Az információbiztonság-tudatosság vizsgálata az osztrák és a magyar vállalkozások körében

Az információbiztonság-tudatosság vizsgálata az osztrák és a magyar vállalkozások körében Dr. Sasvári Péter - egyetemi docens Nagymáté Zoltán - doktorandusz

INFOTÉR-Balatonfüred 2014. november 6-7.

1

A kutatás célja  

Információbiztonság Információbiztonsági követelmények: ◦ fizikai védelem, ◦ logikai védelem,

◦ humánbiztonság, adminisztratív védelem. 

Az információbiztonság-tudatosság a szervezeti kultúrájának része, olyan gondolkodás- és magatartásmód, amely biztosítja, hogy a szervezetek alkalmazottjai elkötelezettségből elismerik a biztonsági intézkedések jogosságát, betartják azokat, és másokkal is megismertetik, illetve betartatják ezeket. 

Az információbiztonság-tudatosság megismerése.

INFOTÉR-Balatonfüred 2014. november 6-7.

2

A vizsgálat tárgya Osztrák és a magyar  Üzleti szféra ◦ (mikro-, kis- és középvállalkozás, nagyvállalat) 

Közszféra ◦ (Állami intézmények, Non-Profit állami szervezet, Profitorientált állami szervezet; ◦ Önkormányzat, Non-Profit önkormányzati szervezet, Profitorientált önkormányzati szervezet)



Civilszféra



információbiztonság-tudatosságának megismerése.

INFOTÉR-Balatonfüred 2014. november 6-7.

3

A vizsgálat módszere 

Primer kutatásunk alapjául egy nemzetközi és egy továbbfejlesztett kérdőív szolgált.



A kérdőívek kitöltése a Grazi Egyetem és a Miskolci Egyetem hallgatói segítségével papíron és online formában történt.



Az osztrák minta nagysága: 280.



A magyar minta nagysága: 316.

29%

Mikrovállalkozás Kisvállalkozás

44%

Középvállalkozás 33%

39%

Mikrovállalkozás

12%

Nagyvállalat

Kisvállalkozás15%

Középvállalkozás

13%

15%

Nagyvállalat

INFOTÉR-Balatonfüred 2014. november 6-7.

4

A kérdőív részei Demográfiai kérdések  Munkahely jellemzői  Információbiztonság-tudatosság kérdések  Egyéb kérdések 

INFOTÉR-Balatonfüred 2014. november 6-7.

5

Minőségi kategóriák 

Első kategória (tisztában vannak a biztonsági alapelvekkel és veszélyekkel, jól képzettek, mindennapi viselkedésük megfelel a munkahelyi biztonsági szabályoknak és irányelveknek.)



Második kategória (már vettek részt valamilyen információ biztonsági képzésen, tisztában vannak a veszélyekkel, de mégsem követik teljes mértékben a vonatkozó biztonsági alapelveket és szabályokat.)



Harmadik kategória (tisztában vannak a veszélyekkel és tudják, hogy bizonyos biztonsági alapelveket be kellene tartaniuk, de továbbképzésre szorulnak a témában. Itt már nem ismerik fel az informatikai incidenseket és nem tudják, mi a teendő.)



Negyedik kategória (nincsenek tisztában a biztonsági alapelvekkel és veszélyekkel)



Ötödik kategória (nincsenek tisztában a veszélyekkel és nem tartják be a biztonsági szabályzatokat)

INFOTÉR-Balatonfüred 2014. november 6-7.

6

Információbiztonság-tudatosság helyzete Magyarországon, 2014-ben

Ausztria Magyarország Első Második Harmadik Negyedik Ötödik Első Második Harmadik kategória kategória kategória kategória kategória kategória kategória kategória Nagyvállalat 20% 77% 2% 0% 0% 31% 61% 8% Közép29% 71% 0% 0% 0% 33% 33% 34% vállalkozás Kis0% 75% 25% 0% 0% 0% 100% 0% vállalkozás Mikro8% 43% 48% 0% 3% 0% 78% 22% vállalkozás Megnevezés

INFOTÉR-Balatonfüred 2014. november 6-7.

7

Információbiztonságtudatosság részei Szervezeti dimenzió A szervezet vezetése - hogyan irányítja és szabályozza az informatikai biztonsággal foglalkozó részleget és/vagy személyt, - milyen területekre terjed ki a szabályozás, - milyen a informatikai biztonsággal foglalkozók hatékonysága.

Egyéni dimenzió

Az alkalmazott: - érti a meghatározások jelentését, - felismeri hogy mi veszélyezteti az információs rendszer működését, - elősegíti a megelőzést, - tudja mi a teendő informatikai incidens bekövetkezés esetén.

Infrastrukturális dimenzió Az infrastruktúrát működtető alkalmazottak: - az információáramlást biztosító kommunikáció rendszerekből érkező veszély felismerésével, - valamint informatikai védelmi intézkedéssel foglalkozik.

INFOTÉR-Balatonfüred 2014. november 6-7.

8

Az információbiztonság-tudatosság szervezeti dimenziója

Ausztria Magyarország Első Második Harmadik Negyedik Ötödik Első Második Harmadik kategória kategória kategória kategória kategória kategória kategória kategória Nagyvállalat 4% 71% 25% 0% 0% 15% 85% 0% Közép0% 47% 53% 0% 0% 0% 67% 33% vállalkozás Kis0% 29% 52% 19% 0% 0% 50% 50% vállalkozás Mikro0% 14% 43% 36% 7% 0% 33% 67% vállalkozás Megnevezés

INFOTÉR-Balatonfüred 2014. november 6-7.

9

Az információbiztonság-tudatosság egyéni dimenziója

Megnevezés Nagyvállalat Középvállalkozás Kisvállalkozás Mikrovállalkozás

Ausztria Első kategória

Második kategória

Harmadik kategória

62%

16%

20%

72%

6%

24% 28%

Magyarország Negyedik kategória

Ötödik kategória

Első kategória

2%

0%

38%

31%

23%

8%

22%

0%

0%

67%

0%

33%

0%

52%

24%

0%

0%

0%

50%

50%

0%

43%

26%

2%

2%

0%

78%

22%

0%

INFOTÉR-Balatonfüred 2014. november 6-7.

Második Harmadik Negyedik kategória kategória kategória

10

Az információbiztonság-tudatosság infrastrukturális dimenziója

Ausztria Magyarország Első Második Harmadik Első Második Harmadik kategória kategória kategória kategória kategória kategória Nagyvállalat 58% 42% 0% 38% 54% 8% Közép45% 55% 0% 67% 0% 33% vállalkozás Kis30% 70% 0% 0% 100% 0% vállalkozás Mikro35% 52% 13% 22% 78% 0% vállalkozás Megnevezés

INFOTÉR-Balatonfüred 2014. november 6-7.

11

A globális kockázati kategóriák és az alkalmazottak digitális műveltsége közötti kapcsolat Kockázati kategóriák 50

Első kategória 40

Második kategória

25%

30

Harmadik kategória

22%

20 0

20 30 Nagyon 10 Rossz Közepes rossz

Jó

40

Kiváló

50

0

20 30 Nagyon 10 Rossz Közepes rossz

Jó

40

Kiváló

50

Az alkalmazottak digitális műveltségének a szintje

INFOTÉR-Balatonfüred 2014. november 6-7.

12

Hogyan tovább? Zbigniew Pastuszak Lengyelország

Ladislav Siska Csehország

Mirjana Pejic Bach Horvátország

Wolf Rauch Ausztria

Filomena Cerqueira Castro Lopes Portugália

Massimo Ciambotti Olaszország

INFOTÉR-Balatonfüred 2014. november 6-7.

Amila Pilav-Velić Bosznia és Hercegovina

Összefoglalás 

Az osztrák és a magyar üzleti szférában dolgozó vezetők, alkalmazottak és az IT infrastruktúrát működtetők az információbiztonság-tudatossága vállalati méretfüggő. A magyar és az osztrák nagyvállalatoknál ez a tudatosság a folyamatos képzés, a nagyobb vállalati IT használat szabályozottsága miatt jónak mondható.



A 250 főnél kevesebbet foglalkoztató osztrák középvállalkozásoknál jó az információbiztonság-tudatosság, a hasonlóméretű magyar szervezetek harmadánál az alkalmazottak továbbképzésre szorulnak ezen a területen.



Az osztrák kisvállalkozások ötöde, mikrovállalkozások harmada, valamint a magyar mikrovállalkozások ötödénél a biztonsági problémák rossz szervezésre vezethetők vissza.



Az osztrák és a magyar vállalkozások ötödénél az ott dolgozó alkalmazottak ezen a területen szerzett hiányos ismereteik aggasztónak tekinthetők.



Továbbá megállapítható még, hogy a magasabb informatikai műveltséggel rendelkezők magasabb információbiztonság-tudatossággal bírnak, mint Ausztriában, mint pedig Magyarországon az üzleti szférában.

INFOTÉR-Balatonfüred 2014. november 6-7.

14

Köszönjük a figyelmüket!

INFOTÉR-Balatonfüred 2014. november 6-7.

15

Melléklet

INFOTÉR-Balatonfüred 2014. november 6-7.

16