Strategické řízení bezpečnosti jen někde

Výsledky výzkumu vypovídají o tom, že organizace koncového trhu neřeší jen aktuální problémy, které v oblasti bezpečnosti přináší každodenní provoz IS, ale významnou část své pozornosti věnují také strategickému řízení bezpečnosti IT.

Svědčí o tom zjištění, že téměř dvě třetiny organizací mají zpracovanou bezpečnostní strategii zahrnující kromě jiného výčet dat a systémů, které je třeba chránit, specifikaci technologií implementovaných pro ochranu IS a identifikaci klíčových rizik, kterým může být subjekt vystaven.

Současně platí, že přibližně čtvrtina organizací bezpečnostní strategii doposud nemá připravenou, nicméně počítá s jejím dokončením v blízké budoucnosti. Naproti tomu ale 13 % organizací bezpečnostní strategii nemá a ani s její přípravou nepočítá.

Bezpečí hlavně pro velké
Z podrobnějšího vyhodnocení je patrné, že bezpečnostní strategii připravují ve významně vyšší míře větší organizace, a to jak z hlediska počtu zaměstnanců, tak také z pohledu celkového rozpočtu věnovaného na rozvoj IT.

Mezi subjekty vynakládajícími na rozvoj svého IT méně než 1 milion Kč ročně připravují bezpečnostní strategii přibližně tři organizace z pěti, zatímco mezi subjekty investujícími více než 50 milionů Kč mají v současnosti bezpečnostní strategii zpracovanou čtyři pětiny subjektů.

Za pozornost dále stojí, že mezi subjekty s méně než 100 zaměstnanci činí podíl organizací s bezpečnostní strategií 44 procent; v segmentu největších organizací je sice podíl subjektů s připravenou bezpečnostní strategií významně vyšší, nicméně i mezi organizacemi s více než 1 000 pracovníky lze nalézt přibližně čtvrtinu subjektů, které bezpečnostní strategii nemají.

Z oborového hlediska je patrné, že nejvyšší podíl subjektů se zpracovanou bezpečnostní strategií je v segmentu institucí finančního sektoru, nejnižší pak mezi obchodními společnostmi a subjekty působícími v oblasti služeb.

Přístup ke stanovení strategie
Základní informaci o existenci bezpečnostní strategie coby samostatného a specifického dokumentu dokresluje zjištění týkající se způsobu, jak byla bezpečnostní strategie připravena. Ukazuje se, že v téměř třech pětinách byla bezpečnostní strategie připravena výlučně interními pracovníky dané organizace.

Naproti tomu v pěti procentech případů se interní pracovníci organizace na přípravě bezpečnostní strategie vůbec nepodíleli, neboť její zpracování zadali externí (poradenské) společnosti, přičemž se na jejím vlastním zpracování aktivně nepodíleli. V přibližně třetině organizací vznikla bezpečnostní strategie na základě spolupráce mezi externím zpracovatelem (nejčastěji specializovanou poradenskou společností) a interními pracovníky.

Z výsledků provedeného šetření je patrné, že společné týmy externích specialistů a interních zaměstnanců spolupracujících na přípravě bezpečnostní strategie vznikají v největší míře ve veřejných organizacích (44 %), nejméně pak v organizacích s ryze českým kapitálem (26 %) – ty připravují své bezpečnostní strategie v největší míře svépomocí, kdy je jejich zpracování výlučně na interních pracovnících (takovýmto způsobem jsou bezpečnostní strategie připravovány v přibližně sedmi českých organizacích z deseti).

Informace o způsobu řízení bezpečnostních rizik dokresluje údaj o podílu organizací, které realizovali, popř. plánují realizovat specifické řešení auditu a centrálního přehledu o bezpečnostních událostech v organizaci. Z dostupných výsledků je patrné, že takový projekt již realizovala více než čtvrtina subjektů a další přibližně třetina (31 %) plánuje jeho provedení v blízké budoucnosti.

Podobně jako v případě ostatních zjištění týkajících se přípravy bezpečnostní strategie i v tomto případě platí, že daný projekt je realizován zejména většími organizacemi. Z konkrétních dat je zřejmé, že subjekty s více než 100 zaměstnanci realizují takový projekt v přibližně dvakrát větší míře než nejmenší subjekty zaměstnávající méně než 100 pracovníků.