating in the survey evaluate their information
                                        security positively and are optimistic about its development. More than a quarter
                                        of the companies rated the level of their information security as excellent.
                                        On the other hand, just under a fifth of companies consider it to be at a low level.
                                        Compared to the last survey, only slight changes for the better may be visible
                                        in the self-assessment of information security by organisations, as the ratio
                                        of companies which rate their information security solutions as excellent increased
                                        slightly (from 20% to 26%). This movement primarily happened at the expense
                                        of companies with a “good level” (from 65% down to 56%).


                                                                                                                               7

                                                                                                                     PSIB SR ´08
Spoločnosti z plynárenského, ropného a chemického priemyslu hodnotia svoje riešenia bezpečnosti ako výborné v polovici
       prípadoch; obchod a elektrotechnický priemysel v 40 %. Najkritickejšie odvetvie k svojej informačnej bezpečnosti je
       strojárstvo, nasledované poradenstvom alebo službami a vodovodmi a kanalizáciami. Výsledky približne kopírujú
       dôležitosť, ktorú spoločnosti z jednotlivých odvetví prikladajú informačnej bezpečnosti, čo dokladajú výsledky
       napríklad farmaceutického priemyslu a oblasti informačných technológií.

       Companies from the gas, oil and chemical industries assess their security solutions as excellent in half of the cases;
       trade and electrical engineering in 40%. The most critical approach to its information security is maintained by mechanical
       engineering, followed by consultancy or services and water distribution and sewerage. The results approximately reflect
       the level of importance which is assigned by companies from individual sectors to information security, which is also
       demonstrated by the results of, for example, the pharmaceuticals industry or the information technology sector.




                                Chemický priemysel
                                                                           50 %                                33 %                  17 %
                                 Chemical industry
                     Plynárenstvo a ropný priemysel
                                                                           50 %                                       50 %
                               Gas and Oil industry
                         Predaj/obchod a distribúcia
                                                                                                            47 %                      13 %
                                                                        40 %
                            Sales/Trade/Distribution
                          Elektrotechnický priemysel
                                                                         40 %                                  50 %                    10 %
                               Electrical engineering
                            Vodovody a kanalizácie
                                                                                                 34 %                         33 %
                                                                   33 %
                   Water distribution and Sewerage
                               Iná oblasť pôsobnosti
                                                                                                    49 %                            21 %
                                                                  30 %
                                         Other areas
                                   Textilný priemysel
                                                                                                        64 %                               9%
                                                                  27 %
                                     Textile industry
                              Financie/bankovníctvo
                                                                                                                                           9%
                                                                                                        64 %
                                                                 27 %
                                   Finance/Banking
                                Poradenstvo/služby
                                                                                            38 %
                                                                25 %                                                         37 %
                               Consultancy/Services
              Zdravotníctvo/farmaceutický priemysel
                                                                                                           75 %
                                                                25 %
               Health care/Pharmaceuticals Industry
            Informačné technológie/telekomunikácie
                                                                25 %                                       75 %
                            IT/Telecommunications
                            Potravinársky priemysel
                                                                                                        69 %                               8%
                                                               23 %
                             Food & Drinks industry
                                      Štátna správa
                                                              22 %                                                                  22 %
                                                                                                 56 %
                                State administration
                                            Doprava
                                                                                                 60 %                               20 %
                                                              20 %
                                           Transport
                                 Stavebný priemysel
                                                                                                 70 %                                 15 %
                                                           15 %
                                    Building industry
                                        Strojárstvo
                                                                                     45 %                                41 %
                                                           14 %
                            Mechanical engineering
                          Drevospracujúci priemysel
                                                                                                   100 %
                                     Woodworking
       Energetika/elektroenergetika/distribučná spol.
                                                                                  67 %                                              33 %
         Energy industry/Electro-energy/Distribution




                                                        Výborná úroveň            Dobrá úroveň           Nízka alebo nedostatočná úroveň
                                                        Excellent level           Good level             Low or Insufficient level




                                   Graf 7: Úroveň riešenia informačnej bezpečnosti v organizácii podľa oboru pôsobnosti

  8                               Chart 7: Level of information security in organisation by industry




PSIB SR ´08
Prím v rizikách, ktoré vedú firmy k zdokonaľovaniu informačnej bezpečnosti, hrá ochrana údajov (66 %), ktorá sa
v prieskume objavila tento rok prvý krát. Tak ako po minulé roky, rýchly vývoj informačných technológií (35 %), požiadavky
na prepájanie smerom von aj dnu (29 % a 21 %) a hrozba útoku (31 %) sú medzi faktormi, ktoré podľa firiem majú najväčší
vplyv. Oproti minulým rokom firmy zrejme prehodnotili dôležitosť niektorých faktorov a tým pádom došlo k preskupeniu
percentuálneho zastúpenia. Prepad o 11 % oproti roku 2006 zaznamenal tlak zo strany legislatívy SR a o 10 % zo strany EU.

The main risk driving companies to strengthen their information security is data protection (66%) which this year appeared
in the survey for the first time. As in the previous years, the fast pace in the development of information technologies (35%),
requirements for external as well as internal connections (29% and 21%) and threat of attack (31%) represent the factors
with the greatest influence, as assessed by the companies. Compared to the previous years, companies apparently
reassessed the importance of certain factors, thereby rearranging percentages. Compared to 2006, a reduction of 11%
and 10% resulted from pressure from the SR legislation and the EU, respectively.


                                                            Ochrana údajov*
                                                                                                                                                66 %
                                                            Data protection*

                                                                                                              35 %
                                                   Rýchly vývoj v oblasti IT
                                                                                                                               50 %
                                             Rapid pace of IT developments
                                                                                                                                   56 %
                                                              Hrozba útoku*
                                                                                                           31 %
                                                            Threat of attack*

                                                                                                         29 %
                            Prepájanie informacných systémov smerom von
                                                                                                                                  53 %
                                                  Connection of IS outside
                                                                                                                                   55 %
                                                                                                  21 %
                    Prepájanie informacných systémov vo vnútri organizácie
                                                                                                           32 %
                                       Connection of IS within organisation
                                                                                                               38 %
                                                                                                  21 %
                          Výsledky vykonaného auditu/odporúcaní audítorov
                                                                                                    23 %
                                    Audit results/Auditors' recommendations
                                                                                                   22 %
                                                                                           15 %
                                                       Legislatívny tlak v SR
                                                                                                     26 %
                                              Legislative pressure in the SR
                                                                                                      27 %
                                                                                     8%
                  Tlak/požiadavky zo strany investorov/akcionárov/vlastníkov
                                                                                      10 %
                         Investor/shareholder/Owner pressure/Requirements
                                                                                       12 %
                                                                                     7%
                              Požiadavky na mobilné spracovanie informácií
                                                                                           14 %
                                Mobile information processing requirements
                                                                                          13 %
                                               Splnenie obchodných cieľov*
                                                                                     7%
                                                   Business plan fulfilment*

                                                                                     7%
                                            E-business a/alebo e-commerce
                                                                                      9%
                                             E-business and/or E-commerce
                                                                                       11 %
             Riešenie informačnej bezpečnosti u porovnatelných organizácií*
                                                                                 5%
                                   Information security solutions from peers*

                                                                                 5%
                                                 Tlak/požiadavky zákazníkov
                                                                                      11 %
                                                Client pressure/requirements
                                                                                     8%
                                            Hrozba negatívnej medializácie*
                                                                                4%
                                         Threat of negative picture in media*

                                                                                4%
                                    Tlak/požiadavky obchodných partnerov
                                                                                           14 %
                                   Business partners pressure/requirements                                                                       2008
                                                                                          13 %
                                                Hrozba finančných sankcií*                                                                       2006
                                                                                3%
                                               Threat of financial sanctions*
                                                                                                                                                 2004
                                                                                2%
                 Platná aj pripravovaná legislatíva Európskej a Menovej Únie
                                                                                      10 %
              Valid or prepared EU and European Monetary Union legislation
                                                                                       12 %
                                                                                                       * možnosti prvý krát k dispozícii až v PSIB SR ´08
                                                                                   10 %                    ** možnosť v PSIB SR ´08 už nie je k dispozícii
                                                               Iné dôvody**
                                                                                                    * option appeared in the 2008 survey for the first time
                                                                                 6%
                                                            Other reasons**                             ** option is no longer available in the 2008 survey



              Graf 8: Okolnosti, ktoré majú najväčší vplyv na presadzovanie informačnej bezpečnosti
                                                                                                                                                              9
             Chart 8: Circumstances with most impact on information security implementation




                                                                                                                                           PSIB SR ´08
Pre jednu tretinu spoločností je pravidelná tvorba správ o informačnej bezpečnosti zabehnutá prax,
       avšak pre 20 % stále nepreskúmaná oblasť. 30 % spoločností vydáva správy podľa potreby.
       Zaujímavým bodom v tejto oblasti je informácia, že pätina spoločností nikdy túto správu nepripravila,
       a preto je otázne, akým spôsobom je informačná bezpečnosť u nich riadená.

       A third of companies stated that regular preparation of reports on information security is a common
       practice; however, for 20% it remains an unexplored area. 30% of companies issue reports when
       necessary. An interesting fact in this area is that a fifth of the companies have never prepared
       a report and it is therefore questionable how information security is managed in their organisations.




                                                                                                  20 %
                                                                                                  Nikdy
                                                  30 %                                            Never
                                                 Ad-hoc
                                                                                                                        4%
                                                 Ad-hoc
                                                                                                               Niekoľkokrát ročne
                                                                                                            More often that once a year



                                                                                                            30 %
                                          16 %                                                              Ročne
                                 Menej ako jedenkrát ročne                                                Once a year
                                  Less than once a year



                                            Graf 9: Ako často sa pripravuje správa o stave informačnej bezpečnosti
                                           Chart 9: How often is prepared reports on the state of information security




                    Podniky, ktoré správy o stave informačnej bezpečnosti tvoria, ich predkladajú najvyššiemu vedeniu vo viac ako
                    dvoch tretinách prípadov, čo potvrdzuje trend uvedomovania si dôležitosti IT pre podporu firemných procesov
                    a tým i rastúcu zainteresovanosť vrcholového vedenia. V 8 % prípadov si správu vyžaduje materská
                    spoločnosť a nie je výnimkou, ak sa správy dostanú do rúk viacero zainteresovaných príjemcov.

                    Companies that compile reports on the state of information security submit them to top management in more
                    than two thirds of cases, which is also confirmed by the trend of awareness of IT importance for the support
                    of corporate procedures and the related increasing involvement of top management. In 8% of cases, reports
                    are required by parent companies and it is quite usual for reports to end up on the desks of a number
                    of interested recipients.




                                                                            7%
                                                      Bezpečnostnému manažérovi/strednej úrovni riadenia
                                                            Security manager/Middle management
                                                                                             2%
                                                                     Bezpečnostnému špecialistovi (nemanažérska pozícia)
                                                                         Security specialist (non-managerial position)
                                                                                  8%
                                                                          Materskej spoločnosti
                                                                            Parent company
             70 %
                                                                        13 %
       Najvyššiemu vedeniu
        Top management                                            Viacerým príjemcom
                                                                   Several recipients



                       Graf 10: Komu sú správy o stave informačnej bezpečnosti určené?
                      Chart 10: Who are the reports on the state of information security prepared for?

 10

PSIB SR ´08
Najviac priestoru pre zlepšovanie úrovne informačnej bezpečnosti vidí skoro polovica respondentov v ešte
            väčšej podpore vrcholového vedenia, napriek výsledku z Grafu 10. Tato situácia by mohla naznačovať, že
            správy predkladané vedeniu nemajú praktický výsledok vo forme zlepšenia stavu informačnej bezpečnosti
            alebo sú tieto správy diplomaticky upravované. Ďalšími oblasťami, kde spoločnosti môžu upriamiť svoju
            pozornosť sú aj systémy prípravy pracovníkov a dostupnosť metodík a informácií o dokumentoch pre praktickú
            činnosť a legislatívu.

            Almost half of the respondents see the greatest scope for the improvement of information security as entailing
            more substantial support from top management, despite the results shown in Chart 10. This situation could
            indicate that the reports submitted to management do not have a practical result in the form of improving the
            state of information security, or they are diplomatically adjusted. Other areas which may also merit companies’
            attention include staff preparation systems and availability of methodologies and information on documents
            for purposeful activity and legislation.


                                                   Väčšia podpora vrcholového vedenia
                                                                                                                      48 %
                                                        Better top management support
      Dostupnosť metodík a informácií o dokumentoch, potrebných pre praktickú činnosť
                                                                                                          32 %
        Availability of methodologies and information on documents required for practice
                                Vyriešenie systému prípravy a vzdelávania pracovníkov
                                                                                                          31 %
                                Development of staff preparation and education system
                                    Legislatívna úprava oblasti informačnej bezpečnosti
                                                                                                   21 %
                                    Legal regulations in the area of information security
                                            Dostupné poradenské a konzultačné služby
                                                                                               16 %
                                            Available advisory and consultancy services
                        Zvýšenie počtu podujatí, ktoré sa touto problematikou zaoberajú
                                                                                            10 %
                                                  More events dealing with these issues


                                              Graf 11: Čo by pomohlo organizácii zvyšovať úroveň informačnej bezpečnosti?
                                             Chart 11: What would help increase the organisations' level of information security?




ORGANIZAČNÉ ZABEZPEČENIE
ORGANISATIONAL SECURITY

V tejto oblasti hovoria výsledky sami za seba. Iba 17 % spoločností má pracovníka, ktorý sa venuje informačnej
bezpečnosti ako hlavnej pracovnej náplni, pričom je stále bežná prax zlučovania funkcie informačnej bezpečnosti s IS/IT
oddelením. Prieskum vypovedal i o istej vzdialenosti informačnej bezpečnosti od biznis procesov spoločností. U 46 %
spoločností nie je informačná bezpečnosť a manažment rizík integrovaný. V prípade separátneho riešenia týchto dvoch
oblastí môže dochádzať k neadekvátnemu využitiu zdrojov firmy a nepokrytiu obchodných rizík, ktoré idú ruka v ruke
s rizikami bezpečnosti na úrovni informačných systémov.

In this area the results speak for themselves. Only 17% of companies employ a professional whose main responsibility
is information security. Merging the information security function with an IS/IT department remains a common practice.
The survey also disclosed a certain distance between information security and corporate business processes.
46% of companies lack integration of information security with risk management. Where there is a separate solution
to these two areas, corporate resources may be used inadequately and business risks inadequately covered,
which goes in tandem with IS security risks.

            Spoločnosti sú v tejto oblasti rozdvojené. Jedna polovica ide cestou aspoň čiastočnej integrácie, druhá manaž-
            ment rizík a informačnú bezpečnosť v praxi nespája. Spoločnosti s plnou integráciou týchto oblastí sú primárne
            z bankovej, finančnej a telekomunikačnej sféry, kde je badateľný legislatívny tlak. Bude zaujímavé sledovať vývoj
            v tejto oblasti do budúcna.

            Companies are split into two categories in this area. Half pursue at least partial integration, the other half go
            for risk management and do not link information security with anything within practice. Companies with full
            integration of these areas are primarily from the banking, finance and telecommunications sectors where
                                                                                                                                    11
            pressure from legislation is apparent. Monitoring future developments in this area will be of interest.



                                                                                                                         PSIB SR ´08
Oproti minulému prieskumu z roku 2006 sa v tejto oblasti veľa nezmenilo. U 17 % respondentov nie je jasne
                   definovaná zodpovednosť. 57 % podnikov zodpovednosť za riešenie informačnej bezpečnosti dáva manažérom
                   a viac ako jedna štvrtina spolieha na špecialistov mimo úrovní riadenia podniku. Trendom však ostáva, že
                   zodpovednosť sa presúva na úroveň vedenia divízie/odboru.

                   No significant changes occurred in this area compared to the 2006 survey. There is a lack of a clear definition
                   of responsibility for 17% of respondents. 57% of companies allot responsibility for information security solutions
                   to managers and more than a quarter rely on outsourced specialists. However, the ongoing trend is to shift
                   responsibility to the level of divisional/departmental management.


                                                                                   14 %
            Manažér – úroveň najvyššieho riadenia
                                                                                           17 %
                Manager – top management level


                                                                                                                     29 %
          Manažér – úroveň vedenia divízie/odboru
                                                                                                            25 %
           Manager – head of division/section level


                                                                                   14 %
                   Manažér – iná úroveň riadenia
                 Manager – other managerial level                                13 %

                                                                                                              26 %
               Špecialista – nemanažérska pozícia
               Specialist – non-managerial position                                                             27 %
                                                                                                                                    2008
                                                                                           17 %
       Nikto/nie je jasne definovaná zodpovednosť
       Nobody/responsibility is not clearly assigned                                         18 %                                   2006


                                         Graf 12: Kto je v organizácii zodpovedný za riešenie informačnej bezpečnosti?
                                        Chart 12: Who is responsible for information security solutions in your organisation?


       Z časového hľadiska je evidentný posun z nižších platových ohodnotení pracovníkov zodpovedných za informačnú
       bezpečnosť do vyšších. V roku 2008 je až 40 % pracovníkov v kategórii „25 tis. Sk – 40 tis. Sk” (829,88 – 1 327,79 €).
       Nárast o 8 % oproti roku 2006 (a až 19 % oproti 2004) zaznamenala skupina pracovníkov s platom od 55 tis. Sk do 70 tis.
       Sk (1 825,70 – 2 323,57 €), kde sa teraz nachádza približne jedna štvrtina všetkých zamestnancov zodpovedných za
       informačnú bezpečnosť.

       Over time, there is an evident shift from lower remuneration levels of employees responsible for information security
       to higher levels. In 2008, as many as 40% of employees were in the category “SKK 25 thousand – SKK 40 thousand”
       (€ 829.88 – 1,327.79). The group of employees with pay ranging from SKK 55 thousand to SKK 70 thousand
       (€ 1,825.70 – 2,323.57), witnessed an increase of 8% on 2006 (and up 19% on 2004); this group currently
       incorporates a quarter of all staff responsible for information security.


                                                               7%
                    Viac ako 70.000 Sk (2 323,57 €)
                                                             5%
                  More than SKK 70,000 (€ 2,323.57)
                                                       0%

                                                                                          23 %
         55.001 – 70.000 Sk (1 825,70 – 2 323,57 €)
                                                                            15 %
        SKK 55,001 – 70,000 (€ 1,825.70 – 2,323.57)
                                                            4%

                                                                         13 %
         40.001 – 55.000 Sk (1 327,79 – 1 825,70 €)
                                                                     10 %
        SKK 40,001 – 55,000 (€ 1,825.70 – 2,323.57)
                                                                                 18 %

                                                                                                                   40 %
          25.001 – 40.000 Sk (829,88 – 1 327,79 €)
                                                                                                          35 %
         SKK 25,001 – 40,000 (€ 829,88 – 1,327.79)
                                                                                                                 39 %
                                                                                                                                 2008
                                                                                17 %
                     Menej ako 25.000 Sk (829,88 €)
                                                                                                          35 %                   2006
                    Less than SKK 25,000 (€ 829,88)
                                                                                                                 39 %            2004


        Graf 13: Hrubé mesačné ohodnotenie pracovníkov v oblasti informačnej bezpečnosti
       Chart 13: Gross average monthly remuneration of employees responsible for information security
 12

PSIB SR ´08
Medzi stálice na poli chýbajúcich vlastností stále patria znalosti finančného riadenia, schopnosť efektívne
komunikovať s vedením organizácie a prezentačné a manažérske schopnosti. Znalosti cudzích jazykov pracovníkov
v oblasti informačnej bezpečnosti sa vylepšili, keďže už chýba iba v 14 % spoločností. Flexibilita a vecná znalosť
problematiky informačnej bezpečnosti je plne saturovaná vo všetkých spoločnostiach zúčastnených na prieskume,
čo je určite dobrá vizitka slovenských bezpečnostných pracovníkov.

Characteristics still missing include financial management skills, the ability to communicate with an organisation’s
management effectively, presentation skills and managerial skills. The foreign language skills of information security
staff have improved as only 14% are noted as lacking in the companies. Flexibility and understanding of information
security issues have been fully absorbed in all the companies participating in the survey, which is definitely a good
advert for Slovak information security staff.


                                                                                                                      32 %
                    Znalost finančného riadenia (rozpočtovanie)
                                                                                                            25 %
                       Financial management skills (budgeting)
                                                                                               17 %

                                                                                                      21 %
       Schopnosť efektívnej komunikácie s vedením organizácie
                                                                                                       22 %
            Ability to communicate with management effectively
                                                                                                          23 %

                                                                                                   18 %
                                        Prezentačné schopnosti
                                                                                        13 %
                                             Presentation skills
                                                                                     10 %

                                                                                                   18 %
                                        Manažérske schopnosti
                                                                                 9%
                                             Managerial skills
                                                                                        13 %

                                                                                            14 %
                                        Znalosť cudzieho jazyka
                                                                                                              26 %
                                         Foreign language skills
                                                                                                                        33 %

                                                                                            14 %
                                       Schopnosť riadit projekty
                                                                                 9%
                                          Project management
                                                                                     10 %

                                                                                            14 %
                                    Technologické znalosti IS/IT
                                                                          4%
                                            Technological skills
                                                                                     10 %

                                                                                      11 %
                                          Analytické schopnosti
                                                                           4%
                                                 Analytical skills
                                                                          3%

                                                                                7%
                        Vecná znalosť fungovania organizácie
                                                                     0%
                      Understanding of organisation's functions
                                                                          3%


                                                                     0%
           Vecná znalosť problematiky informačnej bezpečnosti
                                                                          4%
                  Understanding of information security issues
                                                                     0%

                                                                                                                     2008
                                                                     0%
         Flexibilita a konštruktívny prístup k riešeniu problémov                                                    2006
                                                                     0%
       Flexibility and constructive approach to solving problems
                                                                                7%                                   2004




 Graf 14: Najviac chýbajúce znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti
Chart 14: Most noticeably absent knowledge and skills of information security staff

                                                                                                                                      13

                                                                                                                               PSIB SR ´08
Ako najviac cenené znalosti a schopnosti určili respondenti prieskumu vecnú znalosť problematiky informačnej
       bezpečnosti, technologické znalosti IS/IT a flexibilitu a konštruktívny prístup k riešeniu problémov.
       Prepad oproti minulému prieskumu zaznamenala vecná znalosť fungovania organizácie, čo by naznačovalo presun priorít
       k technologicko-bezpečnostným aspektom od zaisťovania bezpečnosti obchodných procesov. To môže súvisieť aj so
       zriaďovaním alebo posilňovaním právomocí oddelení interných auditov, alebo s posunom riadenia informačnej
       bezpečnosti k útvarom IS/IT, ako naznačili odpovede na otázku zodpovednosti za informačnú bezpečnosť.

       The survey respondents stated that the most valued knowledge and skills were understanding of information security
       issues, IS/IT technological skills as well as flexibility and a constructive approach to problem-solving. Understanding
       of the organisation’s functions recorded a decrease on last year’s survey, which would indicate a shift in priorities
       from ensuring the security of business processes towards technological and security aspects. This may also relate
       to the establishing or strengthening of authority of the internal audit departments, or to a shift of information security
       management towards IS/IT units, as was indicated in the answers to the question relating to information security.




                                                                                                                                         75 %
                   Vecná znalosť problematiky informačnej bezpečnosti
                                                                                                                           57 %
                          Understanding of information security issues
                                                                                                                                            80 %

                                                                                                           36 %
                                             Technologické znalosti IS/IT
                                                                                                                  43 %
                                                     Technological skills
                                                                                                                         53 %

                                                                                                         32 %
                  Flexibilita a konštruktívny prístup k riešeniu problémov
                                                                                                           35 %
                Flexibility and constructive approach to solving problems
                                                                                                                40 %

                                                                                                         32 %
               Schopnosť efektívnej komunikácie s vedením organizácie
                                                                                          17 %
                    Ability to communicate with management effectively
                                                                                            20 %

                                                                                               21 %
                                                   Analytické schopnosti
                                                                                                        30 %
                                                          Analytical skills
                                                                                          17 %

                                                                                               21 %
                                                 Manažérske schopnosti
                                                                                                22 %
                                                      Managerial skills
                                                                                                 23 %

                                                                                           18 %
                                 Vecná znalosť fungovania organizácie
                                                                                                                  43 %
                               Understanding of organisation's functions
                                                                                                23 %

                                                                                           18 %
                                                 Prezentačné schopnosti
                                                                                        13 %
                                                      Presentation skills
                                                                                   7%

                                                                                        14 %
                                                 Znalosť cudzieho jazyka
                                                                              0%
                                                  Foreign language skills
                                                                                   7%

                                                                                   7%
                                                Schopnosť riadiť projekty
                                                                                                        30 %
                                                   Project management
                                                                                   7%

                                                                                                                                  2008
                                                                               4%
                            Znalosť finančného riadenia (rozpočtovanie)
                                                                               4%                                                 2006
                               Financial management skills (budgeting)
                                                                               3%                                                 2004



         Graf 15: Najviac cenené znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti
        Chart 15: Most valued knowledge and skills of information security staff

 14

PSIB SR ´08
Prevažujúcim riešením začlenenia útvaru informačnej bezpečnosti do organizačnej štruktúry spoločnosti je spojenie
           s existujúcim IS/IT oddelením v 64 % prípadov. Tak ako po minulé roky sa vynára otázka zlučovania právomocí
           a zvyšovania rizika konfliktov záujmov v týchto spoločnostiach. Ekonomický a finančný útvar už zostáva zodpovedný
           za informačnú bezpečnosť iba v 7 % spoločností, oproti 12 % v roku 2006. Špecializovaný útvar bezpečnosti má
           iba 5 % firiem, čo sa v kontexte veľkosti spoločností zúčastnených v prieskume (28 % spoločností s počtom
           zamestnancov viac ako 500) javí ako nízke číslo.

           The leading solution to incorporating an information security unit within a company’s organisational structure is
           to link it in with the existing IS/IT department in 64% of cases. As in the previous years, there is an issue relating
           to the merging of duties and an increasing risk of conflict of interest in these companies. Economic and finance
           units remain responsible for information security in only 7% of companies, compared to 12% in 2006.
           A specialised security unit is to be found in only 5% of companies, which, in the terms of the size of the
           companies participating in the survey (28% of companies with a number of employees exceeding 500) seems
           to be a rather low number.



                                                       7%
                                    Iný útvar
                                                            12 %
                            Other department
                                                            12 %
                                                  2%
         Útvar vnútorných/centrálnych služieb
                                                 1%
         Internal/Central services department
                                                 1%
                                                       7%
            Ekonomický alebo finančný útvar
                                                            12 %
           Economic or Financial department
                                                                16 %
                                                   4%
          Útvar kontroly, revízie alebo auditu
                                                  3%
         Control, Review or Audit department
                                                 2%
                                                                                                                       64 %
                                   Útvar IS/IT
                                                                                                              57 %
                             IS/IT department
                                                                                                          53 %
                                                   5%
                          Útvar bezpečnosti
                                                   5%
                         Security department
                                                   5%                                                                     2008
                                                         11 %
                                Žiadny útvar                                                                              2006
                                                        10 %
                              No department
                                                         11 %                                                             2004

 Graf 16: Útvar zodpovedný za informačnú bezpečnosť
Chart 16: Unit responsible for information security




BEZPEČNOSTNÁ POLITIKA A ŠTANDARDY
SECURITY POLICY AND STANDARDS

V roku 2008 sa nepotvrdil trend z roku 2006 a podiel podnikov s formálne definovanou bezpečnostnou politikou klesol na
65 %. V porovnaní s Českou republikou a prieskumom z roku 2007 sú slovenské podniky o 12 % napred. Absencia takejto
formálne definovanej politiky sa môže následne prejaviť na chýbajúcich alebo zlých metrikách vlastného sebahodnotenia
kvality informačnej bezpečnosti, ktoré je tým pádom nevyhnutné brať s rezervou. Kvalitne spracovaná a zadefinovaná
bezpečnostná politika je základným stavebným kameňom konzistentnosti, efektívnosti a kvality riešenia informačnej
bezpečnosti.

In 2008, the trend identified in 2006 was not confirmed and the ratio of companies with a formally documented security
policy reduced to 65%. Compared to the 2007 survey in Czech Republic, Slovak companies are in the lead by 12%.
The lack of a formally documented policy may in turn result in missing or improper measurements of self-assessment
of information security quality, which in this case must thus be taken less seriously. A properly developed and defined
security policy is the cornerstone of information security consistency, effectiveness and quality.

                                                                                                                                    15

                                                                                                                        PSIB SR ´08
65 %
                                     Áno
                                                                                                             70 %
                                     Yes
                                                                                                 58 %
                                                                                                                                           2008
                                                                               35 %
                                     Nie
                                                                            30 %                                                           2006
                                     No
                                                                                      42 %                                                 2004


               Graf 17: Má organizácia vo forme dokumentu formálne definovanú a najvyšším vedením prijatú bezpečnostnú politiku?
              Chart 17: Does the organisation have a security policy in place, which would be formally documented
                        and accepted by the top management?



                           Oproti minulým rokom sa objem firemných bezpečnostných politík významne nezmenil. Skoro 60 % spoločností
                           preferuje stredne rozsiahlu bezpečnostnú politiku. Zmenu na takúto cestu definovania politiky volili aj niektoré
                           firmy doteraz presadzujúce voľnejšiu a nie tak obšírnu variantu, ktorá je iba deklarovaním hodnôt a cieľov.

                           Compared to last year, the volume of corporate security policies has not changed significantly.
                           Almost 60% of companies prefer a medium-sized security policy. Certain companies which had previously
                           promoted a looser and less extensive variant, which only declares their values and objectives, have also
                           changed the method of promoting their policy to a medium one.



                                                                                                                    18 %
                                Rozsiahla (niekoľko desiatok strán, detailný opis všetkých oblastí)
                                 Extensive (more than 20 pages, detailed description of all areas)
                                                                                                                    17 %

                                                                                                                                          59 %
         Stredná (cca do 20 strán, podrobnejší opis požiadaviek a organizačného zabezpečenia)
  Medium (approx. up to 20 pages, detailed description of requirements and security organisation)                                        57 %

                                                                                                                       23 %
                                              Stručná (cca do 3 strán, skôr deklaratívny charakter)
                                   Brief (approx. up to 3 pages, somewhat declarational in nature)                       26 %


               Graf 18: Charakteristika rozsahu bezpečnostnej politiky.                                                                    2008
              Chart 18: Characteristics of security policy scope                                                                           2006




             Drvivá väčšina respondentov poskytla pozitívnu odpoveď, približne tretina má pre oblasť ochrany osobných údajov
             v bezpečnostnej politike vyhradený najväčší priestor. Skoro by to vyzeralo, akoby bezpečnostná politika niekedy vznikala
             ako dôsledok zákona na ochranu osobných údajov. Iba 6 % respondentov priznalo, že sa v rámci svojej bezpečnostnej
             politiky úprave ochrany osobných údajov vôbec nevenuje.

             The overwhelming majority of respondents responded positively; a third have reserved the largest scope for issues
             relating to personal data protection. At times, security policy seems almost to be originating as a consequence of the Act
             on Personal Data Protection. Only 6% of respondents claimed that they pay no attention to personal data protection in
             their security policies.




                                                                                                      31 %
                     Áno, je to najväčšia časť bezpečnostnej politiky
                       Yes, it is the major part of our security policy
                                                                                                             39 %

                                                                                                                                  63 %
                       Áno, je to jedna z častí bezpečnostnej politiky
                                 Yes, it is a part of our security policy                                                  55 %

                                                                                6%
                                                                     Nie                                                                    2008
                                                                     No         6%
                                                                                                                                            2006


               Graf 19: Pokrýva bezpečnostná politika oblasť ochrany osobných údajov v zmysle zákona o ochrane osobných údajov?

 16
              Chart 19: Does security policy also cover the area of personal data protection, as per the Act on Personal Data Protection?




PSIB SR ´08
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (9)

PréSentation1
PréSentation1PréSentation1
PréSentation1
 
Marcybrafman
MarcybrafmanMarcybrafman
Marcybrafman
 
E L Terror De La Jungla
E L Terror De La JunglaE L Terror De La Jungla
E L Terror De La Jungla
 
Niamh lucey
Niamh luceyNiamh lucey
Niamh lucey
 
Customer Service
Customer ServiceCustomer Service
Customer Service
 
Indiana
IndianaIndiana
Indiana
 
Boots Logo
Boots LogoBoots Logo
Boots Logo
 
Agenda 23 24 Ene 09
Agenda 23 24 Ene 09Agenda 23 24 Ene 09
Agenda 23 24 Ene 09
 
Wisconsin
WisconsinWisconsin
Wisconsin
 

Ähnlich wie Information Security Survey in Slovak Republic 2008

Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007Rastislav Turek
 
State of Security Operations 2016
State of Security Operations 2016State of Security Operations 2016
State of Security Operations 2016Tim Grieveson
 
Cybersecurity: Perceptions & Practices
Cybersecurity: Perceptions & PracticesCybersecurity: Perceptions & Practices
Cybersecurity: Perceptions & PracticesJoseph DeFever
 
How close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe SecurityHow close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe SecurityRahul Tyagi
 
State of Security McAfee Study
State of Security McAfee StudyState of Security McAfee Study
State of Security McAfee StudyHiten Sethi
 
2013-ISC2-Global-Information-Security-Workforce-Study
2013-ISC2-Global-Information-Security-Workforce-Study2013-ISC2-Global-Information-Security-Workforce-Study
2013-ISC2-Global-Information-Security-Workforce-StudyTam Nguyen
 
Prof m01-2013 global information security workforce study - final
Prof m01-2013 global information security workforce study - finalProf m01-2013 global information security workforce study - final
Prof m01-2013 global information security workforce study - finalSelectedPresentations
 
2014 Secure Mobility Survey Report
2014 Secure Mobility Survey Report2014 Secure Mobility Survey Report
2014 Secure Mobility Survey ReportDImension Data
 
Securing the Digital Future
Securing the Digital FutureSecuring the Digital Future
Securing the Digital FutureCognizant
 
Deloitte Global Security Survey 2009
Deloitte Global Security Survey 2009Deloitte Global Security Survey 2009
Deloitte Global Security Survey 2009edcervantes
 
Enterprise Strategy Group: The Big Data Security Analytics Era is Here
Enterprise Strategy Group: The Big Data Security Analytics Era is HereEnterprise Strategy Group: The Big Data Security Analytics Era is Here
Enterprise Strategy Group: The Big Data Security Analytics Era is HereEMC
 
Assessing and Managing IT Security Risks
Assessing and Managing IT Security RisksAssessing and Managing IT Security Risks
Assessing and Managing IT Security RisksChris Ross
 
Meraj Ahmad - Information security in a borderless world
Meraj Ahmad - Information security in a borderless worldMeraj Ahmad - Information security in a borderless world
Meraj Ahmad - Information security in a borderless worldnooralmousa
 
The 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global InformationThe 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global Informationjtfoster
 
Evolving State of the Endpoint Webinar
Evolving State of the Endpoint WebinarEvolving State of the Endpoint Webinar
Evolving State of the Endpoint WebinarLumension
 
managed-security-for-a-not-so-secure-world-wp090991
managed-security-for-a-not-so-secure-world-wp090991managed-security-for-a-not-so-secure-world-wp090991
managed-security-for-a-not-so-secure-world-wp090991Jim Romeo
 
Transforming Information Security: Designing a State-of-the-Art Extended Team
Transforming Information Security: Designing a State-of-the-Art Extended TeamTransforming Information Security: Designing a State-of-the-Art Extended Team
Transforming Information Security: Designing a State-of-the-Art Extended TeamEMC
 
Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)PwC France
 
Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)Paperjam_redaction
 

Ähnlich wie Information Security Survey in Slovak Republic 2008 (20)

Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007Information Security Survey in Czech Republic 2007
Information Security Survey in Czech Republic 2007
 
State of Security Operations 2016
State of Security Operations 2016State of Security Operations 2016
State of Security Operations 2016
 
Cybersecurity: Perceptions & Practices
Cybersecurity: Perceptions & PracticesCybersecurity: Perceptions & Practices
Cybersecurity: Perceptions & Practices
 
How close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe SecurityHow close is your organization to being breached | Safe Security
How close is your organization to being breached | Safe Security
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EY
 
State of Security McAfee Study
State of Security McAfee StudyState of Security McAfee Study
State of Security McAfee Study
 
2013-ISC2-Global-Information-Security-Workforce-Study
2013-ISC2-Global-Information-Security-Workforce-Study2013-ISC2-Global-Information-Security-Workforce-Study
2013-ISC2-Global-Information-Security-Workforce-Study
 
Prof m01-2013 global information security workforce study - final
Prof m01-2013 global information security workforce study - finalProf m01-2013 global information security workforce study - final
Prof m01-2013 global information security workforce study - final
 
2014 Secure Mobility Survey Report
2014 Secure Mobility Survey Report2014 Secure Mobility Survey Report
2014 Secure Mobility Survey Report
 
Securing the Digital Future
Securing the Digital FutureSecuring the Digital Future
Securing the Digital Future
 
Deloitte Global Security Survey 2009
Deloitte Global Security Survey 2009Deloitte Global Security Survey 2009
Deloitte Global Security Survey 2009
 
Enterprise Strategy Group: The Big Data Security Analytics Era is Here
Enterprise Strategy Group: The Big Data Security Analytics Era is HereEnterprise Strategy Group: The Big Data Security Analytics Era is Here
Enterprise Strategy Group: The Big Data Security Analytics Era is Here
 
Assessing and Managing IT Security Risks
Assessing and Managing IT Security RisksAssessing and Managing IT Security Risks
Assessing and Managing IT Security Risks
 
Meraj Ahmad - Information security in a borderless world
Meraj Ahmad - Information security in a borderless worldMeraj Ahmad - Information security in a borderless world
Meraj Ahmad - Information security in a borderless world
 
The 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global InformationThe 2011 (ISC)2 Global Information
The 2011 (ISC)2 Global Information
 
Evolving State of the Endpoint Webinar
Evolving State of the Endpoint WebinarEvolving State of the Endpoint Webinar
Evolving State of the Endpoint Webinar
 
managed-security-for-a-not-so-secure-world-wp090991
managed-security-for-a-not-so-secure-world-wp090991managed-security-for-a-not-so-secure-world-wp090991
managed-security-for-a-not-so-secure-world-wp090991
 
Transforming Information Security: Designing a State-of-the-Art Extended Team
Transforming Information Security: Designing a State-of-the-Art Extended TeamTransforming Information Security: Designing a State-of-the-Art Extended Team
Transforming Information Security: Designing a State-of-the-Art Extended Team
 
Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)
 
Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)Étude mondiale d'EY sur la cybersécurité (2018)
Étude mondiale d'EY sur la cybersécurité (2018)
 

Mehr von Rastislav Turek

Sociálne siete a bezpečnosť
Sociálne siete a bezpečnosťSociálne siete a bezpečnosť
Sociálne siete a bezpečnosťRastislav Turek
 
Socialne siete: navod pre deti
Socialne siete: navod pre detiSocialne siete: navod pre deti
Socialne siete: navod pre detiRastislav Turek
 
Dodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciDodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciRastislav Turek
 
Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Rastislav Turek
 
Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Rastislav Turek
 
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skKritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skRastislav Turek
 
SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0Rastislav Turek
 
Cílené útoky na klienty banky
Cílené útoky na klienty bankyCílené útoky na klienty banky
Cílené útoky na klienty bankyRastislav Turek
 
Slovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoruSlovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoruRastislav Turek
 
Rodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRastislav Turek
 
Vraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláVraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláRastislav Turek
 
Pravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímPravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímRastislav Turek
 

Mehr von Rastislav Turek (17)

Sociálne siete a bezpečnosť
Sociálne siete a bezpečnosťSociálne siete a bezpečnosť
Sociálne siete a bezpečnosť
 
Socialne siete: navod pre deti
Socialne siete: navod pre detiSocialne siete: navod pre deti
Socialne siete: navod pre deti
 
Dodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraciDodatok k zmluve o spolupraci
Dodatok k zmluve o spolupraci
 
Zmluva o spolupraci
Zmluva o spolupraciZmluva o spolupraci
Zmluva o spolupraci
 
Credit Card Frauds
Credit Card FraudsCredit Card Frauds
Credit Card Frauds
 
Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008Výročná správa SK-NIC, a.s. za rok 2008
Výročná správa SK-NIC, a.s. za rok 2008
 
Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007Výročná správa SK-NIC, a.s. za rok 2007
Výročná správa SK-NIC, a.s. za rok 2007
 
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne skKritika pravidiel poskytovania menného priestoru v internetovej doméne sk
Kritika pravidiel poskytovania menného priestoru v internetovej doméne sk
 
SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0SYNOPSI Boyfriend Audit 2.0
SYNOPSI Boyfriend Audit 2.0
 
Cílené útoky na klienty banky
Cílené útoky na klienty bankyCílené útoky na klienty banky
Cílené útoky na klienty banky
 
Slovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoruSlovenské deti a riziká virtuálneho priestoru
Slovenské deti a riziká virtuálneho priestoru
 
Rodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows VistaRodičovská kontrola vo Windows Vista
Rodičovská kontrola vo Windows Vista
 
Vraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidláVraj rodinách chýbajú pravidlá
Vraj rodinách chýbajú pravidlá
 
Pravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosímPravá zdravá strava alebo Jeden Vifon, prosím
Pravá zdravá strava alebo Jeden Vifon, prosím
 
OWASP Testing Guide v3
OWASP Testing Guide v3OWASP Testing Guide v3
OWASP Testing Guide v3
 
Practical Web Attacks
Practical Web AttacksPractical Web Attacks
Practical Web Attacks
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcamp
 

Kürzlich hochgeladen

Artificial Intelligence & SEO Trends for 2024
Artificial Intelligence & SEO Trends for 2024Artificial Intelligence & SEO Trends for 2024
Artificial Intelligence & SEO Trends for 2024D Cloud Solutions
 
Machine Learning Model Validation (Aijun Zhang 2024).pdf
Machine Learning Model Validation (Aijun Zhang 2024).pdfMachine Learning Model Validation (Aijun Zhang 2024).pdf
Machine Learning Model Validation (Aijun Zhang 2024).pdfAijun Zhang
 
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfJamie (Taka) Wang
 
IaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdf
IaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdfIaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdf
IaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdfDaniel Santiago Silva Capera
 
Building AI-Driven Apps Using Semantic Kernel.pptx
Building AI-Driven Apps Using Semantic Kernel.pptxBuilding AI-Driven Apps Using Semantic Kernel.pptx
Building AI-Driven Apps Using Semantic Kernel.pptxUdaiappa Ramachandran
 
Empowering Africa's Next Generation: The AI Leadership Blueprint
Empowering Africa's Next Generation: The AI Leadership BlueprintEmpowering Africa's Next Generation: The AI Leadership Blueprint
Empowering Africa's Next Generation: The AI Leadership BlueprintMahmoud Rabie
 
UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6DianaGray10
 
Cybersecurity Workshop #1.pptx
Cybersecurity Workshop #1.pptxCybersecurity Workshop #1.pptx
Cybersecurity Workshop #1.pptxGDSC PJATK
 
Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )Brian Pichman
 
ADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDE
ADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDEADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDE
ADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDELiveplex
 
Comparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and IstioComparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and IstioChristian Posta
 
UiPath Studio Web workshop series - Day 8
UiPath Studio Web workshop series - Day 8UiPath Studio Web workshop series - Day 8
UiPath Studio Web workshop series - Day 8DianaGray10
 
AI Fame Rush Review – Virtual Influencer Creation In Just Minutes
AI Fame Rush Review – Virtual Influencer Creation In Just MinutesAI Fame Rush Review – Virtual Influencer Creation In Just Minutes
AI Fame Rush Review – Virtual Influencer Creation In Just MinutesMd Hossain Ali
 
20230202 - Introduction to tis-py
20230202 - Introduction to tis-py20230202 - Introduction to tis-py
20230202 - Introduction to tis-pyJamie (Taka) Wang
 
9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding Team9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding TeamAdam Moalla
 
Videogame localization & technology_ how to enhance the power of translation.pdf
Videogame localization & technology_ how to enhance the power of translation.pdfVideogame localization & technology_ how to enhance the power of translation.pdf
Videogame localization & technology_ how to enhance the power of translation.pdfinfogdgmi
 
COMPUTER 10: Lesson 7 - File Storage and Online Collaboration
COMPUTER 10: Lesson 7 - File Storage and Online CollaborationCOMPUTER 10: Lesson 7 - File Storage and Online Collaboration
COMPUTER 10: Lesson 7 - File Storage and Online Collaborationbruanjhuli
 
UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...
UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...
UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...UbiTrack UK
 
OpenShift Commons Paris - Choose Your Own Observability Adventure
OpenShift Commons Paris - Choose Your Own Observability AdventureOpenShift Commons Paris - Choose Your Own Observability Adventure
OpenShift Commons Paris - Choose Your Own Observability AdventureEric D. Schabell
 
Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...
Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...
Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...DianaGray10
 

Kürzlich hochgeladen (20)

Artificial Intelligence & SEO Trends for 2024
Artificial Intelligence & SEO Trends for 2024Artificial Intelligence & SEO Trends for 2024
Artificial Intelligence & SEO Trends for 2024
 
Machine Learning Model Validation (Aijun Zhang 2024).pdf
Machine Learning Model Validation (Aijun Zhang 2024).pdfMachine Learning Model Validation (Aijun Zhang 2024).pdf
Machine Learning Model Validation (Aijun Zhang 2024).pdf
 
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
activity_diagram_combine_v4_20190827.pdfactivity_diagram_combine_v4_20190827.pdf
 
IaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdf
IaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdfIaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdf
IaC & GitOps in a Nutshell - a FridayInANuthshell Episode.pdf
 
Building AI-Driven Apps Using Semantic Kernel.pptx
Building AI-Driven Apps Using Semantic Kernel.pptxBuilding AI-Driven Apps Using Semantic Kernel.pptx
Building AI-Driven Apps Using Semantic Kernel.pptx
 
Empowering Africa's Next Generation: The AI Leadership Blueprint
Empowering Africa's Next Generation: The AI Leadership BlueprintEmpowering Africa's Next Generation: The AI Leadership Blueprint
Empowering Africa's Next Generation: The AI Leadership Blueprint
 
UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6UiPath Studio Web workshop series - Day 6
UiPath Studio Web workshop series - Day 6
 
Cybersecurity Workshop #1.pptx
Cybersecurity Workshop #1.pptxCybersecurity Workshop #1.pptx
Cybersecurity Workshop #1.pptx
 
Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )Building Your Own AI Instance (TBLC AI )
Building Your Own AI Instance (TBLC AI )
 
ADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDE
ADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDEADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDE
ADOPTING WEB 3 FOR YOUR BUSINESS: A STEP-BY-STEP GUIDE
 
Comparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and IstioComparing Sidecar-less Service Mesh from Cilium and Istio
Comparing Sidecar-less Service Mesh from Cilium and Istio
 
UiPath Studio Web workshop series - Day 8
UiPath Studio Web workshop series - Day 8UiPath Studio Web workshop series - Day 8
UiPath Studio Web workshop series - Day 8
 
AI Fame Rush Review – Virtual Influencer Creation In Just Minutes
AI Fame Rush Review – Virtual Influencer Creation In Just MinutesAI Fame Rush Review – Virtual Influencer Creation In Just Minutes
AI Fame Rush Review – Virtual Influencer Creation In Just Minutes
 
20230202 - Introduction to tis-py
20230202 - Introduction to tis-py20230202 - Introduction to tis-py
20230202 - Introduction to tis-py
 
9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding Team9 Steps For Building Winning Founding Team
9 Steps For Building Winning Founding Team
 
Videogame localization & technology_ how to enhance the power of translation.pdf
Videogame localization & technology_ how to enhance the power of translation.pdfVideogame localization & technology_ how to enhance the power of translation.pdf
Videogame localization & technology_ how to enhance the power of translation.pdf
 
COMPUTER 10: Lesson 7 - File Storage and Online Collaboration
COMPUTER 10: Lesson 7 - File Storage and Online CollaborationCOMPUTER 10: Lesson 7 - File Storage and Online Collaboration
COMPUTER 10: Lesson 7 - File Storage and Online Collaboration
 
UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...
UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...
UWB Technology for Enhanced Indoor and Outdoor Positioning in Physiological M...
 
OpenShift Commons Paris - Choose Your Own Observability Adventure
OpenShift Commons Paris - Choose Your Own Observability AdventureOpenShift Commons Paris - Choose Your Own Observability Adventure
OpenShift Commons Paris - Choose Your Own Observability Adventure
 
Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...
Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...
Connector Corner: Extending LLM automation use cases with UiPath GenAI connec...
 

Information Security Survey in Slovak Republic 2008

  • 1. PSIB SR ´08 ® Prieskum stavu informaènej bezpeènosti v SR 2008 Information Security Survey in Slovak Republic 2008
  • 3. PRIESKUM STAVU INFORMAČNEJ BEZPEČNOSTI V SR 2008 INFORMATION SECURITY SURVEY IN SLOVAK REPUBLIC 2008 Tretíročník Prieskumu stavu informačnej bezpečnosti v Slovenskej republike je tu a môžeme opäť porovnávať a hodnotiť, po akých cestách sa vydala informačná bezpečnosť od posledného prieskumu z roku 2006. Vďaka tomu, že máme navyše i možnosť porovnať naše výsledky s výsledkami PSIB ČR ´07, môžeme si urobiť aspoň rámcovú predstavu o pripravenosti a vývoji informačnej bezpečnosti, na v súčasnosti už naozaj európsky previazanom teritóriu so všetkými rizikami, hrozbami i možnosťami, ktoré táto integrácia prináša. We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least a basic idea of preparedness and information security development across the whole territory of the EU, with all the risks, threats and possibilities which this integration brings with it. Po preštudovaní výsledkov prieskumu a komentárov autorov k jednotlivým bodom môže čitateľ získať dojem, že počas obrovského technologického boomu a vývoja celej spoločnosti sa základné hrozby, a z nich plynúce riziká v našom priestore a čase, významne nemenia. To by mohlo naznačovať i možné dôvody, prečo pätina spoločností z prieskumu doposiaľ neuskutočnila analýzu rizík a väčšina respondentov nemá zriadenú ani pracovnú funkciu, ktorá by sa zaoberala prioritne informačnou bezpečnosťou. Ponúka sa aj jedno aktuálne vysvetlenie, a to, že súčasná príprava prechodu na Euro v informačných systémoch spoločností absolútne zatienila ostatné interné projekty. After studying the survey results and the authors’ comments on individual points, the reader may get the impression that the basic threats and resulting risks have not currently altered here at all, despite the high-tech boom and the society-wide development. This could also indicate possible reasons why a fifth of the companies taking part in the survey have still not performed a risk analysis and why most of the respondents do not have a work-role in place with a preferential focus on information security. However, a plausible explanation for this is that the current preparation for Euro-conversion in corporate information systems has wholly overshadowed other internal projects. Dnes, v dobe tak dynamickej a rýchlej, že niektoré spoločnosti zmiznú z trhu skôr ako stačia vôbec identifikovať svoje hrozby pre informačnú bezpečnosť, je teda dobre, že existujú aspoň základné pravidlá a uznávané praktiky v oblasti bezpečnosti, ktorými sa tí ostatní môžu riadiť a ktoré udávajú smer na ceste za lepšou a kvalitnejšou bezpečnosťou v rámci finančne možného. Kvalitné riadenie informačnej bezpečnosti v praxi vždy narazí na nečakanú prekážku, ako môžeme v poslednej dobe vidieť na príklade úniku informácií od významných a dobre zabezpečených spoločností, od ktorých by sa to neočakávalo. Today, in the dynamic and fast-changing times where some companies vanish from the market before they even have a chance to identify their information security threats, it is good that there are at least basic security rules and accepted practices which others can follow and point the way towards improved and higher quality security, always respecting the financial considerations. In practice, high-quality information security management always encounters an unexpected obstacle, which we could recently have seen in the example of information outflow from leading and prosperous companies, which was a surprise to everybody. Ak je najvýznamnejšie udávaným dôvodom zlepšovanie informačnej bezpečnosti potreba ochrany osobných a obchodných údajov, presúvame sa ďalej do roviny, kde použité informačné technológie umožňujú túto ochranu tak, ako to bolo pôvodne zamýšľané. Zodpovední pracovníci majú síce jednoznačnejší cieľ, ale na druhej strane stále ťažšiu pozíciu pre zdôvodnenie výšky investícii do týchto technológii. Tejto situácii nahrávajú i prieskumom naznačené očakávania manažérov IT, že pracovníci bezpečnosti vhodne skĺbia znalosti informačnej bezpečnosti s efektívnou komunikáciou s vrcholovým vedením. Consequently, if the reason cited as the most significant for improving information security is the need for personal and business data protection, we move on to those companies where applied information technologies solely play the role of an enabler of the above protection as it was initially intended. The responsible employees now have a clearer objective but, on the other hand, it is seldom easy for them to substantiate the extent of investments in these technologies. This situation is also supported by the expectations of IT managers, as indicated in the survey, that the security staff bring information security expertise appropriately into accord with effective communication with the top management. Partneri tohtoročného prieskumu: Ernst & Young, Národný bezpečnostný úrad SR, časopis DSM – Data Security Management a TATE International Slovakia veria, že čitatelia a používatelia výsledkov tohtoročného prieskumu budú mať čas sa na svojej ceste k ideálnemu stavu informačnej bezpečnosti zastaviť, obzrieť sa a vybrať si z prieskumu to zaujímavé a potrebné k tomu, aby našli svoj cieľ. The partners in this year’s survey – Ernst & Young, the National Security Authority SR, the magazine DSM – Data Security Management and TATE International Slovakia – believe that the readers and users of this survey’s results will have time 1 to stop, look back and choose from the survey interesting and necessary information in order to identify their objectives in heading towards the ideal state of information security. PSIB SR ´08
  • 4. HLAVNÉ ZISTENIA V roku 2008 prikladá informačnej bezpečnosti význam 92 % opýtaných spoločností na Slovensku, no napriek tomu 18 % z nich hodnotí svoj stav informačnej bezpečnosti stále ako nízky alebo nedostatočný. Ako najviac motivujúce faktory pre investície do informačnej bezpečnosti spoločnosti označujú bezpečnosť a ochranu údajov, rýchly vývoj v oblasti IT a hrozbu útoku. 83 % spoločností nemá zamestnaného žiadneho špecialistu zaoberajúceho sa prioritne informačnou bezpečnosťou. Pracovníci, ktorí aktívne pôsobia v oblasti informačnej bezpečnosti, v priemere zarábajú okolo 43.000 Sk (1 427,34 €), čo je oproti minulému prieskumu z roku 2006 výrazný nárast. Spoločnosti si najviac u svojich bezpečnostných pracovníkov cenia vecné znalosti problematiky, IT technológií a flexibilitu, a naopak im najviac chýba znalosť finančného riadenia a schopnosť efektívnej komunikácie s vedením. Bežnou praxou v spoločnostiach je integrácia informačnej bezpečnosti pod IS/IT oddelenia. Priemerný rozpočet na bezpečnostné záležitosti tvoria firmy iba v 18 % prípadov a to väčšinou vo veľkosti 10 % z celkového rozpočtu na IS/IT. Iba slabá tretina spoločností následne kalkuluje návratnosť investícií do informačnej bezpečnosti. 65 % spoločností má vytvorené bezpečnostné politiky a tieto sú v 43 % pravidelne prepracovávané a aktualizované. Pribúda politík stredného rozsahu, ktoré spoločnosti preferujú pred obšírnejšími aj tými najstručnejšími. Majorita spoločností stále spolieha na interné štandardy alebo tie prevzaté od materských spoločností. Medzi najvýznamnejšie identifikované hrozby stále patria výpadky prúdu, SPAM a porucha hardvérového vybavenia. Oproti roku 2006 problematika počítačových vírusov ustupuje do pozadia. Najväčšími výzvami posledného obdobia sú pre spoločnosti participujúce na prieskume prechod na Euro a implementácia nových operačných systémov. Až 34 % spoločností nemá vypracovaný systém monitorovania bezpečnostných incidentov a viac ako štvrtina nedisponuje žiadnymi formálnymi postupmi v tejto oblasti. Rastie podiel podnikov, ktoré majú vypracované a pripravené plány obnovy funkčnosti, ktoré majorita z nich pravidelne aktualizuje a testuje. Hlavnými prioritami na riešenie v oblasti informačnej bezpečnosti sa stávajú už identifikované, známe problémy firiem. Vývoj nových riešení v oblasti IT už nie je významnou prioritou, a rovnako sa menší dôraz prikladá na analýzy a výsledky auditov, prípadne odporúčania dodávateľov. Skoro 20 % podnikov ešte nikdy nevykonalo analýzu rizík informačného systému. Tretina podnikov rieši informačnú bezpečnosť vo vlastnej réžii, dve tretiny volia externých dodávateľov riešení. Iba zanedbateľné percento túto oblasť nerieši vôbec. Oproti roku 2006 klesol podiel spoločností, ktoré dokážu a môžu využívať elektronický podpis z jednej tretiny na jednu štvrtinu. Taký istý počet jeho zavedenie vôbec neplánuje. Nedostatok aplikácií podporujúcich elektronický podpis a zriedkavá akceptácia zo strany štátu sú hlavné prekážky pre jeho zavádzanie do praxe. Rýchlejšiemu rozvoju informačnej bezpečnosti bránia nízke povedomie o bezpečnosti a finančná náročnosť. Lídrami v oblasti informačnej bezpečnosti stále zostávajú banky a finančné inštitúcie spolu s IT spoločnosťami, ktoré dosahujú nadpriemerné výsledky. 2 PSIB SR ´08
  • 5. THE MAIN FINDINGS In 2008, 92% of Slovak companies taking part in the survey asserted that information security was important, whereas 18% of them still assessed their state of information security as poor or inadequate. Data security, data protection, the rapid pace of developments in IT and concerns about attacks were cited by companies as the factors most motivating them to invest in information security. 83% of companies do not employ a specialist whose priority role is to focus on information security. Employees who are actively engaged in information security earn on average around SKK 43,000 (€ 1,427.34), which is a substantial increase on the previous survey carried out in 2006. What the companies value most with regard to their information security staff includes understanding of related issues, IT technologies and their flexibility. On the other hand, they lack expertise in financial management and the ability to communicate effectively with the management. It is common practice to integrate information security within IS/IT departments. Only in 18% of cases do companies plan an average budget for security issues; predominantly, this represents 10% of the overall budget for IS/IT. Only a poor third of companies then calculates any return on their investment in information security. 65% of companies have security policies in place, which in 43% of cases are regularly redesigned and updated. More and more companies implement policies of intermediate extent, in preference to both long-term and short-term policies. Most companies are subject to their own internal standards or to those of their parent companies. The major identified threats are seen to be those posed by power outage, SPAM or hardware malfunction. Compared to 2006, issues relating to computer viruses have begun to reduce in severity. The greatest challenges recently faced by the respondent companies are Euro-conversion and the implementation of new operating systems. Up to 34% of companies have no system in place for monitoring security incidents and more than a quarter have no appropriate formal procedures in place. There is a growing number of companies that have drawn up and prepared Disaster Recovery Plans and the majority of them update and test them on a regular basis. The main priorities for information security are solving problems which companies have already identified. The development of new IT solutions is no longer a significant priority and, similarly, reduced emphasis is placed on analyses and findings of audits or recommendations of suppliers. Almost 20% of companies have never performed an IS risk analysis. A third of companies resolve their information security issues at their own expense and two-thirds turn to external suppliers for their solutions. An insignificant percentage has no dealings in this area at all. Compared to 2006, the share of companies who are able to and permitted to use an electronic signature dropped from a third to a quarter. The same number has no plan to introduce electronic signatures at all. The lack of applications supporting electronic signatures and its random acceptance by the state represent the main obstacles to its introduction into practice. A faster pace for the development of information security is impeded by a low level of security awareness and high associated costs. Banks and financial institutions still represent the leaders in the information security area, along with IT companies which deliver outstanding results. 3 PSIB SR ´08
  • 6. RESPONDENTI RESPONDENTS Prieskum z oblasti informačnej bezpečnosti je už od roku 2004 zameraný na spoločnosti s viac ako 100 zamestnancami. Viac ako dvojtretinové zastúpenie v prieskume majú spoločnosti do 500 zamestnancov. Oproti roku 2006 sa zastúpenie firiem s 501 až 1 000 zamestnancami zvýšilo, na úrok veľkých spoločností s viac ako 1 000 zamestnancami. The information security survey has focused since 2004 on companies with more than 100 employees. More than two-thirds of companies participating in the survey have up to 500 employees. Compared to 2006, the ratio of companies with 501 to 1,000 employees increased at the expense of large companies with more than 1,000 employees. 8% Viac než 1 000 zamestnancov More than 1,000 employees 72 % 100 – 500 zamestnancov 20 % 100 – 500 employees 501 – 1 000 zamestnancov 501 – 1,000 employees Graf 1: Distribúcia respondentov podľa počtu zamestnancov Chart 1: Distribution of respondents by number of employees Iná oblasť pôsobnosti 17 % Other areas Strojárstvo 12 % Mechanical engineering Stavebný priemysel 11 % Building industry Predaj/obchod a distribúcia 8% Sales/Trade/Distribution Potravinársky priemysel 7% Food & Drink industry Textilný priemysel 6% Textile industry Financie/bankovníctvo 6% Finance/Banking Štátna správa 5% State administration Elektrotechnický priemysel 5% Electrical engineering Poradenstvo/služby 4% Consultancy/Services Informačné technológie/telekomunikácie 4% IT/Telecommunications Chemický priemysel 3% Chemical industry Doprava 3% Transport Zdravotníctvo/farmaceutický priemysel 2% Health care/Pharmaceuticals industry Vodovody a kanalizácie 2% Water distribution and Sewerage Energetika/elektroenergetika/distribučná spol. 2% Energy sector/Electro-energy/Distribution Drevospracujúci priemysel 2% Woodworking Graf 2: Distribúcia respondentov podľa oboru pôsobnosti Plynárenstvo a ropný priemysel 1% 4 Chart 2: Distribution of respondents by industry Gas and Oil industry PSIB SR ´08
  • 7. Až 17 % podiel na prieskume majú spoločnosti s „inou oblasťou pôsobnosti“, ktorá sa nehodila do žiadnej z ostatných kategórií. Oproti predchádzajúcemu prieskumu sa nám podarilo podiel nezaraditeľných spoločností výrazne znížiť, keďže v roku 2006 táto skupina tvorila viac ako štvrtinu respondentov. Ďalej je výrazne v prieskume zastúpené strojárstvo (12 %) nasledované stavebným priemyslom. Ostatné oblasti si zachovali podobné zastúpenie ako v roku 2006. Companies with other area of activity which did not fit into any one category comprised as much as 17% of the survey. Compared to the previous survey, we managed to decrease the number of unclassifiable companies significantly, as in 2006 this group represented more than a quarter of respondents. Another significant proportion is represented by Mechanical engineering (12%) followed by the Building industry. Other areas maintained a similar proportion to 2006. Vedúci oddelenia IS/IT 39 % IS/IT Department Manager Špecialista IS/IT 17 % IS/IT Specialist Riaditeľ IS/IT 11 % IS/IT Director Špecialista bezpečnosti 7% Security Specialist Iná pozícia 6% Other Position Ekonomický/finanční riaditeľ 6% Economic/Financial Director Riaditeľ/manažér bezpečnosti 5% Security Director/Manager Riaditeľ/konateľ/majiteľ spoločnosti 4% Director Pracovník marketingu 3% Marketing employee Obchodný/technický/prevádzkový riaditeľ 2% Business/Technical/Operational Director Graf 3: Kto za organizácie odpovedal Chart 3: Who provided answers on behalf of organisations Za spoločnosti na otázky prieskumu odpovedali vedúci pracovníci v dvoch tretinách prípadov. Rovnaký podiel odpovedí poskytli aj pracovníci IS/IT zamerania. Celkovo trend v tejto oblasti signalizuje prechod zodpovednosti za vypĺňanie dotazníka na manažérov a IS/IT zamestnancov. In two-thirds of cases, managers were the persons who responded for the companies. IS/IT staff also provided a similar proportion of responses. On aggregate, the trend in this area signals the transfer of responsibility for completing the questionnaire towards managers and IS/IT staff. 5 PSIB SR ´08
  • 8. VÝZNAM INFORMAČNEJ BEZPEČNOSTI IMPORTANCE OF INFORMATION SECURITY Z výsledkov prieskumu vyplýva jednoznačná orientácia na zaistenie vysokého stupňa kvality informačnej bezpečnosti a pochopenie dôležitosti informačnej bezpečnosti pre dosiahnutie primárnych cieľov organizácie. 92 % spoločností pokladá informačnú bezpečnosť za stredne významnú alebo veľmi významnú. Iba 2 % spoločností jej prisúdili zanedbateľný význam. The results of the survey show a definite focus on ensuring a high level of information security quality and understanding its importance in meeting the primary goals of organisations. 92% of companies stated that information security had medium significance or high significance. Only 2% of companies claimed that information security was of negligible significance. 2% Zanedbateľný význam Negligible significance 48 % 6% Veľký význam Malý význam High significance Low significance 44 % Stredný význam Medium significance Graf 4: Význam informačnej bezpečnosti z hľadiska primárnych cieľov organizácie Chart 4: Importance of information security in terms of primary goals of organisations Financie/bankovníctvo 91 % 9% Finance/Banking Zdravotníctvo/farmaceutický priemysel 25 % 75 % Health care/Pharmaceuticals industry Vodovody a kanalizácie 67 % 33 % Water distribution and Sewerage Informačné technológie/telekomunikácie 62 % 38 % IT/Telecommunications Doprava 40 % 60 % Transport Predaj/obchod a distribúcia 40 % 7% 53 % Sales/Trade/Distribution Iná oblasť pôsobnosti 39 % 9% 52 % Other areas Poradenstvo/služby 50 % 50 % Consultancy/Services Chemický priemysel 50 % 50 % Chemical industry Plynárenstvo a ropný priemysel 50 % 50 % Gas and Oil industry Potravinársky priemysel 38 % 16 % 46 % Food & Drinks industry Textilný priemysel 46 % 9% 45 % Textile industry Stavebný priemysel 45 % 55 % Building industry Štátna správa 11 % 44 % 45 % State Administration Elektrotechnický priemysel 10 % 50 % 40 % Electrical engineering Energetika/elektroenergetika/distribučná spol. 67 % 33 % Energy industry/Electro-energy/Distribution Strojárstvo 14 % 63 % 23 % Mechanical engineering Drevospracujúci priemysel 100 % Woodworking Stredný význam Malý alebo zanedbatelný význam Velký význam Medium significance Low or Negligible significance High significance Graf 5: Význam informačnej bezpečnosti podľa oboru pôsobnosti 6 Chart 5: Importance of information security by industry PSIB SR ´08
  • 9. Pri pohľade na rozdelenie významu informačnej bezpečnosti podľa oboru pôsobnosti podnikov sa na prvých priečkach umiestnili, tak ako po minulé roky, spoločnosti z oblasti bankovníctva a financií. Zdravotnícky a farmaceutický priemysel, vodovody a kanalizácie a doprava boli v prieskume zastúpené iba malým percentom, čo skresľuje pohľad na ich dosiahnuté umiestnenie. Drevospracujúce a strojárske podniky prikladajú informačnej bezpečnosti skôr menší význam. Spoľahlivé výsledky tejto časti prieskumu môžeme vidieť v priemernej dôležitosti informačnej bezpečnosti pre podniky z oblasti poradenstva, štátnej správy a potravinárskeho priemyslu. When looking at the break-down of importance for information security by the sphere of activity of companies, the first ranks are occupied by companies from banking and finance world (as in the previous years). Health care and the pharmaceuticals industry, water distribution and sewerage as well as transport were only represented by a minor percentage, which distorts the picture in respect of the position they acquired. Woodworking and mechanical engineering companies claimed that information security is less important to them. The reliable results of this part of the survey may be observed through the average information security for companies active in consultancy, state administration and the food & drinks industry. 17 % Nízka úroveň Low level 1% Nedostatočná úroveň Inadequate level 56 % 26 % Dobrá úroveň Výborná úroveň Good level Excellent level Graf 6: Úroveň riešenia informačnej bezpečnosti v organizácii (celkovo) Chart 6: Level of information security in organisation (total) Až 82 % organizácií v prieskume hodnotí svoju informačnú bezpečnosť pozitívne a optimisticky. Viac ako štvrtina pokladá svoju informačnú bezpečnosť za výbornú, na druhej strane iba menej ako jedna pätina firiem ju vidí na nízkej úrovni. Oproti minulému prieskumu vidieť nepatrné zmeny k lepšiemu v sebahodnotení úrovne informačnej bezpečnosti organizáciami, keď sa ľahko navýšil podiel spoločností, ktoré svoju úroveň riešenia informačnej bezpečnosti hodnotia ako výbornú (z 20 % na 26 %). Tento posun sa primárne udial na úkor spoločností s „dobrou úrovňou“ (z 65 % na 56 %). Up to 82% of organisations participating in the survey evaluate their information security positively and are optimistic about its development. More than a quarter of the companies rated the level of their information security as excellent. On the other hand, just under a fifth of companies consider it to be at a low level. Compared to the last survey, only slight changes for the better may be visible in the self-assessment of information security by organisations, as the ratio of companies which rate their information security solutions as excellent increased slightly (from 20% to 26%). This movement primarily happened at the expense of companies with a “good level” (from 65% down to 56%). 7 PSIB SR ´08
  • 10. Spoločnosti z plynárenského, ropného a chemického priemyslu hodnotia svoje riešenia bezpečnosti ako výborné v polovici prípadoch; obchod a elektrotechnický priemysel v 40 %. Najkritickejšie odvetvie k svojej informačnej bezpečnosti je strojárstvo, nasledované poradenstvom alebo službami a vodovodmi a kanalizáciami. Výsledky približne kopírujú dôležitosť, ktorú spoločnosti z jednotlivých odvetví prikladajú informačnej bezpečnosti, čo dokladajú výsledky napríklad farmaceutického priemyslu a oblasti informačných technológií. Companies from the gas, oil and chemical industries assess their security solutions as excellent in half of the cases; trade and electrical engineering in 40%. The most critical approach to its information security is maintained by mechanical engineering, followed by consultancy or services and water distribution and sewerage. The results approximately reflect the level of importance which is assigned by companies from individual sectors to information security, which is also demonstrated by the results of, for example, the pharmaceuticals industry or the information technology sector. Chemický priemysel 50 % 33 % 17 % Chemical industry Plynárenstvo a ropný priemysel 50 % 50 % Gas and Oil industry Predaj/obchod a distribúcia 47 % 13 % 40 % Sales/Trade/Distribution Elektrotechnický priemysel 40 % 50 % 10 % Electrical engineering Vodovody a kanalizácie 34 % 33 % 33 % Water distribution and Sewerage Iná oblasť pôsobnosti 49 % 21 % 30 % Other areas Textilný priemysel 64 % 9% 27 % Textile industry Financie/bankovníctvo 9% 64 % 27 % Finance/Banking Poradenstvo/služby 38 % 25 % 37 % Consultancy/Services Zdravotníctvo/farmaceutický priemysel 75 % 25 % Health care/Pharmaceuticals Industry Informačné technológie/telekomunikácie 25 % 75 % IT/Telecommunications Potravinársky priemysel 69 % 8% 23 % Food & Drinks industry Štátna správa 22 % 22 % 56 % State administration Doprava 60 % 20 % 20 % Transport Stavebný priemysel 70 % 15 % 15 % Building industry Strojárstvo 45 % 41 % 14 % Mechanical engineering Drevospracujúci priemysel 100 % Woodworking Energetika/elektroenergetika/distribučná spol. 67 % 33 % Energy industry/Electro-energy/Distribution Výborná úroveň Dobrá úroveň Nízka alebo nedostatočná úroveň Excellent level Good level Low or Insufficient level Graf 7: Úroveň riešenia informačnej bezpečnosti v organizácii podľa oboru pôsobnosti 8 Chart 7: Level of information security in organisation by industry PSIB SR ´08
  • 11. Prím v rizikách, ktoré vedú firmy k zdokonaľovaniu informačnej bezpečnosti, hrá ochrana údajov (66 %), ktorá sa v prieskume objavila tento rok prvý krát. Tak ako po minulé roky, rýchly vývoj informačných technológií (35 %), požiadavky na prepájanie smerom von aj dnu (29 % a 21 %) a hrozba útoku (31 %) sú medzi faktormi, ktoré podľa firiem majú najväčší vplyv. Oproti minulým rokom firmy zrejme prehodnotili dôležitosť niektorých faktorov a tým pádom došlo k preskupeniu percentuálneho zastúpenia. Prepad o 11 % oproti roku 2006 zaznamenal tlak zo strany legislatívy SR a o 10 % zo strany EU. The main risk driving companies to strengthen their information security is data protection (66%) which this year appeared in the survey for the first time. As in the previous years, the fast pace in the development of information technologies (35%), requirements for external as well as internal connections (29% and 21%) and threat of attack (31%) represent the factors with the greatest influence, as assessed by the companies. Compared to the previous years, companies apparently reassessed the importance of certain factors, thereby rearranging percentages. Compared to 2006, a reduction of 11% and 10% resulted from pressure from the SR legislation and the EU, respectively. Ochrana údajov* 66 % Data protection* 35 % Rýchly vývoj v oblasti IT 50 % Rapid pace of IT developments 56 % Hrozba útoku* 31 % Threat of attack* 29 % Prepájanie informacných systémov smerom von 53 % Connection of IS outside 55 % 21 % Prepájanie informacných systémov vo vnútri organizácie 32 % Connection of IS within organisation 38 % 21 % Výsledky vykonaného auditu/odporúcaní audítorov 23 % Audit results/Auditors' recommendations 22 % 15 % Legislatívny tlak v SR 26 % Legislative pressure in the SR 27 % 8% Tlak/požiadavky zo strany investorov/akcionárov/vlastníkov 10 % Investor/shareholder/Owner pressure/Requirements 12 % 7% Požiadavky na mobilné spracovanie informácií 14 % Mobile information processing requirements 13 % Splnenie obchodných cieľov* 7% Business plan fulfilment* 7% E-business a/alebo e-commerce 9% E-business and/or E-commerce 11 % Riešenie informačnej bezpečnosti u porovnatelných organizácií* 5% Information security solutions from peers* 5% Tlak/požiadavky zákazníkov 11 % Client pressure/requirements 8% Hrozba negatívnej medializácie* 4% Threat of negative picture in media* 4% Tlak/požiadavky obchodných partnerov 14 % Business partners pressure/requirements 2008 13 % Hrozba finančných sankcií* 2006 3% Threat of financial sanctions* 2004 2% Platná aj pripravovaná legislatíva Európskej a Menovej Únie 10 % Valid or prepared EU and European Monetary Union legislation 12 % * možnosti prvý krát k dispozícii až v PSIB SR ´08 10 % ** možnosť v PSIB SR ´08 už nie je k dispozícii Iné dôvody** * option appeared in the 2008 survey for the first time 6% Other reasons** ** option is no longer available in the 2008 survey Graf 8: Okolnosti, ktoré majú najväčší vplyv na presadzovanie informačnej bezpečnosti 9 Chart 8: Circumstances with most impact on information security implementation PSIB SR ´08
  • 12. Pre jednu tretinu spoločností je pravidelná tvorba správ o informačnej bezpečnosti zabehnutá prax, avšak pre 20 % stále nepreskúmaná oblasť. 30 % spoločností vydáva správy podľa potreby. Zaujímavým bodom v tejto oblasti je informácia, že pätina spoločností nikdy túto správu nepripravila, a preto je otázne, akým spôsobom je informačná bezpečnosť u nich riadená. A third of companies stated that regular preparation of reports on information security is a common practice; however, for 20% it remains an unexplored area. 30% of companies issue reports when necessary. An interesting fact in this area is that a fifth of the companies have never prepared a report and it is therefore questionable how information security is managed in their organisations. 20 % Nikdy 30 % Never Ad-hoc 4% Ad-hoc Niekoľkokrát ročne More often that once a year 30 % 16 % Ročne Menej ako jedenkrát ročne Once a year Less than once a year Graf 9: Ako často sa pripravuje správa o stave informačnej bezpečnosti Chart 9: How often is prepared reports on the state of information security Podniky, ktoré správy o stave informačnej bezpečnosti tvoria, ich predkladajú najvyššiemu vedeniu vo viac ako dvoch tretinách prípadov, čo potvrdzuje trend uvedomovania si dôležitosti IT pre podporu firemných procesov a tým i rastúcu zainteresovanosť vrcholového vedenia. V 8 % prípadov si správu vyžaduje materská spoločnosť a nie je výnimkou, ak sa správy dostanú do rúk viacero zainteresovaných príjemcov. Companies that compile reports on the state of information security submit them to top management in more than two thirds of cases, which is also confirmed by the trend of awareness of IT importance for the support of corporate procedures and the related increasing involvement of top management. In 8% of cases, reports are required by parent companies and it is quite usual for reports to end up on the desks of a number of interested recipients. 7% Bezpečnostnému manažérovi/strednej úrovni riadenia Security manager/Middle management 2% Bezpečnostnému špecialistovi (nemanažérska pozícia) Security specialist (non-managerial position) 8% Materskej spoločnosti Parent company 70 % 13 % Najvyššiemu vedeniu Top management Viacerým príjemcom Several recipients Graf 10: Komu sú správy o stave informačnej bezpečnosti určené? Chart 10: Who are the reports on the state of information security prepared for? 10 PSIB SR ´08
  • 13. Najviac priestoru pre zlepšovanie úrovne informačnej bezpečnosti vidí skoro polovica respondentov v ešte väčšej podpore vrcholového vedenia, napriek výsledku z Grafu 10. Tato situácia by mohla naznačovať, že správy predkladané vedeniu nemajú praktický výsledok vo forme zlepšenia stavu informačnej bezpečnosti alebo sú tieto správy diplomaticky upravované. Ďalšími oblasťami, kde spoločnosti môžu upriamiť svoju pozornosť sú aj systémy prípravy pracovníkov a dostupnosť metodík a informácií o dokumentoch pre praktickú činnosť a legislatívu. Almost half of the respondents see the greatest scope for the improvement of information security as entailing more substantial support from top management, despite the results shown in Chart 10. This situation could indicate that the reports submitted to management do not have a practical result in the form of improving the state of information security, or they are diplomatically adjusted. Other areas which may also merit companies’ attention include staff preparation systems and availability of methodologies and information on documents for purposeful activity and legislation. Väčšia podpora vrcholového vedenia 48 % Better top management support Dostupnosť metodík a informácií o dokumentoch, potrebných pre praktickú činnosť 32 % Availability of methodologies and information on documents required for practice Vyriešenie systému prípravy a vzdelávania pracovníkov 31 % Development of staff preparation and education system Legislatívna úprava oblasti informačnej bezpečnosti 21 % Legal regulations in the area of information security Dostupné poradenské a konzultačné služby 16 % Available advisory and consultancy services Zvýšenie počtu podujatí, ktoré sa touto problematikou zaoberajú 10 % More events dealing with these issues Graf 11: Čo by pomohlo organizácii zvyšovať úroveň informačnej bezpečnosti? Chart 11: What would help increase the organisations' level of information security? ORGANIZAČNÉ ZABEZPEČENIE ORGANISATIONAL SECURITY V tejto oblasti hovoria výsledky sami za seba. Iba 17 % spoločností má pracovníka, ktorý sa venuje informačnej bezpečnosti ako hlavnej pracovnej náplni, pričom je stále bežná prax zlučovania funkcie informačnej bezpečnosti s IS/IT oddelením. Prieskum vypovedal i o istej vzdialenosti informačnej bezpečnosti od biznis procesov spoločností. U 46 % spoločností nie je informačná bezpečnosť a manažment rizík integrovaný. V prípade separátneho riešenia týchto dvoch oblastí môže dochádzať k neadekvátnemu využitiu zdrojov firmy a nepokrytiu obchodných rizík, ktoré idú ruka v ruke s rizikami bezpečnosti na úrovni informačných systémov. In this area the results speak for themselves. Only 17% of companies employ a professional whose main responsibility is information security. Merging the information security function with an IS/IT department remains a common practice. The survey also disclosed a certain distance between information security and corporate business processes. 46% of companies lack integration of information security with risk management. Where there is a separate solution to these two areas, corporate resources may be used inadequately and business risks inadequately covered, which goes in tandem with IS security risks. Spoločnosti sú v tejto oblasti rozdvojené. Jedna polovica ide cestou aspoň čiastočnej integrácie, druhá manaž- ment rizík a informačnú bezpečnosť v praxi nespája. Spoločnosti s plnou integráciou týchto oblastí sú primárne z bankovej, finančnej a telekomunikačnej sféry, kde je badateľný legislatívny tlak. Bude zaujímavé sledovať vývoj v tejto oblasti do budúcna. Companies are split into two categories in this area. Half pursue at least partial integration, the other half go for risk management and do not link information security with anything within practice. Companies with full integration of these areas are primarily from the banking, finance and telecommunications sectors where 11 pressure from legislation is apparent. Monitoring future developments in this area will be of interest. PSIB SR ´08
  • 14. Oproti minulému prieskumu z roku 2006 sa v tejto oblasti veľa nezmenilo. U 17 % respondentov nie je jasne definovaná zodpovednosť. 57 % podnikov zodpovednosť za riešenie informačnej bezpečnosti dáva manažérom a viac ako jedna štvrtina spolieha na špecialistov mimo úrovní riadenia podniku. Trendom však ostáva, že zodpovednosť sa presúva na úroveň vedenia divízie/odboru. No significant changes occurred in this area compared to the 2006 survey. There is a lack of a clear definition of responsibility for 17% of respondents. 57% of companies allot responsibility for information security solutions to managers and more than a quarter rely on outsourced specialists. However, the ongoing trend is to shift responsibility to the level of divisional/departmental management. 14 % Manažér – úroveň najvyššieho riadenia 17 % Manager – top management level 29 % Manažér – úroveň vedenia divízie/odboru 25 % Manager – head of division/section level 14 % Manažér – iná úroveň riadenia Manager – other managerial level 13 % 26 % Špecialista – nemanažérska pozícia Specialist – non-managerial position 27 % 2008 17 % Nikto/nie je jasne definovaná zodpovednosť Nobody/responsibility is not clearly assigned 18 % 2006 Graf 12: Kto je v organizácii zodpovedný za riešenie informačnej bezpečnosti? Chart 12: Who is responsible for information security solutions in your organisation? Z časového hľadiska je evidentný posun z nižších platových ohodnotení pracovníkov zodpovedných za informačnú bezpečnosť do vyšších. V roku 2008 je až 40 % pracovníkov v kategórii „25 tis. Sk – 40 tis. Sk” (829,88 – 1 327,79 €). Nárast o 8 % oproti roku 2006 (a až 19 % oproti 2004) zaznamenala skupina pracovníkov s platom od 55 tis. Sk do 70 tis. Sk (1 825,70 – 2 323,57 €), kde sa teraz nachádza približne jedna štvrtina všetkých zamestnancov zodpovedných za informačnú bezpečnosť. Over time, there is an evident shift from lower remuneration levels of employees responsible for information security to higher levels. In 2008, as many as 40% of employees were in the category “SKK 25 thousand – SKK 40 thousand” (€ 829.88 – 1,327.79). The group of employees with pay ranging from SKK 55 thousand to SKK 70 thousand (€ 1,825.70 – 2,323.57), witnessed an increase of 8% on 2006 (and up 19% on 2004); this group currently incorporates a quarter of all staff responsible for information security. 7% Viac ako 70.000 Sk (2 323,57 €) 5% More than SKK 70,000 (€ 2,323.57) 0% 23 % 55.001 – 70.000 Sk (1 825,70 – 2 323,57 €) 15 % SKK 55,001 – 70,000 (€ 1,825.70 – 2,323.57) 4% 13 % 40.001 – 55.000 Sk (1 327,79 – 1 825,70 €) 10 % SKK 40,001 – 55,000 (€ 1,825.70 – 2,323.57) 18 % 40 % 25.001 – 40.000 Sk (829,88 – 1 327,79 €) 35 % SKK 25,001 – 40,000 (€ 829,88 – 1,327.79) 39 % 2008 17 % Menej ako 25.000 Sk (829,88 €) 35 % 2006 Less than SKK 25,000 (€ 829,88) 39 % 2004 Graf 13: Hrubé mesačné ohodnotenie pracovníkov v oblasti informačnej bezpečnosti Chart 13: Gross average monthly remuneration of employees responsible for information security 12 PSIB SR ´08
  • 15. Medzi stálice na poli chýbajúcich vlastností stále patria znalosti finančného riadenia, schopnosť efektívne komunikovať s vedením organizácie a prezentačné a manažérske schopnosti. Znalosti cudzích jazykov pracovníkov v oblasti informačnej bezpečnosti sa vylepšili, keďže už chýba iba v 14 % spoločností. Flexibilita a vecná znalosť problematiky informačnej bezpečnosti je plne saturovaná vo všetkých spoločnostiach zúčastnených na prieskume, čo je určite dobrá vizitka slovenských bezpečnostných pracovníkov. Characteristics still missing include financial management skills, the ability to communicate with an organisation’s management effectively, presentation skills and managerial skills. The foreign language skills of information security staff have improved as only 14% are noted as lacking in the companies. Flexibility and understanding of information security issues have been fully absorbed in all the companies participating in the survey, which is definitely a good advert for Slovak information security staff. 32 % Znalost finančného riadenia (rozpočtovanie) 25 % Financial management skills (budgeting) 17 % 21 % Schopnosť efektívnej komunikácie s vedením organizácie 22 % Ability to communicate with management effectively 23 % 18 % Prezentačné schopnosti 13 % Presentation skills 10 % 18 % Manažérske schopnosti 9% Managerial skills 13 % 14 % Znalosť cudzieho jazyka 26 % Foreign language skills 33 % 14 % Schopnosť riadit projekty 9% Project management 10 % 14 % Technologické znalosti IS/IT 4% Technological skills 10 % 11 % Analytické schopnosti 4% Analytical skills 3% 7% Vecná znalosť fungovania organizácie 0% Understanding of organisation's functions 3% 0% Vecná znalosť problematiky informačnej bezpečnosti 4% Understanding of information security issues 0% 2008 0% Flexibilita a konštruktívny prístup k riešeniu problémov 2006 0% Flexibility and constructive approach to solving problems 7% 2004 Graf 14: Najviac chýbajúce znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti Chart 14: Most noticeably absent knowledge and skills of information security staff 13 PSIB SR ´08
  • 16. Ako najviac cenené znalosti a schopnosti určili respondenti prieskumu vecnú znalosť problematiky informačnej bezpečnosti, technologické znalosti IS/IT a flexibilitu a konštruktívny prístup k riešeniu problémov. Prepad oproti minulému prieskumu zaznamenala vecná znalosť fungovania organizácie, čo by naznačovalo presun priorít k technologicko-bezpečnostným aspektom od zaisťovania bezpečnosti obchodných procesov. To môže súvisieť aj so zriaďovaním alebo posilňovaním právomocí oddelení interných auditov, alebo s posunom riadenia informačnej bezpečnosti k útvarom IS/IT, ako naznačili odpovede na otázku zodpovednosti za informačnú bezpečnosť. The survey respondents stated that the most valued knowledge and skills were understanding of information security issues, IS/IT technological skills as well as flexibility and a constructive approach to problem-solving. Understanding of the organisation’s functions recorded a decrease on last year’s survey, which would indicate a shift in priorities from ensuring the security of business processes towards technological and security aspects. This may also relate to the establishing or strengthening of authority of the internal audit departments, or to a shift of information security management towards IS/IT units, as was indicated in the answers to the question relating to information security. 75 % Vecná znalosť problematiky informačnej bezpečnosti 57 % Understanding of information security issues 80 % 36 % Technologické znalosti IS/IT 43 % Technological skills 53 % 32 % Flexibilita a konštruktívny prístup k riešeniu problémov 35 % Flexibility and constructive approach to solving problems 40 % 32 % Schopnosť efektívnej komunikácie s vedením organizácie 17 % Ability to communicate with management effectively 20 % 21 % Analytické schopnosti 30 % Analytical skills 17 % 21 % Manažérske schopnosti 22 % Managerial skills 23 % 18 % Vecná znalosť fungovania organizácie 43 % Understanding of organisation's functions 23 % 18 % Prezentačné schopnosti 13 % Presentation skills 7% 14 % Znalosť cudzieho jazyka 0% Foreign language skills 7% 7% Schopnosť riadiť projekty 30 % Project management 7% 2008 4% Znalosť finančného riadenia (rozpočtovanie) 4% 2006 Financial management skills (budgeting) 3% 2004 Graf 15: Najviac cenené znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti Chart 15: Most valued knowledge and skills of information security staff 14 PSIB SR ´08
  • 17. Prevažujúcim riešením začlenenia útvaru informačnej bezpečnosti do organizačnej štruktúry spoločnosti je spojenie s existujúcim IS/IT oddelením v 64 % prípadov. Tak ako po minulé roky sa vynára otázka zlučovania právomocí a zvyšovania rizika konfliktov záujmov v týchto spoločnostiach. Ekonomický a finančný útvar už zostáva zodpovedný za informačnú bezpečnosť iba v 7 % spoločností, oproti 12 % v roku 2006. Špecializovaný útvar bezpečnosti má iba 5 % firiem, čo sa v kontexte veľkosti spoločností zúčastnených v prieskume (28 % spoločností s počtom zamestnancov viac ako 500) javí ako nízke číslo. The leading solution to incorporating an information security unit within a company’s organisational structure is to link it in with the existing IS/IT department in 64% of cases. As in the previous years, there is an issue relating to the merging of duties and an increasing risk of conflict of interest in these companies. Economic and finance units remain responsible for information security in only 7% of companies, compared to 12% in 2006. A specialised security unit is to be found in only 5% of companies, which, in the terms of the size of the companies participating in the survey (28% of companies with a number of employees exceeding 500) seems to be a rather low number. 7% Iný útvar 12 % Other department 12 % 2% Útvar vnútorných/centrálnych služieb 1% Internal/Central services department 1% 7% Ekonomický alebo finančný útvar 12 % Economic or Financial department 16 % 4% Útvar kontroly, revízie alebo auditu 3% Control, Review or Audit department 2% 64 % Útvar IS/IT 57 % IS/IT department 53 % 5% Útvar bezpečnosti 5% Security department 5% 2008 11 % Žiadny útvar 2006 10 % No department 11 % 2004 Graf 16: Útvar zodpovedný za informačnú bezpečnosť Chart 16: Unit responsible for information security BEZPEČNOSTNÁ POLITIKA A ŠTANDARDY SECURITY POLICY AND STANDARDS V roku 2008 sa nepotvrdil trend z roku 2006 a podiel podnikov s formálne definovanou bezpečnostnou politikou klesol na 65 %. V porovnaní s Českou republikou a prieskumom z roku 2007 sú slovenské podniky o 12 % napred. Absencia takejto formálne definovanej politiky sa môže následne prejaviť na chýbajúcich alebo zlých metrikách vlastného sebahodnotenia kvality informačnej bezpečnosti, ktoré je tým pádom nevyhnutné brať s rezervou. Kvalitne spracovaná a zadefinovaná bezpečnostná politika je základným stavebným kameňom konzistentnosti, efektívnosti a kvality riešenia informačnej bezpečnosti. In 2008, the trend identified in 2006 was not confirmed and the ratio of companies with a formally documented security policy reduced to 65%. Compared to the 2007 survey in Czech Republic, Slovak companies are in the lead by 12%. The lack of a formally documented policy may in turn result in missing or improper measurements of self-assessment of information security quality, which in this case must thus be taken less seriously. A properly developed and defined security policy is the cornerstone of information security consistency, effectiveness and quality. 15 PSIB SR ´08
  • 18. 65 % Áno 70 % Yes 58 % 2008 35 % Nie 30 % 2006 No 42 % 2004 Graf 17: Má organizácia vo forme dokumentu formálne definovanú a najvyšším vedením prijatú bezpečnostnú politiku? Chart 17: Does the organisation have a security policy in place, which would be formally documented and accepted by the top management? Oproti minulým rokom sa objem firemných bezpečnostných politík významne nezmenil. Skoro 60 % spoločností preferuje stredne rozsiahlu bezpečnostnú politiku. Zmenu na takúto cestu definovania politiky volili aj niektoré firmy doteraz presadzujúce voľnejšiu a nie tak obšírnu variantu, ktorá je iba deklarovaním hodnôt a cieľov. Compared to last year, the volume of corporate security policies has not changed significantly. Almost 60% of companies prefer a medium-sized security policy. Certain companies which had previously promoted a looser and less extensive variant, which only declares their values and objectives, have also changed the method of promoting their policy to a medium one. 18 % Rozsiahla (niekoľko desiatok strán, detailný opis všetkých oblastí) Extensive (more than 20 pages, detailed description of all areas) 17 % 59 % Stredná (cca do 20 strán, podrobnejší opis požiadaviek a organizačného zabezpečenia) Medium (approx. up to 20 pages, detailed description of requirements and security organisation) 57 % 23 % Stručná (cca do 3 strán, skôr deklaratívny charakter) Brief (approx. up to 3 pages, somewhat declarational in nature) 26 % Graf 18: Charakteristika rozsahu bezpečnostnej politiky. 2008 Chart 18: Characteristics of security policy scope 2006 Drvivá väčšina respondentov poskytla pozitívnu odpoveď, približne tretina má pre oblasť ochrany osobných údajov v bezpečnostnej politike vyhradený najväčší priestor. Skoro by to vyzeralo, akoby bezpečnostná politika niekedy vznikala ako dôsledok zákona na ochranu osobných údajov. Iba 6 % respondentov priznalo, že sa v rámci svojej bezpečnostnej politiky úprave ochrany osobných údajov vôbec nevenuje. The overwhelming majority of respondents responded positively; a third have reserved the largest scope for issues relating to personal data protection. At times, security policy seems almost to be originating as a consequence of the Act on Personal Data Protection. Only 6% of respondents claimed that they pay no attention to personal data protection in their security policies. 31 % Áno, je to najväčšia časť bezpečnostnej politiky Yes, it is the major part of our security policy 39 % 63 % Áno, je to jedna z častí bezpečnostnej politiky Yes, it is a part of our security policy 55 % 6% Nie 2008 No 6% 2006 Graf 19: Pokrýva bezpečnostná politika oblasť ochrany osobných údajov v zmysle zákona o ochrane osobných údajov? 16 Chart 19: Does security policy also cover the area of personal data protection, as per the Act on Personal Data Protection? PSIB SR ´08