ISACA felmérés: információbiztonság a hazai vállalatoknál

Az ISACA Magyarországi Egyesülete idén ünnepli 20 éves évfordulóját, melynek alkalmából november 9-én egy jubileumi konferenciát tartott. A rendezvényre egy érdekes felméréssel készült.

Elhanyagolt auditok

A felmérés során kiderült, hogy a hazai nagyvállalatok negyede még mindig mellőzi az IT auditokat, ami több szempontból is hátrány. "Minden szervezetnek döntenie kell: vagy vállalja az IT audit költségeit, vagy elhanyagolja ezt a területet, de utóbbi esetben olyan váratlan, kontrollálhatatlan és sokszor jelentős költségtényezőkkel szembesülhet utólag, melyek megfelelő óvintézkedésekkel jelentősen csökkenthetők vagy akár kiküszöbölhetők lettek volna" - áll az ISACA tanulmányában.

Jó hír viszont, hogy a magáncégek a kockázatelemzés jelentőségét egyre inkább felismerik. A kockázatelemzés a belső IT auditálást végző cégek immár mintegy kétharmadánál megjelenik. Az igazsághoz azonban az is hozzátartozik, hogy ebből a szempontból a költségvetési intézmények összességében jelentős lemaradásban vannak.

A válaszadók közül meglehetősen sokan nyilatkoztak úgy, hogy az audit funkciókat igyekeznek a belső IT-n kívül tartani, és leggyakrabban a vállalat felső vezetése vagy az anyavállalat felé van beszámolási kötelezettség. Ez pedig az IT-részlegek egyre fokozottabb számon kéréséhez vezet. A megkérdezettek ugyanakkor arról is beszámoltak, hogy egyre jobban megválogatják, hogy kit és milyen képzettséggel engednek az üzemkritikus informatikai és biztonsági rendszereik közelébe. Kulcsfontosságú, hogy az auditorok megtalálják az egyensúlyt a technikai és az üzleti ismeretek között. A nagyvállalatok leginkább a CISA, az ITIL és a CISM szakképesítést igénylik az IT audit területen dolgozóktól.

Információbiztonsági stratégia

Az ISACA Magyarországi Egyesülete szerint az információbiztonság stratégiai fontosságát már részben felismerték a magyar vállalatok, de az ennek érdekében tett konkrét lépések terén még távol vagyunk az élvonaltól. Átfogó információbiztonsági stratégiája a vállalatok 61 százalékának van, ez megközelíti a nemzetközi, átlagos 65 százalékos szintet. Hasonló a helyzet a katasztrófaelhárítási
tervek (62 százalék) valamint az átfogó biztonsági szabályzatok és eljárásrendek (68 százalék) esetében is. Ugyanakkor központosított naplóelemző rendszerrel csak a cégek, intézmények egyharmada, sérülékenységelemző eszközökkel az egynegyede rendelkezik, ami jóval a nemzetközi átlag alatt van.

Az IT biztonságot legnagyobb mértékben fenyegető veszély az eszközlopás, amit a cégek negyede tapasztalt. Míg száz vállalatból 27-nél fordult elő eszközlopás az elmúlt egy évben, addig külső behatolási kísérletet 21 százalékuk vett észre. Az eszközlopást azonosító cégek többségénél egy-két alkalommal fordult csak elő ilyen incidens az elmúlt 12 hónap során, de van olyan cég is, ahol ez akár havi rendszerességgel is bekövetkezik.

Csökkenő biztonsági kiadások

Az információbiztonságra fordított összegek nagysága nemzetközi és hazai szinten egyaránt mérséklődik. A magyar vállalatok és intézmények 21 százalékánál csökkent 2011-ben az információbiztonsági terület költségvetése az előző évihez képest, míg növekedésről csak a megkérdezettek 7 százaléka számolt be. A költségcsökkentés mértéke az érintett vállalatok és intézmények közel felénél a 20 százalékot is meghaladta.

A felmérés szerint a költségvetési szféra intézményei lemaradnak a magánszféra vállalatai mögött az információbiztonság terén. A költségvetési szervezetek az átlagosnál alacsonyabb arányban rendelkeznek információbiztonsági stratégiával (56 százalék) és katasztrófaelhárítási tervvel (48 százalék). Kisebb hányaduknál található kifejezetten információbiztonságért felelős vezető (37 százalék), az információbiztonsági területnek pedig ritkábban kell beszámolnia a tevékenységéről, mint a magánszférában. Eközben az átlagosnál nagyobb mértékben csökkent 2011-ben az információbiztonsági költségvetésük is.