Tartalmi kivonat
Információbiztonsági Helyzetkép 2021 A felmérést végezte és az elemzéseket készítette: ISACA BUDAPEST CHAPTER ELŐSZÓ Az egyik legnagyobb sikert arató kiadványunk a kétévente megjelenő Információbiztonsági Helyzetkép, amit immár hatodik alkalommal teszünk ingyenesen elérhetővé digitális formában és a legfontosabb szakmai eseményeinkre nyomtatott termékként is elviszünk. Az anyag sok szakember számára a munkájukban is hasznosítható újdonságokat, alkalmazható jó gyakorlatokat és esetenként gyakori hibákat mutat be - mások karriertervezési segédletként tekintenek rá. A vállalati vezetők, a szakmai döntéshozók, a szakértők számára is érthető és hasznos, sok esetben vitás kérdéseket mutatunk be. Újdonság az idei kiadásban, hogy behatóan foglalkozunk a pandémia okozta változásokkal, annak hatásaival a vállalati működésre. Elemezzük a home office jellemzőit, az otthoni munkavégzés során alkalmazott
eszközök körét és a környezet információbiztonsági jellemzőit. Érdekes következtetésekre jutunk e téren is Sok témakör korábbi felméréseinkben már szerepelt, és össze is hasonlítjuk a korábbi eredményeket, így kimutathatók az egyes területeken történt változások. A kitöltők jelentős része nem ISACA tagként foglalkozik informatikával, információbiztonsággal, a bemutatott eredményekben tehát több szakmai irányvonal megjelenik, és más szervezetek hatásai is érzékelhetők. Ettől is értékesebbnek érezzük a kutatási eredményeket! Az eddigi visszajelzések alapján erős igényt látunk arra, hogy a Helyzetkép kézzel fogható, fizikai formájában is megmaradjon, ezért igyekszünk ezt a jövőben is biztosítani. Visszaigazoltnak látjuk az ISACA által gondozott módszertanok, az oktatási anyagaink szakmai hitelességét, azok hatásosságát, a klasszikus minősítések mellett (CISA, CISM, CGEIT, CRISC) pedig reméljük, hogy az
új minősítések (CSX-P, CDPSE, ITCA, CET) is vonzóak lesznek a szakma számára. Köszönjük a kiadvány elkészítésében vállalt szakmai munkáját Rónaszéki Péter és Dellei László elnökségi tagtársunknak! Kívánunk jó olvasást, hasznos böngészést az adatok között! Horváth Pál ISACA Budapest Chapter, elnök Biró Gergely ISACA Budapest Chapter, korábbi elnök Tartalom I. Vezetői összefoglaló . 3 II. IT Audit . 5 Audit elterjedtsége, formája. 5 Audit tervezése. 6 Beszámolási rend . 8 Végrehajtás és eszközrendszer . 10 Auditorok személye és képzettsége . 12 III. IT Biztonság . 14 Az információbiztonsághoz kapcsolódó képességek, folyamatok . 15 I. Vezetői összefoglaló A technológiai fejlődés felgyorsult üteme, a digitalizáció és az üzletet átalakító digitális transzformáció, a felhőmegoldások, az IoT és az automatizáció-robotizáció, a digitális pénzügyi-fizetési megoldások terjedése, az
adatvédelem mindennapos kérdései – hogy csak néhány aktuális trendet említsünk – folyamatosan feladatok elé állítják a vállalatokat és intézményeket. Az ISACA Információbiztonsági Helyzetkép előző felmérése óta eltelt két évben ezeken az „organikus” fejlődési irányokon túl a covid-járványhelyzet is speciális kihívást jelentett a szervezetek számára. A távmunka széles körű kiterjesztése (kevésbé felkészült szervezeteknél a bevezetése), az online platformra terelt folyamatok és (ügyfél)kapcsolatok a vállalatoknak és intézményeknek hirtelen megoldandó feladatokat, sokak számára akár kényszerű digitális ugrást jelentettek információbiztonsági téren is. Idén ezért a felméréssorozat ismétlődő, sztenderd témakörei mellett egy speciális kérdésblokkban vizsgáltuk a szervezetek reakcióit a járványhelyzet kihívásaira. Információvédelem a külső szolgáltatókkal kapcsolatban . 17
Információbiztonsággal összefüggő incidensek . 18 Felelősség, beszámol(tat)ás . 22 Az információbiztonság költségvetése . 25 Biztonsági szakemberek képzettsége . 26 Az információbiztonsági piac mérete, megítélése . 27 A 2021-es eredmények alapján összességében a kutatás eddigi hullámaiban azonosított és mért trendek folytatásáról, a piac és a felhasználói gyakorlat fejlődéséről számolhatunk be: az audit és a kockázatközpontú megközelítés erősödő szerepéről; a kompetenciák, minősítések és szakmai továbbképzések fontosságáról; a belső vizsgálatok fejlesztésének igényéről; a felső vezetés befolyásáról és az intézkedések összhangjáról az információbiztonság tekintetében. Örvendetes, hogy több területen látható korábbi tervek megvalósulása, az elméleti jellegű felkészültség mellett a gyakorlat fejlődése, a konkrét megoldások alkalmazása is. Az információbiztonsági piac
beszállítóinak megítélése . 28 IV. IT Irányítás . 30 V. IT Kockázatelemzés . 32 A felső vezetés szerepe . 32 Rendszeres kockázatfelmérés . 33 Eljárások, eszközök, rendszerek. 33 VI. IT Szakképesítések. 34 VII. Pandémia . 37 VIII. Az ISACA Magyarországi Egyesület megítélése . 42 IX. Függelék. 43 A kutatásról . 43 X. Executive Summary . 45 Nő az audit fontossága, terjed a kockázatközpontú megközelítés, tudatosabb a tervezés Az informatika ma már a kisebb szervezetek életében, működésében is kulcsszerepet tölt be, a nagyobb vállalatoknál és intézményeknél számos üzletkritikus megoldása működik. Mind fontosabbá válik tehát a naprakész felkészültség és a megbízható védelem, amiben a rendszeres és megfelelő IT auditok kiemelt szereppel bírnak. 2021-ben már a vizsgált vállalati és intézményi kör háromnegyede végez rendszeresen IT auditot; a legtöbben belső és külső vizsgálatot egyaránt –
mindkét mutató tekintetében növekedést figyelhetünk meg az elmúlt évek eredményeit tekintve. A kiszervezés aránya e téren a korábbi növekedés után 40% körül állt be. Szintén a kockázatközpontú IT megközelítés és az audit fontosságának erősödését mutatja, hogy számottevően nőtt a szervezeteknél a részletes IT audit terv megléte. A belső auditok során az érintett vállalatok háromnegyede (kiemelten a pénzügy, valamint az energetika-távközlés-informatika ágazat), míg az intézmények 83%-a épít be kockázatelemzési szempontokat. Összhangban a nemzetközi ajánlásokkal, az audit a hazai szervezetek túlnyomó többségénél már kikerült az IT fennhatósága alól, és a funkció (jellemzően) a felső vezetésnek, illetve az audit bizottságnak számol be. Ezen a téren a fő fejlesztési célok elsősorban a biztonsági vizsgálatok rendszeres alkalmazása és a belső IT audit kompetenciák erősítése. Míg 2019-ben az
információbiztonsági kockázatokat leggyakrabban ad hoc jelleggel vizsgálták, 2021-re már a rendszeres állapotfelmérés a legelterjedtebb, és a belső audit, valamint a kockázatelemzés elterjedtsége is nőtt – mindemellett a többségnél az esetenkénti felmérések, vizsgálatok továbbra is a gyakorlat részét képezik. ISACA // Információbiztonsági Helyzetkép 2021 3 Magasak az elvárások az auditokkal és szakemberekkel szemben, de az elégedettség is jellemző Az auditok minősége nagymértékben függ az auditorok személyétől, ismereteitől, képességeitől, tapasztalataitól, ami a szervezetek elvárásaiban is megmutatkozik. Az elvárt képesítések terén a korábbi évekhez hasonlóan magasan vezet a CISA, míg a CISM, ITIL és CISSP a középmezőnyben vannak. A szervezetek a szakembereiket az IT kontroll keretrendszerek, szabványok terén tervezik leginkább továbbképezni. Az érintett szervezetek nagy többsége teljes vagy
nagymértékben elégedett az informatikai auditok minőségével, egynegyedük csak részben (kifejezett elégedetlenség alig jelenik meg) – ami kedvezőbb összképet mutat a két évvel ezelőtti – egyébként szintén pozitív – értékeléshez képest. A gyakorlati megoldások terjedése mellett a felhasználók edukációja is cél A szervezetek információbiztonsági felkészültsége, képességei terén az adminisztratív eszközök (biztonsági stratégiák, eljárásrendek, elhárítási tervek) megléte ugyan továbbra is a technológiai védelmi, megelőző eszközök használata előtt jár, azonban örvendetesen terjednek az eszköz szintű megoldások is, 2019 óta nőttek a penetrációs mutatók (például a sérülékenység-elemző és a naplóelemző eszközök használata). A legtöbb szervezet rendelkezik átfogó biztonsági szabályzattal, katasztrófa-elhárítási tervvel, információs eszközleltárral, valamint monitorozza az információs
eszközökhöz való hozzáférést, és van incidenselhárítási terve (is). A kitűzött célok és törekvések listájában 2019-ben messze a GDPR szerepelt az élen; idén, három évvel a felkészülési időszak lezárulta után már csak a szervezetek ötöde kezeli prioritásos projektként. A felhasználói biztonsági tudatosító program azonban továbbra is a top3 téma között szerepel, aminek kiemelt jelentőséget adott a covid-járványhelyzet miatti széleskörű távmunka. Szintén a leggyakoribb projektek között látjuk a katasztrófa-elhárítási terv készítését. II. IT Audit A gyors ütemű technológiai fejlődés – a digitális transzformáció, a felhőalapú és IoT megoldások terjedése, a konnektivitás, a távmunka és a BYOD sok egyéb trend mellett –, a jogszabályok és a szabványok változásai újabb és újabb kihívások elé állítják a vállalatokat és intézményeket az informatikai biztonság menedzselésében. Ez a turbulens
környezet felértékeli az IT audit jelentőségét, ahogyan az auditorokkal szembeni elvárásokat is emeli; a szervezetet pedig szembesíti annak szükségével, hogy a kockázatközpontú megközelítéssel alkalmazkodjon a változásokhoz, és felkészülten, időben adjon válaszokat a fenyegetésekre. Audit elterjedtsége, formája A széles skálán mozgó biztonsági kockázatok mérséklése és problémák elhárítása sokszor jelent nagy kihívást a szervezetek számára. Az informatika ma már a kisebb szervezetek életében, működésében is kulcsszerepet tölt be, a nagyobb vállalatoknál és intézményeknél számos üzletkritikus megoldás működik. Egyre fontosabbá válik tehát a felkészültség és a védelem, mind a kisebb, sokszor ártalmatlannak tűnő, mind pedig a nyilvánvalóan súlyos üzleti vagy/és presztízsveszteséggel járó incidensek tekintetében. A rendszeres és minőségében megfelelő IT auditok ezért kiemelt szerepet jelentenek a
szervezetek életében. Bár az összes lehetséges probléma és veszély minden valószínűség szerint így sem kerülhető el biztosan, de az auditok rávilágítanak, melyek azok a folyamatok, amelyek biztonságosabbá tételével csökkenthetők a kockázatok és az incidensek előfordulásának gyakorisága, valamint enyhíthetőek a károk. 1. ábra: A percepciók szerint növekszik a piac, és az edukáció eredményei is láthatóak A megkérdezett szakemberek nagy többsége a vállalati és intézményi oldalon egyaránt az információbiztonsági piac (jelentős) növekedését percepcionálja, ami illeszkedik a nemzetközi trendekhez, adatokhoz. Noha a hazai vállalatok és intézmények – a felmérés eredményei alapján is – egyre inkább felismerik az információbiztonság szerepét és fontosságát, az erre allokált költségvetésük sok esetben továbbra is forráshiányos. A többségnél az egyes évek során az erre fordított kiadások stagnálása,
nem számottevő változása volt jellemző. A 2019-ben mért jelentősebb arányú pozitív elmozdulás 2020-ban és 2021-ben a vállalati körben folytatódott, míg az intézményeknél vegyes képet, a növekedések mellett csökkenést is láthattunk. Ebben vitathatatlanul jelentős szerepe volt a pandémiás helyzet kihívásaira adott válaszoknak az eltérő, fejlesztési és visszafogási reflexek, illetve a gazdálkodási lehetőségek szerint. Mindez jól mutatja a fő döntéshozói dilemmát: mivel a terület önmagában nem generál közvetlen üzleti bevételt, hasznot, gyakran alulmarad a forrásokért folytatott belső harcban. A másik oldalon viszont az incidensek és az ezekről szóló hírek, beszámolók nyomán egyre jobban és szélesebb kör számára látható és megfogható az az üzleti veszteség, anyagi és reputációs kár, ami az információbiztonság elhanyagolásából adódik. Ez pedig mindenképp muníciót ad a szakma számára ahhoz a vezetői
szemléletformáláshoz, edukációhoz, aminek az eredményei – e kutatássorozat alapján is – az attitűdök változásában, a felkészültségben és az alkalmazott megoldások terjedésében láthatóak, mérhetőek. 4 ISACA // Információbiztonsági Helyzetkép 2021 Végeznek-e rendszeresen (belső és/vagy külső) IT auditot a szervezetnél? (2011-2021*) 2011 18 2012 19 2015 8 50 11 24 6 17 35 28 27 8 7 38 4 Csak belső auditot végeznek Csak külső auditot végeznek 2017* 21 8 39 25 6 Belső és külső auditot is végeznek 2019* 23 5 41 25 5 Sem belső, sem külső auditot nem végeznek 4 NT/NV 2021* 20 0% 6 20% 50 40% 20 60% 80% 100% Bázis: összes szervezet * Megjegyzés: a 2017-2021-es kutatások alapsoksági meghatározása valamelyest eltér a 2011-2015 közöttitől, az eredmények összevetésnél javasolt ennek figyelembevétele (lásd: Függelék, módszertan). 2021-ben a vizsgált vállalati és intézményi kör
háromnegyede (76%) végez rendszeresen IT auditot; a legtöbb szervezet (50%) belső és külső auditot egyaránt – mindkét mutató tekintetében növekedést figyelhetünk meg az elmúlt évek eredményeit tekintve. ISACA // Információbiztonsági Helyzetkép 2021 5 Egyötödük (20%) csak belső, további 6% csak külső auditot folytat. Minden ötödik szervezet egyáltalán nem végez semmilyen IT auditot, ami komoly biztonsági kockázatot jelenthet, hiszen így a potenciális sebezhetőségek nem kerülnek feltárásra. Láthatjuk, hogy 2021-re az auditok előfordulásának esetében egyértelmű növekedés figyelhető meg, ugyanekkor továbbra is számottevő azok aránya, ahol egyáltalán nincs IT audit folyamat. A költségvetési és a magánszféra összehasonlításában elmondható, hogy 2021-ben a két szektor között csak csekély eltérések láthatóak. Ágazatonként megvizsgálva a pénzügyekkel foglalkozó szervezeteknél, valamint az
energetikai-távközlési-informatikai iparágban figyelhető meg a legnagyobb tudatosság az audit területén (100%-os penetrációs mutatóval, általában külső és belső audittal egyaránt), míg a kereskedelmi vállalatok lemaradása jelentős. 3. ábra: 2011 2011 Van-e kiszervezés az IT audit területen? (2011-2021*) 44 5 2012 57 28 15 2015 58 27 10 5 2017* 59 27 9 Igen, van 2012 33 2015 4 30 2017* 63 4 37 6 60 5 46 Még nincs, de tervezzük 12 Nincs, és nem is tervezzük 2019* 42 2021* 38 0% 20% 5 40 6 40% 12 48 60% 8 80% 5 Igen, van 2021* 13 74 20% 10 26 57 0% 51 13 22 65 2019* 2. ábra: Van-e részletes IT audit terv a szervezetnél? (2011-2021*) 40% 60% 80% 8 7 6 100% Még nincs, de tervezzük Nincs, és nem is tervezzük NT/NV Bázis: belső IT auditot végző szervezetek A kockázatközpontú IT megközelítés, illetve annak kialakítása domináns szempont lehet az IT auditok szerepének
(újra)értelmezésében. Ezért az audit terv kialakításának során a kockázatelemzésnek fontos szerepet kell kapnia. A felmérésben látható eredmények ezzel összhangban vannak, a belső auditok során a vállalatok 76%-a (kiemelten pénzügy, valamint az energetika-távközlés-informatika ágazat), míg az intézmények 83%-a épít be kockázatelemzési szempontokat. NT/NV 100% Bázis: IT auditot rendszeresen végző szervezetek A kiszervezést a vállalatok működésük legkülönbözőbb területein alkalmazzák a core business-hez nem szorosan kapcsolódó, ám azt támogató (illetve esetenként ahhoz nélkülözhetetlen) tevékenységekben, területeken. Az IT auditok esetében – amellett, hogy gazdaságosság, költséghatékonyság szempontjából számos érv szól e mellett is – a kiszervezés egy különösen érzékeny kérdés, hiszen a külső partner számára a vállalatoknak saját belső rendszereikhez, adataikhoz kell hozzáférést
biztosítaniuk. Az IT audit terv jóváhagyása tekintetében a legfontosabb szerepet továbbra is egyértelműen a felső vezetés és az igazgatótanács játssza (59%). Emellett a releváns szervezetek negyedénél az IT vezető, illetve az audit bizottság jóváhagyása a jellemző. A korábbi eredményekkel összevetve a kifejezetten az audit bizottsághoz köthető jóváhagyási szerep megerősödött (2015: 8%, 2017: 16%, 2019: 23% 2021: 26%). E téren azonban jelentős eltérések figyelhetőek meg az intézményi és a vállalati szféra között. Míg a költségvetési szervezetek esetében a felső vezetés szerepe lényegesen erősebb, mint a magánszférában, addig a többi jóváhagyó – és különösen az audit bizottság – a költségvetési oldalon jóval ritkább. Ezzel együtt úgy tűnik, a kiszervezés ellen szóló érvek egyre inkább háttérbe kerülnek. Míg 2015-ben a szervezetek majdnem kétharmada még terv szintjén sem gondolt a kiszervezésre,
addig ez az arány az utóbbi hat évben 15 százalékponttal csökkent. Emellett azok aránya, ahol az IT audit már kiszervezésre került, szintén jelentősen, mintegy 10 százalékponttal növekedett 2015 óta. Az intézményi szférában e téren kisebb lemaradás érzékelhető, viszont a tervek szintjén nyitottság is látható. Audit tervezése Azon szervezeteknél, ahol végeznek belső IT auditot, ott a túlnyomó többség esetében van részletes audit terv is; hetedüknél pedig tervbe van véve annak kidolgozása. Ebben a tekintetben jelentős növekedésnek lehetünk tanúi a 2017-ben mért eredményekkel való összehasonlításban. 6 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 7 4. ábra: Mely szervezeti egység / részleg / vezető hagyja jóvá az éves IT audit tervet? Felső vezetés / igazgatótanács (59%) IT vezető (27%) Audit Bizottság (26%) Fontos feladat az ajánlások megvalósulásának
nyomon követése is, hiszen e nélkül az ellenőrzéseknek csak formális jelentősége van. Az auditról készült riportok 56%-a tartalmaz javaslatokat is a menedzsment számára. Ezeknek a nyomon követését leggyakrabban a belső ellenőrzés (65%), az auditált terület/szervezet (50%) és a felső vezetés (52%) végzi. Belső ellenőrzési vezető (16%) Pénzügyi vezető (4%) Egyéb(5%) Mindezeket figyelembe véve elmondható, hogy bár az audit folyamat megtervezésében és végrehajtásában lehet találni kivetnivalókat, a felsőbb vállalati fórumok és az anyavállalatok többnyire tisztán látják a kérdés fontosságát, és ennek (valamint a nemzetközi ajánlásoknak) megfelelően próbálják is azt számonkérni mind az auditorokon, mind az auditált szervezeti egységeken. Bázis: belső IT auditot végző szervezetek Beszámolási rend 6. ábra: Mivel az IT auditok eredményei több szinten és területen, eltérő módokon relevánsak a szervezet
számára, ezeket számos irányba kell közvetíteni. Legtöbbször továbbra is a felső vezetés és maga az auditált terület kapja meg az eredményeket (80%), ezt követi az audit bizottság (34%) és az Igazgatótanács (33%), valamint a belső ellenőrzés (29%), és az anyavállalat (27%). Az (esetleges) külső auditorok csupán a vizsgálatok huszadánál kapják meg az eredményeket, tehát az audit bizottság szerepének erősödése itt is megfigyelhető. 5. ábra: Az IT auditok során azonosítottak-e hiányosságokat az alábbi területeken az elmúlt 12 hónapban? 2019 Túlzott jogosultságok 41% 43% Nem megfelelő naplózás 33% 38% Nem kielégítő változáskezelés 31% 38% Mely szervezeti egységnek tartozik beszámolással az IT audit funkció? (2011-2021*) A fizikai biztonság hiányossága 21% 26% 2011 2012 2015 2017* 2019* 2021* Összeférhetetlen szerepkörök 28% 24% Felsővezetés / tanácsadás 53% 60% 64% 50% 63% 60% Az
üzletmenet folytonosság nem megfelelő 29% 23% Anyavállalat 17% 10% 10% 9% 6% 9% IT vezető 16% 11% 16% 17% 14% 12% Bázis: IT auditot rendszeresen végző szervezetek Audit vezető 10% 7% 5% 10% 4% 7% Audit bizottság 4% 9% 4% 4% 8% 10% A 2019-es felmérési eredményekhez képest az IT auditok során észlelt biztonsági hiányosságok karakterisztikája csak kisebb mértékben változott. A leggyakoribb problémák között továbbra is a túlzott jogosultságok, a hiányos naplózás és a nem kielégítő változáskezelés szerepel; pozitívum, hogy ezek előfordulása az utóbbi két évben csökkent. Figyelemre méltó azonban, hogy az összeférhetetlen szerepkörök, valamint a nem megfelelő üzletmenet-folytonosság ebben a hullámban némileg több helyen jelentettek problémát. Bázis: belső IT auditot végző szervezetek * Megjegyzés: a 2017-es, 2019-es és a 2021-es kutatások alapsoksági meghatározása eltér a 2011-2015
közöttitől, az eredmények összevetésnél javasolt ennek figyelembe vétele (lásd: Függelék, módszertan). 8 A felelősségek és intézkedések szempontjából fontos, mely szervezeti egységnek számol be az IT audit funkció. A belső érdekviszonyokat és az esetleges személyi összefonódásokat figyelembe véve nemzetközi trend, hogy az audit folyamatát igyekeznek kivonni az IT feladatkörei közül, hiszen ez hatással lehet annak eredményességére. Ez a hazai vállalatok esetében általánosságban teljesülni látszik. Az utóbbi két évben nem változott lényegileg a beszámolási kötelezettség struktúrája, így a szervezetek közel kétharmadára már most is teljesül, hogy a szervezet felső vezetése és/vagy az Igazgatótanács felé számol be. Ennél jóval kisebb arányban történik a beszámolás az IT vezető, az audit bizottság vagy az anyavállalat felé. Az Audit Committee Institute ajánlásának – miszerint az auditnak a felső
vezetés vagy az audit bizottság felé kell beszámolnia – a magyar szervezetek 70%-a így eleget is tesz. ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 9 Az auditok eredményei leggyakrabban írásos, formális riport formájában készülnek el (73%). Ezek többségében tartalmaznak is valamilyen javaslatot a menedzsment részére (56%). Összességében a formális riportok teljesen mellőzése ritka, de ennek aránya a válaszadó szervezetek körében még mindig 10%-ra tehető. A sablon alapján készült riportok előfordulása nem változott, a szervezetek 35%-a alkalmazott ilyet. 8. ábra: Mely területeken vesznek igénybe audit eszközöket az IT auditok során? 2019 Kockázatelemzés 64% Tervezés Végrehajtás és eszközrendszer Audit javaslatok nyomon követése A nemzetközileg elfogadott IT audit módszertanok közül a hazai vizsgált körben leginkább alkalmazott keretrendszer 2021-ben is az ISO
27001 (64%) és a COBIT (30%) volt (hasonlóan 2019-hez). A belső auditot végző vállalatok és intézmények körében majdnem minden negyedik szervezet alkalmazza az ISO 27031 szabványt. Az ISO 20000 és az ISAE 3402/SSAE 16/SAS 70 módszertanok elterjedtsége ennél alacsonyabb, bár az utóbbi években némileg nőtt az arányuk. 7. ábra: 48% IT audit tevékenység végrehajtásához használt módszertanok és keretrendszerek (20112021*) 2011 2012 2015 2017* 2019* 2021* ISO 27001 48% 44% 51% 56% 63% 64% COBIT 44% 30% 35% 38% 30% 30% ISO 17799 25% -* -* -* ISO 20000 13% 4% 11% 18% 15% 22% ISAE3402 10% 4% 6% 8% 11% 16% ISO 27031 -* 4% 16% 10% 19% 22% -* -* 40% Adatelemzés 37% Jelentéskészítés 30% 61% 44% 33% 31% 30% Audit menedzsment 41% 27% Kontroll elemzés 43% 27% Munkalapok menedzsmentje 14% 12% Bázis: belső IT auditot végző szervezetek A legszélesebb körben igénybe vett IT audit eszköz a
vállalatok és intézmények körében – hasonlóan a 2017-ben és 2019-ben mértekhez – a kockázatelemzés (a szervezetek 64%-ánál). Több terület esetében is szignifikáns növekedés figyelhető meg 2019-hez képest: a tervezés, a kontrollelemzés, az auditmenedzsment és az auditjavaslatok nyomon követése gyakori megoldások lettek (rendre 48%, 43% 41% ill. 40%) A legkevésbé általános audit eszköz a munkalapok menedzsmentje Összességében látható, hogy az utóbbi két évben a különböző auditeszközök használata enyhén átrendeződött, több eszköz használata gyakoribb lett. Az auditfolyamat átlagos munkaerőigénye mintegy 3,9 emberhónap belsős, valamint 1,9 emberhónap külsős esetén. Ez a szám mind a belsős, mind a külsős munkaerőnél némileg csökkent 2019-hez képest Mind a belsős, mind a külsős audit esetén elmondható, hogy a magánszférában fordítanak erre több munkaidőt a vállalatok, a költségvetési intézményeknél
alacsonyabb a munkaerő-ráfordítás mértéke. Bázis: belső IT auditot végző szervezetek, *Adott évben nem történt mérés A leggyakoribb keretrendszer egyforma arányban fordul elő a magán- és a költségvetési szférában; ágazati szempontból pedig az energetika-távközlés-informatika szektorban tevékenykedő szervezetek körében a legelterjedtebb. 10 ISACA // Információbiztonsági Helyzetkép 2021 A szervezetek az IT auditokhoz kapcsolódó jövőbeni fejlesztésként számos célt jelöltek ki. A két legfontosabb terület az auditokhoz kapcsolódó belső kompetencia erősítése (55%), valamint az információbiztonsághoz nélkülözhetetlen vizsgálatok rendszeresítése (52%). Emellett a naplóelemző rendszerek bevezetésének igénye ritkább, a szervezetek 19%-a tervezi ezt. Ugyanekkor a szervezetek 21%-a egyáltalán nem tervez semmilyen fejlesztést az IT audit területhez kapcsolódóan. Ez az arány hasonló a költségvetési és a vállalati
szférában is. ISACA // Információbiztonsági Helyzetkép 2021 11 9. ábra: Az Önök szervezete milyen célokat tűzött ki az IT audit terület fejlesztésére? 2019 Biztonsági vizsgálatok rendszeres alkalmazása 50% 52% Belső IT audit kompetencia erősítése 47% 55% Naplóelemző rendszer bevezetése 17% Adatelemző eszköz bevezetés [CAATs] 16% 0% 10% 10% Nem tervezzük az IT audit terület fejlesztését 11. ábra: 33% 19% Csalás monitorozó folyamat /eszköz bevezetés A vállalati és intézményi kör közötti különbség csak csekély mértékű, a 4 legfontosabb audit szakképesítés sorrendje teljesen megegyezik. A legfontosabb és a második legfontosabb képesítések szektortól függetlenül a CISA, valamint a CISM, míg a harmadik helyet a ITIL, a negyediket pedig az CISSP foglalja el. Teljes mértékben elégedett 1% 8% Inkább elégedett 33% 28% 21% Mennyire elégedett az informatikai ellenőrzések minőségével (szakmai
alaposság, megállapítások szakszerűsége stb.)? Részben elégedett, részben elégedetlen 25% Inkább elégedetlen Bázis: belső IT auditot végző szervezetek Teljes mértékben elégedetlen 33% Auditorok személye és képzettsége Az auditok és azok minősége nem elhanyagolható mértékben függ az auditorok személyétől. Ezért egyre fontosabb szemponttá válik az auditot végző szervezetek részéről, hogy olyan szakemberekkel dolgozzanak együtt, akiknek megvannak a megfelelő ismereteik és képességeik. Ennek egyik mérőeszköze lehet az auditorok minősítései. Az érintett szervezetek eltérnek az elvárt minősítések szempontjából. A legtöbb esetben a CISA minősítést tartják kívánatosnak (71%), mely egyfajta garancia is számukra az auditor személyét illetően. 10. ábra: Mely szakképesítéseknek tulajdonítanak legnagyobb értéket az IT audit területen? (2012-2021*) 2012 2015 2017* Bázis: IT auditot rendszeresen végző
szervezetek Az IT auditot rendszeresen végző válaszadók kétharmada (66%) teljes vagy nagymértékben elégedett az informatikai ellenőrzések minőségével (szakmai alaposság, a megállapítások szakszerűsége, időszerűsége, előre mutató volta), egynegyedük azonban csak közepes mértékben, részben. A kifejezett elégedetlenség ritka, csupán 1%-ra tehető. A költségvetési intézményeknél és a magánszektorban a megítélés nem különbözik lényegesen. 12. ábra: TOP5 IT audit szakképesítés 2019* 2021* NT/NV Milyen területen tervezik informatikai auditor szakembereiket továbbképezni? IT kontroll keretrendszerek, szabványok gyakorlati alkalmazása 43% 23% Fejlett ellenőrzési módszerek CISA (72%) CISA (70%) CISA (75%) CISA (83%) CISA (71%) 20% Biztonsági irányítási rendszer fejlesztése 18% Üzletmenet-folytonosság CISM (35%) CISM (50%) CISM (45%) CISM (52%) CISM (38%) ITIL (29%) ITIL (40%) ITIL (32%) CISSP (32%) ITIL
(35%) Gyártó specifikus képzések 7% Szaknyelvi képzés 8% Egyéb CISSP (14%) CISSP (22%) CISSP (25%) ITIL (28%) CISSP (31%) CIA (14%) CRISC (16%) CRISC (17%) CRISC (19%) CRISC (17%) Semmilyen területen nem terveznek továbbképzést 6% 34% Bázis: belső IT auditot végző szervezetek Bázis: IT auditot rendszeresen végző szervezetek 12 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 13 Az auditorok továbbképzésére gondot fordítók legfőképp az IT kontroll keretrendszerek gyakorlati alkalmazásának területén tervezik ezt (43%). Nagy arányban csökkent az információbiztonsági irányítási rendszerhez kapcsolódó továbbképzési tervek aránya (2019: 38% 2021: 20%). Jelen van, de csak közepes az igény az üzletmenet-folytonosságot érintő kompetenciák fejlesztésére, valamint a fejlett ellenőrzési rendszerekhez kapcsolódó tudás elmélyítésére is. 14. ábra: Az Önök
szervezete/vállalkozása jelenleg használ külsőleg kiszolgált webes szolgáltatásokat weboldalakhoz, e-mailhez vagy adat szállítására, tárolására? A szervezetek relatíve nagy hányada, egyharmada viszont (34%) egyáltalán nem tervez továbbképzést e téren; korántsem mondható pozitívnak, hogy 2019-hez képest ez az arány 24%-ról számottevően emelkedett. 16% Nem NT/NV 29% III. IT Biztonság A szervezetek IT rendszerének biztonságossá tétele szerves része a vállalati folyamatoknak, melynek célja, hogy az informatikai rendszerben fellelhető adatok sértetlenek legyenek és rendelkezésre álljanak. Az információbiztonság mértékét számos szempontból lehet értékelni, akár a megfelelő jogosultságok meglétét, akár az adatok hitelességét vagy épp a potenciális fenyegetésekkel szembeni védelmet tekintjük. Adott szervezetek informatikai rendszerének védelme és annak profilja ugyanakkor szorosan összekapcsolódik a szervezetben
használt megoldásokkal és eszközökkel. 13. ábra: Az alábbiak közül az Önök szervezete melyeket használja? Email címek a szervezet alkalmazottai számára 96% Weboldal vagy blog 85% Vállalatirányítási rendszer 79% Közösségi média oldalak vagy fiókok 71% Online üzleti bankszámla Online rendelési, foglalási vagy fizetési lehetőség a vevők számára 53% 37% Igen 55% Bázis: összes szervezet A külsőleg hosztolt webes megoldás igénybevétele a szervezetek több mint felére jellemző. Megfigyelhető, hogy az 500 fő feletti szervezeteknél a kisebbekhez képest inkább előtérbe kerül a saját szerverek használata, így a hosztolás egyre ritkább lesz. Lényegében az látható, hogy a hazai vállalatok és intézmények jól ellátottak a különböző IT megoldások és informatikai eszközök tekintetében, ugyanakkor ezek mind potenciális kockázatot jelenthetnek megfelelő információbiztonsági rendszer és háttér nélkül. Az
információbiztonsághoz kapcsolódó képességek, folyamatok A vizsgált hazai vállalatok és költségvetési intézmények körében is megfigyelhető, hogy az adminisztratív eszközök (biztonsági stratégiák, eljárásrendek, elhárítási tervek) megléte még a technológiai védelmi, megelőző eszközök használata előtt jár. Átfogó információbiztonsági stratégiája a szervezetek 64%-ának van, de örvendetesen terjednek az eszköz szintű megoldások is: például sérülékenység elemző eszközök használatának aránya a 2019-es 34%-ról 45%-ra, a központosított naplóelemző rendszer használata 39%-ról 44%-ra nőtt. A helyzet tehát pozitív irányba mozdult el a 2019-es felméréshez képest Bázis: összes szervezet Az általánosnak tekinthető belső e-mail címek (96%) mellett a honlap vagy blog elterjedtsége is magas (85%). Vállalatirányítási rendszerrel 79% rendelkezik, a penetráció – érthető módon – a magánszférában
lényegesen magasabb, mint a költségvetési intézményeknél. Közösségimédia-fiókkal a releváns szervezetek több mint kétharmada rendelkezik, míg online üzleti bankszámlával több mint felük bír, jellemzően inkább a magánszférában található meg ez a megoldás. 14 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 15 15. ábra: Az Önök cége / intézménye rendelkezik-e az alábbi információbiztonsági képességekkel, folyamatokkal? 16. ábra: Melyek az idei év legfontosabb információbiztonsági törekvései, projektjei? 2021 % 2021 % Átfogó biztonsági szabályzat és eljárásrendek 77 Központi jogosultságkezelés 33 Információs eszközleltár 75 Biztonság tudatosító program megvalósítása 33 Katasztrófa-elhárítási terv 66 Katasztrófa-elhárítási terv elkészítése 30 Üzletmenet-folytonossági terv 66 Törvényi megfelelőség biztosítása 26 Az
információs eszközökhöz való hozzáférések monitorozása 64 Az információs eszközökhöz való hozzáférések monitorozás megvalósítása 22 Átfogó információbiztonsági stratégia 64 IT eszközök információbiztonsági szempontból megfelelő kezelése 22 Rendszeres kockázatelemzés (legalább évente) 62 Üzletmenet-folytonossági terv elkészítése 20 Információbiztonsági incidens elhárítási terv 60 GDPR (Európai Adatvédelmi Előírás) megvalósítási program 18 Biztonság-tudatosító program 59 Log menedzsment 18 Adatszivárgást megakadályozó eszközök 54 Átfogó információbiztonsági stratégia kialakítása 17 Közösségi média használatára vonatkozó biztonsági szabályzat 53 Rendszeres kockázatelemzés megvalósítása 17 Mobil eszközökön tárolt adatok titkosítása 53 Átfogó biztonsági szabályzat és eljárásrendek elkészítése 16 Specifikusan egyes rendszerekre vonatkozó biztonsági
standardok 49 Felhő architektúrára történő átállás 16 Sérülékenység elemző eszközök 45 Biztonságtudatossági képzési program kialakítása 11 Központosított naplóelemző rendszer 44 Mobil eszközökön tárolt adatok titkosításának megvalósítása 11 Átfogó információ besorolási gyakorlat 41 Közösségi média használatára vonatkozó biztonsági szabályzat elkészítése 9 Háttérellenőrzés a felvételi procedúra részeként 36 Jogszabály által előírt tanúsítás megszerzése 7 IDS 34 Információ besorolási rendszer kialakítása 7 Eszközök eltulajdonítására és kapcsolódó visszaélésekre kötött biztosítás 33 IT GRC bevezetés 6 Bázis: összes szervezet Bázis: összes szervezet A legtöbb szervezet átfogó biztonsági szabályzattal, katasztrófa-elhárítási tervvel, információs eszközleltárral rendelkezik, valamint monitorozza az információs eszközökhöz való hozzáférést, és van
incidenselhárítási terve (is). A kitűzött célok és törekvések az információbiztonsági folyamatokhoz hasonlóak, ugyanakkor némileg átrendeződtek a fókuszok az előző felméréshez képest. Míg 2019-ben messze a GDPR volt a legnépszerűbb fókusztéma (47%-nál), idén, három évvel a felkészülési időszak lezárulta után már csak a szervezetek ötöde kezeli prioritásos projektként. Az átfogó információbiztonsági stratégia esetében a szervezetek bizonyos csoportjai között jelentős különbségek figyelhetők meg annak elterjedtségét illetően. Általánosságban elmondható, hogy ezen stratégiák gyakorisága annál magasabb, minél több munkavállalóval rendelkezik az adott szervezet. Információbiztonsági stratégiával az összes vizsgált szervezet 60%-a rendelkezik; ezzel szemben viszont a 100 fő alatti foglalkoztatottal rendelkező vállalkozások esetében ez az arány pusztán 47%, míg az 500 munkavállalót meghaladó szervezetek
esetében 80%. Hasonló trend mutatkozik az átfogó biztonsági szabályzat esetében is, ami a szervezetek létszámának növekedésével egyre gyakoribbá válik. A költségvetési és a magánszféra között nincsenek markáns különbségek, kisebb aránytalanságok a szabályozottság fokát és az adminisztráció kifinomultságát (pl. átfogó biztonsági szabályzattal, központosított szabályzattal és katasztrófa-elhárítási tervvel való rendelkezés) tekintve jelennek meg. Ezek a költségvetési intézményeknél mind gyakoribbak. A magánszférára az üzletmenet-folytonossági terv megléte jellemzőbb. 16 ISACA // Információbiztonsági Helyzetkép 2021 A felhasználói biztonsági tudatosító program azonban továbbra is a top3 téma között szerepel (sőt, az intézmények felénél prioritás), aminek kiemelt jelentőséget adott a covid-járványhelyzet miatti széleskörű távmunka és az ezzel járó információbiztonsági kihívás. Szintén a
leggyakoribb projektek között látjuk a katasztrófa-elhárítási terv készítését, elsősorban a vállalati körben. Információvédelem a külső szolgáltatókkal kapcsolatban Külső szolgáltatókhoz a szervezetek számos ágon kapcsolódnak (ami a felhő- és egyéb menedzselt informatikai szolgáltatások terjedésével egyre komplexebbé válik), így az ilyen folyamatok során áramló információk védelme is szorosan kapcsolódik a szervezet biztonságához. A külső szolgáltatói kapcsolatokban a gyakran alkalmazott megoldás szerint a vállalatok már eleve limitálják a rendszerükhöz való hozzáférés mértékét (73%) ezzel csökkentve a felesleges kockázatokat. Ezen kívül bevett „adminisztratív” megoldás továbbá a szolgáltatók titoktartási nyilatkozata (63%) vagy az egyéb szerződéses kikötések alkalmazása (73%). Tanúsítványt a szervezeteknek még mindig csak 17%-a kér a ISACA // Információbiztonsági Helyzetkép 2021 17
szolgáltatóktól, bár az elmúlt két év ebben némileg növekvő tendenciát mutat (2019: 13%); tesztelést csak 11% alkalmaz. 17. ábra: Hogyan biztosítja információi védelmét külső szolgáltatóival kapcsolatban? 18. ábra: Az alábbiak közül melyeknek esett áldozatul az Önök szervezete az elmúlt 12 hónapban? 26% Vírusok, kémprogramok, rosszindulatú szoftverek 24% Mások a szervezetnek adjál ki magukat e-mailekben, vagy online 21% Adathalászat, social engineering 16% Adatvédelmi incidens Szerződés részévé teszik (73%) Tanúsítás meglétét kérik (17%) Egyéb (4%) Információk védelme Titoktartási nyilatkozatot íratnak alá (63% ) 10% DDOS vagy DOS Licenc nélküli, vagy lopott szoftver letöltése 8% Ransomware (zsaroló vírus] 8% Pénzlopás becsapós e-mail, vagy webhely használatával Engedély nélküli hozzáférés gépekhez, hálózatokhoz vagy Tesztelést végeznek (11%) 5% Szolgáltatásmegtagadással járó
támadás 5% Ellopott személyes információk 5% Szoftver sérülés vagy lopás 4% Pénzlopás elektronikus úton Rendszerhez való hozzáférést limitálják (73%) 7% 2% Betörés személyes eszközökről 2% Betörés külsőleg kiszolgált webes szolgáltatásokból 1% Szellemi tulajdon ellopása 1% Közösségi oldalakra történő betörés 1% 37% Egyéb IT biztonsági probléma [pl.:áramszünet] Bázis: összes szervezet Bázis: összes szervezet A költségvetési és a magánszféra összehasonlításában elmondható, hogy a leggyakoribb megoldások azonosak, azonban a magánszférában az átlagnál valamivel gyakoribb a szerződések általi szabályozás, legyen az titoktartási nyilatkozat vagy az általános szerződés egy pontja. Információbiztonsággal összefüggő incidensek A 2019-es felméréshez képest megszaporodtak a DDOS támadások (10%-nál fordult elő ilyen), és a releváns szervezetek közel felénél a fentiekben nem
részletezett, valamilyen egyéb típusú probléma lépett fel. Az incidensek hatást gyakorolnak a szervezetre mind a munkavégzés, mind az információbiztonság jövőbeli működése terén. Az érintett vállalatok és intézmények 20%-a a jövőben újféle intézkedéseket szorgalmaz, hogy hasonló támadások ne forduljanak elő újra. A szervezetek körében továbbra is a korábbi évekhez hasonló az információbiztonsággal összefüggő incidensek struktúrája. A leggyakoribb ezek között a vírusok és kémprogramok, alacsonyabb előfordulással, mint az előző felmérésben (2021: 26%, 2019: 38%). Személyazonosság-lopásról, ilyen jellegű csalásról mintegy negyedük számolt be, és hasonlóan gyakoriak az adathalászattal, social engineeringgel kapcsolatos esetek is. 18 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 19 19. ábra: Az elmúlt 12 hónapban tapasztalt betörések vagy támadások
gyakoroltak-e az alábbiak közül valamilyen hatást a szervezetre? 18% A munkavállalók gátlása a napi munkavégzésben 13% Más javítási vagy visszaállítási költség 3% Bírságok, jogi költségek 3% Hírnévi sérülés 2% Bevételi vagy részvényérték veszteség 2% Egyéb 70% 58% Belső Audit 6% Ellopott vagy elvesztett vagyonelemek 56% Rendszeres állapotfelmérés 11% Extra munkaidő a betörések kezelésére, vagy mások Egy tervezett, jövőbeli üzleti tevékenység kivitelezésétől Az alábbiak közül milyen módon azonosítják az IT biztonsági kockázatokat? 20% Újféle intézkedések szükséglete a jövőbeli támadások A termékek és szolgáltatások fogyasztókhoz történő 21. ábra: 65% 60% Információ-/kiberbiztonsági kockázatelemzés Egyéb 1% 2021 51% 56% 25% Kiszervezett biztonsági szolgáltatás 1% 2019 67% Ad-hoc állapotfelmérés/felülvizsgálat 23% 1% 1% Bázis: összes szervezet Bázis:
összes szervezet A szervezetek 18%-ánál az incidensek munkaidő-kiesést okozva vagy egyéb akadályozással gátolták a munkavégzést, jellemzően az üzleti szférában. Javítási vagy visszaállítási költségek 13% esetében jelentkeztek. 20. ábra: Az Önök vállalkozásánál szoktak személyzeti oktatást tartani az IT biztonsági veszélyforrásokról és az IT biztonsággal összefüggő belső követelményekről? 7% Igen 23% Nem 70% NT/NV Míg 2019-ben az információbiztonsági kockázatokat leggyakrabban ad hoc jelleggel vizsgálták, 2021-re a rendszeres állapotfelmérés tört az élre (a szervezetek 70%-ánál), és a belső audit (65%), valamint a kockázatelemzés (56%) elterjedtsége is nőtt – mindemellett a többségnél az esetenkénti felmérések, vizsgálatok továbbra is a gyakorlat részét képezik. A költségvetési szférában hasonló a különböző módszerek előfordulása, mint a vállalatoknál, a belső audit és a rendszeres
állapotfelmérés azonban utóbbi körben gyakoribb. 22. ábra: Az alábbiak közül milyen IT biztonsági irányítási és kockázatkezelési megoldásokat alkalmaznak? Biztonsági kockázatelemzések lefolytatása az elmúlt egy évben Az IT biztonsági kockázatokat a vállalati kockázatnyilvántartás tartalmazza 49% Az IT biztonsági kockázatokat belső audit terv tartalmazza 47% Helyi információbiztonsági igazgató Vezető testületi [board] tag kiberkockázati felelősséggel Bázis: összes szervezet 56% Az IT biztonsági kockázatokat az igazgatósági/osztályonkénti kockázatnyilvántartás tartalmazza 29% 20% 25% Bázis: összes szervezet A felhasználó közmondásosan az egyik legfőbb veszélyforrás – ezért is kiemelt fontosságú a munkavállalói gyakorlat fejlesztése vállalati biztonsági képzésekkel. A vizsgált szervezetek több mint kétharmada szokott is ilyen jellegű, a helyi követelményekre fókuszáló oktatást tartani a
munkavállalók számára. Ugyanekkor ez a kereskedelmi cégek csupán 47%-ánál bevett gyakorlat, viszont a pénzügyi vállalatok közül (szinte) mindegyikre igaz. 20 ISACA // Információbiztonsági Helyzetkép 2021 A biztonsági irányítási megoldások között a kockázatelemzések számítanak leggyakoribbnak (56%), kockázatokat a szervezetek nyilvántartásban (49%), illetve a belső audittervben (47%) rögzíti. Kimondottan kiberkockázati felelősséggel bíró vezetőségi tag a szervezetek ötödénél található. ISACA // Információbiztonsági Helyzetkép 2021 21 24. ábra: 23. ábra: Van-e az információbiztonsági területnek kinevezett felelőse (CISO)? Milyen információkat használnak a szervezettel szemben álló biztonsági veszélyforrások értékelésének támogatására? 65% Belső biztonsági szakértők véleménye Felsővezetői konzultáció 51% Biztonsági termékek árusítóinak javaslatai 50% A média tudósításai 49%
Kormányzati szolgáltatások / fenyegetettség elemző szolgáltatások riasztásai 48% Biztonsági testületek útmutatása 47% Vállalati csoportok véleménye Van 58% Külső biztonsági tanácsadók véleménye Nincs 45% 55% 37% Bázis: összes szervezet Egyéb 1% Egyik sem 3% Bázis: összes szervezet Az egyes kockázati elemek súlyosságának értékelésében számos szempont játszik szerepet. A legtöbben a belső szakértők (65%) véleményére és a külső biztonsági szakértők, tanácsadók ajánlására (58%) támaszkodnak. Értelemszerűen a költségvetési szférában a „Kormányzati szolgáltatások / fenyegetettség elemző szolgáltatások riasztásai” dominánsabb, mint a magánszférában (78% vs 42%), de a médiára is gyakrabban figyelnek. A szakértők általában egyetértenek abban, hogy az információbiztonsági terület hatékony működése jobban biztosított akkor, ha nincs alárendelve az IT-nak, hanem a CISO közvetlenül a
felső vezetés (CEO, COO) felé tartozik beszámolni. Ezen tendencia 2021-ben részben meg is jelenik a magyar szervezetek körében. Bár a vállalat első számú vezetője (ügyvezető, CEO) felé az esetek 51%-ában tartozik beszámolással a CISO, ugyanekkor 43% esetében az IT területnek (is). Korábbi évekhez képest az látszik, hogy az ügyvezető igazgató, illetve az igazgatótanács felé történő beszámolási kötelezettség fontossága némileg nőtt, ugyanakkor az IT vezető felé történő riportolás fontossága, prioritása lejjebb értékelődött. 25. ábra: Az információbiztonsági terület kinek tartozik beszámolással? Felelősség, beszámol(tat)ás A vizsgált hazai szervezetek több mint kétötödénél nincs kinevezett felelőse az információbiztonságnak (CISO). A költségvetési szférában 66%, a vállalatoknál 52% a CISO-val rendelkezők aránya A pénzügyi, valamint energetika-távközlés-informatika szegmensben működő cégek –
mint sok más szempontból, ebben a tekintetben is – kiemelkednek az átlagból, itt több mint 90%-ban van információbiztonsági vezető. Az 500 vagy több főt foglalkoztató vállalatok 76%-ánál van kifejezetten ezért a területért felelős CISO. 2019 51% Ügyvezető igazgató 43% IT vezető 8% 11% Pénzügyi vezető 4% 5% Operációs vezető Egyéb 9% 10% Biztonsági vezető 46% 16% 15% Igazgatótanács 48% 6% 4% Bázis: összes szervezet 22 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 23 Az információbiztonság felértékelődésével a vállalatok egyre több figyelmet fordítanak a terület működési hatékonyságának a vizsgálatára, mérőszámrendszerek bevezetésére, alkalmazására is. Ebből a szempontból a magyarországi vállalatok és intézmények kevésbé fejlettek, csupán 21% használ ilyen mérőszámrendszert, és további 23% tervezi, hogy a jövőben bevezetik.
Ezzel együtt is a tendencia az előző kutatási hullámhoz képest némi fejlődést mutat. 26. ábra: Alakítottak-e már ki mérőszámrendszert az információbiztonsági terület működése hatékonyságának vizsgálatára? Igen Még nem, de tervezik Nem, és nem is tervezik 23% NT/NV 33% Az információbiztonság költségvetése 1 A vállalatok és intézmények ugyan felismerik az információbiztonság szerepét és fontosságát a működésben, azonban az erre allokált költségvetésük sok esetben forráshiányos; a szervezetek többségénél az egyes évek során az információbiztonságra fordított kiadások stagnálása, nem számottevő változása volt jellemző. 21% 22% Az együttműködés az információbiztonság és az üzleti területek között relatíve gyenge: mintegy 40% számolt be többé-kevésbé szoros kapcsolatról, míg 47% csak közepesnek vagy gyengének minősítette az együttműködést (13% nem értékelte). Az
információbiztonságra különösen érzékeny pénzügyi, valamint az energetika-távközlés-informatika területen működő cégek ezen a téren is jobban teljesítenek az átlagosnál. A korábbi évek vegyes képe után 2019-ben jelentősebb arányú pozitív elmozdulást mutattak az eredmények, a magán- és közszférában egyaránt közel 30%-nál nőttek a büdzsék. 2020-ban és 2021ben ez a vállalati körben folytatódott (28, majd 17%-nál), míg az intézményeknél vegyes képet, a növekedések (8 és 4%) mellett legalább akkora hányadnál csökkenést (8-12%) is láthattunk – ebben vitathatatlanul jelentős szerepe volt a pandémiás helyzet kihívásaira adott válaszoknak az eltérő, fejlesztési és visszafogási reflexek, illetve a gazdálkodási lehetőségek szerint. 28. ábra: Bázis: összes szervezet A teljes vizsgált vállalati-intézményi körhöz képest valamivel kedvezőbb képet mutatnak az 500 fő feletti szervezetek: 33% használ,
további 30% pedig tervezi az információbiztonság hatékonyságát valamilyen standard metrikával vizsgálni. Ellenben a kisebb szervezeteknél mindkét mutatószám nagyságrendileg 15 százalékponttal alacsonyabb. Az információbiztonsági terület vezetője a szervezetek 16%-ánál jelent legalább havonta a felettesének. Ugyanekkor minden tizedik vállalatra igaz, hogy az információbiztonsági terület egyáltalán nem számol be formális úton a feletteseknek. Így összességében az elmúlt két évvel összehasonlítva két folyamatot is láthatunk. Egyfelől csökkent azon szervezetek aránya, ahol egyáltalán nincs semmilyen jelentés, másfelől a negyed-félévente beszámolók aránya is valamelyest nőtt. 27. ábra: 2011 Milyen gyakran számol be formális úton (pl. kulcs teljesítmény mutatókkal) az információbiztonsági terület a felettesének? (2011-2021*) 7 16 16 2012 3 13 12 9 2015 4 10 15 5 2017* 7 11 9 4 2019* 9 9 17 2021* 6
10 14 11 24 26 27 35 18 27 18 7 16 21 18 18 20 29 Total 2011 2011 Magánszféra 2012 Magánszféra 2015 2017* Total 2012 Magánszféra 25 Soha 10 26 NT/NV 46 11 2020* Magánszféra Total 2021 Magánszféra 72 49 19 4 31 25 8 17 Nőtt 5 3 40 70 28 15 6 44 56 41 17 53 70 49 Nem változott 42 4 21 5 16 26 22 27 17 30 13 48 28 27 28 Total 2020 37 57 53 60 Total 2019 26 27 24 5 4 34 12 26 30 25 6 11 5 2 50 1 46 24 37 4 2 Csökkent 8 12 23 25 28 31 14 13 NT/NV Bázis: összes szervezet Félévente 14 9 9 68 56 13 14 12 Total 2017 Negyedévente Évente 3 Magánszféra Magánszféra 2021* 7 7 7 Total 2015 2019* Hetente Havonta Az idei évben hogyan változott az információbiztonsági terület költségvetése az előző évhez képest? (2011-2021*) * Megjegyzés: a 2017- 2021-es kutatások alapsoksági meghatározása eltér a 2011-2015 közöttitől, az eredmények összevetésnél javasolt
ennek figyelembevétele (lásd: Függelék, módszertan). * A 2020. évi változást a 2021-es kutatásban vizsgáltuk 1 Fontos módszertani megjegyzés, hogy az információbiztonság költségvetésére vonatkozó kérdések különösen szenzitív területet jelentenek a válaszadók számára, így a tanulmánynak ebben a fejezetében a többi részhez képest kimagasló a „Nem tudja / Nem válaszol” válaszok aránya, ami az esetek többségében nem a válaszadó alulinformáltságát jelenti. Bázis: összes szervezet 24 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 25 A kutatás eredményei arról tanúskodnak, hogy 2021-ben a szervezetek információbiztonsági költségvetése jellemzően legfeljebb 5 millió forintot tesz ki. Fontos megjegyezni azonban, hogy a megkérdezett informatikai, információbiztonsági vezetők több mint fele nem osztotta meg a vonatkozó adatot; ez az arány az előző
hullámokban is hasonlóan magasnak bizonyult. 29. ábra: Nagyságrendileg mekkora összeget tesz ki az idén, 2021-ben az információbiztonsági terület költségvetése? (2015-2021*) 2015 2017* 2019* 2021* 37 18 22 16 4 42 52 6 3 11 5 5 8 2 62 12 56 13 61 31. ábra: Milyen területen tervezik informatikai biztonsági szakembereiket továbbképezni? Gyártó specifikus képzések 28% IT kontroll keretrendszerek, szabványok gyakorlati alkalmazása 27% 25% Biztonsági irányítási rendszer fejlesztése [pl. CISM] 20% Fejlett ellenőrzési módszerek [pl. CISA] 10% Szaknyelvi képzés Legfeljebb 5 millió Ft 5,1 – 10 millió Ft Egyéb 11 – 20 millió Ft Semmilyen területen nem terveznek továbbképzést 20 millió Ft felett 21% Üzletmenet-folytonosság NT/NV 3% 37% Bázis: összes szervezet Bázis: összes szervezet Az információbiztonsági piac mérete, megítélése Az információbiztonsági terület teljes IT költségvetéshez
viszonyított éves költségvetése a vizsgált szervezetek körében alacsony, a megkérdezettek tizedénél ezen arány 2% alatti. Fontos kiemelni itt is, hogy a megkérdezett IT vezetők mintegy kétharmada nem tudta vagy nem kívánta megadni ezt az arányt. 10%-os vagy azt meghaladó IT költésarány pedig csupán a szervezetek 4%-ára jellemző 30. ábra: Mekkora az információbiztonsági terület éves költségvetése a teljes IT költségvetéshez viszonyítva? Kevesebb mint 2% 7% 4 – 5,99% 8% 6 – 7,99% 8 – 9,99% 10% vagy annál nagyobb Az Ön megítélése szerint mekkora lehet ma Magyarországon éves szinten az információbiztonsági piac mérete? Total 2021 3 7 17 17 11 46 8 45 3% Költségvetési szféra 0 2% 4% Magánszféra NT/NV 3 13 8 33 18 14 12 46 65% Bázis: összes szervezet Biztonsági szakemberek képzettsége Az információbiztonsági szakemberek továbbképzését a válaszadók bő harmada (37%) egyetlen területen sem
tervezi, ami jól mutatja a hazai korlátokat. Az egyes képzési területek „népszerűsége” hasonló, a szervezetek 20-30%-a szándékozik szakembereit ezen irányokban továbbképezni; a szaknyelvi képzést csak 10% választja. 26 A legtöbben 20-50, illetve 50-100 milliárd forint közé teszik a piacméretet (17-17%), míg a válaszadók tizede szerint alacsonyabb, ugyanekkora hányad szerint nagyobb az érték (az intézmények becslése magasabb). Megjegyzendő, hogy az elmúlt évekhez hasonlóan a megkérdezettek közel fele nem jelölt meg értéket. 32. ábra: 11% 2 – 3,99% A megkérdezett szakemberek percepciói a hazai információbiztonsági piac méretéről meglehetősen vegyesek. ISACA // Információbiztonsági Helyzetkép 2021 Legfeljebb 10 milliárd Ft 10,1 – 20 milliárd Ft 20,1 – 50 milliárd Ft 50,1 – 100 milliárd Ft Több, mint 100 milliárd Ft NT/NV Bázis: összes szervezet Az elmúlt évek folyamán az információbiztonsági
globális piac mérete stabil növekedést mutatott. A megkérdezett hazai szakemberek meglátása is illeszkedik ehhez a nemzetközi trendhez, hiszen ISACA // Információbiztonsági Helyzetkép 2021 27 összességében több mint háromnegyedük úgy véli, hogy az utóbbi három évben az információbiztonsági piac növekedett, ebből 50% szerint jelentős mértékben. Ezen kérdés esetében nem mutatkozik markáns különbség a költségvetési szféra, valamint a vállalatok szakemberei által adott válaszok tekintetében. 33. ábra: Az Ön véleménye szerint hogyan változott az információbiztonsági piac mérete az utóbbi 3 évben? Total 2021 50 Költségvetési szféra 28 57 Magánszféra 49 210 22 29 A megelőző hullámhoz képest összességében csökkent a problémákat érzékelő szervezetek aránya. 20 8 0 12 010 A beszállítókkal való együttműködés során mindemellett természetesen felmerülhetnek kihívások is, melyek feltárása
és megoldása fontos a piac egészének zökkenőmentes működése szempontjából. A legnagyobb, leginkább jellemző kihívások – az előző hullámhoz hasonlóan – a beszállítókkal való együttműködés során a termékeladás előtérbe helyezése a problémamegoldással szemben, a valós igények megértésének sok esetben alacsony szintje, valamint az elfogultság bizonyos megoldások, gyártók vagy termékek iránt. 21 Jelentős mértékben bővült Kismértékben bővült Stagnált Kismértékben szűkült Jelentős mértékben szűkült NT/NV Bázis: összes szervezet 35. ábra: A szállítókkal való együttműködés során mi jelenti a három legnagyobb kihívást? Termékeladás fókuszú megközelítés problémamegoldás helyett 23% Határidők betartásának hiánya 23% 21% Valós igények meg nem értése 20% Elfogultság bizonyos megoldások, gyártók vagy termékek iránt 18% A saját munkatársak idejének túlzott igénybevétele
15% Kompetens munkatársak nem megfelelő elérhetősége 15% Szakmai felkészültség hiányosságai Az információbiztonsági piac beszállítóinak megítélése 2021-ben a megrendelői oldal elégedettsége az információbiztonsági beszállítókkal vegyes, és a 2019es eredményekhez viszonyítva kevésbé kedvező képet mutat. A választ adók többsége ugyan elégedettnek vallja magát (1-10 pozitív skálán 6,7 az átlagos „osztályzat”), de ezen belül kisebb lett a maradéktalanul elégedettek aránya, míg 8% kifejezetten elégedetlen (mindemellett emelkedett a választ nem adók hányada is). A vállalatok és az intézmények értékelése nem tér el jelentősen. Ugyanazon információk többszöri bekérése 12% Árfelhajtó tényezők előbukkanása a projekt folyamán 12% 11% Megoldás szállítása helyett részfeladatok teljesítése Irreális vállalásokkal elnyert projektek kényszerkompromisszumai 10% Rövidtávú gondolkodás 10% 9% Túl
nagy eltérés a vállalások és a teljesítés között 34. ábra: Mennyire elégedett az információbiztonsági beszállítókkal (hardver, szoftver, szolgáltatások) összességében? Projektcsapat gyakran változó összetétele 7% Minőség iránti elkötelezettség hiánya 7% Egyéb Teljes mértékben 22% 7% Nagyrészt 2% 23% Nem tudja Közepesen Kevéssé 3% 5% 41% 22% Bázis: összes szervezet Egyáltalán nem NT/NV Megjegyzendő, hogy az intézményi körben kiemelt problémaként jelentkezik a valódi igények meg nem értése, és gyakran előforduló jelenség az is, hogy a partnerek nem megoldást szállítanak, hanem csak különböző részfeladatokat teljesítenek. Bázis: összes szervezet 28 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 29 IV. IT Irányítás A vállalati-intézményi működés digitalizációs és transzformációs folyamatainak erősödésével egyre
általánosabban érvényes, hogy az IT irányítás erőteljes eszköz a versenyző informatikai prioritások egyensúlyozásában, valamint, hogy a magasabb szintű IT irányítással rendelkező vállalatok jobb teljesítménymutatókkal bírnak. Egyre inkább elengedhetetlen tehát az IT folyamatok és a vállalati/intézményi stratégia közötti minél szorosabb összhang kialakítása. 2021-ben a legtöbb IT tevékenység a felmérésben megkérdezett szervezetek többsége (területenként bő fele) szerint összhangban van a központi stratégiával. Ez alól néhány folyamat jelent (nem éles) kivételt, de itt is a válaszadók közel fele tartja megfelelőnek az összhangot (ilyen területnek számít az informatikai irányítás állapotára vonatkozó jelentés elkészítése, illetve a projektek életciklusa alatt a projektek irányítása). A szakemberek túlnyomó többsége, 83%-a számolt be arról, hogy az IT irányításhoz kapcsolódó szerepkörök és
felelősségek nagyrészt vagy teljes mértékben egyértelműek a szervezeten belül. Érdemes megjegyezni, hogy ezen arány általánosnak tekinthető: nincs szignifikáns különbség magánszféra és költségvetési szféra, de még a vállalatméreteknél is csak egy enyhén nagyobb bizonytalanság figyelhető meg a nagyobb szervezeteknél, amit alapvetően a méretből és a bonyolultabb struktúrából eredő bizonytalanságnak tudható be. 37. ábra: Egyértelműek-e a szervezetben az IT-irányítás szerepkörök és felelősségek? Teljes mértékben 11% 2% 4% A legnagyobb összhangról (a válaszadók majd kétharmada) a szolgáltatási szintek, a folyamatos informatikai irányítás, illetve az üzemeltetés irányítása kapcsán számoltak be (a 2019-es top3-at is ezek alkották, eltérő sorrendben). Ezt közelíti még a külső szolgáltatások kontrollja, valamint az IT biztonság irányítása; míg az informatikai költségek kontrollja terén gyengült az
összhang. NT/NV Bázis: összes szervezet 63% Az informatikai üzemeltetés irányítása 61% A külső szolgáltatások igénybevételének kontrollja 58% Az IT biztonság irányítása 58% A minőség irányítása 54% Az informatikai szolgáltatások hasznosságának biztosítása 54% Az informatikai erőforrások allokálása 52% Az informatikai költségek kontrollja 51% A kommunikáció kontrollja 50% A projektek életciklusa alatt a projektek irányítása 56% 65% A folyamatos informatikai irányítás biztosítása Az informatikai irányítás állapotára vonatkozó jelentés elkészítése Nagyobb részben nem Egyáltalán nem 36. ábra: Azok aránya, akik szerint az egyes folyamatok az intézményi / vállalati stratégiával összhangban zajlanak Az informatikai szolgáltatási szintek biztosítása Nagyobb részben igen 27% 46% 43% Az informatikai költségek, hasznok és kockázatok átláthatósága a vizsgált hazai szervezetek bő
kétharmadánál biztosított, a költségvetési és a magánszférában egyaránt. 38. ábra: Biztosított-e az informatikai költségek, hasznok, kockázatok átláthatósága? Total 2021 10 Költségvetési szféra Magánszféra 8 11 60 13 58 16 60 12 Igen, teljesítménymérésen keresztül Igen, közelítő becsléssel Egyáltalán nem biztosított NT/NV 17 18 17 Bázis: összes szervezet Bázis: összes szervezet. Skálás kérdés, 1- Egyáltalán nem, 5 – Teljes mértékben; az ábrán a Top (4,5) értékelést adók aránya Az IT irányítás terén a felső vezetés és a munkatársak közötti kommunikációt a szakemberek 79%-a nagyrészt vagy teljes mértékben megfelelőnek tartja (a vállalatoknál 81%, az intézményeknél 67%). 30 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 31 V. IT Kockázatelemzés Rendszeres kockázatfelmérés A felső vezetés szerepe A szervezeti
kockázatkezelési stratégia kialakításában és hatékony alkalmazásában fontos szerepet játszik, hogy a felső vezetés/igazgatótanács milyen mértékben van tisztában a szervezetnél felmerülő IT kockázatokkal. A vizsgált kör kétharmadánál (67%) teljes mértékben vagy nagyobbrészt átlátják felsővezetői szinten az IT kockázatokat. A költségvetési szféra (55%) és a magánszféra (69%) között különbség tapasztalható a véleményekben; méret szerint a 100 fő alatti cégeknél magasabb arányban (78%) informált a felső vezetés, valamint kiemelkedik a pénzügy és az energetika-távközlés-informatika ágazat. 39. ábra: A felső vezetés / igazgatótanács milyen mértékben látja a szervezetnél felmerülő IT kockázatokat? Az IT kockázatok felmérése minden szervezet számára elengedhetetlen. A technológiai fejlődésből és a veszélyforrások, fenyegetések, kockázatok folytonos változásából adódóan, a közösségi média, a
virtuális szolgáltatások, a mobil- és összekapcsolt eszközök komplex és heterogén környezetében a naprakész felkészültséghez ennek rendszeres elvégzése szükséges. A szervezetek mintegy felénél, 46%-ánál történik rendszeresen mély IT kockázatfelmérés, és további 26% tervezi ennek bevezetését (az előző felmérés során a rendszeres kockázatfelmérés meglétéről a megkérdezett szervezetek csupán 40%-a számolt be). A vállalatok (47%) ezen a téren az intézmények előtt járnak, utóbbiaknál 37% végez rendszeres kockázatfelmérést, míg 41% csak tervezi azt. 41. ábra: Történik-e rendszeresen megfelelő mélységű IT kockázatfelmérés, illetve tervezik-e ennek bevezetését? Igen, rendszeresen történik 5% 7% 10% 9% Teljes mértékben Nagyobb részben igen 21% Nem történik rendszeresen, de tervezik a bevezetését 18% 46% Nagyobb részben nem Nem történik rendszeresen, és nem is tervezik a bevezetését Egyáltalán
nem 58% NT/NV 26% NT/NV Bázis: összes szervezet Bázis: összes szervezet A megkérdezett szakemberek túlnyomó többsége (összességében 79%-a) szerint a felsővezetés döntései nagyrészt vagy teljes mértékben támogatják az IT kockázatok hatékony menedzselését. Eljárások, eszközök, rendszerek 40. ábra: A felső vezetés / igazgatótanács által hozott döntések mennyiben támogatják az IT kockázatok hatékony menedzselését? 1% 10% 10% 17% Teljes mértékben Nagyobb részben igen Nagyobb részben nem Egyáltalán nem NT/NV 62% Bázis: összes szervezet 32 ISACA // Információbiztonsági Helyzetkép 2021 Kockázatkezelési keretrendszerrel a szervezetek harmada (35%) rendelkezik, és további 22%-uknak nincs ilyen programja, de tervezi; ugyanakkor negyedüknek (26%) jelenleg sincs ilyen, és a jövőben sem tervezik a bevezetését. A törekvések tehát abba az irányba mutatnak, hogy lépéseket tegyenek a nemzetközi szinten már egyre
inkább elterjedt vállalati eljárások meghonosítása felé, azonban a haladás lassú ütemű. A megfelelő kockázatkezelési program kialakításához elengedhetetlenek az IT kockázatok felmérését megfelelően szolgáló metrikák, eljárások. A vizsgált szervezetek több mint harmada rendelkezik ilyen(ek)kel, további 28%-uk pedig tervezi a bevezetést. A kockázatkezelési terv is a teljes körű kockázatmenedzsment része, amely tartalmazza a felmerülő IT kockázatokra adandó válaszokat, elősegíti a gyors és hatékony reagálást. A tárgyalt eljárások, eszközök és rendszerek közül ez az a kockázatkezelési eszköz, mellyel a legnagyobb arányban rendelkeznek a megkérdezett szervezetek (40%), és további 25%-uk tervbe vette a kidolgozását. Fontos elem a kockázatkezelésre irányuló célzott oktatási programok kialakítása is, mely azonban a megkérdezett szervezetek körében a legkisebb arányban van jelen; mindössze 19%-uk rendelkezik jelenleg
ilyennel, s további 25%-uk tervezi ennek bevezetését a közeljövőben. ISACA // Információbiztonsági Helyzetkép 2021 33 42. ábra: Rendelkeznek-e ezekkel, használja-e a szervezet az alábbiakat? Kockázatmenedzselési keretrendszer 35 IT kockázatkezelési metrikák 35 Kockázatkezelési terv Kockázatkezelési oktatási program Igen 26 22 21 28 39 25 19 Még nincs, de tervezik 21 25 40 Nincs, és nem is tervezik A vizsgált körben a CISA számít a legelterjedtebb képesítésnek: ötből két szervezetnél (40%) rendelkeznek vele; a megléte a közszféra esetében jellemzőbb (51%), a vállalatoknál 38% az arány. 18 A válaszadók közel ugyanekkora hányadánál található ITIL, illetve CISM szakképesítés (is). A CISSP, CRISC és PMP sem tekinthető szórványosnak, 20% körüli elterjedtséggel alkotják a „középmezőnyt”. 17 A szakképesítéseket a szempontból vizsgálva, hogy a szakemberek melyek meglétét tartanák fontosnak
szervezetük számára, szintén a legelterjedtebb három (CISA, CISM, ITIL) végzett az első helyeken. 14 17 A megkérdezettek affinisnak bizonyultak egy jövőbeni információbiztonsági szakmai konferencián való részvétel irányában: 55%-uk nyilatkozott úgy, hogy tervezi és biztosan részt is kíván venni. Leginkább a nagyvállalatok (74%), illetve az energetika-távközlés-informatika és a pénzügyi szektor fogékony (90%). NT/NV Bázis: összes szervezet 44. ábra: Szándékozik-e a jövőben részt venni IT biztonság témakörében megrendezésre kerülő szakmai konferencián? A vállalati és az intézményi kör között általában nincs lényegi eltérés a tervek, keretrendszerek vonatkozásában; egyedül a kockázatkezelési oktatási program terén állnak számottevően jobban a magánszféra vállalatai (21%), mint az intézmények (12%). 26% Igen VI. IT Szakképesítések 55% 19% Az információbiztonsági szakképesítések a gyorsan
változó környezetben szükséges tudás megalapozói. A szakemberek folyamatos képzése, ismereteik frissen tartása elengedhetetlen, a formális képzéseken túli önfejlesztéssel is. 43. ábra: Az alábbi szakképesítések közül melyekkel rendelkeznek, ill. melyek megszerzését tartja fontosnak az Önök cégénél? CISA 40% 27% CISM 33% 15% ITIL 37% 10% CISSP 20% 8% CRISC 18% 4% 22% PMP 20% 2% 22% CIA 13% 5% 18% CGEIT 11% 5% 15% ACCA 9% 1% 10% CSX-P 5% 5% 10% CDPSE 7% 2% 9% 68% 48% 47% 28% Nem NT/NV Bázis: összes válaszadó Ha a részvételért fizetni is kellene, akkor az összes válaszadóra vetített affinitási arány lecsökken 26%ra, a részvételi szándékot kifejezők körében 48%-ra. 45. ábra: Részt venne-e fizetős IT biztonság témakörében megrendezésre kerülő szakmai konferencián? Igen 38% 48% Nem NT/NV 14% Rendelkeznek vele Fontosnak tartják Bázis: összes szervezet 34 ISACA //
Információbiztonsági Helyzetkép 2021 Rendelkezés és fontosság Bázis: akik részt vennének IT biztonsági szakmai konferencián ISACA // Információbiztonsági Helyzetkép 2021 35 Ugyanakkor a megkérdezett válaszadók 47%-a nyilatkozott úgy, ha lenne rá lehetősége, részt venne egy egész napos kiberbiztonsági szakértői oktatáson, workshopon; a hajlandóság tekintetében nincs különbség a vállalati és az intézményi szféra szereplői között. 46. ábra: Részt venne-e egy napos kiberbiztonsági szakértői (CSX) oktatáson, workshopon? VII. Pandémia Az elmúlt év minden bizonnyal legnagyobb kihívását az jelentette a vállalatok és intézmények számára, hogy alkalmazkodjanak a járvány okozta rendkívüli helyzethez. A pandémia a gazdálkodó szervezetek nagy többségének, 80%-ának számára azzal járt, hogy a munkatársaik kisebb-nagyobb hányada otthonról (is) végezte munkáját. A járványhelyzet egyformán érintette a magán-
és a költségvetési szférát, de leginkább az informatikai biztonság szempontjából leginkább szenzitív ágazatokat: az energetika-távközlés-informatika, valamint a pénzügyi ágazatban tevékenykedő vállalatokat, ahol 65%, illetve 54% volt a munkatársak szinte teljes körű távmunkája. 29% 47% Igen 47. ábra: Az elmúlt egy évben a munkavállalóik mekkora hányadát érintette a home office? Nem NT/NV Szinte senkit 24% 22% 19% Kevesebb mint felét Bázis: összes válaszadó 18% 23% Többségét Szinte mindenkit 18% NT/NV Bázis: összes válaszadó Az otthoni munkavégzés eszközeit jellemzően a munkáltató biztosította, de a szervezetek majd harmadánál, különösen a költségvetési szféra esetében (47%) a privát eszközök is segítették a home office-t – ily módon a BYOD kockázatai is további információbiztonsági kihívást, feladatot jelentettek a vállalatok és intézmények számára. 48. ábra: A távmunkában dolgozók
milyen eszközökkel fértek hozzá központi rendszerekhez, adatokhoz, erőforrásokhoz? 8% Kizárólag vállalati / intézményi eszközökkel Kizárólag saját, privát eszközökkel 31% 60% Vállalati és privát eszközökkel egyaránt 1% Bázis: távmunkavégzésben érintett szervezetek 36 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 37 A távmunka expanziója kihívást jelentett a szervezetek IT munkatársainak, meg kellett oldani, hogy széles körben nagyszámú munkatárs tudjon a megfelelő biztonsággal csatlakozni a vállalati hálózathoz mind eszköz, mind kompetencia oldalról. A legtöbbeknek (60%) az eszközök biztonsági frissítésével volt feladatuk, de hangsúlyosan megjelent a home office munkavégzés szabályozásának felülvizsgálata és a dolgozók képzése is. Az otthoni munkavégzésben érintett nagyvállalatoknál természetesen a pluszfeladatok is nagyobb arányban fordultak
elő. 49. ábra: Milyen feladatokat jelentett Önöknek a távmunka biztonsági szempontból, milyen intézkedéseket hoztak? Céges eszközök biztonsági beállítása, frissítése A távmunka-eszközökön milyen mértékben sikerült biztosítani a vállalatnál egyébként elvárt (belső) biztonsági szintet? Teljes mértékben, a belsővel azonos szinten 2% 9% 10% Megfelelő, elfogadható mértékben 36% Vegyesen / részben, néhol kisebb hiányosságokkal 60% Home office szabályzat, eljárásrend kialakítása, dokumentációk felülvizsgálata 53% Munkavállalók IT-biztonsági oktatása, képzése 52% Szerveroldali és hálózati biztonság fokozása, fejlesztés, bevezetés IT-biztonsági támogatás, helpdesk kialakítása, csapat fejlesztése Jóval alacsonyabb szinten, jelentős hiányosságokkal 43% NT/NV 44% Bázis: távmunkavégzésben érintett szervezetek 34% Végpontvédelem fokozása (a korábbiakhoz képest) 31% Munkavállalók ellenőrzése,
tevékenység monitorozása 28% Kétfaktoros azonosítás bevezetése, fejlesztése 20% Privát eszközök biztonsági beállítása, frissítése Erős tanúsítvány bevezetése, fejlesztése 50. ábra: Az átállás – legalábbis a kapott válaszok alapján – sikeresnek tűnik, kifejezetten a távmunkából adódóan biztonsági incidensek a szervezetek kis részénél (7%) és jellemzően csak szórványosan fordultak elő (a válaszhiányok relatíve magas aránya mellett megjegyzendő, hogy az esetleges felderítetlen esetek ebben a statisztikában is rejtve maradnak). 19% 7% 51. ábra: Történt-e a szervezetnél biztonsági incidens távmunkából adódóan? Igen, több esetben Bázis: távmunkavégzésben érintett szervezetek Igen, egy-egy kivételes esetben 1%6% 22% A szervezetek nagy többsége, 80%-a szerint sikerült megoldani, hogy ha nem is a belsővel teljesen azonosan, de legalább megfelelő, elfogadható biztonsági szint a távmunka eszközökön
is biztosított legyen. Nem történt ilyen incidens NT/NV Mindössze 2% azok aránya, akik úgy vélik, hogy jelentős biztonsági hiányosságok közepette kellett a munkatársaknak otthonról dolgozni. A magán- és közszféra szereplői egyformán úgy ítélik meg, hogy a „belsővel azonos szinten”, vagy „megfelelő, elfogadható mértékben” sikerült megfelelni a kihívásnak. 71% Bázis: távmunkavégzésben érintett szervezetek 38 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 39 Az előre eltervezett digitális transzformációs projektek, fejlesztések ütemezését is érintette a járványhelyzet: a szervezetek hasonló hányada reagált aktívan, illetve passzívan. 25% „előre menekült”, és ugyanilyen arányban későbbre halasztották vagy törölték bizonyos projektek végrehajtását. A szervezetek csak kis hányada (4%) reagált korábban nem tervezett, új digitális transzformációs
projekt indításával. A reakciók nem különböztek a különböző tevékenységi körökben vagy az egyes létszámkategóriákban. 52. ábra: A pandémiás helyzet hogyan érintette a folyamatban lévő vagy tervezett digitális transzformációs projektek, fejlesztések ütemezését? Ahol szükséges volt, a biztonsági megoldások fejlesztését a kérdésre választ adók többségének a meglévő információbiztonsági költségvetésből kellett megoldania. Az összes szervezet hatoda (17%) számolt be arról, hogy a finanszírozásba új forrásokat vontak be akár reallokációval (jellemzően az IT területről), akár extra pénzeszközökkel (főként a pénzügyi és az energetika-távközlés-informatika szektorokban). 54. ábra: Amennyiben növekedett az IT Security büdzsé, a reallokáció milyen hatással volt az IT vagy üzleti területek erőforrás-allokációjára? Nem növekedett az IT Security büdzsé, nem volt szükség reallokációra Nőtt az IT
Security büdzsé, ami az IT területtől vont el (erő)forrásokat Új digitális transzformációs projekteket indítottunk 4% 25% Előbbre hoztunk projekteket 21% 40% 43% Nőtt az IT Security büdzsé, ami üzleti terület(ek)től vont el forrásokat Az ütemezést nem érintette a pandémiás helyzet Később vagy lassabban hajtottuk végre a projekteket 7% 18% Töröltünk vagy elhalasztottunk projekteket 25% Az IT Security extra büdzsét kapott 7% 3% 7% NT/NV NT/NV Bázis: összes válaszadó Bázis: összes válaszadó A járványhelyzet a szervezetek 43%-a esetében felgyorsította a biztonsági megoldások fejlesztését, bevezetését, különösen az intézményi kör esetében (59%). 53. ábra: A pandémiás helyzet kihívásai miatt szükséges volt-e biztonsági megoldásokat bevezetni, beruházásokat indítani, amelyeket egyáltalán nem vagy csak későbbre terveztek? 17% Igen, szükség volt azonnali bevezetésekre, fejlesztésekre, beruházásokra 25%
Igen, szükség volt előbbre hozni későbbre tervezett bevezetéseket, fejlesztéseket, beruházásokat Nem volt szükség ezekre 40% 18% NT/NV Bázis: összes válaszadó 40 ISACA // Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 41 VIII. Az ISACA Magyarországi Egyesület megítélése IX. Függelék A válaszadók 42%-a tagja az ISACA Magyarországi Egyesületének. Legmagasabb az ISACA tagok aránya az 500 főnél több alkalmazottal rendelkező vállalkozások körében volt (66%). 55. ábra: A kutatás célcsoportját Magyarország azon jelentős, vezető vállalatai és intézményei képezték, amelyek a felmérés szempontjából relevánsnak tekinthetők, azaz a magyar gazdaság információbiztonság szempontjából fontos résztvevői, és vélelmezhető (elvárható), hogy rendelkeznek a kérdések megválaszolásához szükséges információbiztonsági kompetenciákkal. Igen Nem 62% A kialakított minta a
legalább 250 főt foglalkoztató és/vagy 4 milliárd forintnál magasabb éves nettó árbevétellel rendelkező vállalkozások és intézmények körét képezte le. A tényleges minta alapsokasági arányoktól való kisebb eltéréseit az ágazati megoszlás vonatkozásában a BellResearch statisztikai súlyozással állította helyre. Bázis: összes válaszadó Az ISACA Magyarországi Egyesület tevékenységét a megkérdezett cégek és intézmények 92%-a tudta megítélni. Azok, akik érdemben kívántak véleményt nyilvánítani ezen kérdés vonatkozásában, nagy többségében (85%) jelesnek vagy jónak értékelte az ISACA elmúlt egy éves munkáját – ezen belül magasabb arányban jelesnek, mint 2019-ben. Ezen túl csak a közepes osztályzat aránya említhető (7%) Az 1-5 skálán átlag az értékelések átlaga 4,32, ami kimagaslóan jónak számít (és magasabb, mint a korábbi), hasonlóan a magán- illetve közszféra válaszadóinak körében. 56.
ábra: Hogyan értékeli az ISACA Magyarországi Egyesület munkáját az elmúlt egy évben? Total 10 7 47 A BellResearch az ISACA Magyarországi Egyesület megbízásából 2011 óta hatodik alkalommal készítette el az információbiztonsági felmérést. A kutatás az ISACA által képviselt öt szakmai terültre fókuszál: IT audit, IT biztonság, IT irányítás, IT kockázatkezelés és IT szakképesítések, emellett – az idei felmérés aktuális kérdésköreként – figyelmet fordítottunk a pandémia okozta változások vizsgálatára is. Tagja-e az ISACA Magyarországi Egyesületnek? 38% A kutatásról 38 8 1 – Elégtelen Az eredmények ennek megfelelően reprezentatívnak tekinthetőek a definiált vállalati-intézményi populációra. Megjegyzendő, hogy a kutatás első három hullámában a minta kialakítása a megbízói igényekhez igazodva kismértékben különbözött a 2017-2019-2021-estől (iparági top 100 cégek bevonása, bizonyos
szegmensekben eltérő méretfeltételek, iparági arányok). A legutóbbi hullámokban a mintakialakítás során elsődleges szempont volt a méret- és árbevétel-kritériumok alapján kijelölt, keresleti oldali sokaság reprezentatív leképezése. Ebből adódóan a 2011-2015-ös évek eredményeivel való összehasonlíthatóságot – elvi szinten – kismértékben limitálja a módszertani eltérés (a diagramokon ezt jelöltük szaggatott vonallal, illetve csillaggal). Az eredmények szintjén ennek befolyásoló hatása azonban – a súlyozásból adódóan is – csak kismértékű: még 2017-ben a 2015-ös hullám adataira elvégeztük az újrasúlyozott elemzést, és nem tapasztaltunk számottevő különbségeket. Ennek megfelelően a 2017-es, 2019-es és 2021-es eredmények korábbi hullámokkal való összevetése a fentiek figyelembevételével megtehető. 2 - Elégséges Költségvetési 0 szféra 67 33 0 3 - Közepes 4 - Jó 5 - Jeles NT/NV Magánszféra
10 9 42 39 Bázis: ISACA tagok. Skálás kérdés, 1: Elégtelen, 5: Jeles 42 ISACA // Információbiztonsági Helyzetkép 2021 A 2021-es kutatás alapsokaságát a fentieknek megfelelően összesen 3811 szervezet (3211 társas vállalkozás és 600 intézmény) képezte; a mintakeret a hazai vállalkozások és intézmények teljes körű adatbázisa volt, amelyet az ISACA ügyféloldali taglistája egészített ki (a szolgáltatói oldali tagok kiszűrésével és a méret- és árbevétel-kritériumok érvényesítésével). 9 Az így meghatározott sokaságból összesen 150 cég és intézmény töltötte ki a teljes kérdőívet, amelyet online felületen keresztül tettünk elérhetővé. A kérdőív kitöltői minden cég esetében az adott szervezet informatikai, információbiztonsági vezetői, szakemberei voltak, akik a szervezeten belül a leginkább kompetensnek tekinthetők a vizsgált kérdésköröket illetően. ISACA // Információbiztonsági Helyzetkép
2021 43 A minta összetétele a főbb cégdemográfiai jellemzők szerint a következőképpen alakul: Megoszlás (%) Működési terület Költségvetési szféra 16 Magánszféra 84 Alkalmazotti létszám Kevesebb, mint 100 fő 21 100-499 fő 40 500 vagy több fő 40 Fő tevékenység Energetika, távközlés, informatika 11 Pénzügy 7 Oktatás, egészségügy, költségvetés 15 Ipar 23 Egyéb szolgáltatás 22 Kereskedelem 23 Árbevétel Kevesebb mint 10 mrdFt 55 Legalább 10 mrdFt 45 X. Executive Summary The accelerated pace of technological development, the digitalization and the digital transformation of business, cloud solutions, IoT, automation and robotics, fintech and digital payment solutions, the everyday issues of data protection – to name just a few current trends – are constantly challenging enterprises and public sector institutes. In the two years since the previous ISACA Information Security Situation Survey, in addition to these
“organic” developments, the covid pandemic has also posed a special challenge to organizations. The widespread expansion of teleworking (or its introduction in less prepared organizations), the processes and (customer) interactions directed to the online platform have suddenly turned into information security tasks for companies and institutions, for many even a forced digital leap. This year, therefore, in addition to the recurring, standard topics of the survey series, we examined the reactions of organizations to the challenges of the epidemic situation in a special question block. Overall, based on the results of 2021, we can report on the continuation of the trends identified and measured in the previous waves of research, the development of the market and user practice: the strengthening role of audit and risk-based approach; the importance of competencies, qualifications, and professional training courses; the need for developing internal inspections; the influence of senior
management and the consistency of measures regarding information security. It is gratifying that the implementation of previous plans can be seen in several areas, in addition to the theoretical preparation, the development of practice and the application of concrete solutions. Growing importance of audit, spreading risk-based approach, more conscious planning Today, IT plays a key role even in the life and operation of smaller organizations, larger enterprises and institutions have several business-critical solutions. Thus, up-to-date preparedness and reliable protection are becoming increasingly important, in which regular and appropriate IT audits play a central role. In 2021, three-quarters of the surveyed companies and institutions conduct regular IT audits; most are both internal and external - both indicators show an increase in recent years. The outsourcing rate in this area has been around 40% after previous growth. The growing importance of a risk-based IT approach and audit
is also reflected in the significant increase in the existence of a detailed IT audit plan in organizations. In the course of internal audits, three quarters of the companies involved (especially the finance and energy-telecommunications-IT sectors), while 83% of the institutions incorporate risk analysis aspects. In line with international recommendations, the audit has already been removed from the jurisdiction of IT in the vast majority of organizations, and the function reports (typically) to senior management and the audit committee. The main development goals in this area are primarily the regular application of security inspections and the strengthening of internal IT audit competencies. While in 2019 information security risks were mostly examined on an ad hoc basis, by 2021 regular surveys are the most common, and the prevalence of internal audit and risk analysis has increased however, in most cases occasional surveys also remained part of the practice. 44 ISACA //
Információbiztonsági Helyzetkép 2021 ISACA // Információbiztonsági Helyzetkép 2021 45 Expectations for audits and professionals are high, but satisfaction is also common The quality of audits depends to a large extent on the person, knowledge, skills and experience of the auditors, which is also reflected in the expectations of the organizations. As in previous years, CISA leads high in expected qualifications, while CISM, ITIL and CISSP are in the middle. The organizations plan to train their specialists in the field of IT control frameworks and standards the most. The vast majority of the organizations involved are fully or largely satisfied with the quality of IT audits, with a quarter only partially (expressed dissatisfaction barely showing up), which is more favorable than the evaluation two years ago, which was also positive. In addition to the spread of practical solutions, the education of users is also a target Although the existence of administrative tools
(security strategies, procedures, response plans) in the field of information security preparedness and capabilities of organizations is still ahead of the use of technological protection and prevention tools, the penetration of device-level solutions have also increased since 2019 (e.g, use of vulnerability analysis and log analysis) Most organizations have a comprehensive security policy, a disaster recovery plan, an information tool inventory, and monitor access to devices, and have an incident response plan (also). In 2019, the GDPR was far at the top of the list of goals and aspirations set; now, three years after the end of the preparation period, only a fifth of the organizations treat it as a priority project. However, the user safety awareness program remains among the top3 topics, of which importance was also increased by the extensive teleworking due to the pandemic. Also among the most common projects is the preparation of a disaster recovery plan. According to
perceptions, the market is growing, and the results of education are also visible The great majority of the interviewed professionals perceive the (significant) growth of the information security market on both the enterprise and institutional side, which is in line with international trends and figures. Although companies and institutions are increasingly recognizing the role and importance of information security, which is also reflected by the survey results, their budgets are still in many cases underfunded. Through the years, the expenditure of the majority was stagnant and not significantly changed. The more remarkable positive shift measured in 2019 continued in 2020 and 2021 in the corporate segment, while at the institutions we saw a diverse picture, with a decrease in addition to the growth. Undoubtedly, the responses to the challenges of the pandemic situation played a significant role in this, according to the different development and restraint reflexes and budgeting
opportunities. This illustrates well the main decision-making dilemma: because the area alone does not generate direct business revenue or profit, it often lags in the internal struggle for resources. On the other hand, following the incidents and the news and reports about them, the business loss, financial and reputational damage resulting from the neglect of information security can be seen and grasped more and more widely. This, in any case, provides the professional community with arguments for the education and formation of leadership attitudes, the results of which – based on this series of research – can be seen and measured in the change of attitudes, readiness and penetration of the applied solutions. 46 ISACA // Információbiztonsági Helyzetkép 2021 JEGYZET JEGYZET 48 ISACA // Információbiztonsági Helyzetkép 2021 A tanulmány tartalma szabadon felhasználható. Mindennemű felhasználás esetén az ISACA Információbiztonsági Helyzetkép 2021
forrásmegjelölést szükséges feltüntetni