ÁROP-2.2.21-2013
Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban Nemeslaki András E-közszolgálat Fejlesztési Intézet
Nemzeti Közszolgálati Egyetem
NKE Kutatás 2014 Január-Február
ÁROP-2.2.21-2013
Milyen igényeket és elvárásokat támasztanak a továbbképzésekkel kapcsolatban? Mi jellemzi az IB-felelősök kijelölésének közigazgatási folyamatát?
Szakértői Interjúk 15 db Szakértők, akik befolyással vannak. Minisztérium Egyetem Egyetem Országos hatóság
IB-felelős
2014. 01. 13.
IB-szakértő
2014. 01. 15
IB-szakértő
2014. 01. 16.
elnökhelyettes
2014. 01. 30.
ÁROP-2.2.21-2013
Felhasználók, akik rálátással rendelkeznek. Vidéki kisváros
HR-szakértő
2014. 01. 30.
informatikus
2014. 01. 30.
önkormányzata Vidéki kisváros önkormányzata
Minisztériumi
IB-szakértő
2014. 01. 31.
háttérintézmény
informatikai Vidéki nagyváros
Informatikai szolgáltató
IB-igazgató
2014. 02. 05.
Informatikai szolgáltató
IB-szakértő
2014. 02. 05.
Informatikai szolgáltató
IB-szakértő
2014. 02. 05.
osztályvezető-
2014. 01. 31.
bírósága helyettes Megyei adóigazgatóság
humánigazgatási
2014. 01. 31.
főreferens Minisztériumi szervezet
informatikai
2014. 02. 06.
főosztályvezető Országos IB-szerv
képzési felelős
2014. 02. 25.
Vidéki nagyváros bírósága
IB-szakértő
2014. 02. 04.
Az interjú vezérfonalak három témaköre
ÁROP-2.2.21-2013
Az információbiztonság kérdése a közigazgatásban … … a képzendők körének kiválasztásának folyamata… …képzés tartalmával összefüggő kérdések, vélemények, elvárások.
Az IB szabályozási háttere és szervezeti struktúrája
ÁROP-2.2.21-2013
• Az IB szabályozás előrehaladottabb mint azt az infrastruktúra használatának fejlettsége indokolná. • Logikus építkezés, széleskörű konzultáció és elfogadottság. • Holisztikus szemlélet, párbeszéd az állam, a vállalatok és az oktatás/tudomány között. • Múlt öröksége terhes: „házról-házra küzdelem”. • Szervezetek együttműködése, információáramlás.
Az IT infrastruktúra helyzete ÁROP-2.2.21-2013
• Az információrendszer kataszter fontossága (50-100ezer rendszer a közigazgatásban). • Központosított beszerzés fontos szerepe a biztonság szempontjából (pl. NISZ). • A kimutathatatlan ROI problémája (a jó IB „láthatatlan”). • Decentralizáltság problémája („900 gépterem”) • EUs finanszírozású projektekben a fenntartás és nyomonkövetés problémája
A kinevezések közigazgatási folyamata
ÁROP-2.2.21-2013
• A törvényben jelzett három szint, három probléma típus jellemzi. Viszont a szervezetek megnevezése kritikus elem. • Ki a vezető? Munkáltatói jogokat gyakorló személy. A lényeg az IB terület jelentőségének megértése a személyi döntésekhez. • Ki az EIV? Hol van rá szükség? Létszám vagy kezelt adat függvénye? • Erőforrás hozzárendelés fontossága (pénz, paripa, fegyver). • Az EIV, mint tudásbróker.
A képzés általában ÁROP-2.2.21-2013
• Heterogén ismeretek és tudatosság a közigazgatásban. • Szakítani kell a „hagyományos képzések” logikájával (tartalom és módszer). • Gyakorlatorientáltság, szemlélet- és gondolkodásmód. • Szabályok, eljárások, folyamatok: esettanulmány centrikus képzés • Leterheltség figyelembevétele. • Alap és szakvizsgába való önálló modulként beépítés.
A képzés szintenként ÁROP-2.2.21-2013
• IB -Vezetők: – – – –
Holisztikus ismeretek Felelősség tudatosítása Folyamatok irányítása, megfelelő kérdezés. Eljárások ismerete (hatóságok).
• IB-Felelősök – – – –
Alapok ismerete Technológia és szervezeti ismeretek egyensúlya Folyamatok, pontos teendők ismerete, a baj felismerése. Tudásmenedzsment, szakmai fórumok, közösségépítés.
ÁROP-2.2.21-2013
A kiberstratégia, információbiztonsági törvény és a digitális kormányzás megvalósításának egyik kulcsa a felhasználói oldalon az információbiztonsági tudatosság.
Információbiztonság tudatosság
ÁROP-2.2.21-2013
A dolgozók általános ismeretei az információbiztonsággal kapcsolatban kiegészítve azzal hogy a szervezet információ biztonsággal kapcsolatos eljárásait hogyan értelmezik. BULGURCU, B.; CAVUSOGLU, H.; BENBASAT, I.: Information Security Policy Compliance: An Empirical Study Of Rationality-Based Beliefs And Information Security Awareness, in: MIS Quarterly. Vol. 34. Issue 3. pp. 523548. 2010
Az IB tudatosság jelentősége
ÁROP-2.2.21-2013
stratégia tudatosság
Sikeres stratégia végrehajtás Megfelelőség és motiváció Human folyamatok
Technikai eljárások
Az IB továbbképzés és éves továbbképzés szerkezete
ÁROP-2.2.21-2013
On-line kérdőív a biztonságtudatosságról
397ből 285 értékelhető
ÁROP-2.2.21-2013
A szervezeti dimenzióba olyan kérdések kerültek, amelyek a céges szokásokat és eljárásokat mérték: pl. Van-e IB-részleg a munkahelyén?, Tudja-e kihez kell fordulnia, ha számítógépét feltörték?, Szokott-e céges adatokat lemásolni és hazavinni?, Részesült-e munkahelyén IB-képzésben? stb.
ÁROP-2.2.21-2013
Infrastrukturális dimenzióba soroltuk az olyan kérdésekre adott válaszokat, hogy a válaszadók szerint mennyire biztonságosak a munkahelyi rendszereik: pl. Telepítve van-e vírusirtó a gépén?, Számítógépe automatikusan végzi-e el a frissítéseket?, Talált-e már vírust vagy trójai programot a céges gépén? stb.
Egyéni dimenziónak neveztük el azokat a kérdéseket, amelyek általános ismereteket és szokásokat tükröznek a felhasználó szintjén: pl. Észrevenné-e, ha gépét feltörnék?, Megadta-e már céges jelszavát másnak is?, Milyenek a levelek csatolmányainak megnyitásával kapcsolatos szokások? stb
SANS USA kérdőiv: 1-5 szint
A megkérdezettek 88%-ának jó a biztonságtudatossága
ÁROP-2.2.21-2013
A „kor” és a „nem” nem magyaráz
ÁROP-2.2.21-2013
Közepes
Átlag a mintán
osztályzat
belül
34,5%
21,5%
31,5%
35–44 év között
34%
43%
36%
45–54 év között
23%
24,5%
23%
55 év felettiek
8,5%
11%
9%
Nő
57%
46%
54,5%
Férfi
43%
54%
45,5%
Jó osztályzat Életkor szerint 35 év alattiak
Nem
Gondok a 88% jó biztonságtudatosságnál
ÁROP-2.2.21-2013
8% nem érzi biztonságosnak a számítógépét adatlopásokkal szemben. 14%-a a válaszadóknak talált már trójai programot a gépén. 25% inkább úgy gondolja, hogy csak az IT-részleg feladata a biztonság garantálása. 26%-a azt mondja, hogy megadta már másnak a céges jelszavát. 33% nem tudja miről ismerhető fel valamilyen átverős (spam) levél. 40%-a állítja, hogy nem venné észre, ha feltörnék a számítógépét.
49% pedig mindezek ellenére úgy gondolja, hogy megfelelően elegendő informatikai biztonsági képzésben részesült.
Köszönöm!
[email protected]
ÁROP-2.2.21-2013
