TARTALOMJEGYZÉK Előszó... 3 Bevezetés... 4 Vezetői összefoglaló... 5 IT Audit... 7 IT Biztonság... 17 IT Irányítás... 24 IT Kockázatelemzés...

TARTALOMJEGYZÉK Előszó... 3 Bevezetés... 4 Vezetői összefoglaló... 5 IT Audit... 7 Audit elterjedtsége/formája... 7 Audit tervezése... 8 Beszámolási rend... 10 Végrehajtás és eszközrendszer... 12 Auditorok személye és képzettsége... 15 IT Biztonság... 17 Az IT-biztonsághoz kapcsolódó képességek, folyamatok... 17 Információvédelem a külső szolgáltatókkal kapcsolatban... 19 Információbiztonsággal összefüggő incidensek... 19 Felelősség, beszámol[tat]ás... 20 Az információbiztonság költségvetése... 23 IT Irányítás... 24 IT Kockázatelemzés... 25 Felsővezetés szerepe... 25 Rendszeres kockázatfelmérés... 26 Eljárások, eszközök, rendszerek... 27 Függelék... 29 A kutatásról... 29 Executive Summary: The State of Information Security 2011... 30 2

ELŐSZÓ Először készült Magyarországon átfogó, menedzsment központú és kereskedelmi célok által nem befolyásolt felmérés az információbiztonság területén. Bízom benne, hogy e tanulmányból profitálni fognak a költségvetési- és privátszféra szereplői egyaránt. Remélem, hogy elemzéseink segíteni fogják a megrendelői oldal résztvevőit, hogy elhelyezzék magukat a mezőnyben, ötleteket kapjanak a terület irányítási kérdéseinek kezeléséhez és céljainak kialakításához. Abban is bízom, hogy a szolgáltatói oldal pedig a helyzet jobb megértése által célzottabb, az igényekhez még jobban alkalmazkodó szolgáltatásokkal tudja a piacot kiszolgálni. Mindez hozzásegítené az ISACA-t ahhoz, hogy egy lépést tegyen az informatikai audit, biztonság, kockázatkezelés és irányítás szakterületek képviseletének, mint küldetésének megvalósítása terén és éves szinten rendszeressé tegye e tanulmány kiadását. Kívánom, hogy használják sikerrel az információkat, hasznosítsák az elemzéseket további terveik kialakításához, alátámasztásához, valamint szolgáltatásaik finomhangolásához. Köszönöm ISACA tagtársaimnak, hogy tagdíj befizetéseikkel biztosították a felmérés finanszírozását. Köszönöm az Információbiztonsági felmérés munkacsoport tagjainak, Dellei Lászlónak, dr. Lugosi Erzsébetnek, Rónaszéki Péternek és dr. Szép Jenőnek, hogy munkájukkal hozzájárultak a tanulmány elkészültéhez. Köszönöm a KPMG-nek a kiadvány megjelenésének támogatását és nem utolsó sorban a BellResearch-nek a terepmunka elvégzését, valamint az elemzések összeállítását. Szabolcs András Alelnök ISACA Magyarországi Egyesület 3

BEVEZETÉS Ugyan az információbiztonság helyzetéről Magyarországon minden szakmabelinek, biztonsági szakértőnek és informatikai auditornak van elképzelése, úgy véljük, az átfogó felmérések számukra is értékes információval szolgálnak. Szintúgy a vállalatvezetők számára, akiknek egy kihívásokkal teli gazdasági helyzetben kell a szűkös erőforrásokat a szervezetet fenyegető számos kockázati tényező kezelésére allokálni. A mai bizonytalan környezetben a vállalatok jóval sérülékenyebbek egy szolgáltatáskiesést okozó incidens, egy belső csalás vagy egy adatszivárgás bekövetkezése esetén. E tanulmányok trendeket mutathatnak, és felhívhatják a szakemberek figyelmét arra, hogy a szervezetüknél jelentkező IT-biztonsági problémák általánosan jellemző, iparágspecifikus, netán egyedi esetek. Áttekintve a felmérés eredményeit, azonosíthatjuk azokat a gócpontokat, biztonsági kockázatokat és kihívásokat, amelyek nem csupán Magyarországon, de világszerte fejtörést okoznak az informatikai auditoroknak. Kihívás az audit számára a korszerű technológiák használata, amelyek között említhetjük a virtualizációt, a felhő alapú megoldásokat vagy az intelligens mobil eszközöket, melyek új megközelítéseket és specifikus szakértelmet kívánnak a felülvizsgálatok során. Megvalósítható vajon ez az auditorok képzése, vagy külső szakértők alkalmazása nélkül? Végezhetnek-e hatékony munkát az auditorok a megfelelő sérülékenység- és adatelemző eszközök nélkül? Aligha. Napjainkban már nem feltétlenül nyújt elegendő bizonyosságot az előírt kontrollok betartásának időnkénti, mintavételezéses, vagy egy adott rendszerhez kapcsolódó ellenőrzése. Igazi értéket az üzleti folyamatok és azokban levő kontrollok teljes spektrumának ellenőrzése (end-toend audit), valamint a kontrollok működési hatásosságának folyamatos figyelemmel kísérése és a szabályszegések vagy hiányosságok azonnali észlelése és kezelése (Continuous Auditing Continuous Monitoring) teremt, amelyek megakadályozhatják az üzleti károk bekövetkezését. Úgy véljük, az audit ellenőrző funkcióból úgy válhat valódi értékteremtő funkcióvá, ha aktívan és proaktívan, a hatékony és hatásos kontrollok propagálásával, ezáltal az üzleti folyamatok fejlesztésével járul hozzá az üzlet sikeréhez. Gaidosch Tamás Partner KPMG Tanácsadó Kft. 4

VEZETŐI ÖSSZEFOGLALÓ A hazai nagyvállalatok negyede még mindig mellőzi az IT auditot Az IT audit elhagyása sajnos még mindig nem ritka probléma. Minden szervezetnek döntenie kell: vagy vállalja az IT audit költségeit, vagy elhanyagolja ezt a területet, de utóbbi esetben olyan váratlan, kontrollálhatatlan és sokszor jelentős költségtényezőkkel szembesülhet utólag, melyek megfelelő óvintézkedésekkel jelentősen csökkenthetők vagy akár kiküszöbölhetők lettek volna. Sajnos sok vállalatnál ezt még nem látják tisztán és inkább választják a jóval magasabb, de nehezebben érzékelhető kockázatot, mint a forintban is azonnal mérhető audit költséget. A részletes kockázatelemzés jelentőségét az audit folyamatban egyre inkább felismerik, főként a magáncégek Komoly IT audit nehezen képzelhető el kockázatelemzés nélkül. A megfelelő IT kockázatfelmérés hiányában, amely feltárhatná, hogy milyen speciális kockázatok állnak fenn, a belső és IT auditorok gyakran inkább a kényelmesebb területekre fókuszálnak [pl. általános IT kontroll]. Ezt felismerve a kockázatelemzés a belső IT auditálást végző cégek immár mintegy kétharmadánál megjelenik. A költségvetési intézmények viszont jelentős lemaradásban vannak a magáncégekhez képest ebben a tekintetben. Az audit a legtöbb helyen már kikerült a vállalati IT irányítása alól és magasabb fórumok felé tartozik felelősséggel Egyre több helyen ismerik fel, hogy kedvezőbb ezt a funkciót az belső IT-n kívül tartani: az IT audit funkció leggyakrabban a vállalat felső vezetése vagy akár egyenesen az anyavállalat felé tartozik beszámolni. Ennek megfelelően az auditok fontossága nőtt és az auditban található megállapításokat utólag is egyre inkább számon kérik az IT részlegen. Változatlanul ellentmondásos viszont, hogy [mind a magyar, mind a nemzetközi gyakorlatban] a vállalatok tetemes részében az implementációs projektekbe az auditot már nem vonják be érdemben, de a vállalati stratégiába való beépítés is sok helyen hiányzik. Az auditorok személye és képzettsége egyre fontosabbá válik A tapasztalatok azt mutatják, hogy a vállalatok egyre jobban megválogatják, kit és milyen képzettséggel engednek üzemkritikus informatikai és biztonsági rendszereik közelébe. Kulcsfontosságú az is, hogy az auditorok megtalálják az egyensúlyt a technikai és az üzleti ismeretek között és mindkét területen hatékonyak tudjanak lenni. A nagyvállalatok leginkább a CISA, az ITIL és a CISM szakképesítést igénylik az IT audit területen dolgozóktól. 3 olyan fő auditori képesség figyelhető meg, melyek jelentősége mind a nemzetközi, mind a hazai nagyvállalati körben várhatóan növekedni fog a közeljövőben: egyrészt a különféle kockázatkezelési megközelítések ismerete, másrészt a specifikus technológiai ismeretek, harmadrészt [de egyáltalán nem utolsósorban] pedig a kritikai gondolkozás és analízis képessége. Az információbiztonság stratégiai fontosságát már részben felismerték a magyar vállalatok, de az ennek érdekében tett konkrét lépések terén még távol vagyunk az élvonaltól Átfogó információbiztonsági stratégiája a vállalatok 61 százalékának van, ez megközelíti a nemzetközi átlagban 65 százalékos szintet. Hasonló a helyzet a katasztrófaelhárítási terv [62%] és az átfogó biztonsági szabályzat és eljárásrendek [68%] esetében is. Ugyanakkor központosított naplóelemző rendszerrel csak a cégek/intézmények egyharmada, sérülékenységelemző eszközökkel az egynegyede rendelkezik, ami jóval elmarad a nemzetközi átlag mögött. 5

Az IT-biztonság kezelése a nemzetközi trendekhez képest kisebb súlyt kap a magyarországi vállalatoknál Idősoros nemzetközi felmérésekből jól látható, hogy növekszik azoknak a vállalatoknak az aránya, ahol az információbiztonsági terület közvetlenül a cég felsővezetésének vagy első számú vezetőjének az irányítása alá tartozik. Magyarországon ezzel szemben többségben vannak azok a vállalatok, ahol az információbiztonság az IT-vezető alá van rendelve. Ennél is aggasztóbb, hogy a magyar vállalatok/intézmények többségénél nincs és nem is terveznek bevezetni semmilyen mérőszámrendszert az információbiztonsági terület hatékonyságának a vizsgálatára nemzetközi átlagban ezzel szemben a cégek 38%-a használ ilyen metrikát, és további 24% tervezi bevezetni. A hazai vállalatok informatikai vezetői viszonylag jól informáltak az információbiztonsággal összefüggő incidensek kapcsán A magyarországi felmérésben a nemzetközi átlaghoz képest alacsonyabb volt azoknak az informatikai vezetőknek az aránya, akik nem tudtak válaszolni a cégüknél előforduló incidensek gyakoriságára, jellegére vonatkozó kérdésekre. Az IT biztonságot legnagyobb mértékben fenyegető veszély az eszközlopás, amit a cégek negyede tapasztalt Száz vállalatból 27-nél fordult elő eszközlopás az elmúlt egy évben, külső behatolási kísérletet pedig 21% tapasztalt. Az eszközlopást azonosító cégek többségénél egy-két alkalommal fordult csak elő ilyen incidens az elmúlt 12 hónap során, de van olyan cég is, ahol ez akár havi rendszerességgel is előfordul. Az információbiztonságra költött összeg nagysága nemzetközi szinten és Magyarországon egyaránt csökken A magyar vállalatok és intézmények körében 21 százaléknál csökkent 2011-ben az információbiztonsági terület költségvetése az előző évihez képest, míg növekedésről csak 7% számolt be. A költségcsökkentés mértéke az érintett vállalatok és intézmények közel felénél a 20%-ot is meghaladta. A költségvetési szféra intézményei lemaradnak a magánszféra vállalatai mögött az információbiztonság terén A költségvetési intézmények az átlagosnál alacsonyabb arányban rendelkeznek információbiztonsági stratégiával [56% vs. 62%] és katasztrófaelhárítási tervvel [48% vs. 67%], kisebb hányaduknál található kifejezetten az információbiztonságért felelős vezető [37% vs. 55%], az információbiztonsági területnek ritkábban kell beszámolnia tevékenységéről, mint a magánszférában, és az átlagosnál nagyobb mértékben csökkent 2011-ben az információbiztonsági költségvetésük is. A vállalatok/intézmények közül az információbiztonság szintjét tekintve kiemelkedőek a pénzügyi területen tevékenykedő szervezetek és a külföldi tulajdonú cégek A pénzügyi szektor vállalkozásai szinte valamennyi vizsgált kérdésben magasabb eredményeket mutatnak a többi vállalatnál. Kiemelkedően magas arányban van információbiztonsági vezetőjük [93%], és szintén kiemelkedő az információbiztonsági terület beszámoltatási gyakorisága [67% legalább havonta]. A 100%-os magyar tulajdonban lévő cégek a részben vagy egészben külföldi kézben lévő vállalatokhoz képest kevésbé kezelik stratégiai kérdésként az információbiztonságot, alacsonyabb körükben az információbiztonsági vezetők aránya, és kevésbé jellemző, hogy az információbiztonsági terület közvetlenül a felsővezetés felé számol be. A vállalatok többségénél jónak mondható a felsővezetésnek az ITkockázatok kezelésében betöltött szerepe A vizsgált vállalatok 60 százalékánál a felsővezetés nagyrészt átlátja a cég működése szempontjából kritikus IT-kockázatokat, és szintén a cégek többségére igaz, hogy a felsővezetés döntései megfelelőképpen támogatják az IT-kockázatok hatékony menedzselését. Ugyanakkor rendszeres kockázatfelmérés csak a cégek 40 százalékánál történik, ennek a körnek a bővülése mindenképpen szükséges lenne a hatékony kockázatmenedzselés szempontjából. 6

IT AUDIT A belső és külső auditnak egy különösen dinamikus és komplex kockázati környezettel kell megbirkóznia a jelenlegi válságidőszakban, hogy megkönnyítse az alkalmazkodást a rendkívüli sebességgel változó üzleti és IT biztonsági kihívásokhoz. Az IT auditok szempontjából jelenleg három terület tekinthető nemzetközi szinten is a leginkább égetőnek: ezek az üzleti növekedés, a újonnan megjelenő/feltörekvő technológiák, valamint a növekvő szabályozottság kérdésköre. Audit elterjedtsége/formája Mindezen kihívásokhoz a hazai nagyvállalatok is próbálnak alkalmazkodni, bár a megvalósítás számos esetben kívánnivalókat hagy maga után. Fontos azonban látni: hogy ezek a problémák messze nem egyediek és egyáltalán nem állnak meg az országhatároknál: a 2011-es év különösen is rámutatott, hogy számos, a hazaiaknál lényegesen komolyabb tőkeerővel és IT biztonsági háttérrel rendelkező multinacionális nagyvállalat is időről időre komoly károkat [valamint ezekhez kapcsolódó járulékos presztízsveszteségeket] volt kénytelen elszenvedni IT biztonsági hiányosságok miatt. A szakértők többsége megegyezik abban, hogy a jelenlegi folyamatos fejlődési és fejlesztési kényszer, valamint a rendelkezésre álló erőforrások szűkössége folytán a teljes körű IT biztonság megteremtése az álmok világába tartozik: a folyamatos fejlesztések újratermelik a biztonsági réseket, melyeknek befoltozása egy szinten túl sem időben, sem pénzügyileg nem gazdaságos a fejlesztői oldalon. Mindezen nehézségek viszont éppen a biztonsági audit kiemelt szükségességére világítanak rá. Bár az összes probléma így sem szüntethető meg, de a biztonsági kockázatok mind az előfordulás valószínűsége, mind pedig a keletkezett károk potenciális súlyossága tekintetében jelentősen csökkenthetők a megfelelő minőségben és rendszerességgel elvégzett IT audit segítségével. 1. ábra: Végeznek-e rendszeresen [belső és/vagy külső] IT auditot a szervezetnél? 8% 17% Csak belső auditot végeznek 17% 8% Csak külső auditot végeznek Belső és külső auditot is végeznek Sem belső, sem külső auditot nem végeznek NT/NV 50% A legjelentősebb hazai nagyvállalatok közel fele [44%] mind belső, mind külső IT auditot alkalmaz, a fennmaradók jelentős része pedig inkább a belső audit mellett tette le a voksot. Ez utóbbi komoly biztonsági kockázatot jelenthet, mivel akár a belső, akár a külső nézőpont kimaradása a folyamatból számos potenciális sebezhetőséget hagyhat feltáratlanul. Ennél is rosszabb hír, hogy a vizsgált cégek negyede teljességgel mellőzi az IT auditot. Az utóbbi pedig felhívás keringőre : ha egy szervezet maga nem deríti fel időben saját sebezhetőségeit, akkor lesznek mások akik ezt megteszik helyette. A 7

probléma csak az, hogy ezek a szereplők utána már maguk döntenek arról, mit kezdenek az így megszerzett információkkal, és igen gyakran nem jószándékúan használják fel azokat. Éppen ezért minden szervezetnek döntenie kell: vagy vállalja az IT audit költségeit, vagy elhanyagolja ezt a területet, de utóbbi esetben olyan váratlan, kontrollálhatatlan és sokszor jelentős költségtényezőkkel szembesülhet utólag, melyek megfelelő óvintézkedésekkel jelentősen csökkenthetők vagy akár kiküszöbölhetők lettek volna. Ágazatonként megvizsgálva a pénzügyekkel foglalkozó szervezeteknél figyelhető meg a legnagyobb tudatosság az audit területén: 93%-uk belső és külső auditot egyaránt alkalmaz. 2. ábra: Van-e kiszervezés az IT audit területen? Igen, van 51% 44% Még nincs, de tervezzük Nincs, és nem is tervezzük 5% A kiszervezés az audit folyamatokat is elérte: ma már igen sok, IT auditot végeztető cég nem saját stábjával készíti el a belső auditot sem, hanem ehhez külső szakértőket hív segítségül. Ilyen módon a szervezeten belül hiányzó kompetenciák dilemmája feloldásra kerülhet, míg sok esetben egyszerűen az elfogulatlanság biztosítása a cél. Persze a kiszervezéshez is kapcsolódhatnak kérdőjelek: számos cég nem szeretne külső szereplőknek érzékeny rendszereibe betekintést nyújtani [esetleg törvényi vagy egyéb szabályozási okból nem is járhat így el], vagy éppen nincs megbizonyosodva az outsource szolgáltató minőségpolitikájáról, feddhetetlenségéről, ill. nem lát garanciákat az esetlegesen bekövetkező negatív kimenetelekre. Az ellentétes irányú motivációk eredményeként a nagyvállalatok ebben a kérdésben eltérő fejlődési pályákon mozognak: minden második szervezet már most is kiszervezi IT audit tevékenységét vagy a közeljövőben tervez ez irányú lépéseket, másik felük viszont eddig is bent tartotta ezt a folyamatot, és a jövőben sem lát okot arra, hogy ezen változtasson. Audit tervezése A belső IT auditok kapcsán kulcskérdés az auditok megtervezése is: A nem kellő részletességgel vagy alapossággal, esetleg bizonyos kompetenciák híján megtervezett IT audit árát egy későbbi büntetés, iteratív munka vagy támadás esetén sok esetben drágán kell megfizetni. Az felismerve a belső auditokat az ilyet végző nagyvállalatok kétharmada már most is részletesen megtervezi, és ez az arány a későbbiekben várhatóan növekedni fog: további mintegy ötödrészük tervezi ugyanezt bevezetni már a közeljövőben. A tervezés a leggyakrabban éves ciklusokra épül, a negyedéves ill. 8

gördülő tervezés megjelenése a nemzetközi tendenciákhoz hasonlóan, ahol szintén az éves tervezés a jellemző viszonylag ritka. 3. ábra: Van-e részletes IT audit terv a szervezetnél? 13% Igen, van 22% 65% Még nincs, de tervezzük Nincs, és nem is tervezzük Komoly IT audit nehezen képzelhető el kockázatelemzés nélkül. A megfelelő IT kockázatfelmérés hiányában, amely feltárhatná, hogy milyen speciális kockázatok állnak fenn, a belső és IT auditorok gyakran inkább a kényelmesebb területekre fókuszálnak [pl. általános IT kontroll]. Ennek az elvnek megfelelően a kockázatelemzés a belső IT auditálást végző cégek immár mintegy kétharmadánál megjelenik. Az esetek döntő többségében a kockázatelemzés tisztán kvalitatív vagy vegyes alapon történik, a tisztán kvantitatív módszertant használó kockázatelemzés viszonylag ritka. A kockázatelemzés minden előnye ellenére is lényegesen kevésbé számít elterjedtnek a költségvetési intézményeknél [33%] mint a magánszférában [73%]. Az ágazatokat nézve a pénzügyi szervezeteknél a leginkább gyakori. 9

4. ábra: Mely szervezeti egység / részleg / vezető hagyja jóvá az éves IT audit tervet? IT audit terv jóváhagyása Felső vezetés/igazgatótanács [51%] IT vezető [25%] Belső ellenőrzési vezető [18%] Audit Bizottság [14%] Pénzügyi vezető [10%] Anyavállalat [8%] Ahol az IT auditot tervezik, ott jellemzően már igen komoly szinten jelentkezik a feladat a szervezeti hierarchiában is: az ilyen nagyvállalatok mintegy felében a legfelsőbb döntéshozó fórum [felsővezetés / igazgatótanács] hagyja jóvá az éves audit tervet. Gyakori az is, hogy egy vagy több vezetőnek [pl. IT vezető, belső ellenőrzési vezető] vagy egy erre a célra létrehozott audit bizottságnak kell jóváhagynia a terveket. Az esetek mintegy 8%-ban ennél is magasabb fórum, az anyavállalat jóváhagyása [is] szükséges. Beszámolási rend Tekintettel a vizsgált szervezetek nagy méretére és az érintettek széles körére, az audit eredményeit a végrehajtást követően jellemzően több irányba is riportolni kell. Legtöbb esetben [83%] ezek közé tartozik az éppen auditált terület felső vezetése, de a cégek tekintélyes részében a belső ellenőrzés, az igazgatótanács és az anyavállalat is kíváncsi az audit eredményekre. Az audit bizottság és a külső auditor partnerek [ahol vannak] szintén gyakran megkapják az eredményeket. 10

5. ábra: Mely szervezeti egységnek tartozik beszámolással az IT audit funkció? Felső vezetés/ igazgatótanács 53% Anyavállalat 17% IT vezető 16% Audit Vezető 10% Audit Bizottság 4% Az auditot végző szervezeti egységet természetesen nem csak az elkészült riportok alapján ítélik meg, hanem valamely vállalati szerv szorosabban is ellenőrzi őket. A tapasztalatok azt mutatják, hogy kedvezőbb ezt a funkciót az belső IT-n kívül tartani, mivel így elkerülhető, hogy a személyes összefonódások és függelmi viszonyok befolyásolják az audit eredményét. Ez a cél a vizsgált cégeknél többnyire meg is valósul: az IT funkció leggyakrabban a vállalat felsővezetése vagy akár egyenesen az anyavállalat felé tartozik beszámolni. Ezzel a magyar vállalatok a nemzetközi átlagnál jobban megfelelnek az Audit Committee Institute ajánlásának, amely szerint az auditnak a felsővezetés vagy az Audit Bizottság felé kell beszámolnia; nemzetközi szinten az audit a cégek 60 százalékánál az Audit Vezetőnek számol be és csak mintegy egyötödük a felsővezetésnek vagy az Audit Bizottságnak. Az audit megvalósulását jellemzően szintén utólag is nyomon követik az IT szervezetben. Ennek fontosságát aláhúzza, hogy a feladatot leggyakrabban a belső ellenőrzés vagy a felsővezetés / igazgatótanács végzi [tehát nem az auditált szervezet maga], de sok esetben az auditált szervezet maga is számon tartja, hogy mi valósult meg az ajánlásokból. Ehhez képest ellentmondásos viszont, hogy [mind a magyar, mind a nemzetközi gyakorlatban] a vállalatok többségében az implementációs projektek ellenőrzésébe az auditot már nem vonják be érdemben, de a vállalati stratégiába való beépítés is jellemzően hiányzik. Mindezeket figyelembe véve elmondható, hogy bár az audit folyamat megtervezésében és végrehajtásában sok helyen találni kivetnivalókat, a felsőbb vállalati fórumok és az anyavállalatok többnyire tisztán látják a kérdés fontosságát és ennek megfelelően próbálják is az számonkérni mind az auditorokon, mind az auditált szervezeti egységeken. 11

6. ábra: Az IT auditok során azonosítottak-e hiányosságokat az alábbi területeken az elmúlt 12 hónapban? Túlzott jogosultságok 52% Nem megfelelő naplózás 42% Nem kielégítő változáskezelés 36% Összeférhetetlen szerepkörök Az üzletmenet folytonosság nem megfelelő biztosítása 24% 23% A fizikai biztonság hiányossága 17% 0 10 20 30 40 50 60 A vállalati IT auditok számos különböző biztonsági hiányosságot tárhatnak fel. Magyarországon a vizsgált vállalati körben ezek közül a leggyakoribbnak a túlzott hozzáférési jogok, a hiányos naplófile-ok, illetve a nem kielégítő módon történő változáskezelés számítanak. Nemzetközi szinten emellett egyre erőteljesebb problémaként jelenik meg a munkafeladatok és a magánszféra nem megfelelő mértékű elkülönítése: a közösségi hálózatok használata, illetve általában is a munka és a magánszféra keveredése olyan biztonsági kihívásokat jelent, amire nehéz optimális, a cég biztonsági érdekeit és a munkavállalói személyiségi jogokat is kellő mértékben tekintetbe vevő megoldásokat találni. Vélhetően ez a probléma már a közeli jövőben itthon is a jelentősebb nehézségi faktorok közé kerülhet. Az elkészült audit riportokat legfontosabb és leggyakoribb alkotórészei a részleteket bemutató formális riport, a vezetői összefoglaló, illetve a menedzsment számára megfogalmazott javaslatok. Bár sok helyen mindhárom megtalálható, gyakori azonban, hogy ezek közül egyet vagy kettőt elhagynak. A formális riport teljes mellőzése ellenben ritka: mindössze az auditot végző cégek 8%-ra jellemző. Végrehajtás és eszközrendszer Az IT biztonsági auditokat számos különböző, nemzetközileg is széles körben elfogadott módszertan alapján lehet lebonyolítani, melyek most már a magyar cégekhez is egyre inkább begyűrűznek. Ezek közül a két leginkább használt az ISO 27001 és COBIT, melyeket a nagyobb hazai cégek már közel fele alkalmaz IT audit vizsgálatainak lebonyolításához. Az ISO 17799 alkalmazása a vállalatok mintegy negyedére jellemző, míg az ISO 20000 és a SAS70 használata ennél is ritkább. 12

7. ábra: IT audit tevékenység végrehajtásához használt módszertanok és keretrendszerek ISO 27001 COBIT ISO 17799 ISO 20000 SAS70 48% 44% 25% 13% 10% A pénzügyi szervezetek kiugróan magas mértékben használják mind az ISO 27001, mind a COBIT módszertanokat. A költségvetési intézményeknél az ISO 20000 használata felülreprezentált valamelyest. 8. ábra: Mely terülteken vesznek igénybe audit eszközöket az IT auditok során? Kockázatelemzés Tervezés Kontroll elemzés Adatelemzés Jelentéskészítés Audit javaslatok nyomon követése Audit menedzsment Munkalapok menedzsmentje Sehol nem vesznek igénybe Egyéb 3% 3% 19% 44% 40% 34% 32% 29% 29% 57% 0 10 20 30 40 50 60 Az IT audit eszközeinek igénybevétele jellemzően a nagyvállalatok működésének számos különböző területére kiterjed, a leginkább tipikusak azonban a kockázatelemzés, a tervezés és a kontroll elemzés. Adatelemző eszközöket a magyarországi vállalatok és intézmények egyharmada használ csak az IT auditok során, ez az arány nemzetközi szinten a magyarországinak közel a kétszerese, ez tehát egy lehetséges fejlődési irányt jelent a magyarországi IT-auditok számára a nemzetközi átlaghoz való felzárkózásra. Az audit folyamat munkaerőigénye [1 auditorral számolva] átlagosan mintegy 4 hónap belső audit, és 1,5 hónap külső audit esetén. A költségvetési intézmények körében kockázatelemzés céljára, a magánszférában viszont leginkább tervezésre használják az IT audit nyújtotta lehetőségeket. 13

9. ábra: Legfontosabb IT audit kezdeményezések 2011-ben Részletes audit terv kidolgozása 40% Összeférhetetlen szerepkörök elemzése 23% Csalás monitorozó folyamat bevezetés 16% Adatelemző eszköz bevezetés [CAATs] 8% Kockázat elemzés Egyéb Biztonság 3% 3% 1% Ezek közül egyik sem 40% 0 10 20 30 40 50 Az idei [2011-es] év számos fontos audit prioritást is felszínre hozott a magyar nagyvállalatok életében. Ezek közül a legfontosabb, hogy a cégeknek legyen végre részletes audit terve, vagy éppen a meglévőt alakítsák át és pontosítsák, hogy megfeleljen az aktuális biztonsági kihívásoknak. Kiemelt célnak számít még az összeférhetetlen szerepkörök elemzése [ez leggyakrabban SoD folyamat / eszköz bevezetését jelenti], valamint az esetleges csalásokat monitorozó folyamatok létrehozása, eszközök beszerzése. A kormányzati és a magánszféra eltérő fejlettségét jó mutatja, hogy míg a költségvetési intézmények számára a részletes audit terv kidolgozása fordul elő átlag feletti gyakorisággal, addig a magánszférában az összeférhetetlen szerepkörök elemzése fontosabb az átlagosnál. 10. ábra: Milyen kapcsolódó tevékenységekre terjed ki az IT audit tevékenység? IT rendszer funkcionalitás vizsgálata Információbiztonsági felmérések Előírásoknak való megfelelés vizsgálata IT szabályozások kidolgozása Jogszabályi megfelelőség vizsgálata IT kontrollok vizsgálata 81% 74% 66% 59% 58% 58% IT projektek megfelelőségi vizsgálata Betörési tesztek Összeférhetetlen szerepkörök elemzése 41% 36% 30% Egyéb 2% 0 20 40 60 80 100 14

Az audit tevékenység sok esetben kiterjed arra is, hogy az IT biztonsághoz kapcsolódó területek milyen problémákat, kockázatokat rejtenek magukban. Ennek vizsgálata során számos terület átvilágítása szóba jöhet, de a leggyakoribb, hogy az IT rendszerek funkcionalitását, az információbiztonsági felméréseket, valamint a vállalati előírásoknak való megfelelést veszik górcső alá. A nemzetközi tendenciákat vizsgálva látszik, hogy az új technológiai területek irányába elmozduló fejlesztések [közösségi hálózatok, mobil technológiák, felhő alapú megoldások] ellenére is sokszor nincs erős törekvés ezen területek belső vállalati auditba való bevonására. Nagy figyelmet audit szempontból inkább a tradicionális területek kapnak: a biztonság, az adatok integritása, a rendszerek bevezetése, és az üzleti folyamatosság. A fókusz az alkalmazási szintről egyre inkább átkerül a funkcionális kockázatokra [pl. az IT terület irányítása vagy a vagyonkezelés] Auditorok személye és képzettsége Az auditok területén nem meg kerülhető az auditorok személyének, szerepének egyre növekvő fontossága. Nemzetközi és hazai tapasztalatok is azt mutatják, hogy a vállalatok egyre jobban megválogatják, kit és milyen képzettséggel engednek üzemkritikus informatikai és biztonsági rendszereik közelébe. Kulcsfontosságú az is, hogy az auditorok megtalálják az egyensúlyt a technikai és az üzleti ismeretek között és mindkét területen hatékonyak tudjanak lenni. Ennek érdekében az IT és az egyéb területen dolgozó auditoroknak szorosan együtt kell működniük, hatékony csapatmunkával kiegészítve egymás kompetenciáit. 11. ábra: Mely szakképesítéseknek tulajdonítanak legnagyobb értéket az IT audit területen? TOP5 IT audit szakképesítés CISA [72%] ITIL [48%] CISM [42%] CISSP [22%] CIA [21%] Az auditorok elvárt képzettségét tekintve elmondható, a nagyvállalatok leginkább a CISA, az ITIL és a CISM szakképesítést igénylik leginkább az IT audit területen dolgozóktól. Annak ellenére, hogy ezek a leginkább univerzálisan elvárt képzettségek, a vállalati igények nem állnak meg ezen a ponton, számos cég ezek helyett / mellett egyéb, a saját igényeihez, belső felépítéséhez jobban igazodó és / vagy szakmaspecifikus módszertanok ismeretét is elvárja az auditoroktól. 15

12. ábra: Milyen gyakorisággal végeznek formális teljesítményértékelést az IT auditorok körében? 3% 1% 3% 1% 21% 13% 35% Soha Ad hoc jelleggel Minden auditot követően Havonta Negyedévente Évente Félévente NT/NV 23% Az auditorok teljesítményének értékelése jelenleg még jellemzően ritkán, vagy egyáltalán nem történik meg. A belső IT auditot végző nagyvállalatok mintegy 35%-a soha nem értékeli az auditorok teljesítményét, 23%-a csak esetenként, ad hoc jelleggel, további 21% pedig évente teszi ezt meg. A minden auditot követő, valamint az évesnél sűrűbb időközönkénti teljesítményértékelés jelenleg csak a cégek töredékére jellemző. Ez ugyan megfelel a nemzetközi tendenciáknak [ahol szintén viszonylag ritka vagy hiányzik az audit teljesítményértékelése], viszont felveti azt a problémát, hogy az esetek tekintélyes részében a kulcsfontosságú audit funkció és folyamat az auditot elrendelő döntéshozó számára egyfajta fekete doboz marad, melyet csak egészében tud elfogadni [esetleg elvetni], a részletekbe való beleszólás lehetősége nélkül. Három olyan fő auditori képesség figyelhető meg, melyek jelentősége mind a nemzetközi, mind a hazai nagyvállalati körben várhatóan növekedni fog a közeljövőben: egyrészt a különféle kockázatkezelési megközelítések ismerete, másrészt a specifikus technológiai ismeretek, harmadrészt [de egyáltalán nem utolsósorban] pedig a kritikai gondolkozás és analízis képessége. 16

IT BIZTONSÁG Az informatika területén a technika rendkívül gyors fejlődése folyamatosan új kihívások elé állítja a szakembereket. Az IT biztonság esetében ez azt is jelenti, hogy a fejlődés következtében az adataik biztonságát szem előtt tartó vállalatoknak friss, naprakész ismeretekkel és képességekkel kell rendelkezniük, hogy minimalizálhassák ennek a kockázati tényezőnek a szerepét. A kiberbűnözés nemzeti és nemzetközi viszonylatban is egyre növekvő fenyegetettséget jelent a vállalatok és a költségvetési intézmények számára egyaránt. A szakértők többsége egyetért abban, hogy ennek a biztonsági kockázatnak a csökkentése érdekében állami és vállalati szinten is átfogó biztonsági stratégiára, biztonsági eljárásrendekre van szükség. Ugyanakkor a szakértők abban is egyetértenek, hogy a hatékony stratégia önmagában nem elegendő a megfelelő biztonsági szinthez, hanem szükség van annak a proaktív megvalósítására is. A hazai vállalatok, úgy tűnik, számos tekintetben nem ismerték még fel ennek fontosságát, vagy legalábbis kisebb mértékben, mint amit a nemzetközi példák mutatnak. Az IT-biztonsághoz kapcsolódó képességek, folyamatok A magyarországi nagyvállalatok és költségvetési intézmények a nemzetközi átlaghoz hasonló arányban alkalmaznak átfogó stratégiát illetve az egyes részterületekhez kapcsolódó biztonsági terveket, azonban a konkrét megvalósítás bizonyos esetekben még elmarad ettől a szinttől. Átfogó információbiztonsági stratégiája a vállalatok/intézmények 61 százalékának van [egy nemzetközi összefoglaló tanulmány szerint ez világszerte átlagosan 65%], míg például sérülékenységelemző eszközökkel csak egynegyedük rendelkezik, szemben a nemzetközi szinten átlagosan 53%-os aránnyal. 13. ábra: Az Önök cége / intézménye rendelkezik-e az alábbi információbiztonsági képességekkel, folyamatokkal? Informatikai eszközleltár 71 Átfogó biztonsági szabályzat és eljárásrendek 68 Katasztrófa-elhárítási terv 62 Átfogó információbiztonsági stratégia 61 Az információs eszközökhöz való hozzáférések monitorozása 60 Üzletmenet-folytonossági terv 52 Specifikusan egyes rendszerekre vonatkozó biztonsági 51 standardok Információbiztonsági incidens elhárítási terv 46 Adatszivárgást megakadályozó eszközök 40 Közösségi média használatára vonatkozó biztonsági szabályzat 39 Rendszeres kockázatelemzés [legalább évente] 39 Biztonság tudatosító program 37 Központosított naplóelemző rendszer 35 Átfogó információ besorolási gyakorlat 32 IDS 32 Mobil eszközökön tárolt adatok titkosítása 29 Eszközök eltulajdonítására és kapcsolódó visszaélésekre kötött 28 biztosítás Sérülékenység elemző eszközök 25 Háttérellenőrzés a felvételi procedúra részeként 17 % 17

Az átfogó információbiztonsági stratégiára, a katasztrófaelhárítási tervre és a biztonsági szabályzatra, eljárásrendre egyaránt igaz, hogy a vállalatok/intézmények bizonyos csoportjai között jelentős különbségek figyelhetők meg ezek elterjedtségét illetően. Információbiztonsági stratégiával az összes vizsgált vállalat 61 százalékával szemben a költségvetési szféra intézményeinek csak 56 százaléka rendelkezik. A cégméret szerint is jelentősek a különbségek: 100 fő alatt 40%, 100-500 fő között 57%, míg az 500 főnél nagyobb vállalatok 70 százalékánál van információbiztonsági stratégia. A vállalatok tevékenységi köre szerint kiemelkedőek a pénzügyi területen működő vállalatok [73%], azonban még itt sem teljes körű az információbiztonsági stratégia alkalmazása. A legnagyobb különbséget a vállalatok között ebben a tekintetben a külföldi/magyar tulajdon szerint figyelhetjük meg: azon vállalatok körében, amelyekben van külfőldi résztulajdon, 82% rendelkezik információbiztonsági stratégiával, a 100% magyar tulajdonban lévő vállalatoknál csak 59%. Hasonló különbségek figyelhetők meg a katasztrófaelhárítási tervet illetően is: a magánszférában 67% [vs. költségvetési szféra 48%], a pénzügyi területen 87% [vs. egyéb területek összesen 63%], a részben vagy egészben külföldi tulajdonban lévő cégeknél 78% [vs. magyar tulajdonú cégek 49%] rendelkezik katasztrófaelhárítási tervvel. A meglévő folyamatok, képességek mellett az idei év legfontosabb tervei, törekvései azt mutatják, hogy a vállalatok tudatában vannak az információbiztonság fontosságának azonban jellemzően itt is elsősorban a stratégiai szintű törekvések kerültek előtérbe, míg a konkrét megvalósításra vonatkozó terveket viszonylag alacsonyabb arányban említették a válaszadók. A lista elején az IT eszköz kezelés és a központi jogosultságkezelés megvalósítása után a katasztrófaelhárítási terv és az átfogó biztonsági szabályzat elkészítése áll, ezt a megkérdezett vállalatok egynegyede tűzte ki célul. 14. ábra: Melyek az idei év legfontosabb információbiztonsági törekvései, projektjei? IT eszköz kezelés Központi jogosultságkezelés Katasztrófa-elhárítási terv elkészítése Átfogó biztonsági szabályzat és eljárásrendek elkészítése Az információs eszközökhöz való hozzáférések monitorozás megvalósítása Log menedzsment Biztonság tudatosító program megvalósítása Átfogó információbiztonsági stratégia kialakítása Mobil eszközökön tárolt adatok titkosításának megvalósítása Törvényi megfelelőség biztosítása Üzletmenet-folytonossági terv elkészítése Rendszeres kockázatelemzés megvalósítása Közösségi média használatára vonatkozó biztonsági szabályzat elkészítése Információ besorolási rendszer kialakítása Felhő architektúrára történő átállás % 32 26 25 24 20 20 19 18 18 16 13 10 8 6 5 18

Információvédelem a külső szolgáltatókkal kapcsolatban A külső szolgáltatói kapcsolatokban a leggyakrabban alkalmazott megoldás szerint a vállalatok szerződésben, vagy külön titoktartási nyilatkozatban kötelezik szolgáltatóikat az információk védelmére. A vállalatok háromnegyed része él azzal a megoldással is, hogy csak az általuk igénybe vett szolgáltatáshoz elengedhetetlenül szükséges mértékben engednek hozzáférést a rendszereikhez. Ugyanakkor a szolgáltatók információbiztonsági szempontból való tesztelését csak a megkérdezettek 11 százaléka alkalmazza. Míg az első három megoldás tekintetében nincs jelentős különbség az állami és a magánszféra között, addig a tesztelés esetében szembetűnő, hogy a költségvetési intézményeknél ez a megoldás egyáltalán nem fordul elő. [A külső szolgáltatók tesztelése egyébként a többiekhez képest kiemelkedő arányú, 27% a pénzügyi tevékenységet folytató cégek körében.] 15. ábra: Hogyan biztosítja információi védelmét külső szolgáltatóival kapcsolatban? Szerződés részévé teszik [76%] Nincs külső szolgáltató [2%] Nyilatkozatot kérnek [9%] Titoktartási nyilatkozatot íratnak alá [75%] Információk védelme Tesztelést végeznek [11%] Rendszerhez való hozzáférést limitálják [76%] Információbiztonsággal összefüggő incidensek A hazai vállalatok informatikai vezetői nemzetközi összehasonlításban viszonylag jól informáltnak mondhatók az információbiztonsággal összefüggő incidensek kapcsán. Míg a nemzetközi felmérésekben 33% körül van azon vezetők aránya, akik nem tudnak válaszolni arra a kérdésre, hány és milyen jellegű incidens történt a cégnél, a magyarországi felmérésben ennél alacsonyabb, 25% az ezen a téren kevésbé informált vezetők aránya. A megkérdezett vállalatok/intézmények egynegyede számolt be eszközlopásról [ezen belül 37% a költségvetési szférában!], emellett közel egyötödüknél azonosítottak külső behatolási kísérletet az elmúlt egy év során. Az eszközlopást azonosító cégek többségénél egy-két alkalommal fordult csak elő ilyen incidens az elmúlt 12 hónap során, de van olyan cég is, ahol átlagosan havi egy-két alkalommal fordul ez elő. A külső behatolási kísérlet habár a cégeknek csak kisebb részét érinti ahol megjelenik, ott gyakoribb az eszközlopásnál: a külső behatolási kísérleteket észlelő cégek több, mint felénél legalább három alkalommal fordult ez elő egy év alatt. 16. ábra: Incidensek előfordulása és gyakorisága? 19

0% 10% 20% 30% belső behatolási kísérlet külső behatolási kísérlet eszköz lopás bizalmas információk jogosulatlan kézbe kerülése csalás 0 2 4 6 8 Hány alkalommal fordult elő? [átlag] Incidens előfordulása [%] Felelősség, beszámol[tat]ás A magyarországi nagyvállalatok és költségvetési intézmények felénél nincs kinevezett felelőse az információbiztonságnak [CISO]. A költségvetési szférában 37%, a magánszférában 55% a CISO-val rendelkezők aránya. A pénzügyi területen működő cégek, mint sok más szempontból is, ebben a tekintetben is kiemelkednek az átlagból, itt 93% esetében van IT-biztonsági vezető. A külföldi tulajdonosok megléte szintén pozitív irányban hat, az ilyen cégek kétharmadánál van CISO, míg a csak magyar tulajdonú cégek esetén ez az arány 39%. Az általunk információbiztonsági szempontból kiemelt fontosságúnak ítélt vállalatok 80 százalékánál van kifejezetten ezért a területért felelős vezető. 17. ábra: Van-e az információbiztonsági területnek kinevezett felelőse [CISO]? 49% 51% Igen Nem Általános tendencia, hogy az információbiztonság fontosságának felismerésével erősödik ennek a területnek a szerepe a cégek stratégiája szempontjából is. Nemzetközi 20

felmérések szerint néhány évvel ezelőtt még jellemzően az IT fennhatósága alá tartozott az IT-biztonság, ám stratégiai szerepének felerősödésével egyre több cégnél jelenik meg a felsővezetésnek jelentő CISO. Míg négy évvel ezelőtt az információbiztonsági terület vezetője nemzetközi viszonylatban 38%-ban az ITvezetőnek jelentett, az idei évre ez 23%-ra csökkent, ezzel szemben a felsővezetés közvetlen irányítása alá tartozó CISO-k aránya 21%-ról 32%-ra nőtt. A magyar gazdaság vezető vállalatai körében ez a tendencia még nem látszik megjelenni habár itt nincs lehetőségünk időbeli összehasonlításra, a felsővezetésnek és az IT-vezetőnek jelentő CISO-k aránya pont a fordítottja a nemzetközi átlagnak. A megkérdezett vállalatok és intézmények 45 százalékánál az információbiztonsági terület az IT-vezető fennhatósága alá tartozik, míg a vállalat első számú vezetője [ügyvezető, CEO] a válaszadók egyharmadánál felügyeli közvetlenül az IT-biztonságot. Ebből a szempontból a távközlési illetve IT területen tevékenykedő vállalatok emelkednek ki elsősorban, ebben a körben 60% azon cégek aránya, ahol az információbiztonsági terület vezetője közvetlenül a cég elsőszámú vezetőjének felel. 18. ábra: Az információbiztonsági terület kinek tartozik beszámolással? IT vezető 45% Ügyvezető igazgató 34% Igazgatótanács Pénzügyi vezető Biztonsági vezető Operációs vezető 17% 13% 11% 8% Nincs beszámolás Egyéb 1% 4% 0 10 20 30 40 50 Az információbiztonsági terület fontosságának a felértékelődése nemzetközi szinten azt is jelenti, hogy a vállalatok egyre több figyelmet fordítanak a terület működési hatékonyságának a vizsgálatára. Egy 45 országra kiterjedő felmérés szerint a vállalatok 38 százaléka vezetett be e célból valamilyen mérőszámrendszert, és további 24% tervezi ennek bevezetését. Ebből a szempontból a magyarországi vállalatok és intézmények kevésbé fejlettek: csupán 12% használ ilyen mérőszámrendszert, és 28% tervezi, hogy a jövőben bevezetik azaz ha ezek a tervek mind megvalósulnak, akkor fogjuk csak elérni a jelenlegi nemzetközi átlagot. 21

19. ábra: Alakítottak-e már ki mérőszámrendszert az információbiztonsági terület működésének hatékonyságának vizsgálatára? Igen Még nem, de tervezik Magyarország Nemzetközi Nem, és nem is tervezik 0 10 20 30 40 50 60 70 A magyar gazdaság egészéhez képest valamivel kedvezőbb képet mutatnak a pénzügyi szektor vállalkozásai: 20% használ, 27% tervezi ám még itt is a vállalatok több, mint felénél nem is tervezik az információbiztonság hatékonyságát valamilyen standard metrikával vizsgálni. Szintén az információbiztonságnak a nemzetközi trendekhez képest viszonylag kisebb fontosságát mutatja a magyar gazdaságban, hogy míg nemzetközi átlagban a vállalatok 41 százalékánál havonta számol be az információbiztonsági terület vezetője a felettesének, addig a magyar vállalatoknál 23 százalék jelent havonta vagy ennél gyakrabban [a költségvetési szférában ez még alacsonyabb, mindössze 15%], a vállalatok egynegyedénél pedig egyáltalán nincs rendszeres beszámoltatás. A legalább havi rendszerességű beszámoltatás az átlagosnál jobban jellemző a külföldi érdekeltségű cégeknél [33%] illetve a pénzügyi szektorban [67%]. 20. ábra: Milyen gyakran számol be formális úton [pl. kulcs teljesítmény mutatókkal] az információbiztonsági terület a felettesének? 7% 26% Hetente 16% Havonta Negyedévente Félévente 16% Évente 24% 11% Soha 22

Viszonylag gyenge az együttműködés az információbiztonság és az üzleti területek között a magyarországi vállalatok körében: mindössze egynegyedük számolt be többékevésbé szoros kapcsolatról, míg háromnegyedük közepesnek vagy gyengének értékelte az együttműködést. Az információbiztonságra különösen érzékeny pénzügyi szektor, mint mindig, ezen a téren is jobban teljesít: itt a válaszadóknak csaknem a fele [47%] ítélte erősnek az együttműködést az üzleti és az információbiztonsági terület között. Szintén valamivel jobb a helyzet az átlagosnál a külföldi érdekeltségű cégeknél [erős kapcsolat: 31%]. Az információbiztonság költségvetése Globális tendencia, hogy habár a vállalatok felismerik és egyre fontosabbnak tartják az információbiztonság szerepét a vállalkozás sikeressége szempontjából, az erre a célra fenntartott költségvetésük jellemzően forráshiányos részben a gazdasági válságra is visszavezethetően jellemzően nem növekednek [vagy az esetek egy részében kifejezetten csökkennek] az információbiztonságra fordított kiadások. Ugyanakkor a szakértők szerint ez egy jövőbeni nagyobb beruházásra való felkészülést is előrejelezhet. Egy nemzetközi, éves rendszerességgel készülő felmérés szerint habár a cégek többségénél csökkennek, vagy legalábbis nem változnak a kiadások, az illetékes vezetők optimisták a jövőt illetően 2011-ben volt a legmagasabb azoknak az aránya, akik úgy gondolták, hogy az IT-biztonság költségvetése a következő évben magasabb lesz az ideinél. A magyarországi vállalatok ebből a szempontból hasonló helyzetben vannak: az összes válaszadó 68 százalékánál nem növekedett idén az információbiztonságra fordítható költségvetés, csökkenésről pedig háromszor annyian [21%] számoltak be, mint növekedésről [7%]. Az állami kiadások visszaszorításának következtében a költségvetési szférában még ennél is rosszabb a helyzet, az intézmények 37 százaléka volt kénytelen csökkenteni az IT-biztonsággal kapcsolatos kiadásait. A költségcsökkentés mértéke az érintett vállalatok és intézmények közel felénél a 20%-ot is meghaladta. 21. ábra: 2011-ben hogyan változott az információbiztonsági terület költségvetése a tavalyi évhez [2010-hez] képest? Total 7% 21% 68% Költségvetési szféra 7% 37% 56% Magánszféra 7% 16% 72% 0% 100% Nőtt Csökkent Nem változott Nem tudja / Nem válaszol 23

IT IRÁNYÍTÁS Az IT Process Institute 2009-ben közölt tanulmánya szerint az IT irányítás egy erőteljes eszköz lehet a versenyző IT prioritások egyensúlyozásában, és rávilágít arra, hogy a magasabb szintű IT irányítással rendelkező vállalatok jobb teljesítménymutatókkal bírnak. Ez jól mutatja, hogy egyre inkább elengedhetetlen az IT folyamatok és a vállalati/intézményi stratégia közötti minél szorosabb összhang kialakítása. Összességében a megkérdezett vállalatok / intézmények többségében úgy gondolják, hogy a legtöbb IT tevékenység összhangban van a központi stratégiával. Ez alól kivételt jelent néhány folyamat, ahol a megkérdezettek kevesebb mint fele gondolta úgy, hogy megfelelő az összhang. Ilyen területnek számít a projektmenedzsment, az IT irányítás állapotára vonatkozó jelentés elkészítése és a kommunikáció kontrollja. A legnagyobb összhangról [a válaszadók kétharmada] az informatikai költségek kontrollja valamint az informatikai üzemeltetés irányítása területén számoltak be. Ezt az arányt közelíti még meg az IT biztonság irányítása és a folyamatos informatikai irányítás biztosítása. Az eredmények azt mutatják, hogy a költségvetési szférában valamivel kisebb összhang tapasztalható az IT folyamatok és az intézményi stratégia között. A legnagyobb összhang az átlagtól eltérően az informatikai szolgáltatási szintek biztosítása terén jelentkezik. Ezzel szemben a magánszférában kicsivel nagyobb az összhang, és a különböző folyamatok sorrendje tulajdonképpen megegyezik az átlaggal. A tevékenységi területek közül a pénzügyi szegmens cégei számoltak be a legnagyobb arányban arról, hogy az IT folyamatok összhangban zajlanak a vállalati stratégiával. A kérdésben felsorolt folyamatok mindegyikénél így nyilatkozott a vállalatok többsége, a folyamatok több mint fele esetében a kérdezettek kétharmada, a következő négy terület esetében pedig a 80%-ot is elérte ez az arány: az informatikai költségek kontrollja, az IT biztonság irányítása, a folyamatos informatikai irányítás biztosítása és az informatikai irányítás állapotára vonatkozó jelentés elkészítése. 22. ábra: Azok aránya, akik szerint a következő folyamatok az intézményi / vállalati stratégiával összhangban zajlanak Informatikai költségek kontrollja Informatikai üzemeltetés irányítása IT biztonság irányítása Folyamatos IT irányítás biztosítása IT szolgáltatási szintek biztosítása Informatikai erőforrások allokálása Külső szolgáltatások használatának kontrollja IT szolgáltatások hasznosságának biztosítása Aminőség irányítása Projektek irányítása IT irányításra vonatkozó jelentés elkészítése A kommunikáció kontrollja 67% 67% 64% 63% 60% 59% 58% 57% 53% 49% 44% 38% 0 10 20 30 40 50 60 70 24

IT KOCKÁZATELEMZÉS A Symantec 2008-as tanulmánya szerint az IT kockázatkezelés nem a kockázatok megszüntetéséről szól. Sokkal inkább olyan szabályokról és eljárásokról, amelyek az IT szolgáltatásokat rugalmassá, változtathatóvá és a szervezeti célokhoz alkalmazkodóvá alakítja a folyamatosan változó üzleti környezetben. Továbbá az IT kockázatkezelés segítséget nyújt a kalkulált kockázatok magabiztos felvállalásához és az IT versenyelőnyként való felhasználásához. A Deloitte 2010-es kockázatkezeléssel foglalkozó nemzetközi kutatása rávilágít arra, hogy a válság lecsengésével együtt erősödött a pénzügyi vállalatok tudatossága abban, hogy a kockázatelemzést beemeljék az üzletstratégia legmagasabb szintjére. Ez a törekvés többféle formában is megjelent: nőttek a kockázatkezelésre fordított kiadások, új vezetői kockázatkezelői pozíciót [CRO] hoztak létre sok vállalatnál, szigorodtak az állami szabályozások, felgyorsult a nemzetközi szabványok [pl.: BASEL II] implementálása és a legtöbb szervezet kockázati keretrendszert [ERM] dolgozott ki vagy ennek kidolgozását tervezi. Felsővezetés szerepe Egy vállalat / intézmény kockázatkezelési stratégiájának kialakításában és hatékony alkalmazásában fontos szerepet játszik, hogy a felső vezetés / igazgatótanács milyen mértékben van tisztában a szervezetnél felmerülő IT kockázatokkal. A vizsgált szervezetek többségében [60%] teljes mértékben, vagy legalább nagyobb részben átlátják felsővezetői szinten az IT kockázatokat. A költségvetési szférában mindez mindössze az intézmények harmadáról mondható el, míg a magánszféra az átlagnál valamivel jobban teljesít [68%]. A vizsgált vállalatok / intézmények méret [alkalmazottak száma] szerinti bontása alapján megfigyelhető, hogy minél nagyobb egy szervezet, annál inkább tisztábban vannak a vezetők a lehetséges kockázatokkal. A biztonsági kockázatoknak való kiszolgáltatottság magasabb foka és a rendelkezésre álló szakértelem alapján könnyen magyarázható, hogy a két leginkább kockázat-tudatos tevékenységi szegmens a távközlési/it és a pénzügyi. Mindkét szegmensben a vállalkozások közel háromnegyedében teljes mértékben vagy nagy részben tisztában van a felső vezetés az IT kockázatokkal. 23. ábra: A felső vezetés / igazgatótanács milyen mértékben látja a szervezetnél felmerülő IT kockázatokat? 8% 7% 11% Teljes mértékben Nagyobb részben igen 26% Nagyobb részben nem Egyáltalán nem 48% NT/NV A válaszadók elmondása alapján úgy tűnik, hogy a vezetőség kockázattudatossága kihat arra, hogy a meghozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését. Összességében a szervezetek 58%-a gondolja úgy, hogy legalább 25