Většina firem sleduje aktivity svých zaměstnanců na internetu

České firmy nezaostávají v nasazování technologických řešení. Jak vyplynulo z posledního průzkumu stavu informační bezpečnosti, který dnes prezentovala společnost Ernst & Young, za uplynulých 10 let se řešení v oblasti informační bezpečnosti dostala na úroveň zemí v západní Evropě. 69 % respondentů se navíc domnívá, že dopad ekonomické krize na oblast informační bezpečnosti bude nulový nebo dokonce pozitivní. I přesto hospodářská krize ukončila období investice do rozvoje nových implementací IT.

Jak dále vyplývá z průzkumu, pro polovinu společností je z hlediska bezpečnosti v současnosti největší hrozbou virtualizace serverů. Nastupujícím „hitem“ se navíc stávají přenosná datová média, která 40 % respondentů považuje za nejvyšší hrozbu pro bezpečnost a chystá se této problematice věnovat v následujícím roce zvýšenou pozornost, upozorňuje Jaroslav Šmíd, náměstek ředitele Národního bezpečnostního úřadu, jenž se na průzkumu rovněž podílel.

Zaměstnanci pod lupou

Přenosová datová média jsou ostatně ožehavým problémem především u zaměstnanců, jejichž aktivity na internetu v Česku monitorují více než tři čtvrtiny firem (77 % respondentů). A dopad zákona o ochraně osobních údajů na informační bezpečnost není podle nich žádný nebo jen malý.

Zaměstnanci firem neumějí správně identifikovat nebezpečí, kterým jsou data vystavena a ohrožují tak bezprostředně informační bezpečnost firmy např. instalováním nepovoleného softwaru, připomíná Jan Fanta, partner oddělení podnikového poradenství a řízení rizik společnosti Ernst & Young.

Tuto překážku řada firem vnímá kritičtěji než finanční náročnost bezpečnostních řešení. Bez dobře propracovaných a odzkoušených postupů existuje značné riziko, že incidenty nebudou odhaleny včas. Zároveň pak reakce na ně jsou v takové situaci v nejlepším případě zdařilou improvizací, která může vlivem spěchu, stresu a nedostatečné analýzy přinést více škody než užitku, komentuje tuto situaci Lukáš Mikeska, senior manažer IT poradenství a řízení technologických rizik v Ernst & Young. Čtěte více: Letiště Praha sníží náklady na IT o 75 %, spustilo dvě nová datová centra

Naštěstí již dvě třetiny společností mají definovanou bezpečnostní politiku. Analýzu rizik jako jeden ze základních nástrojů pro efektivní a ekonomické řešení bezpečnostní agendy provedlo nebo provádí již 84 % společností. Téměř dvě třetiny společností nemají dosud dostatečně zpracované postupy reakce na bezpečnostní incidenty.

Firmy celosvětově se bojí přechodu na novou verzi softwaru

Firmy kromě instalace nepovoleného softwaru ze strany zaměstnanců vnímají jako bezpečnostní riziko přechod na novou verzi softwaru, a to nejen u nás. Vyplynulo to z již prosincového výzkumu společnosti Symantec. Ta zároveň upřesnila, že tyto obavy umocňují negativní zprávy z médií: Je zajímavé vidět, jak se v těchto rozdílech a délce odložení investice odrážejí kulturní rozdíly. Čtvrtina evropských podniků (27 %) uvedla, že upgrade odloží nejméně o dalších 12 měsíců. Ale německé společnosti jsou optimističtější a odložení investice plánuje méně než pětina (19 %) z nich, řekl již dříve Robert Mol, Principal Product Marketing Manager EMEA společnosti Symantec. Čtěte více: Podpora technologií a vzdělávání kraluje dotacím

Další zjištění průzkumu stavu informační bezpečnosti

• Více než tři čtvrtiny společností monitorují aktivity svých zaměstnanců na internetu a 58 % používání internetu omezuje. „Liberálních“ zaměstnavatelů, kteří se nesnaží omezovat a monitorovat své pracovníky při používání internetu, je méně než desetina. U téměř pětiny společností tráví zaměstnanci na internetu více než 30 minut denně mimopracovními aktivitami.
• Největší význam informační bezpečnosti přikládají firmy v oblasti plynárenství a ropného průmyslu a společnosti působící v bankovním sektoru a v oblasti finančnictví. Na samém konci žebříčku je naopak chemický a elektrotechnický průmysl.
• SPAM a výpadek proudu jsou stále nejčastěji zaznamenané bezpečnostní incidenty.
• Klesá podíl respondentů, kteří hodnotí vlastní úroveň řešení informační bezpečnosti jako nízkou a ubývá společností, kde není za řešení informační bezpečnosti jasně definována ničí zodpovědnost. Informační bezpečnost je u naprosté většiny společností začleněna do úseků IS/IT.
• Největší překážkou rychlejšího prosazování informační bezpečnosti je obecně nízké bezpečnostní povědomí. Roste podíl společností, které tuto překážku uvádějí na prvním místě, před finanční náročností. Přitom funkční program pro zvyšování povědomí má zavedeno pouze 21 % organizací. Čtyři pětiny společností nemají na informační bezpečnost vyčleněn zvláštní rozpočet, přičemž výdaje na tuto oblast tvoří nejčastěji 1–5 % celkového rozpočtu na IS/IT. Téměř dvě třetiny organizací neprovádějí analýzu návratnosti investic do bezpečnostních projektů.
• U 63 % společností je informační bezpečnost řešena ve spolupráci s externími firmami.
• 66 % procent respondentů má, nebo plánuje posoudit oblasti informační bezpečnosti externím subjektem. Nejčastěji outsourcovanou částí IT je internetové připojení.
• Pouze 5 % společností nevyužívá a ani neplánuje v budoucnu využívat elektronický podpis. 14 % organizací není schopno určit, jaké výhody používání elektronického podpisu přináší.
• 74% společností hodnotí úroveň informační bezpečnosti u nás jako stejnou nebo lepší ve vztahu k západoevrop­ským zemím.

Pozn.
Průzkum stavu informační bezpečnosti v České republice 2009 provedly společnost Ernst & Young, časopis DSM – data security management a Národní bezpečnostní úřad v období od dubna do července 2009. Zaměřil se na reprezentativní vzorek středních a velkých společností (nad 100 zaměstnanců) v České republice. Celkem 280 respondentů v anonymním dotazníku odpovědělo na 63 podrobných otázek.