Většina tuzemských firem podceňuje bezpečnost svých citlivých informací. Důvodem je nedostatečná analýza rizik v organizacích. Vedoucí pracovníci českých podniků totiž zanedbávají dohled nad svými zaměstnanci, kteří pro firmu představují největší hrozbu vyzrazení citlivých informací.
Největším problémem v oblasti informační bezpečnosti je nedostatečné vnímání rizik spojených s možným únikem obchodních či osobních informací. Vyplývá to z Průzkumu stavu informační bezpečnosti v ČR 2009 (PSIB ČR*), ve kterém 16 % tuzemských organizací přiznalo, že neanalyzují bezpečnost vlastních informačních systémů. Dalších 43 % firem provádí analýzu rizik méně často než jednou za rok. Výzkum dále ukázal, že podniky nejčastěji realizují zabezpečení svých systémů na základě obecně známých rizik, řídí se jimi až třetina firem.
„Data jsou nehmotným aktivem organizace, a proto nemají přesně vyčíslitelnou hodnotu pro organizaci. Když organizace přijde o hmotný majetek, tak si dokáže vyčíslit finanční ztrátu a podle ní přijmout protiopatření, která ztrátu eliminují. U dat tomu tak ve valné většině organizací není, proto je nezbytné provádět pravidelné audity rizik,“ sdělil Zdeněk Sauer, zástupce společnosti SODATSW, která vyvíjí řešení pro ochranu citlivých informací. „Ve firmách jsou nejvíce podceňovány hrozby ze strany vlastního zaměstnance, který má oprávněný přístup k datům a nemá přesně stanovená pravidla, jak s nimi zacházet. Důležitý je tedy monitoring dat, jinak se vedení nemusí o ztrátě dat ani dozvědět,“ doplnil.
Odborníci se shodují, že nejslabším článkem v rámci informační bezpečnosti v podnicích je zaměstnanec. Prevenci proti úmyslnému odcizení citlivých informací vlastními zaměstnanci, tak představuje především monitoring pohybu dat a bezpečnostních incidentů. Přitom více než čtvrtina českých podniků monitoring informačních systémů neprovádí. Podle PSIB ČR* dalších 51 % organizací monitoruje pouze některé bezpečnostní hrozby.
„Podle našich poznatků se závadnost postupu v rámci ochrany dat projevuje nejčastěji v nedodržení povinností zaměstnancem při nakládání s osobními údaji. Zaměstnanec tedy nejedná v intencích správce či jiné odpovědné osoby,“ uvedl Ladislav Hejlík, vedoucí oddělení stížností a konzultací Úřadu pro ochranu osobních údajů. „V dané souvislosti se může jednat i o trestný čin neoprávněného nakládání s osobními údaji. Dojde-li ke ztrátě osobních či obchodních údajů, doporučujeme správci oznámit tuto věc policii,“ doplnil Hejlík.
Podniky jsou povinny zajistit bezpečnost osobních údajů, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k citlivým datům, ať už ze strany zaměstnanců podniku nebo cílenými útoky hackerů. V případě, že tak organizace neučiní, porušují zákon o ochraně osobních údajů (č. 101/2000 Sb.). Většina tuzemských podniků však tuto skutečnost podceňuje. V aktuálním výzkumu PSIB ČR* si 54 % respondentů myslí, že zákon o ochraně osobních údajů nemá dostatečný vliv na rozvoj informační bezpečnosti v České republice.