ICT Business | IT sigurnost na niskim granama, puno prilika za popravak

http://www.ictbusiness.info/poslovna-rjesenja/it-sigurnost-na-niskim-granama-puno-prilika-za-popravak

Objavljeno: 08.01. 2014 :: Autor: Draen Tomi :: Verzija za printanje

Prosjek dostignute razine informacijske sigurnosti u malim i srednjim poduzeima mjeren medijanom iznosi 19 a aritmetikom sredinom 21.4, to znai da je implementirano izmeu 20 i 22 posto minimalnih mjera informacijske sigurnosti koje ine model. U naem istraivanju htjeli smo izmjeriti i frekvenciju kvalitativne varijable, odnosno dostignute razina svijesti o vanosti informacijske sigurnosti u malim i srednjim poduzeima, istie Saa Aksentijevi direktor Aksentijevi vjetaenje i savjetovanje, te stalni sudski vjetak za informatiku i telekomunikacije u objanjenju rezultata istraivanja koje je proveo u svrhu svoje doktorske disertacije. Naime, idealno poduzee sa svim identificiranim odrednicama informacijske sigurnosti prema naem modelu imalo bi ocjenu funkcionalnosti 96.

2 of 16

10/01/2014 16:50

ICT Business | IT sigurnost na niskim granama, puno prilika za popravak

http://www.ictbusiness.info/poslovna-rjesenja/it-sigurnost-na-niskim-granama-puno-prilika-za-popravak

Prema njegovim rijeima postavljenim modelom je tono ocijenjena dostignuta razina funkcionalnosti informacijske sigurnosti u malim i srednjim poduzeima u Hrvatskoj, ime se izbjegavaju kvalitativne kvalifikacije i pribjegavanje"strahu, nesigurnosti i sumnji" pri komentiranju stanja informacijske sigurnostiTakoer, deseci dobivenih pokazatelja na pet razina funkcionalnosti modela daju nam analitiki pregled primijenjenih mjera informacijske sigurnosti koje bi trebale biti posljedica posjedovanja ili neposjedovanja te svijesti, istie Aksentijevi. U tom smislu, postavljen je instrumentarij prema kojemu se ocjenama od 1 do 5, skala poput Likertove, ocjenjivalo odgovarajue stavove. Prosjenom ocjenom 3 do 3,5 poduzea ocjenjuju tvrdnje kako pojava informacijsko-sigurnosnih incidenata moe imati negativan utjecaj po poslovni rezultat poduzea; opstanak poduzea na tritu; imid poduzea meu zaposlenicima (najnia ocjena, 3.0) te partnerima i klijentima. Jo nie su ocjene tvrdnji vezanih uz kulturu informacijske sigurnosti: prosjenim ocjenama od 2.5 do 3 ocjenjuje se inzistiranje na provoenju sigurnosnih politika (2.5), upoznatost sa zakonskim zahtjevima i potovanje mjera informacijske sigurnosti od strane zaposlenika (3), objanjava Aksentijevi. Uzme li se u obzir injenica kako 5 posto svih poduzea u statistiki reprezentativnom uzorku ima funkcionalnost modela jednaku nuli, odnosno nema implementiranu niti jednu mjeru na prvoj razini funkcionalnosti modela, te kako svega 8 posto poduzea ima implementiranu ijednu mjeru s etvrte ili pete razine funkcionalnosti modela, jasno je kako je svijest o vanosti informacijske sigurnosti u malim i srednjim poduzeima u RH na niskoj razini. Iznenaujui su i rezultati vezani uz incidente informacijske sigurnosti, naime, 70 posto poduzea nije zabiljeilo pojavu informacijsko-sigurnosnih incidenata, a preostalih 30 posto poduzea je uglavnom imalo jedan do pet sigurnosnih incidenata. Dvije treine poduzea koja su biljeila incidente informacijske sigurnosti imalo je time uzrokovan troak od 0 do 2 posto godinjeg prihoda, dok ak etvrtina onih koji su imali incidente sigurnosne sigurnosti uope ne znaju koliki su oni troak uzrokovali jer podatke ne biljee, pojanjava Aksentijevi. Mogue je kako je niska razina svijesti o potrebi mjera informacijske sigurnosti u presjeku direktna posljedica niske razine na kojoj hrvatska poduzea u tom segmentu uope koriste informacijske tehnologije u poslovanju, tvrdi Aksentijevi i dodaje da je statistiki uzorak formiran je tako da reflektira strukturu Nacionalne klasifikacije djelatnosti, te su stoga neke djelatnosti vie reprezentirane (npr. informacije i komunikacije, ostale uslune djelatnosti, strune, znanstvene i tehnike djelatnosti, graevinarstvo te trgovina na veliko i malo). U istraivanju nismo radili studiju stanja unutar svake od industrija, ve uzorak treba promatrati kao homoen. Meutim, vrlo je zanimljivo da su varijacije unutar pojedinih grupa mikro, malih i srednjih poduzea unutar 6 posto. To znai da gotovo ne postoje razlike unutar te tri grupe poduzea, te je razina informacijske sigurnosti vrlo uravnoteena. U naim okolnostima, mogli bismo rei kako je gotovo jednako loa u mikro, malim i srednjim poduzeima, objanjava Aksentijevi. Uz to, prema njegovim rijeima kada smo izveli regresijsku analizu, ustanovili smo da koritenje sustava upravljanja kvalitetom ISO 9001 uope nema utjecaj na dostignutu razinu funkcionalnosti informacijske sigurnosti, iako ga posjeduju mnoga mala poduzea. To znai da se on uope ne koristi kao alat za podizanje razine funkcionalnosti informacijske sigurnosti, iako moe biti vrlo efikasan jer omoguuje

3 of 16

10/01/2014 16:50

ICT Business | IT sigurnost na niskim granama, puno prilika za popravak

http://www.ictbusiness.info/poslovna-rjesenja/it-sigurnost-na-niskim-granama-puno-prilika-za-popravak

definiranje i praenje njenih ciljeva u okviru sustava upravljanja kvalitetom. Istraivanje je pokazalo kako nedostatak novca nije jedini razlog za zapostavljanje ove poslovne funkcije. Mala i srednja poduzea ne koriste ak niti one mjere koje su, uvjetno reeno, besplatne, kazuje Aksentijevi. Naime, svega oko 70 posto poduzea koristi odvojena korisnika imena i lozinke, antivirusnu zatitu i vatrozid, iako sve te osnovne mjere informacijske sigurnosti u dananje doba za takva poduzea postoje kao besplatna rjeenja, ili u okviru ve postojeih i ne zahtijevaju investicije. Samo 17 posto poduzea koristi najnovije sigurnosne zakrpe za opremu i programe, dok manje od 30 posto poduzea odvaja pristup podacima po grupama korisnika. Sve ovo pokazuje kako uobiajeno inzistiranje na edukaciji korisnika kod uvoenja sustava upravljanja informacijskom sigurnou u hrvatskim okolnostima definitivno ima smisla. Upravo ovo pitanje osobito nas je zanimalo. Naime, vrlo niskom ocjenom od 2 na skali od 1 do 5 ocjenjuju svoje koritenje kvantitativnih metoda pri procjeni povrata u informacijsku sigurnost. Ovo nas navodi na zakljuak da poduzea sigurno ne koriste ekonomsku logiku pri odluivanju, ve neke druge kriterije. Neto veom ocjenom, od 3 do 3.5, poduzea ocjenjuju kako se pritom koriste inicijativom rukovoditelja, ili nastupom incidenta. ini se da ak niti prijedloge dobavljaa rjeenja osobito ne uju oni koji odluuju o investiranju. Nadalje, pokazatelji koje smo dobili govore kako poduzea vrlo nisko ocjenjuju razinu ulaganja u obrazovanje zaposlenika, pojanjava Aksentijevi. to se tie planiranja investicija, dobavljae rjeenja e zanimati kako tono dvije treine poduzea u ovom segmentu ne planira sustavno investicije u informacijsku sigurnost ve to ini stihijski, dodatnih desetak posto tek planira to poeti initi, tvrdi se u istraivanju. Istovremeno, gotovo dvije treine poduzea smatra kako bi imalo dodatnu korist od poveanja razine ulaganja u sustav upravljanja informacijskom sigurnou, kazuje Aksentijevi i dodaje da u 40 posto sluajeva, razlog nioj razini ulaganja od optimalne je nedostatak financijskih sredstava, dok u sljedeih 25 posto sluajeva poduzeima nedostaje znanja i jednako tako se 25 posto poduzea koncentrira se na osnovno poslovanje. Naposljetku, tijekom 2013. godine u odnosu na prethodnu, 57 posto poduzea odralo je ulaganja u sustave upravljanja informacijskom sigurnou na istoj razini, dok ih je etvrtina smanjivala a 17 posto poveavala. Istraivanje nam je dalo razlog ustvrditi kako je obrazovanje rukovoditelja i zaposlenika najjeftiniji i ujedno najefikasniji nain za poveanje funkcionalnosti modela upravljanja informacijskom sigurnou u malim i srednjim poduzeima u Republici Hrvatskoj. Stoga smo izradili i prijedlog modela upravljanja informacijskom sigurnou u malim i srednjim poduzeima koji je utemeljen na ovim premisama, a koji emo predstaviti javnosti u prvom kvartalu 2014. godine, zakljuuje Aksentijevi.

4 of 16

10/01/2014 16:50