Kétévente készít felmérést az IT-auditorokat tömörítő ISACA Budapest a hazai vállalati IT állapotáról. A 2019-es kutatás kiemelt területe volt a biztonság. Az Európai Unió általános adatvédelmi szabályának élesedése sok szervezetnél fókuszba helyezte a kérdést. Az ISACA szerint azonban ez magáról az IT-audittól is sok energiát elvont, így a fejlődés számos tekintetben lassabbnak bizonyul az előzetes várakozásoknál. Ez azért is kritikus kérdés, mert a digitalizációval párhuzamosan növelni kell a szervezetek IT-kockázatokkal szembeni ellenálló képességét.

A BellResearch által elvégzett kutatásban olyan mintát alakítottak ki, amely a legalább 250 főt foglalkoztató és/vagy 4 milliárd forintnál magasabb éves árbevétellel rendelkező vállalkozások és intézmények körét képezte le.

Elméletben jobbak a vállalatok, mint gyakorlatban

Pozitív tendencia, hogy csökkentek az ágazatok közötti különbségek. Bár bizonyos ágazatok – például a pénzügyi, az energetikai vagy a távközlési szektor – szereplői továbbra is felkészültebbek, előnyük már nem egyértelmű más szektorok szereplőihez képest. Utóbbiak ugyanis kezdenek felzárkózni az IT-biztonságra hagyományosan nagyobb figyelmet – több pénzt és szakembert – fordító iparágakhoz.

Ugyanakkor némi ellentmondás van a szervezetek elméleti és gyakorlati információbiztonsági szintje között. Miközben elméletileg a szervezetek jelentős része felkészültnek mondható, sok helyen hiányoznak a gyakorlati, praktikus intézkedések. Például a legtöbben rendelkeznek átfogó biztonsági szabályzattal, katasztrófaelhárítási tervvel, információs eszközleltárral, monitorozzák az információs eszközökhöz való hozzáférést és van incidenselhárítási tervük is.

A folyamatok szintjén azonban már kevésbé jó a helyzet. Sok szervezetnél ugyanis a szabályozást nem követték tényleges, gyakorlati preventív intézkedések, a károk elhárítását megkönnyítő, kockázatcsökkentő lépések (például a biztosítások megkötése).

Ennek részben az volt az oka, hogy a legtöbb szervezetnél még a 2019-es év is a GDPR-ről szólt. Hiába lépett hatályba 2018 májusában az EU általános adatvédelmi rendelete, a téma tavaly sem került le a napirendről. Az ISACA szerint azonban ez indokolt is, hiszen a rendelet nagyon nagy változásokat hozott a vállalatok adatkezelési folyamataiban, és azoknak jelentős hatása volt az IT-biztonságra.

A felmérésből az körvonalazódott, hogy bár 2019-re a GDPR-rel kapcsolatos legfontosabb változások lezajlottak a szervezeteken belül, a válaszadók közel fele (46 százalék) további intézkedéseket látott szükségesnek ahhoz, hogy szervezete teljeskörűen megfeleljen az előírásoknak. A válaszadók tizede egyébként még tavaly is csak a felkészülési szakaszig jutott. A szervezetek többségének a különböző adattörlési, anonimizálási, álnevesítési szabályok betartása és betartatása jelentette a legnagyobb kihívást.

Többet, de nem eleget költenek biztonságra

Az információbiztonság megteremtése pénzbe kerül. Ezen a téren is történt pozitív változás: a szervezetek többet költenek erre – nőtt a biztonsági szakemberek aránya is –, de a forráshiány nem tűnt el. A hazai szervezetek átlagosan az IT-költségvetésüknek kevesebb mint 10 százalékát fordítják a biztonsági területre. Az ISACA szerint a döntéshozók nem tudják átlépni saját árnyékukat: mivel a terület nem generál közvetlen üzleti bevételt, gyakran alulmarad a forrásokért folytatott belső harcban. Ez azonban visszaüthet, hiszen egy biztonsági incidens költsége akár sokszorosa is lehet az így megspórolt összegnek.

A felső vezetés többnyire átlátja – legalábbis elméletben – az IT-kockázatokat, de azok rendszeres felmérése sok szervezetnél elmarad. A kutatásban vizsgált vállalatok és intézmények 62 százalékánál a felső vezetés átlátja a cég működése szempontjából kritikus IT-kockázatokat, és még ennél is magasabb arányban támogatják az informatikai, biztonsági kockázatok hatékony menedzselését. Ezzel szemben rendszeres kockázatfelmérés csak a szervezetek 40 százalékánál történik. Ugyanakkor ez az arány is jelentős előrelépésnek tekinthető, hiszen 2015-ben még csupán 27 százalékos volt ez a kör.