|
Jak jsme na tom s
informační bezpečnosti?
Společnost KPMG nedávno provedla rozsáhlé celosvětové šetření o
informační bezpečnosti. Závěr je jednoznačný: prevence je lepší než
léčba. Stručně řečeno, největším problémem v bezpečnosti sítí jsou viry
a hackeři, přičemž nejvyšší hlášená ztráta způsobená virem dosáhla deset
milionů USD. Nejlépe chráněny jsou přitom firmy a organizace působící ve
finančnictví.
Z výzkumu vyplynulo, že průměrná přímá ztráta pro organizace v důsledku
porušení bezpečnosti jejich informačních systémů činí 108 000 USD. K
tomu je však nutné připočítat náklady na prostoje a sníženou
produktivitu práce a také další náklady na zlepšení bezpečnosti v době
po porušení bezpečnostních pravidel (přičemž tyto náklady jsou obvykle
mnohem vyšší, než náklady na vybudování bezpečnosti vynaložené na
začátku). Připočítáme-li k těmto nákladům ještě dlouhodobé poškození
pověsti, které by porušení bezpečnosti mohlo způsobit, celkový dopad
může být obrovský. Z dlouhodobé perspektivy je mnohem levnější a méně
nepříjemné, když firma efektivně investuje do prevence a nikoliv do
nápravy utrpěných škod. Obecně je možné poradit následující - hledejte
nejslabší místo. Právě nejslabší článek může totiž být počátkem útoku s
rozsáhlým dopadem na celou firmu.
Každý rok se ztrácejí miliony dolarů kvůli bezpečnostním incidentům,
protože existují tyto nejslabší články, protože organizace nejsou tak
dobře chráněny, jak si myslí, protože v úrovni ochrany existují významné
regionální i odvětvové rozdíly, a protože jenom několik málo organizací
měří úroveň bezpečnosti a předkládá o ní výkazy/hlášení. Spolu s miliony
dolarů se ztrácí i důvěra zákazníků a obchodních partnerů. O
příležitostech, které se nemusí opakovat, ani nemluvě.
|
 |
KPMG se zeptal respondentů na to, jaké jsou dle jejich názoru
nejzávažnější problémy, kterým musí organizace čelit.
Ochrana
KPMG požádalo respondenty, aby zhodnotili, jak jsou data před útoky
chráněna v jejich organizacích. Asi není překvapením, že téměř všechny
organizace (96 %) byly toho názoru, že k vlastní ochraně činí přiměřené
kroky (58 % velmi souhlasí, 38 % celkem souhlasí, 1 % ani nesouhlasí ani
souhlasí, 2 % celkem nesouhlasí, 1 % velmi nesouhlasí). Pokud však
získané odpovědi srovnáme se skutečným ochranným mechanismem
uplatňovaným v těchto firmách, zjistíme, že mnoho z nich není tak dobře
chráněno, jak si myslí. Z organizací, které odpověděly, že velmi
souhlasí s tím, že jsou přiměřeně chráněny, plných 10 % netestuje svá
ochranná opatření, a proto nemůže vědět, zda jsou tato opatření v praxi
účinná. 52 % nemá žádný systém na odhalení nežádoucího vniknutí a 87 %
učinilo zkušenost s nějakou formou porušení bezpečnostních pravidel.
Regionální a odvětvová specifika
Respondent byly také požádáni o informaci, zda fungují na národní,
regionální či celosvětové bázi a v jakém odvětví působí. Na základě
analýzy jednotlivých odpovědí KPMG zjistilo, jaké úrovně ochrany se
používají v různých organizacích a odvětvích na celém světě. Organizace
působící v asijsko-pacifickém regionu a na Středním východě a v Africe
(ESVA) trpí častějšími útoky virů (64 % a 62 %) než organizace působící
na americkém kontinentu (55 %).
Organizace v asijsko-pacifickém regionu však uplatňují zásady
pokrývající útok virů v menším měřítku (82 %) než organizace v ESVA (92
%) a na americkém kontinentu (88 %). Organizace v asijsko-pacifickém
regionu také méně (64 %) testují svá bezpečností opatření, aby zjistily,
zda fungují (v ESVA 82 % a na americkém kontinentě 80 %). Organizace
působící ve finančním odvětví hrají v oblasti informační bezpečnosti
prim. Více organizací ve finančním odvětví než v odvětvích jiných
zavedlo mezinárodní standard o řízení informační bezpečnosti ISO 17799
(finanční organizace 25 %, ostatní 16 %), systém na odhalování
nežádoucího vniknutí (finanční organizace 44 %, ostatní 38 %) a více
jich měří bezpečnostní opatření (finanční organizace 42 %, ostatní 33
%). Organizace působící ve finančním odvětví mají tedy téměř ve všech
oblastech nižší počet bezpečnostních incidentů než ostatní organizace
(např. virové útoky: finanční organizace 53 %, ostatní 63 %; nežádoucí
vniknutí prostřednictvím webové stránky/hacking: finanční organizace 9
%, ostatní 13 %).
|
|
Počet organizací
hlásících porušení bezpečnosti |
Porušení
bezpečnosti
v % |
Průměrný počet
ztracených dnů
za rok |
Průměrná ztráta
v USD za rok |
Nejvyšší hlášená
ztráta v USD za rok |
Virus
|
390 |
61 |
68 |
162 000 |
10 000 000 |
|
Krádež IT vybavení |
246 |
38 |
21 |
98 000 |
3 000 000 |
|
Vniknutí
prostřednictvím
e-mailu (např.
spamming) |
183 |
29 |
12 |
16 000 |
200 000 |
|
Ztráta softwaru |
102 |
16 |
19 |
104 000 |
3 000 000 |
|
Popření útoku
službou |
91 |
14 |
24 |
53 000 |
500 000 |
|
Vniknutí do webové
stránky (např. hacking) |
79 |
12 |
84 |
32 000 |
200 000 |
|
Selhání důležitého
systému |
79 |
12 |
80 |
155 000 |
4 000 000 |
|
Ztráta dokumentů
společnosti (papírů) |
78 |
12 |
11 |
37 000 |
200 000 |
|
Ztráta důvěrných
dat |
35 |
5 |
18 |
197 000 |
1 500 000 |
|
Manipulace na
vstupu/výstupu |
23 |
4 |
14 |
14 000 |
100 000 |
Stav informační bezpečnosti
Pouze 43 % pracovníků odpovědných za informační bezpečnost bylo schopno
říci, jaká částka byla v letošním roce vynaložena na oblast informační
bezpečnosti a 30 % respondentů nevědělo, jaké procento rozpočtu na
informační technologie se vynakládá na informační bezpečnost. Kromě toho
pouze 60 % respondentů využívalo nějakou formu hlášení bezpečnostních
incidentů. Na dotaz, zda jejich organizace měří a připravuje
výkazy/hlášení o stavu bezpečnosti, pouze 35 % respondentů odpovědělo,
že tak učinili nyní a jen dalších 17 % řeklo, že to plánují do budoucna.
Měření stavu bezpečnosti představuje rostoucí oblast zájmu. Pokud něco
nelze změřit, není možné to ani účinně řídit. Výsledky šetření ukazují,
že společnosti stav bezpečnosti neměří, a tudíž o něm ani nepřipravují
hlášení/výkazy. Jak tedy mohou tyto společnosti vědět, že na ochranu
svých systémů a dat vynakládají dostatečné částky (resp. že
nevynakládají příliš mnoho) a dále, že za své peníze opravdu získávají
hodnoty, které potřebují?
Bezpečnostní opatření jsou důležitá, protože společnostem umožňují
sledovat, jak dobře si vedou ve srovnání s konkrétními kritérii
účinnosti a efektivity a také rizikovými kritérii. Dokud společnosti
nebudou schopny měřit stav bezpečnosti, nebudou si moci být jisty, že
mají svá informační aktiva tak dobře chráněna, jak si myslí.
Ze závěrů průzkumu společnosti
PricewaterhouseCoopers a firmy Landwell vyplývá, že existuje řada
klíčových otázek, které musí podnikatelská sféra řešit, má-li si udržet
konkurenceschopnost:
1. Odpovídá váš způsob využívání různých mobilních zaměstnaneckých forem
vašim záměrům a cílům a zvyšuje hodnotu vaší podnikatelské činnosti?
2. Uplatňuje váš podnik udržitelnou globální strategii pro řízení
činnosti svých pracovníků v mezinárodním měřítku, která by zahrnovala
nábor a udržení pracovníků, způsob jejich odměňování, diferenciaci
struktury pracovníků, jejich kontinuální rozvoj a řízení výkonu?
3. Máte jasnou představu o tom, jakým způsobem ovlivní potřebu
zahraničních pracovníků technologie (například tím, že vám umožní
organizovat strukturu činnosti tak, abyste omezili svou závislost na
mobilitě pracovníků)?
4. Vzali jste v úvahu možnost využití všech potenciálních skupin
pracovníků, včetně místních pracovních sil a mobilních starších
pracovníků, a zájmu o práci v zahraničí ze strany mladších pracovníků?
5. Zvážili jste výdaje na vaše zahraniční pracovníky působící na základě
zahraničních smluv v porovnání s náklady na pracovníky zaměstnanými
podle obvyklých místních podmínek? Podnikli jste kroky, které by vedly
ke snížení těchto nákladů?
6. Máte centrální webovou stránku, která by zaměstnancům poskytovala
informace o případných volných místech a o veškerých aspektech
zahraničních pracovních příležitostí? Dbáte na to, aby vaši zaměstnanci
získávali (nové) jazykové znalosti?
7. Pracují zahraniční zaměstnanci pro váš podnik legálně?
8. Jestliže vysíláte zaměstnance pracovat do jiného státu, dodržujete
zákony tohoto státu upravující pracovní vztahy, jako je například
maximální pracovní doba? Vzali jste v úvahu, že tito pracovníci mohou
požívat zaměstnaneckých práv obou států?
Výzkum "Řízení mobility pracovních sil - evropská perspektiva"
zpracovaný společnostmi PricewaterhouseCoopers a Landwell, zahrnoval
tyto fáze:
a) průzkum provedený mezi více než 400 společnostmi z osmi evropských
zemí (České republiky, Francie, Německa, Nizozemí, Španělska, Švédska,
Švýcarska a Velké Británie), který zjišťoval jejich názory a postoje
týkající se potenciálního významu a důsledků zvýšené mobility pracovních
sil,
b) série případových studií u téměř 25 evropských nadnárodních
společností z různých odvětví s cílem získat podrobnější informace o
jejich přístupu a postoji k široké škále problémů spojených s mobilitou
pracovních sil,
c) průzkum provedený společností MORI mezi více než 10 000 respondenty v
deseti evropských státech (jedná se o státy, které se účastnily průzkumu
Řízení mobility pracovních sil, a Maďarsko a Polsko), který zjišťoval
jejich postoje ke stěhování do zahraničí za účelem pobytu a výkonu
povolání a jejich názory na výhody a překážky, které pracovní mobilitu
provázejí. Výsledky tohoto průzkumu byly publikovány v tiskové zprávě
společnosti PricewaterhouseCoopers.
V rámci šetření byly v širokém měřítku kontaktovány největší světové
firmy s obratem nad 50 mil. USD. Šetření bylo prováděno telefonicky s
těmi členy vedení, kteří jsou odpovědní za bezpečnost informací.
Organizace byly vybrány tak, aby zvolený vzorek pokrýval všechny sektory
podnikání a státních služeb v Evropě, v ESVA, v asijsko-pacifickém
regionu a na americkém kontinentu. Sponzory šetření byly CheckPoint,
RSA, Symantec a Secure Computing Magazine. |
