IT sigurnost na niskim granama, puno prilika za popravak

Prosjek dostignute razine informacijske sigurnosti u malim i srednjim poduzećima mjeren medijanom iznosi 19 a aritmetičkom sredinom 21.4, što znači da je implementirano između 20 i 22 posto minimalnih mjera informacijske sigurnosti koje čine model. U našem istraživanju htjeli smo izmjeriti i frekvenciju kvalitativne varijable, odnosno dostignute razina svijesti o važnosti informacijske sigurnosti u malim i srednjim poduzećima, ističe Saša Aksentijević  direktor Aksentijević vještačenje i savjetovanje, te stalni sudski vještak za informatiku i telekomunikacije u objašnjenju rezultata istraživanja koje je proveo u svrhu svoje doktorske disertacije. Naime, idealno poduzeće sa svim identificiranim odrednicama informacijske sigurnosti prema našem modelu imalo bi ocjenu funkcionalnosti 96.

Prema njegovim riječima postavljenim modelom je točno ocijenjena dostignuta razina funkcionalnosti informacijske sigurnosti u malim i srednjim poduzećima u Hrvatskoj, čime se izbjegavaju kvalitativne kvalifikacije i pribjegavanje"strahu, nesigurnosti i sumnji" pri komentiranju stanja informacijske sigurnosti-

Također, deseci dobivenih pokazatelja na pet razina funkcionalnosti modela daju nam analitički pregled primijenjenih mjera informacijske sigurnosti koje bi trebale biti posljedica posjedovanja ili neposjedovanja te svijesti, ističe Aksentijević.

„U tom smislu, postavljen je instrumentarij prema kojemu se ocjenama od 1 do 5, skala poput Likertove, ocjenjivalo odgovarajuće stavove. Prosječnom ocjenom 3 do 3,5 poduzeća ocjenjuju tvrdnje kako pojava informacijsko-sigurnosnih incidenata može imati negativan utjecaj po poslovni rezultat poduzeća; opstanak poduzeća na tržištu; imidž poduzeća među zaposlenicima (najniža ocjena, 3.0) te partnerima i klijentima. Još niže su ocjene tvrdnji vezanih uz kulturu informacijske sigurnosti: prosječnim ocjenama od 2.5 do 3 ocjenjuje se inzistiranje na provođenju sigurnosnih politika (2.5), upoznatost sa zakonskim zahtjevima i poštovanje mjera informacijske sigurnosti od strane zaposlenika (3)“, objašnjava Aksentijević.

Uzme li se u obzir činjenica kako 5 posto svih poduzeća u statistički reprezentativnom uzorku ima funkcionalnost modela jednaku nuli, odnosno nema implementiranu niti jednu mjeru na prvoj razini funkcionalnosti modela, te kako svega 8 posto poduzeća ima implementiranu ijednu mjeru s četvrte ili pete razine funkcionalnosti modela, jasno je kako je svijest o važnosti informacijske sigurnosti u malim i srednjim poduzećima u RH na niskoj razini.

„Iznenađujući su i rezultati vezani uz incidente informacijske sigurnosti, naime, 70 posto poduzeća nije zabilježilo pojavu informacijsko-sigurnosnih incidenata, a preostalih 30 posto poduzeća je uglavnom imalo jedan do pet sigurnosnih incidenata. Dvije trećine poduzeća koja su bilježila incidente informacijske sigurnosti imalo je time uzrokovan trošak od 0 do 2 posto godišnjeg prihoda, dok čak četvrtina onih koji su imali incidente sigurnosne sigurnosti uopće ne znaju koliki su oni trošak uzrokovali jer podatke ne bilježe“, pojašnjava Aksentijević.

Moguće je kako je niska razina svijesti o potrebi mjera informacijske sigurnosti u presjeku direktna posljedica niske razine na kojoj hrvatska poduzeća u tom segmentu uopće koriste informacijske tehnologije u poslovanju, tvrdi Aksentijević i dodaje da je statistički uzorak formiran je tako da  reflektira strukturu Nacionalne klasifikacije djelatnosti, te su stoga neke djelatnosti više reprezentirane (npr. informacije i komunikacije, ostale uslužne djelatnosti, stručne, znanstvene i tehničke djelatnosti, građevinarstvo te trgovina na veliko i malo). U istraživanju nismo radili studiju stanja unutar svake od industrija, već uzorak treba promatrati kao homoen.

„Međutim, vrlo je zanimljivo da su varijacije unutar pojedinih grupa mikro, malih i srednjih poduzeća unutar 6 posto. To znači da gotovo ne postoje razlike unutar te tri grupe poduzeća, te je razina informacijske sigurnosti vrlo uravnotežena. U našim okolnostima, mogli bismo reći kako je gotovo jednako loša u mikro, malim i srednjim poduzećima“, objašnjava Aksentijević.

Uz to, prema njegovim riječima kada smo izveli regresijsku analizu, ustanovili smo da korištenje sustava upravljanja kvalitetom ISO 9001 uopće nema utjecaj na dostignutu razinu funkcionalnosti informacijske sigurnosti, iako ga posjeduju mnoga mala poduzeća.

„To znači da se on uopće ne koristi kao alat za podizanje razine funkcionalnosti informacijske sigurnosti, iako može biti vrlo efikasan jer omogućuje definiranje i praćenje njenih ciljeva u okviru sustava upravljanja kvalitetom. Istraživanje je pokazalo kako nedostatak novca nije jedini razlog za zapostavljanje ove poslovne funkcije. Mala i srednja poduzeća ne koriste čak niti one mjere koje su, uvjetno rečeno, besplatne“, kazuje Aksentijević.

Naime, svega oko 70 posto poduzeća koristi odvojena korisnička imena i lozinke, antivirusnu zaštitu i vatrozid, iako sve te osnovne mjere informacijske sigurnosti u današnje doba za takva poduzeća postoje kao besplatna rješenja, ili u okviru već postojećih i ne zahtijevaju investicije.

Samo 17 posto poduzeća koristi najnovije sigurnosne zakrpe za opremu i programe, dok manje od 30 posto poduzeća odvaja pristup podacima po grupama korisnika. Sve ovo pokazuje kako  uobičajeno inzistiranje na edukaciji korisnika kod uvođenja sustava upravljanja informacijskom sigurnošću u hrvatskim okolnostima definitivno ima smisla.

„Upravo ovo pitanje osobito nas je zanimalo. Naime, vrlo niskom ocjenom od 2 na skali od 1 do 5 ocjenjuju svoje korištenje kvantitativnih metoda pri procjeni povrata u informacijsku sigurnost. Ovo nas navodi na zaključak da poduzeća sigurno ne koriste ekonomsku logiku pri odlučivanju, već neke druge kriterije. Nešto većom ocjenom, od 3 do 3.5, poduzeća ocjenjuju kako se pritom koriste inicijativom rukovoditelja, ili nastupom incidenta. Čini se da čak niti prijedloge dobavljača rješenja osobito ne čuju oni koji odlučuju o investiranju. Nadalje, pokazatelji koje smo dobili govore kako poduzeća vrlo nisko ocjenjuju razinu ulaganja u obrazovanje zaposlenika“, pojašnjava Aksentijević.

Što se tiče planiranja investicija, dobavljače rješenja će zanimati kako točno dvije trećine poduzeća u ovom segmentu ne planira sustavno investicije u informacijsku sigurnost već to čini stihijski, dodatnih desetak posto tek planira to početi činiti, tvrdi se u istraživanju.

Istovremeno, gotovo dvije trećine poduzeća smatra kako bi imalo dodatnu korist od povećanja razine ulaganja u sustav upravljanja informacijskom sigurnošću, kazuje Aksentijević i dodaje da u 40 posto slučajeva, razlog nižoj razini ulaganja od optimalne je nedostatak financijskih sredstava, dok u sljedećih 25 posto slučajeva poduzećima nedostaje znanja i jednako tako se 25 posto poduzeća koncentrira se na osnovno poslovanje. „Naposljetku, tijekom 2013. godine u odnosu na prethodnu, 57 posto poduzeća održalo je ulaganja u sustave upravljanja informacijskom sigurnošću na istoj razini, dok ih je četvrtina smanjivala a 17 posto povećavala. Istraživanje nam je dalo razlog ustvrditi kako je obrazovanje rukovoditelja i zaposlenika najjeftiniji i ujedno najefikasniji način za povećanje funkcionalnosti modela upravljanja informacijskom sigurnošću u malim i srednjim poduzećima u Republici Hrvatskoj. Stoga smo izradili i prijedlog modela upravljanja informacijskom sigurnošću u malim i srednjim poduzećima koji je utemeljen na ovim premisama, a koji ćemo predstaviti javnosti u prvom kvartalu 2014. godine“, zaključuje Aksentijević.