Információbiztonság a vállalatoknál
A vállalati információbiztonság stratégiai szerepre tör ? tudtuk meg az Ernst & Young 2007. évi Információbiztonsági felméréséből. A Global Information Security Survey szerint a hazai vállalkozások egyre inkább felismerik az információbiztonság valódi szerepét és az üzleti hatékonysághoz való hozzájárulását, tudtuk meg a mai sajtóreggelin.
Az integráció és egyensúly volt a fő motívum az Ernst & Young tizedik, nemzetközi Információbiztonsági felmérésének, mely rámutatott, hogy míg nemzetközi szinten egyre több szervezet ismeri fel, az adatbiztonság többet jelenthet a vállalati eszközök puszta védelménél, itthon ez a folyamat inkább csak a nagyvállalatokra jellemző.
Ezzel párhuzamosan, a hatékony informatikai platform és az üzleti teljesítmény kapcsolatának növelése egyre kritikusabb célkitűzéssé válik és a vezetés információbiztonsággal kapcsolatos tudatossága növekszik. Ennek ellenére továbbra is a legtöbb információbiztonsági vezető, csak nagyon nehezen tudja területét az üzleti folyamatok fontos részévé emelni, mert az információbiztonság nem áll szoros kapcsolatban a vállalatvezetéssel, illetve nem képezi a stratégiai döntéshozatal szerves elemét.
A kommunikáció, és így az együttműködés hiánya jelentős probléma hazánkban is. A magyar eredmények szerint a válaszadók több mint 20 százaléka nyilatkozik úgy, hogy az igazgatótanácsnak nagyon ritkán, szinte soha nem jelentenek az informatikai biztonságot érintő kérdésekről.
A valódi információbiztonság megteremtése szempontjából a jövőben már nem elég, ha azt kizárólag működési oldalról, azaz a vállalati eszközök és adatok megvédésének szemszögéből közelítik a szervezetek ? világítja meg a helyzetet Bártfai Attila, az Ernst & Young információbiztonságért felelős szenior menedzsere. ? Az információbiztonságnak hazánkban is több kezdeményező szerepet kellene felvállalnia és nem csupán követő magatartást tanúsítania. A terület jobb eredményt ér el és pro-aktívabb szerepet tölthet be, ha kezdeményezéseiket a szervezet stratégiai célkitűzéseihez kötik.
Szervezeti hatékonyság
Magyarországon a vállalatok mintegy felénél ? szinte csak a nagyvállalatok körében ? van hivatalosan kinevezett informatikai biztonsági vezető. Ez jóval kevesebb, mint a világ többi részén, ahol a megkérdezettek 87 százalékánál létezik ilyen pozíció.
Bizonyos munkák kiszervezése és harmadik fél bevonása egyre inkább elterjed úgy itthon, mint a külföldi piacokon egyaránt. Ennek oka a szakképzett munkaerő (51% hazánkban), és a költségvetés hiánya (46% hazánkban), hiszen a válaszadók többségénél (80%) az IT biztonságra szánt összeg az informatikai büdzsé 10 százalékát sem éri el.
Szabályozási háttér
A nemzetközi válaszadók szerint a vállalati kockázatkezelésbe való integrációt leginkább a jogszabályoknak való megfelelés (36%) segíti és viszi előre. Itthon többnyire a vezetők igényei (47%) a meghatározóak. Ugyanez a trend igaz akkor, amikor az információbiztonság mozgatórugóiról kérdeztünk. Míg más országokból egybehangzóan a szabályozási háttér került ki győztesen, itthon az adatvédelem, -biztonság (29%) és az üzleti célok elérése (29%) kapta a főszerepet.
Az eltérés oka, hogy a hazai törvénykezés a külföldi gyakorlathoz képest még alulszabályozott. Ez alól csak az adatvédelmi törvény kivétel, amely a globális porondon is megállja a helyét. A nemzetközi gyakorlatra és tapasztalatra alapozva, az átfogó szabályozás bevezetése, valamint annak pontos alkalmazása az egyes szervezeteken belül megnövelte a vezetés információbiztonsági tudatosságát és valós példákon keresztül bizonyítja, hogy a terület egyre inkább összefonódik az üzleti döntéshozatallal.
Az információbiztonsági vezetők előtt álló legnagyobb kihívás, hogy a taktikai igényeket, a változások követését, valamint a működési tevékenységeket egyensúlyban tartsák, miközben az információbiztonság szerepét mind a vállalati, mind az üzleti egységek vezetőinek stratégiai döntéshozatali folyamataiba emelik. Az információbiztonságnak túl kell lépnie a vállalati kockázatkezelésen és jogszabályi megfelelésen, hogy az új feladatokon keresztül a stratégiai tervezés fontosabb szereplőjévé válhasson ? összegezte Bártfai Attila a sajtóreggelin.
A felmérés további fontos megállapításai
Az információbiztonság jobban köthető a szervezeti kockázati kezdeményezésekhez. Az egyre fontosabbá váló üzleti célokon kívül, az információbiztonság inkább az átfogó kockázatkezelés részét képezi, ahol ötből négy válaszadó (82%) jelzett valamilyen szintű integrációt. A kockázatkezelésbe teljes mértékben integrált adatbiztonsági funkcióval nemzetközi szinten csupán 29%, Magyarországon is alig 24% rendelkezik.
Mára a technológiai és működési hatékonyság javulásának elismert eleme az információbiztonság. A válaszadók több mint kétharmada (69%) véli úgy, hogy az információbiztonság javítja az informatika és a működés hatékonyságát, ami szöges ellentétben áll az előző évek eredményeivel, amikor is az adatbiztonságot kifejezetten a technológiai és működési hatékonyság gátjaként fogták fel.
A személyes adatok védelme jelentősen megnövelte az adatbiztonság szerepét. A személyazonosság-lopásról és a személyes adatok elvesztéséről megjelent híradások nagymértékben megnövelték a fogyasztói tudatosságot, és ezzel egyidejűleg a vállalatvezetőkben is tudatosították adatvédelemi elszámoltathatóságukat. Az idei, hazai válaszadók 78 százaléka rangsorolta a személyes adatok védelmét az adatbiztonság három legfontosabb tényezője közé.
Az információbiztonság túl elszigetelt a vállalatvezetéstől és a stratégiai döntéshozataltól. Aggodalomra ad okot, az információbiztonsági funkció és a stratégiai döntéshozatal közötti együttműködés hiánya, amit az mutat, hogy a válaszadók közel egyharmada soha nem egyeztetett még az igazgatósággal. Bár a tendencia javulást mutat, a legtöbb helyen nagyon lassú a folyamat: a többség negyedévente egyszeri alkalomnál is kevesebbszer egyeztet.
A vállalatok elsöprő többsége alkalmaz harmadik felet egy-egy információbiztonsági vizsgálattal kapcsolatban. Külső segítséget leginkább a belső hálózat biztonsági vizsgálatainál (44% hazánkban), valamint külső támadási és behatolási tesztek elvégzésénél (39% hazánkban) vesznek igénybe, mikor is egy független ? így objektív ? fél véleménye rendkívül fontos lehet.
A felmérésről
Az Ernst & Young tizedik éves Globális Információbiztonsági Felmérését világszerte több, mint 50 ország Ernst & Young ügyfeleinek válaszai alapján dolgoztuk ki. A nemzetközi felmérésre 2007. májusa és augusztusa között került sor, közel 1300 informatikai döntéshozó megkérdezésével, lefedve a legfontosabb iparági szektorokat.
A kérdőíveket, a felmérés egységességét biztosító instrukciókkal együtt küldtük szét. A válaszok többnyire a résztvevő szervezetek információbiztonságért felelős vezetőivel folytatott személyes interjúkból származnak. Ahol ez nem volt lehetséges, a kitöltést elektronikusan oldottuk meg. A hazai felmérés ? a nemzetközi kérdések alapján ? 2008. februárja és áprilisa között futott, bevonva több mint ötven vállalat informatikai és biztonsági vezetőjét.
Az Ernst & Young-ról
Az Ernst & Young világelső a könyvvizsgálat, adózási, tranzakciós és üzleti tanácsadási szolgáltatások terén. Világszerte 130 ezer munkatársukat kötik össze cégnk meghatározó értékei és a minőség iránti szilárd elkötelezettségük. Így segítik ügyfeleiket, munkatársaikat és szélesebb környezetüket lehetőségeik teljes körű kihasználásában. További információk itt olvashatók.
Az Ernst & Young név alatt az Ernst & Young Global Limited nemzetközi hálózatának önálló jogi személyiségű tagjai értendők. Az angliai székhelyű Ernst & Young Global Limited (company limited by guarantee) nem foglalkozik ügyfelek részére történő szolgáltatásnyújtással. Jelen közleményt az EYGM Limited, az Ernst & Young globális szervezetének ügyfélszolgáltatást ugyancsak nem nyújtó tagja adta ki.
