TARTALOMJEGYZÉK Előszó... 3 Bevezetés... 4 Vezetői összefoglaló... 5 IT Audit... 7 IT Biztonság IT Irányítás IT Kockázatelemzés

TARTALOMJEGYZÉK Előszó ............................................................................................................... 3 Bevezetés ......................................................................................................... 4 Vezetői összefoglaló......................................................................................... 5 IT Audit ............................................................................................................ 7 Audit elterjedtsége/formája ....................................................................................7 Audit tervezése......................................................................................................8 Beszámolási rend ................................................................................................. 10 Végrehajtás és eszközrendszer ............................................................................. 12 Auditorok személye és képzettsége ....................................................................... 15 IT Biztonság ................................................................................................... 17 Az IT-biztonsághoz kapcsolódó képességek, folyamatok......................................... 17 Információvédelem a külső szolgáltatókkal kapcsolatban ........................................ 19 Információbiztonsággal összefüggő incidensek ...................................................... 19 Felelősség, beszámol[tat]ás ................................................................................. 20 Az információbiztonság költségvetése ................................................................... 23 IT Irányítás .................................................................................................... 24 IT Kockázatelemzés ....................................................................................... 25 Felsővezetés szerepe ........................................................................................... 25 Rendszeres kockázatfelmérés ............................................................................... 26 Eljárások, eszközök, rendszerek ............................................................................ 27 Függelék ......................................................................................................... 29 A kutatásról......................................................................................................... 29 Executive Summary: The State of Information Security 2011 ................................. 30

Információbiztonsági helyzetkép 2011

2

ELŐSZÓ

Először készült Magyarországon átfogó, menedzsment központú és kereskedelmi célok által nem befolyásolt felmérés az információbiztonság területén. Bízom benne, hogy e tanulmányból profitálni fognak a költségvetési- és privátszféra szereplői egyaránt. Remélem, hogy elemzéseink segíteni fogják a megrendelői oldal résztvevőit, hogy elhelyezzék magukat a mezőnyben, ötleteket kapjanak a terület irányítási kérdéseinek kezeléséhez és céljainak kialakításához. Abban is bízom, hogy a szolgáltatói oldal pedig a helyzet jobb megértése által célzottabb, az igényekhez még jobban alkalmazkodó szolgáltatásokkal tudja a piacot kiszolgálni. Mindez hozzásegítené az ISACA-t ahhoz, hogy egy lépést tegyen az informatikai audit, biztonság, kockázatkezelés és irányítás szakterületek képviseletének, mint küldetésének megvalósítása terén és éves szinten rendszeressé tegye e tanulmány kiadását. Kívánom, hogy használják sikerrel az információkat, hasznosítsák az elemzéseket további terveik kialakításához, alátámasztásához, valamint szolgáltatásaik finomhangolásához. Köszönöm ISACA tagtársaimnak, hogy tagdíj befizetéseikkel biztosították a felmérés finanszírozását. Köszönöm az Információbiztonsági felmérés munkacsoport tagjainak, Dellei Lászlónak, dr. Lugosi Erzsébetnek, Rónaszéki Péternek és dr. Szép Jenőnek, hogy munkájukkal hozzájárultak a tanulmány elkészültéhez. Köszönöm a KPMG-nek a kiadvány megjelenésének támogatását és nem utolsó sorban a BellResearch-nek a terepmunka elvégzését, valamint az elemzések összeállítását. Szabolcs András Alelnök ISACA Magyarországi Egyesület


3

BEVEZETÉS

Ugyan az információbiztonság helyzetéről Magyarországon minden szakmabelinek, biztonsági szakértőnek és informatikai auditornak van elképzelése, úgy véljük, az átfogó felmérések számukra is értékes információval szolgálnak. Szintúgy a vállalatvezetők számára, akiknek egy kihívásokkal teli gazdasági helyzetben kell a szűkös erőforrásokat a szervezetet fenyegető számos kockázati tényező kezelésére allokálni. A mai bizonytalan környezetben a vállalatok jóval sérülékenyebbek egy szolgáltatáskiesést okozó incidens, egy belső csalás vagy egy adatszivárgás bekövetkezése esetén. E tanulmányok trendeket mutathatnak, és felhívhatják a szakemberek figyelmét arra, hogy a szervezetüknél jelentkező IT-biztonsági problémák általánosan jellemző, iparágspecifikus, netán egyedi esetek. Áttekintve a felmérés eredményeit, azonosíthatjuk azokat a gócpontokat, biztonsági kockázatokat és kihívásokat, amelyek nem csupán Magyarországon, de világszerte fejtörést okoznak az informatikai auditoroknak. Kihívás az audit számára a korszerű technológiák használata, amelyek között említhetjük a virtualizációt, a felhő alapú megoldásokat vagy az intelligens mobil eszközöket, melyek új megközelítéseket és specifikus szakértelmet kívánnak a felülvizsgálatok során. Megvalósítható vajon ez az auditorok képzése, vagy külső szakértők alkalmazása nélkül? Végezhetnek-e hatékony munkát az auditorok a megfelelő sérülékenység- és adatelemző eszközök nélkül? Aligha. Napjainkban már nem feltétlenül nyújt elegendő bizonyosságot az előírt kontrollok betartásának időnkénti, mintavételezéses, vagy egy adott rendszerhez kapcsolódó ellenőrzése. Igazi értéket az üzleti folyamatok és azokban levő kontrollok teljes spektrumának ellenőrzése (end-toend audit), valamint a kontrollok működési hatásosságának folyamatos figyelemmel kísérése és a szabályszegések vagy hiányosságok azonnali észlelése és kezelése (Continuous Auditing – Continuous Monitoring) teremt, amelyek megakadályozhatják az üzleti károk bekövetkezését. Úgy véljük, az audit ellenőrző funkcióból úgy válhat valódi értékteremtő funkcióvá, ha aktívan és proaktívan, a hatékony és hatásos kontrollok propagálásával, ezáltal az üzleti folyamatok fejlesztésével járul hozzá az üzlet sikeréhez. Gaidosch Tamás Partner KPMG Tanácsadó Kft.


4

VEZETŐI ÖSSZEFOGLALÓ A hazai nagyvállalatok negyede még mindig mellőzi az IT auditot Az IT audit elhagyása sajnos még mindig nem ritka probléma. Minden szervezetnek döntenie kell: vagy vállalja az IT audit költségeit, vagy elhanyagolja ezt a területet, de utóbbi esetben olyan váratlan, kontrollálhatatlan és sokszor jelentős költségtényezőkkel szembesülhet utólag, melyek megfelelő óvintézkedésekkel jelentősen csökkenthetők vagy akár kiküszöbölhetők lettek volna. Sajnos sok vállalatnál ezt még nem látják tisztán és inkább választják a jóval magasabb, de nehezebben érzékelhető kockázatot, mint a forintban is azonnal mérhető audit költséget. A részletes kockázatelemzés jelentőségét az audit folyamatban egyre inkább felismerik, főként a magáncégek Komoly IT audit nehezen képzelhető el kockázatelemzés nélkül. A megfelelő IT kockázatfelmérés hiányában, amely feltárhatná, hogy milyen speciális kockázatok állnak fenn, a belső és IT auditorok gyakran inkább a „kényelmesebb” területekre fókuszálnak [pl. általános IT kontroll]. Ezt felismerve a kockázatelemzés a belső IT auditálást végző cégek immár mintegy kétharmadánál megjelenik. A költségvetési intézmények viszont jelentős lemaradásban vannak a magáncégekhez képest ebben a tekintetben. Az audit a legtöbb helyen már kikerült a vállalati IT irányítása alól és magasabb fórumok felé tartozik felelősséggel Egyre több helyen ismerik fel, hogy kedvezőbb ezt a funkciót az belső IT-n kívül tartani: az IT audit funkció leggyakrabban a vállalat felső vezetése vagy akár egyenesen az anyavállalat felé tartozik beszámolni. Ennek megfelelően az auditok fontossága nőtt és az auditban található megállapításokat utólag is egyre inkább számon kérik az IT részlegen. Változatlanul ellentmondásos viszont, hogy [mind a magyar, mind a nemzetközi gyakorlatban] a vállalatok tetemes részében az implementációs projektekbe az auditot már nem vonják be érdemben, de a vállalati stratégiába való beépítés is sok helyen hiányzik. Az auditorok személye és képzettsége egyre fontosabbá válik A tapasztalatok azt mutatják, hogy a vállalatok egyre jobban megválogatják, kit és milyen képzettséggel engednek üzemkritikus informatikai és biztonsági rendszereik közelébe. Kulcsfontosságú az is, hogy az auditorok megtalálják az egyensúlyt a technikai és az üzleti ismeretek között és mindkét területen hatékonyak tudjanak lenni. A nagyvállalatok leginkább a CISA, az ITIL és a CISM szakképesítést igénylik az IT audit területen dolgozóktól. 3 olyan fő auditori képesség figyelhető meg, melyek jelentősége mind a nemzetközi, mind a hazai nagyvállalati körben várhatóan növekedni fog a közeljövőben: egyrészt a különféle kockázatkezelési megközelítések ismerete, másrészt a specifikus technológiai ismeretek, harmadrészt [de egyáltalán nem utolsósorban] pedig a kritikai gondolkozás és analízis képessége. Az információbiztonság stratégiai fontosságát már részben felismerték a magyar vállalatok, de az ennek érdekében tett konkrét lépések terén még távol vagyunk az élvonaltól Átfogó információbiztonsági stratégiája a vállalatok 61 százalékának van, ez megközelíti a nemzetközi átlagban 65 százalékos szintet. Hasonló a helyzet a katasztrófaelhárítási terv [62%] és az átfogó biztonsági szabályzat és eljárásrendek [68%] esetében is. Ugyanakkor központosított naplóelemző rendszerrel csak a cégek/intézmények egyharmada, sérülékenységelemző eszközökkel az egynegyede rendelkezik, ami jóval elmarad a nemzetközi átlag mögött.


5

Az IT-biztonság kezelése a nemzetközi trendekhez képest kisebb súlyt kap a magyarországi vállalatoknál Idősoros nemzetközi felmérésekből jól látható, hogy növekszik azoknak a vállalatoknak az aránya, ahol az információbiztonsági terület közvetlenül a cég felsővezetésének vagy első számú vezetőjének az irányítása alá tartozik. Magyarországon ezzel szemben többségben vannak azok a vállalatok, ahol az információbiztonság az IT-vezető alá van rendelve. Ennél is aggasztóbb, hogy a magyar vállalatok/intézmények többségénél nincs és nem is terveznek bevezetni semmilyen mérőszámrendszert az információbiztonsági terület hatékonyságának a vizsgálatára – nemzetközi átlagban ezzel szemben a cégek 38%-a használ ilyen metrikát, és további 24% tervezi bevezetni. A hazai vállalatok informatikai vezetői viszonylag jól informáltak az információbiztonsággal összefüggő incidensek kapcsán A magyarországi felmérésben a nemzetközi átlaghoz képest alacsonyabb volt azoknak az informatikai vezetőknek az aránya, akik nem tudtak válaszolni a cégüknél előforduló incidensek gyakoriságára, jellegére vonatkozó kérdésekre. Az IT biztonságot legnagyobb mértékben fenyegető veszély az eszközlopás, amit a cégek negyede tapasztalt Száz vállalatból 27-nél fordult elő eszközlopás az elmúlt egy évben, külső behatolási kísérletet pedig 21% tapasztalt. Az eszközlopást azonosító cégek többségénél egy-két alkalommal fordult csak elő ilyen incidens az elmúlt 12 hónap során, de van olyan cég is, ahol ez akár havi rendszerességgel is előfordul. Az információbiztonságra költött összeg nagysága nemzetközi szinten és Magyarországon egyaránt csökken A magyar vállalatok és intézmények körében 21 százaléknál csökkent 2011-ben az információbiztonsági terület költségvetése az előző évihez képest, míg növekedésről csak 7% számolt be. A költségcsökkentés mértéke az érintett vállalatok és intézmények közel felénél a 20%-ot is meghaladta. A költségvetési szféra intézményei lemaradnak a magánszféra vállalatai mögött az információbiztonság terén A költségvetési intézmények az átlagosnál alacsonyabb arányban rendelkeznek információbiztonsági stratégiával [56% vs. 62%] és katasztrófaelhárítási tervvel [48% vs. 67%], kisebb hányaduknál található kifejezetten az információbiztonságért felelős vezető [37% vs. 55%], az információbiztonsági területnek ritkábban kell beszámolnia tevékenységéről, mint a magánszférában, és az átlagosnál nagyobb mértékben csökkent 2011-ben az információbiztonsági költségvetésük is. A vállalatok/intézmények közül az információbiztonság szintjét tekintve kiemelkedőek a pénzügyi területen tevékenykedő szervezetek és a külföldi tulajdonú cégek A pénzügyi szektor vállalkozásai szinte valamennyi vizsgált kérdésben magasabb eredményeket mutatnak a többi vállalatnál. Kiemelkedően magas arányban van információbiztonsági vezetőjük [93%], és szintén kiemelkedő az információbiztonsági terület beszámoltatási gyakorisága [67% legalább havonta]. A 100%-os magyar tulajdonban lévő cégek a részben vagy egészben külföldi kézben lévő vállalatokhoz képest kevésbé kezelik stratégiai kérdésként az információbiztonságot, alacsonyabb körükben az információbiztonsági vezetők aránya, és kevésbé jellemző, hogy az információbiztonsági terület közvetlenül a felsővezetés felé számol be. A vállalatok többségénél jónak mondható kockázatok kezelésében betöltött szerepe

a felsővezetésnek

az

IT-

A vizsgált vállalatok 60 százalékánál a felsővezetés nagyrészt átlátja a cég működése szempontjából kritikus IT-kockázatokat, és szintén a cégek többségére igaz, hogy a felsővezetés döntései megfelelőképpen támogatják az IT-kockázatok hatékony menedzselését. Ugyanakkor rendszeres kockázatfelmérés csak a cégek 40 százalékánál történik, ennek a körnek a bővülése mindenképpen szükséges lenne a hatékony kockázatmenedzselés szempontjából.


6

IT AUDIT A belső és külső auditnak egy különösen dinamikus és komplex kockázati környezettel kell megbirkóznia a jelenlegi válságidőszakban, hogy megkönnyítse az alkalmazkodást a rendkívüli sebességgel változó üzleti és IT biztonsági kihívásokhoz. Az IT auditok szempontjából jelenleg három terület tekinthető nemzetközi szinten is a leginkább égetőnek: ezek az üzleti növekedés, a újonnan megjelenő/feltörekvő technológiák, valamint a növekvő szabályozottság kérdésköre.

Audit elterjedtsége/formája Mindezen kihívásokhoz a hazai nagyvállalatok is próbálnak alkalmazkodni, bár a megvalósítás számos esetben kívánnivalókat hagy maga után. Fontos azonban látni: hogy ezek a problémák messze nem egyediek és egyáltalán nem állnak meg az országhatároknál: a 2011-es év különösen is rámutatott, hogy számos, a hazaiaknál lényegesen komolyabb tőkeerővel és IT biztonsági háttérrel rendelkező multinacionális nagyvállalat is időről időre komoly károkat [valamint ezekhez kapcsolódó járulékos presztízsveszteségeket] volt kénytelen elszenvedni IT biztonsági hiányosságok miatt. A szakértők többsége megegyezik abban, hogy a jelenlegi folyamatos fejlődési és fejlesztési kényszer, valamint a rendelkezésre álló erőforrások szűkössége folytán a teljes körű IT biztonság megteremtése az álmok világába tartozik: a folyamatos fejlesztések újratermelik a biztonsági réseket, melyeknek befoltozása egy szinten túl sem időben, sem pénzügyileg nem gazdaságos a fejlesztői oldalon. Mindezen nehézségek viszont éppen a biztonsági audit kiemelt szükségességére világítanak rá. Bár az összes probléma így sem szüntethető meg, de a biztonsági kockázatok mind az előfordulás valószínűsége, mind pedig a keletkezett károk potenciális súlyossága tekintetében jelentősen csökkenthetők a megfelelő minőségben és rendszerességgel elvégzett IT audit segítségével.

1. ábra:

Végeznek-e rendszeresen [belső és/vagy külső] IT auditot a szervezetnél?

8%

17%

Csak belső auditot végeznek

17%

Csak külső auditot végeznek

8% Belső és külső auditot is végeznek Sem belső, sem külső auditot nem végeznek NT/NV

50%

A legjelentősebb hazai nagyvállalatok közel fele [44%] mind belső, mind külső IT auditot alkalmaz, a fennmaradók jelentős része pedig inkább a belső audit mellett tette le a voksot. Ez utóbbi komoly biztonsági kockázatot jelenthet, mivel akár a belső, akár a külső nézőpont kimaradása a folyamatból számos potenciális sebezhetőséget hagyhat feltáratlanul. Ennél is rosszabb hír, hogy a vizsgált cégek negyede teljességgel mellőzi az IT auditot. Az utóbbi pedig „felhívás keringőre”: ha egy szervezet maga nem deríti fel időben saját sebezhetőségeit, akkor lesznek mások akik ezt megteszik helyette. A


7

probléma csak az, hogy ezek a szereplők utána már maguk döntenek arról, mit kezdenek az így megszerzett információkkal, és igen gyakran nem jószándékúan használják fel azokat. Éppen ezért minden szervezetnek döntenie kell: vagy vállalja az IT audit költségeit, vagy elhanyagolja ezt a területet, de utóbbi esetben olyan váratlan, kontrollálhatatlan és sokszor jelentős költségtényezőkkel szembesülhet utólag, melyek megfelelő óvintézkedésekkel jelentősen csökkenthetők vagy akár kiküszöbölhetők lettek volna. Ágazatonként megvizsgálva a pénzügyekkel foglalkozó szervezeteknél figyelhető meg a legnagyobb tudatosság az audit területén: 93%-uk belső és külső auditot egyaránt alkalmaz.

2. ábra:

Van-e kiszervezés az IT audit területen?

Igen, van 44% 51%

Még nincs, de tervezzük Nincs, és nem is tervezzük

5%

A kiszervezés az audit folyamatokat is elérte: ma már igen sok, IT auditot végeztető cég nem saját stábjával készíti el a belső auditot sem, hanem ehhez külső szakértőket hív segítségül. Ilyen módon a szervezeten belül hiányzó kompetenciák dilemmája feloldásra kerülhet, míg sok esetben egyszerűen az elfogulatlanság biztosítása a cél. Persze a kiszervezéshez is kapcsolódhatnak kérdőjelek: számos cég nem szeretne külső szereplőknek érzékeny rendszereibe betekintést nyújtani [esetleg törvényi vagy egyéb szabályozási okból nem is járhat így el], vagy éppen nincs megbizonyosodva az outsource szolgáltató minőségpolitikájáról, feddhetetlenségéről, ill. nem lát garanciákat az esetlegesen bekövetkező negatív kimenetelekre. Az ellentétes irányú motivációk eredményeként a nagyvállalatok ebben a kérdésben eltérő fejlődési pályákon mozognak: minden második szervezet már most is kiszervezi IT audit tevékenységét vagy a közeljövőben tervez ez irányú lépéseket, másik felük viszont eddig is bent tartotta ezt a folyamatot, és a jövőben sem lát okot arra, hogy ezen változtasson.

Audit tervezése A belső IT auditok kapcsán kulcskérdés az auditok megtervezése is: A nem kellő részletességgel vagy alapossággal, esetleg bizonyos kompetenciák híján megtervezett IT audit árát egy későbbi büntetés, iteratív munka vagy támadás esetén sok esetben drágán kell megfizetni. Az felismerve a belső auditokat az ilyet végző nagyvállalatok kétharmada már most is részletesen megtervezi, és ez az arány a későbbiekben várhatóan növekedni fog: további mintegy ötödrészük tervezi ugyanezt bevezetni már a közeljövőben. A tervezés a leggyakrabban éves ciklusokra épül, a negyedéves ill.


8

gördülő tervezés megjelenése – a nemzetközi tendenciákhoz hasonlóan, ahol szintén az éves tervezés a jellemző – viszonylag ritka.

3. ábra:

Van-e részletes IT audit terv a szervezetnél?

13%

Igen, van Még nincs, de tervezzük

22%

65%

Nincs, és nem is tervezzük

Komoly IT audit nehezen képzelhető el kockázatelemzés nélkül. A megfelelő IT kockázatfelmérés hiányában, amely feltárhatná, hogy milyen speciális kockázatok állnak fenn, a belső és IT auditorok gyakran inkább a „kényelmesebb” területekre fókuszálnak [pl. általános IT kontroll]. Ennek az elvnek megfelelően a kockázatelemzés a belső IT auditálást végző cégek immár mintegy kétharmadánál megjelenik. Az esetek döntő többségében a kockázatelemzés tisztán kvalitatív vagy vegyes alapon történik, a tisztán kvantitatív módszertant használó kockázatelemzés viszonylag ritka. A kockázatelemzés minden előnye ellenére is lényegesen kevésbé számít elterjedtnek a költségvetési intézményeknél [33%] mint a magánszférában [73%]. Az ágazatokat nézve a pénzügyi szervezeteknél a leginkább gyakori.


9

4. ábra:

Mely szervezeti egység / részleg / vezető hagyja jóvá az éves IT audit tervet?

IT audit terv jóváhagyása Felső vezetés/igazgatótanács [51%] IT vezető [25%] Belső ellenőrzési vezető [18%] Audit Bizottság [14%] Pénzügyi vezető [10%] Anyavállalat [8%]

Ahol az IT auditot tervezik, ott jellemzően már igen komoly szinten jelentkezik a feladat a szervezeti hierarchiában is: az ilyen nagyvállalatok mintegy felében a legfelsőbb döntéshozó fórum [felsővezetés / igazgatótanács] hagyja jóvá az éves audit tervet. Gyakori az is, hogy egy vagy több vezetőnek [pl. IT vezető, belső ellenőrzési vezető] vagy egy erre a célra létrehozott audit bizottságnak kell jóváhagynia a terveket. Az esetek mintegy 8%-ban ennél is magasabb fórum, az anyavállalat jóváhagyása [is] szükséges.

Beszámolási rend Tekintettel a vizsgált szervezetek nagy méretére és az érintettek széles körére, az audit eredményeit a végrehajtást követően jellemzően több irányba is riportolni kell. Legtöbb esetben [83%] ezek közé tartozik az éppen auditált terület felső vezetése, de a cégek tekintélyes részében a belső ellenőrzés, az igazgatótanács és az anyavállalat is kíváncsi az audit eredményekre. Az audit bizottság és a külső auditor partnerek [ahol vannak] szintén gyakran megkapják az eredményeket.


10

5. ábra:

Mely szervezeti egységnek tartozik beszámolással az IT audit funkció?

Felső vezetés/ igazgatótanács

• 53%

Anyavállalat

• 17%

IT vezető

• 16%

Audit Vezető

• 10%

Audit Bizottság

• 4%

Az auditot végző szervezeti egységet természetesen nem csak az elkészült riportok alapján ítélik meg, hanem valamely vállalati szerv szorosabban is ellenőrzi őket. A tapasztalatok azt mutatják, hogy kedvezőbb ezt a funkciót az belső IT-n kívül tartani, mivel így elkerülhető, hogy a személyes összefonódások és függelmi viszonyok befolyásolják az audit eredményét. Ez a cél a vizsgált cégeknél többnyire meg is valósul: az IT funkció leggyakrabban a vállalat felsővezetése vagy akár egyenesen az anyavállalat felé tartozik beszámolni. Ezzel a magyar vállalatok a nemzetközi átlagnál jobban megfelelnek az Audit Committee Institute ajánlásának, amely szerint az auditnak a felsővezetés vagy az Audit Bizottság felé kell beszámolnia; nemzetközi szinten az audit a cégek 60 százalékánál az Audit Vezetőnek számol be és csak mintegy egyötödük a felsővezetésnek vagy az Audit Bizottságnak. Az audit megvalósulását jellemzően szintén utólag is nyomon követik az IT szervezetben. Ennek fontosságát aláhúzza, hogy a feladatot leggyakrabban a belső ellenőrzés vagy a felsővezetés / igazgatótanács végzi [tehát nem az auditált szervezet maga], de sok esetben az auditált szervezet maga is számon tartja, hogy mi valósult meg az ajánlásokból. Ehhez képest ellentmondásos viszont, hogy [mind a magyar, mind a nemzetközi gyakorlatban] a vállalatok többségében az implementációs projektek ellenőrzésébe az auditot már nem vonják be érdemben, de a vállalati stratégiába való beépítés is jellemzően hiányzik. Mindezeket figyelembe véve elmondható, hogy bár az audit folyamat megtervezésében és végrehajtásában sok helyen találni kivetnivalókat, a felsőbb vállalati fórumok és az anyavállalatok többnyire tisztán látják a kérdés fontosságát és ennek megfelelően próbálják is az számonkérni mind az auditorokon, mind az auditált szervezeti egységeken.


11

6. ábra:

Az IT auditok során azonosítottak-e hiányosságokat az alábbi területeken az elmúlt 12 hónapban?

Túlzott jogosultságok

52%

Nem megfelelő naplózás

42%

Nem kielégítő változáskezelés

36%

Összeférhetetlen szerepkörök

24%

Az üzletmenet folytonosság nem megfelelő biztosítása

23%

A fizikai biztonság hiányossága

17% 0

10

20

30

40

50

60

A vállalati IT auditok számos különböző biztonsági hiányosságot tárhatnak fel. Magyarországon a vizsgált vállalati körben ezek közül a leggyakoribbnak a túlzott hozzáférési jogok, a hiányos naplófile-ok, illetve a nem kielégítő módon történő változáskezelés számítanak. Nemzetközi szinten emellett egyre erőteljesebb problémaként jelenik meg a munkafeladatok és a magánszféra nem megfelelő mértékű elkülönítése: a közösségi hálózatok használata, illetve általában is a munka és a magánszféra keveredése olyan biztonsági kihívásokat jelent, amire nehéz optimális, a cég biztonsági érdekeit és a munkavállalói személyiségi jogokat is kellő mértékben tekintetbe vevő megoldásokat találni. Vélhetően ez a probléma már a közeli jövőben itthon is a jelentősebb nehézségi faktorok közé kerülhet. Az elkészült audit riportokat legfontosabb és leggyakoribb alkotórészei a részleteket bemutató formális riport, a vezetői összefoglaló, illetve a menedzsment számára megfogalmazott javaslatok. Bár sok helyen mindhárom megtalálható, gyakori azonban, hogy ezek közül egyet vagy kettőt elhagynak. A formális riport teljes mellőzése ellenben ritka: mindössze az auditot végző cégek 8%-ra jellemző.

Végrehajtás és eszközrendszer Az IT biztonsági auditokat számos különböző, nemzetközileg is széles körben elfogadott módszertan alapján lehet lebonyolítani, melyek most már a magyar cégekhez is egyre inkább begyűrűznek. Ezek közül a két leginkább használt az ISO 27001 és COBIT, melyeket a nagyobb hazai cégek már közel fele alkalmaz IT audit vizsgálatainak lebonyolításához. Az ISO 17799 alkalmazása a vállalatok mintegy negyedére jellemző, míg az ISO 20000 és a SAS70 használata ennél is ritkább.


12

7. ábra:

IT audit tevékenység végrehajtásához használt módszertanok és keretrendszerek

ISO 27001

• 48%

COBIT

• 44%

ISO 17799

• 25%

ISO 20000

• 13%

SAS70

• 10%

A pénzügyi szervezetek kiugróan magas mértékben használják mind az ISO 27001, mind a COBIT módszertanokat. A költségvetési intézményeknél az ISO 20000 használata felülreprezentált valamelyest.

8. ábra:

Mely terülteken vesznek igénybe audit eszközöket az IT auditok során?

Kockázatelemzés

57%

Tervezés

44%

Kontroll elemzés

40%

Adatelemzés

34%

Jelentéskészítés

32%

Audit javaslatok nyomon követése

29%

Audit menedzsment

29%

Munkalapok menedzsmentje

19%

Sehol nem vesznek igénybe

3%

Egyéb

3% 0

10

20

30

40

50

60

Az IT audit eszközeinek igénybevétele jellemzően a nagyvállalatok működésének számos különböző területére kiterjed, a leginkább tipikusak azonban a kockázatelemzés, a tervezés és a kontroll elemzés. Adatelemző eszközöket a magyarországi vállalatok és intézmények egyharmada használ csak az IT auditok során, ez az arány nemzetközi szinten a magyarországinak közel a kétszerese, ez tehát egy lehetséges fejlődési irányt jelent a magyarországi IT-auditok számára a nemzetközi átlaghoz való felzárkózásra. Az audit folyamat munkaerőigénye [1 auditorral számolva] átlagosan mintegy 4 hónap belső audit, és 1,5 hónap külső audit esetén. A költségvetési intézmények körében kockázatelemzés céljára, a magánszférában viszont leginkább tervezésre használják az IT audit nyújtotta lehetőségeket.


13

9. ábra:

Legfontosabb IT audit kezdeményezések 2011-ben

40%

Részletes audit terv kidolgozása Összeférhetetlen szerepkörök elemzése

23%

Csalás monitorozó folyamat bevezetés

16%

Adatelemző eszköz bevezetés [CAATs]

8%

Kockázat elemzés

3%

Egyéb

3%

Biztonság

1%

Ezek közül egyik sem

40% 0

10

20

30

40

50

Az idei [2011-es] év számos fontos audit prioritást is felszínre hozott a magyar nagyvállalatok életében. Ezek közül a legfontosabb, hogy a cégeknek legyen végre részletes audit terve, vagy éppen a meglévőt alakítsák át és pontosítsák, hogy megfeleljen az aktuális biztonsági kihívásoknak. Kiemelt célnak számít még az összeférhetetlen szerepkörök elemzése [ez leggyakrabban SoD folyamat / eszköz bevezetését jelenti], valamint az esetleges csalásokat monitorozó folyamatok létrehozása, eszközök beszerzése. A kormányzati és a magánszféra eltérő fejlettségét jó mutatja, hogy míg a költségvetési intézmények számára a részletes audit terv kidolgozása fordul elő átlag feletti gyakorisággal, addig a magánszférában az összeférhetetlen szerepkörök elemzése fontosabb az átlagosnál.

10. ábra: Milyen kapcsolódó tevékenységekre terjed ki az IT audit tevékenység? IT rendszer funkcionalitás vizsgálata

81%

Információbiztonsági felmérések

74%

Előírásoknak való megfelelés vizsgálata

66%

IT szabályozások kidolgozása

59%

Jogszabályi megfelelőség vizsgálata

58%

IT kontrollok vizsgálata

58%

IT projektek megfelelőségi vizsgálata

41%

Betörési tesztek

36%

Összeférhetetlen szerepkörök elemzése

30%

Egyéb

2% 0

20


40

60

80

100

14

Az audit tevékenység sok esetben kiterjed arra is, hogy az IT biztonsághoz kapcsolódó területek milyen problémákat, kockázatokat rejtenek magukban. Ennek vizsgálata során számos terület átvilágítása szóba jöhet, de a leggyakoribb, hogy az IT rendszerek funkcionalitását, az információbiztonsági felméréseket, valamint a vállalati előírásoknak való megfelelést veszik górcső alá. A nemzetközi tendenciákat vizsgálva látszik, hogy az új technológiai területek irányába elmozduló fejlesztések [közösségi hálózatok, mobil technológiák, felhő alapú megoldások] ellenére is sokszor nincs erős törekvés ezen területek belső vállalati auditba való bevonására. Nagy figyelmet audit szempontból inkább a tradicionális területek kapnak: a biztonság, az adatok integritása, a rendszerek bevezetése, és az üzleti folyamatosság. A fókusz az alkalmazási szintről egyre inkább átkerül a funkcionális kockázatokra [pl. az IT terület irányítása vagy a vagyonkezelés]

Auditorok személye és képzettsége Az auditok területén nem meg kerülhető az auditorok személyének, szerepének egyre növekvő fontossága. Nemzetközi és hazai tapasztalatok is azt mutatják, hogy a vállalatok egyre jobban megválogatják, kit és milyen képzettséggel engednek üzemkritikus informatikai és biztonsági rendszereik közelébe. Kulcsfontosságú az is, hogy az auditorok megtalálják az egyensúlyt a technikai és az üzleti ismeretek között és mindkét területen hatékonyak tudjanak lenni. Ennek érdekében az IT és az egyéb területen dolgozó auditoroknak szorosan együtt kell működniük, hatékony csapatmunkával kiegészítve egymás kompetenciáit.

11. ábra: Mely szakképesítéseknek tulajdonítanak legnagyobb értéket az IT audit területen?

TOP5 IT audit szakképesítés

CISA [72%] ITIL [48%] CISM [42%] CISSP [22%] CIA [21%]

Az auditorok elvárt képzettségét tekintve elmondható, a nagyvállalatok leginkább a CISA, az ITIL és a CISM szakképesítést igénylik leginkább az IT audit területen dolgozóktól. Annak ellenére, hogy ezek a leginkább univerzálisan elvárt képzettségek, a vállalati igények nem állnak meg ezen a ponton, számos cég ezek helyett / mellett egyéb, a saját igényeihez, belső felépítéséhez jobban igazodó és / vagy szakmaspecifikus módszertanok ismeretét is elvárja az auditoroktól.


15

12. ábra: Milyen gyakorisággal végeznek formális teljesítményértékelést az IT auditorok körében?

3% 1% Soha

21% 35%

Ad hoc jelleggel Minden auditot követően Havonta

3% 1%

Negyedévente Évente Félévente

13%

NT/NV

23%

Az auditorok teljesítményének értékelése jelenleg még jellemzően ritkán, vagy egyáltalán nem történik meg. A belső IT auditot végző nagyvállalatok mintegy 35%-a soha nem értékeli az auditorok teljesítményét, 23%-a csak esetenként, ad hoc jelleggel, további 21% pedig évente teszi ezt meg. A minden auditot követő, valamint az évesnél sűrűbb időközönkénti teljesítményértékelés jelenleg csak a cégek töredékére jellemző. Ez ugyan megfelel a nemzetközi tendenciáknak [ahol szintén viszonylag ritka vagy hiányzik az audit teljesítményértékelése], viszont felveti azt a problémát, hogy az esetek tekintélyes részében a kulcsfontosságú audit funkció és folyamat az auditot elrendelő döntéshozó számára egyfajta „fekete doboz” marad, melyet csak egészében tud elfogadni [esetleg elvetni], a részletekbe való beleszólás lehetősége nélkül. Három olyan fő auditori képesség figyelhető meg, melyek jelentősége mind a nemzetközi, mind a hazai nagyvállalati körben várhatóan növekedni fog a közeljövőben: egyrészt a különféle kockázatkezelési megközelítések ismerete, másrészt a specifikus technológiai ismeretek, harmadrészt [de egyáltalán nem utolsósorban] pedig a kritikai gondolkozás és analízis képessége.


16

IT BIZTONSÁG Az informatika területén a technika rendkívül gyors fejlődése folyamatosan új kihívások elé állítja a szakembereket. Az IT biztonság esetében ez azt is jelenti, hogy a fejlődés következtében az adataik biztonságát szem előtt tartó vállalatoknak friss, naprakész ismeretekkel és képességekkel kell rendelkezniük, hogy minimalizálhassák ennek a kockázati tényezőnek a szerepét. A kiberbűnözés nemzeti és nemzetközi viszonylatban is egyre növekvő fenyegetettséget jelent a vállalatok és a költségvetési intézmények számára egyaránt. A szakértők többsége egyetért abban, hogy ennek a biztonsági kockázatnak a csökkentése érdekében állami és vállalati szinten is átfogó biztonsági stratégiára, biztonsági eljárásrendekre van szükség. Ugyanakkor a szakértők abban is egyetértenek, hogy a hatékony stratégia önmagában nem elegendő a megfelelő biztonsági szinthez, hanem szükség van annak a proaktív megvalósítására is. A hazai vállalatok, úgy tűnik, számos tekintetben nem ismerték még fel ennek fontosságát, vagy legalábbis kisebb mértékben, mint amit a nemzetközi példák mutatnak.

Az IT-biztonsághoz kapcsolódó képességek, folyamatok A magyarországi nagyvállalatok és költségvetési intézmények a nemzetközi átlaghoz hasonló arányban alkalmaznak átfogó stratégiát illetve az egyes részterületekhez kapcsolódó biztonsági terveket, azonban a konkrét megvalósítás bizonyos esetekben még elmarad ettől a szinttől. Átfogó információbiztonsági stratégiája a vállalatok/intézmények 61 százalékának van [egy nemzetközi összefoglaló tanulmány szerint ez világszerte átlagosan 65%], míg például sérülékenységelemző eszközökkel csak egynegyedük rendelkezik, szemben a nemzetközi szinten átlagosan 53%-os aránnyal.

13. ábra: Az Önök cége / intézménye rendelkezik-e az alábbi

információbiztonsági képességekkel, folyamatokkal? %

Informatikai eszközleltár

71

Átfogó biztonsági szabályzat és eljárásrendek

68

Katasztrófa-elhárítási terv

62

Átfogó információbiztonsági stratégia

61

Az információs eszközökhöz való hozzáférések monitorozása

60

Üzletmenet-folytonossági terv

52

Specifikusan egyes rendszerekre vonatkozó biztonsági standardok Információbiztonsági incidens elhárítási terv

51

Adatszivárgást megakadályozó eszközök

40

Közösségi média használatára vonatkozó biztonsági szabályzat

39

Rendszeres kockázatelemzés [legalább évente]

39

Biztonság tudatosító program

37

Központosított naplóelemző rendszer

35

Átfogó információ besorolási gyakorlat

32

IDS

32

Mobil eszközökön tárolt adatok titkosítása

29

Eszközök eltulajdonítására és kapcsolódó visszaélésekre kötött biztosítás Sérülékenység elemző eszközök

28

Háttérellenőrzés a felvételi procedúra részeként

17


46

25

17

Az átfogó információbiztonsági stratégiára, a katasztrófaelhárítási tervre és a biztonsági szabályzatra, eljárásrendre egyaránt igaz, hogy a vállalatok/intézmények bizonyos csoportjai között jelentős különbségek figyelhetők meg ezek elterjedtségét illetően. Információbiztonsági stratégiával az összes vizsgált vállalat 61 százalékával szemben a költségvetési szféra intézményeinek csak 56 százaléka rendelkezik. A cégméret szerint is jelentősek a különbségek: 100 fő alatt 40%, 100-500 fő között 57%, míg az 500 főnél nagyobb vállalatok 70 százalékánál van információbiztonsági stratégia. A vállalatok tevékenységi köre szerint kiemelkedőek a pénzügyi területen működő vállalatok [73%], azonban még itt sem teljes körű az információbiztonsági stratégia alkalmazása. A legnagyobb különbséget a vállalatok között ebben a tekintetben a külföldi/magyar tulajdon szerint figyelhetjük meg: azon vállalatok körében, amelyekben van külfőldi résztulajdon, 82% rendelkezik információbiztonsági stratégiával, a 100% magyar tulajdonban lévő vállalatoknál csak 59%. Hasonló különbségek figyelhetők meg a katasztrófaelhárítási tervet illetően is: a magánszférában 67% [vs. költségvetési szféra 48%], a pénzügyi területen 87% [vs. egyéb területek összesen 63%], a részben vagy egészben külföldi tulajdonban lévő cégeknél 78% [vs. magyar tulajdonú cégek 49%] rendelkezik katasztrófaelhárítási tervvel. A meglévő folyamatok, képességek mellett az idei év legfontosabb tervei, törekvései azt mutatják, hogy a vállalatok tudatában vannak az információbiztonság fontosságának – azonban jellemzően itt is elsősorban a stratégiai szintű törekvések kerültek előtérbe, míg a konkrét megvalósításra vonatkozó terveket viszonylag alacsonyabb arányban említették a válaszadók. A lista elején az IT eszköz kezelés és a központi jogosultságkezelés megvalósítása után a katasztrófaelhárítási terv és az átfogó biztonsági szabályzat elkészítése áll, ezt a megkérdezett vállalatok egynegyede tűzte ki célul.

14. ábra: Melyek az idei év legfontosabb információbiztonsági törekvései, projektjei?

% IT eszköz kezelés

32

Központi jogosultságkezelés

26

Katasztrófa-elhárítási terv elkészítése

25

Átfogó biztonsági szabályzat és eljárásrendek elkészítése

24

Az információs eszközökhöz való hozzáférések monitorozás megvalósítása Log menedzsment

20

Biztonság tudatosító program megvalósítása

19

Átfogó információbiztonsági stratégia kialakítása

18

Mobil eszközökön tárolt adatok titkosításának megvalósítása

18

Törvényi megfelelőség biztosítása

16

Üzletmenet-folytonossági terv elkészítése

13

Rendszeres kockázatelemzés megvalósítása

10

Közösségi média használatára vonatkozó biztonsági szabályzat elkészítése Információ besorolási rendszer kialakítása

8

Felhő architektúrára történő átállás

5


20

6

18

Információvédelem a külső szolgáltatókkal kapcsolatban A külső szolgáltatói kapcsolatokban a leggyakrabban alkalmazott megoldás szerint a vállalatok szerződésben, vagy külön titoktartási nyilatkozatban kötelezik szolgáltatóikat az információk védelmére. A vállalatok háromnegyed része él azzal a megoldással is, hogy csak az általuk igénybe vett szolgáltatáshoz elengedhetetlenül szükséges mértékben engednek hozzáférést a rendszereikhez. Ugyanakkor a szolgáltatók információbiztonsági szempontból való tesztelését csak a megkérdezettek 11 százaléka alkalmazza. Míg az első három megoldás tekintetében nincs jelentős különbség az állami és a magánszféra között, addig a tesztelés esetében szembetűnő, hogy a költségvetési intézményeknél ez a megoldás egyáltalán nem fordul elő. [A külső szolgáltatók tesztelése egyébként a többiekhez képest kiemelkedő arányú, 27% a pénzügyi tevékenységet folytató cégek körében.]

15. ábra: Hogyan biztosítja információi védelmét külső szolgáltatóival kapcsolatban? Szerződés részévé teszik [76%] Nincs külső szolgáltató [2%]

Nyilatkozatot kérnek [9%]

Információk védelme Rendszerhez való hozzáférést limitálják [76%]

Titoktartási nyilatkozatot íratnak alá [75%] Tesztelést végeznek [11%]

Információbiztonsággal összefüggő incidensek A hazai vállalatok informatikai vezetői nemzetközi összehasonlításban viszonylag jól informáltnak mondhatók az információbiztonsággal összefüggő incidensek kapcsán. Míg a nemzetközi felmérésekben 33% körül van azon vezetők aránya, akik nem tudnak válaszolni arra a kérdésre, hány és milyen jellegű incidens történt a cégnél, a magyarországi felmérésben ennél alacsonyabb, 25% az ezen a téren kevésbé informált vezetők aránya. A megkérdezett vállalatok/intézmények egynegyede számolt be eszközlopásról [ezen belül 37% a költségvetési szférában!], emellett közel egyötödüknél azonosítottak külső behatolási kísérletet az elmúlt egy év során. Az eszközlopást azonosító cégek többségénél egy-két alkalommal fordult csak elő ilyen incidens az elmúlt 12 hónap során, de van olyan cég is, ahol átlagosan havi egy-két alkalommal fordul ez elő. A külső behatolási kísérlet – habár a cégeknek csak kisebb részét érinti – ahol megjelenik, ott gyakoribb az eszközlopásnál: a külső behatolási kísérleteket észlelő cégek több, mint felénél legalább három alkalommal fordult ez elő egy év alatt.

16. ábra: Incidensek előfordulása és gyakorisága?


19

0%

10%

20%

30%

belső behatolási kísérlet külső behatolási kísérlet eszköz lopás bizalmas információk jogosulatlan kézbe kerülése csalás 0

Hány alkalommal fordult elő? [átlag]

2

4

6

8

Incidens előfordulása [%]

Felelősség, beszámol[tat]ás A magyarországi nagyvállalatok és költségvetési intézmények felénél nincs kinevezett felelőse az információbiztonságnak [CISO]. A költségvetési szférában 37%, a magánszférában 55% a CISO-val rendelkezők aránya. A pénzügyi területen működő cégek, mint sok más szempontból is, ebben a tekintetben is kiemelkednek az átlagból, itt 93% esetében van IT-biztonsági vezető. A külföldi tulajdonosok megléte szintén pozitív irányban hat, az ilyen cégek kétharmadánál van CISO, míg a csak magyar tulajdonú cégek esetén ez az arány 39%. Az általunk információbiztonsági szempontból kiemelt fontosságúnak ítélt vállalatok 80 százalékánál van kifejezetten ezért a területért felelős vezető.

17. ábra: Van-e az információbiztonsági területnek kinevezett felelőse [CISO]?

49%

51%

Igen

Nem

Általános tendencia, hogy az információbiztonság fontosságának felismerésével erősödik ennek a területnek a szerepe a cégek stratégiája szempontjából is. Nemzetközi


20

felmérések szerint néhány évvel ezelőtt még jellemzően az IT fennhatósága alá tartozott az IT-biztonság, ám stratégiai szerepének felerősödésével egyre több cégnél jelenik meg a felsővezetésnek jelentő CISO. Míg négy évvel ezelőtt az információbiztonsági terület vezetője nemzetközi viszonylatban 38%-ban az ITvezetőnek jelentett, az idei évre ez 23%-ra csökkent, ezzel szemben a felsővezetés közvetlen irányítása alá tartozó CISO-k aránya 21%-ról 32%-ra nőtt. A magyar gazdaság vezető vállalatai körében ez a tendencia még nem látszik megjelenni – habár itt nincs lehetőségünk időbeli összehasonlításra, a felsővezetésnek és az IT-vezetőnek jelentő CISO-k aránya pont a fordítottja a nemzetközi átlagnak. A megkérdezett vállalatok és intézmények 45 százalékánál az információbiztonsági terület az IT-vezető fennhatósága alá tartozik, míg a vállalat első számú vezetője [ügyvezető, CEO] a válaszadók egyharmadánál felügyeli közvetlenül az IT-biztonságot. Ebből a szempontból a távközlési illetve IT területen tevékenykedő vállalatok emelkednek ki elsősorban, ebben a körben 60% azon cégek aránya, ahol az információbiztonsági terület vezetője közvetlenül a cég elsőszámú vezetőjének felel.

18. ábra:

Az információbiztonsági terület kinek tartozik beszámolással?

IT vezető

45%

Ügyvezető igazgató

34%

Igazgatótanács

17%

Pénzügyi vezető

13%

Biztonsági vezető

11%

Operációs vezető

8%

Nincs beszámolás

4%

Egyéb

1% 0

10

20

30

40

50

Az információbiztonsági terület fontosságának a felértékelődése nemzetközi szinten azt is jelenti, hogy a vállalatok egyre több figyelmet fordítanak a terület működési hatékonyságának a vizsgálatára. Egy 45 országra kiterjedő felmérés szerint a vállalatok 38 százaléka vezetett be e célból valamilyen mérőszámrendszert, és további 24% tervezi ennek bevezetését. Ebből a szempontból a magyarországi vállalatok és intézmények kevésbé fejlettek: csupán 12% használ ilyen mérőszámrendszert, és 28% tervezi, hogy a jövőben bevezetik – azaz ha ezek a tervek mind megvalósulnak, akkor fogjuk csak elérni a jelenlegi nemzetközi átlagot.


21

19. ábra: Alakítottak-e már ki mérőszámrendszert az információbiztonsági terület működésének hatékonyságának vizsgálatára?

Igen

Magyarország

Még nem, de tervezik

Nemzetközi

Nem, és nem is tervezik

0

10

20

30

40

50

60

70

A magyar gazdaság egészéhez képest valamivel kedvezőbb képet mutatnak a pénzügyi szektor vállalkozásai: 20% használ, 27% tervezi – ám még itt is a vállalatok több, mint felénél nem is tervezik az információbiztonság hatékonyságát valamilyen standard metrikával vizsgálni. Szintén az információbiztonságnak a nemzetközi trendekhez képest viszonylag kisebb fontosságát mutatja a magyar gazdaságban, hogy míg nemzetközi átlagban a vállalatok 41 százalékánál havonta számol be az információbiztonsági terület vezetője a felettesének, addig a magyar vállalatoknál 23 százalék jelent havonta vagy ennél gyakrabban [a költségvetési szférában ez még alacsonyabb, mindössze 15%], a vállalatok egynegyedénél pedig egyáltalán nincs rendszeres beszámoltatás. A legalább havi rendszerességű beszámoltatás az átlagosnál jobban jellemző a külföldi érdekeltségű cégeknél [33%] illetve a pénzügyi szektorban [67%].

20. ábra: Milyen gyakran számol be formális úton [pl. kulcs teljesítmény mutatókkal] az információbiztonsági terület a felettesének?

7% 26%

16%

Hetente Havonta Negyedévente Félévente

16%

Évente Soha

24% 11%


22

Viszonylag gyenge az együttműködés az információbiztonság és az üzleti területek között a magyarországi vállalatok körében: mindössze egynegyedük számolt be többékevésbé szoros kapcsolatról, míg háromnegyedük közepesnek vagy gyengének értékelte az együttműködést. Az információbiztonságra különösen érzékeny pénzügyi szektor, mint mindig, ezen a téren is jobban teljesít: itt a válaszadóknak csaknem a fele [47%] ítélte erősnek az együttműködést az üzleti és az információbiztonsági terület között. Szintén valamivel jobb a helyzet az átlagosnál a külföldi érdekeltségű cégeknél [erős kapcsolat: 31%].

Az információbiztonság költségvetése Globális tendencia, hogy habár a vállalatok felismerik és egyre fontosabbnak tartják az információbiztonság szerepét a vállalkozás sikeressége szempontjából, az erre a célra fenntartott költségvetésük jellemzően forráshiányos – részben a gazdasági válságra is visszavezethetően jellemzően nem növekednek [vagy az esetek egy részében kifejezetten csökkennek] az információbiztonságra fordított kiadások. Ugyanakkor a szakértők szerint ez egy jövőbeni nagyobb beruházásra való felkészülést is előrejelezhet. Egy nemzetközi, éves rendszerességgel készülő felmérés szerint habár a cégek többségénél csökkennek, vagy legalábbis nem változnak a kiadások, az illetékes vezetők optimisták a jövőt illetően – 2011-ben volt a legmagasabb azoknak az aránya, akik úgy gondolták, hogy az IT-biztonság költségvetése a következő évben magasabb lesz az ideinél. A magyarországi vállalatok ebből a szempontból hasonló helyzetben vannak: az összes válaszadó 68 százalékánál nem növekedett idén az információbiztonságra fordítható költségvetés, csökkenésről pedig háromszor annyian [21%] számoltak be, mint növekedésről [7%]. Az állami kiadások visszaszorításának következtében a költségvetési szférában még ennél is rosszabb a helyzet, az intézmények 37 százaléka volt kénytelen csökkenteni az IT-biztonsággal kapcsolatos kiadásait. A költségcsökkentés mértéke az érintett vállalatok és intézmények közel felénél a 20%-ot is meghaladta.

21. ábra: 2011-ben hogyan változott az információbiztonsági terület költségvetése a tavalyi évhez [2010-hez] képest?

Total 7%

Költségvetési szféra

Magánszféra

21%

7%

68%

37%

7% 16%

0%

Nőtt

Csökkent

56%

72%

100%

Nem változott


Nem tudja / Nem válaszol

23

IT IRÁNYÍTÁS Az IT Process Institute 2009-ben közölt tanulmánya szerint az IT irányítás egy erőteljes eszköz lehet a versenyző IT prioritások egyensúlyozásában, és rávilágít arra, hogy a magasabb szintű IT irányítással rendelkező vállalatok jobb teljesítménymutatókkal bírnak. Ez jól mutatja, hogy egyre inkább elengedhetetlen az IT folyamatok és a vállalati/intézményi stratégia közötti minél szorosabb összhang kialakítása. Összességében a megkérdezett vállalatok / intézmények többségében úgy gondolják, hogy a legtöbb IT tevékenység összhangban van a központi stratégiával. Ez alól kivételt jelent néhány folyamat, ahol a megkérdezettek kevesebb mint fele gondolta úgy, hogy megfelelő az összhang. Ilyen területnek számít a projektmenedzsment, az IT irányítás állapotára vonatkozó jelentés elkészítése és a kommunikáció kontrollja. A legnagyobb összhangról [a válaszadók kétharmada] az informatikai költségek kontrollja valamint az informatikai üzemeltetés irányítása területén számoltak be. Ezt az arányt közelíti még meg az IT biztonság irányítása és a folyamatos informatikai irányítás biztosítása. Az eredmények azt mutatják, hogy a költségvetési szférában valamivel kisebb összhang tapasztalható az IT folyamatok és az intézményi stratégia között. A legnagyobb összhang az átlagtól eltérően az informatikai szolgáltatási szintek biztosítása terén jelentkezik. Ezzel szemben a magánszférában kicsivel nagyobb az összhang, és a különböző folyamatok sorrendje tulajdonképpen megegyezik az átlaggal. A tevékenységi területek közül a pénzügyi szegmens cégei számoltak be a legnagyobb arányban arról, hogy az IT folyamatok összhangban zajlanak a vállalati stratégiával. A kérdésben felsorolt folyamatok mindegyikénél így nyilatkozott a vállalatok többsége, a folyamatok több mint fele esetében a kérdezettek kétharmada, a következő négy terület esetében pedig a 80%-ot is elérte ez az arány: az informatikai költségek kontrollja, az IT biztonság irányítása, a folyamatos informatikai irányítás biztosítása és az informatikai irányítás állapotára vonatkozó jelentés elkészítése.

22. ábra: Azok aránya, akik szerint a következő folyamatok az intézményi / vállalati stratégiával összhangban zajlanak

Informatikai költségek kontrollja

67%

Informatikai üzemeltetés irányítása

67%

IT biztonság irányítása

64%

Folyamatos IT irányítás biztosítása

63%

IT szolgáltatási szintek biztosítása

60%

Informatikai erőforrások allokálása

59%

Külső szolgáltatások használatának kontrollja

58%

IT szolgáltatások hasznosságának biztosítása

57%

A minőség irányítása

53%

Projektek irányítása

49% 44%

IT irányításra vonatkozó jelentés elkészítése

38%

A kommunikáció kontrollja

0


10

20

30

40

50

60

70

24

IT KOCKÁZATELEMZÉS A Symantec 2008-as tanulmánya szerint az IT kockázatkezelés nem a kockázatok megszüntetéséről szól. Sokkal inkább olyan szabályokról és eljárásokról, amelyek az IT szolgáltatásokat rugalmassá, változtathatóvá és a szervezeti célokhoz alkalmazkodóvá alakítja a folyamatosan változó üzleti környezetben. Továbbá az IT kockázatkezelés segítséget nyújt a kalkulált kockázatok magabiztos felvállalásához és az IT versenyelőnyként való felhasználásához. A Deloitte 2010-es kockázatkezeléssel foglalkozó nemzetközi kutatása rávilágít arra, hogy a válság lecsengésével együtt erősödött a pénzügyi vállalatok tudatossága abban, hogy a kockázatelemzést beemeljék az üzletstratégia legmagasabb szintjére. Ez a törekvés többféle formában is megjelent: nőttek a kockázatkezelésre fordított kiadások, új vezetői kockázatkezelői pozíciót [CRO] hoztak létre sok vállalatnál, szigorodtak az állami szabályozások, felgyorsult a nemzetközi szabványok [pl.: BASEL II] implementálása és a legtöbb szervezet kockázati keretrendszert [ERM] dolgozott ki vagy ennek kidolgozását tervezi.

Felsővezetés szerepe Egy vállalat / intézmény kockázatkezelési stratégiájának kialakításában és hatékony alkalmazásában fontos szerepet játszik, hogy a felső vezetés / igazgatótanács milyen mértékben van tisztában a szervezetnél felmerülő IT kockázatokkal. A vizsgált szervezetek többségében [60%] teljes mértékben, vagy legalább nagyobb részben átlátják felsővezetői szinten az IT kockázatokat. A költségvetési szférában mindez mindössze az intézmények harmadáról mondható el, míg a magánszféra az átlagnál valamivel jobban teljesít [68%]. A vizsgált vállalatok / intézmények méret [alkalmazottak száma] szerinti bontása alapján megfigyelhető, hogy minél nagyobb egy szervezet, annál inkább tisztábban vannak a vezetők a lehetséges kockázatokkal. A biztonsági kockázatoknak való kiszolgáltatottság magasabb foka és a rendelkezésre álló szakértelem alapján könnyen magyarázható, hogy a két leginkább kockázat-tudatos tevékenységi szegmens a távközlési/IT és a pénzügyi. Mindkét szegmensben a vállalkozások közel háromnegyedében teljes mértékben vagy nagy részben tisztában van a felső vezetés az IT kockázatokkal.

23. ábra: A felső vezetés / igazgatótanács milyen mértékben látja a szervezetnél felmerülő IT kockázatokat?

7%

11%

8%

Teljes mértékben Nagyobb részben igen Nagyobb részben nem

26% Egyáltalán nem

48%

NT/NV

A válaszadók elmondása alapján úgy tűnik, hogy a vezetőség kockázattudatossága kihat arra, hogy a meghozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését. Összességében a szervezetek 58%-a gondolja úgy, hogy legalább


25

nagyobb részben támogatják a vezetőség döntései az IT kockázat-menedzsmentet. Ebben a vonatkozásban is megfigyelhető a költségvetési [33%] és a magánszféra [66%] közti kiugró különbség. A leghatékonyabban együttműködő vezetők a pénzügyi szférában található, ahol az előbb említett arány eléri a 80%-ot.

24. ábra: A felső vezetés / igazgatótanács által hozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését?

10%

10% Teljes mértékben

10%

Nagyobb részben igen Nagyobb részben nem Egyáltalán nem

22% 48%

NT/NV

Rendszeres kockázatfelmérés Nyilvánvaló, hogy minden vállalat számára szükséges felmérni az IT kockázatokat. Egyszerűen túl sokféle kockázat kapcsolódik az egyre jobban fejlődő technológia növekvő használatához. Elengedhetetlen a széleskörű és rendszeres felmérés ahhoz, hogy a közösségi média, a virtuális szolgáltatások, mobil eszközök bonyolult és naponta megújuló közegében napra készen fel lehessen venni a versenyt a fejlődéssel párhuzamosan kialakuló újabb és újabb IT biztonsági kockázatok sokaságával. Az intézmények / vállalatok közel 40%-ánál történik rendszeresen mély IT kockázatfelmérés és további 34% tervezi ennek bevezetését. Ebben a kérdésben nincs jelentős különbség a költségvetési és a magánszféra között. Nem meglepő módon, valószínűleg a jogszabályi kötelezettség miatt is, a pénzügyi szektor jár ebben is az élen, ahol a vállalatok kétharmadánál már bevett szokás a rendszeres kockázatfelmérés, és 7% kivételével a többi pénzügyi vállalat is tervezi a bevezetését.


26

25. ábra: Történik-e rendszeresen megfelelő mélységű IT kockázatfelmérés, illetve tervezik-e ennek bevezetését?

Igen, rendszeresen történik

27% 39%

Nem történik rendszeresen, de tervezik a bevezetését

Nem történik rendszeresen, és nem is tervezik a bevezetését

34%

Eljárások, eszközök, rendszerek Kockázatkezelési programmal a szervezetek csupán negyede rendelkezik, de további 29% tervezi egy ilyen rendszer bevezetését. Ez a törekvés egy lépés a nemzetközi szinten már egyre inkább elterjedt vállalati eljárás meghonosítása felé. A megfelelő kockázatkezelési program kialakításához elengedhetetlen, hogy az intézmények / cégek rendelkezzenek a IT kockázatok felmérését megfelelően szolgáló metrikákkal, eljárásokkal. E tekintetben élen jár a pénzügyi és a távközlési/IT szegmens, előbbi 60%-a, utóbbi közel fele rendelkezik már most ilyen metrikákkal / eljárásokkal. Ha a teljes sokaságot nézzük, akkor azt láthatjuk, hogy a szervezetek csupán közel egyharmada rendelkezik velük, és közel ugyanennyien tervezik a bevezetésüket. A teljes körű kockázatmenedzsment részét képezi egy kockázatkezelési terv is, mely tartalmazza a felmerülő IT kockázatokra adandó válaszokat, elősegíti a gyors és hatékony reagálást. A tárgyalt eljárások, eszközök és rendszerek közül ez az a kockázatkezelési eszköz, mellyel a legnagyobb arányban rendelkeznek a megkérdezett szervezetek [36%], és közel harmaduk tervbe vette a kidolgozását. Az IT kockázatelemzés terén élen járó pénzügyi szektor ezen a területen is kimagaslóan szerepel: a szegmens kétharmada rendelkezik már kockázatkezelési tervvel és további 20% fogja bevezetni a terveik szerint.


27

26. ábra: Rendelkezik-e/használja-e a szervezet az alábbiakat? 25%

Kockázatmenedzselési keretrendszer

32%

IT kockázatkezelési metrikák

0

20

Még nem, de tervezik

46%

30%

36%

Kockázatkezelési terv

Igen

29%

39%

32% 40

60

32% 80

100

Nem, és nem is tervezik

Érdemes megemlíteni, hogy a külföldi résztulajdonnal rendelkező cégek a mutatók többségében fejlettebbnek mutatkoznak az IT kockázatelemzés területén, mely valószínűleg a külföldi tulajdonosi nyomásnak és a nemzetközi trendek gyorsabb meghonosításnak köszönhető. Még ennél is előremutatóbb kockázatelemzési felkészültségről tett tanúbizonyságot a pénzügyi szektor. A IT biztonsági kockázatok nem megfelelő felmérése és kezelése itt okozhatná a legnagyobb kárt és veszteséget és a pénzügyi szervezetek többsége részére jogszabály is megköveteliígy érthető, hogy ez a szektor idomul leginkább a kockázatelemzést egyre inkább előtérbe helyező nemzetközi trendekhez.


28

FÜGGELÉK A kutatásról Jelen kutatásunk elsődlegesen az ISACA által képviselt négy szakmai terültre fókuszál: IT audit, IT biztonság, IT irányítás, IT kockázatkezelés. A kutatás célcsoportját Magyarország azon „vezető” vállalatai és intézményei jelentették, amelyek a felmérés szempontjából relevánsnak tekinthetők, azaz vélelmezhető, hogy rendelkeznek a kérdések megválaszolásához szükséges IT biztonság/audit kompetenciákkal, és egyúttal a magyar gazdaság információbiztonság szempontjából leginkább releváns résztvevői. A kutatás alapsokaságát a Listák Könyve alapján, ágazati besorolás szerint az egyes ágazatok legnagyobb cégei/intézményeinek leválogatásával állítottuk össze, kiegészítve a rendelkezésünkre álló nyilvános cégadatbázisok árbevétel szerint legnagyobb vállalatainak listájával. A teljes alapsokaság így mintegy 600 céget és intézményt tartalmaz, amelyek a fenti ismérvek szerint az ország információbiztonsági szempontból legjelentősebb gazdálkodó szervezeteinek tekinthetők. Az így meghatározott sokaságból összesen 144 cég és intézmény töltötte ki a kérdőívet, amelyet online felületen keresztül tettünk elérhetővé számukra. A kérdőív kitöltői minden cég esetében az adott szervezet informatikai, információbiztonsági vezetői voltak, akik a szervezeten belül a leginkább kompetensnek tekinthetők a kérdőívben szereplő kérdések megválaszolása szempontjából. Mivel a sokaság leválogatása elsősorban árbevétel alapján történt, a válaszadók között olyan cégek is szerepeltek, amelyek nagy árbevételűek ugyan, azonban az alkalmazotti létszámukat tekintve kis [50 fő alatti] cégeknek minősülnek; jelen elemzésünk során ezeket a válaszadókat kiszűrtük az adatbázisból, így végül 114 cég és intézmény válaszai szolgáltak a jelen tanulmány alapjául. A minta összetétele a főbb cégdemográfiai jellemzők szerint a következőképpen alakul. % Működési terület Költségvetési szféra

24

Magánszféra

76

Alkalmazotti létszám Kevesebb, mint 99 fő

10

100-499 fő

40

500 vagy több fő

50

Fő tevékenység Ipar

36

Távközlés, IT

13

Pénzügy

13

Oktatás, EÜ, költségvetési int.

24

Egyéb

14

Külföldi résztulajdon Nincs

50

Van

50


29

Executive Summary: The State of Information Security 2011 A quarter of Hungarian enterprises still neglect IT audits Unfortunately, failure to conduct IT audits is still a frequent problem. All organizations have to make a decision: either they take the costs of IT audits or neglect this field, but in case of the latter option later they may need to face unexpected, uncontrollable and often considerable cost factors that could have been mitigated or even eliminated with making the proper measures of precaution. Unfortunately many businesses don’t see this that clear yet and tend to choose the much higher and hard-to-perceive risk than the costs of audit which can be immediately measured moneywise. Organizations, most of all private businesses, more and more recognize the relevance of in-depth risk assessment in the audit process It is difficult to imagine a serious IT audit without risk assessment. The lack of an adequate IT risk assessment, which could explore what special risks are present, can cause that internal and IT auditors will focus on more “comfortable” fields [e.g. general IT control]. Recognizing this, already some two thirds of businesses conducting an internal IT audit deal also with risk assessment. Government institutes, however, are far behind private businesses in this respect. In most places, audit has been already removed out of the control of corporate IT and is to report to higher levels More and more organizations recognize that it is more beneficial to keep this feature within internal IT: most often, IT audit is to report to the senior management of the company or directly to the parent company. The relevance of audits has accordingly increased and IT departments are more and more often called to account for the findings of an audit afterwards. Still there is the contradiction that [both in Hungarian and in international practice] a great majority of businesses don’t eventually involve audit in implementation projects, and also involvement in corporate strategy is missing in many places. The person and qualification of auditors is getting more and more important Experiences show that businesses make more and more efforts to choose who and with what qualifications they let close to their business critical IT and security systems. It is also of vital importance that auditors find the balance between technical and business competence and be efficient in both fields. Enterprises require professional qualifications most of all like CISA, ITIL, and CISM from those working in the field of IT audit. There seems to be 3 major auditor skills whose relevance is expected to increase in the near future among both international and Hungarian enterprises: first is the knowledge of different approaches to risk management, second are the specific technology skills, and third [but not least] is the ability of critical thinking and analysis. The strategic importance of information security has been partly recognized by Hungarian companies, but in terms of the particular steps made in favour of this, we are far from the top 61 percent of the companies have comprehensive information security strategy, which figure is close to the international average of 65 percent. The case is similar with disaster recovery plans [62%] and comprehensive security policies and codes of practice [68%]. At the same time, only a third of businesses/institutes have a centralized log analysis system, a quarter of them have vulnerability assessment tools, with both figures being much lower than the international average.


30

IT security management in Hungarian companies receives less weight than in international trends Time-series international surveys clearly show that the share of companies where the field of information technology is to report directly to the senior management or the CEO has been rising. In Hungary, however, information security belongs to the scope of the CIO in most companies. Even more troublesome, the majority of Hungarian businesses/institutes don’t have and don’t even plan to introduce an indicator system to measure the efficiency of information security – internationally, however, 38% of the companies use this kind of measurement system and additional 24% of them plan to introduce it. Hungarian companies’ CIOs are relatively well informed about security incidents affecting information security Compared with the international average, a lower share of CIOs interviewed in the Hungarian survey were unable to answer the questions regarding the frequency and nature of the incidents occurring at their organizations. The most intensive threat to IT security is the theft of devices, experienced by a quarter of businesses Device theft occurred over the last year in 27 of every 100 businesses, and 21% detected external intrusion attempts. In the majority of companies identifying device theft, such incidents happened only on one or two occasions over the last 12 months, but there are also companies where such events arise at a monthly regularity. Spending on information security has been reducing both internationally and in Hungary The information security budget for 2011 decreased, from the previous year, in 21 percent of the Hungarian businesses and institutions, while only 7% reported about a growth of their budget. The extent of cost reduction exceeded even 20% at nearly every second involved business and institution. Government institutes falling behind private businesses in terms of information security Government institutes have an information security strategy and disaster recovery less often than the average [56% vs. 62% and 48% vs. 67%, resp.], a smaller share of them have an executive responsible specifically for information security [37% vs. 55%], the field of information security has to report about its activity less often than in the private sector, and also their information security budget decreased to an extent over the average in 2011. In terms of the level of their information security, organizations involved in finance and companies with foreign ownership stand out of businesses/institutes Businesses in the financial sector show better results nearly in all studied questions than other companies. An outstandingly high share [93%] of them have information security executives, and also the reporting frequency of the field of information security is remarkably high [67% at least monthly]. Compared with companies in partial or complete foreign ownership, those in 100% Hungarian ownership handle information security as a strategic issue to a less extent, the rate of information security executives is lower among them, and it is also less typical here that the field of information security is to report directly to the senior management. The role of senior management in managing IT risks can be considered good in most of the companies In 60 percent of the studied companies, senior management mostly comprehends the business critical IT risks, and it is also typical of most of the organizations that decisions made by the senior management adequately support the efficient management of IT risks. Regular risk assessment, however, is conducted only by 40 percent of companies; an increase in this figure would surely be desirable for a more effective risk management.


31

TARTALOMJEGYZÉK Előszó... 3 Bevezetés... 4 Vezetői összefoglaló... 5 IT Audit... 7 IT Biztonság IT Irányítás IT Kockázatelemzés

Recommend Documents