Elektronické bankovnictví I. čtvrtek, 22. března 12

Transkript

1 Elektronické bankovnictví I.

2 Základní komponenty ICT v bance výčet a popis hlavních komponent ICT v bance popis a role hlavního transakčního systému banky (zúčtování platebního styku) pobočkový - front office systém vazby na služby elektronického bankovnictví Bezpečnost bankovních systémů a služeb ELB úvod do bezpečnosti ICT největší rizika bankovních systémů a služeb elektronického bankovnictví postup tvorby bezpečnostních projektů - řešení bezpečnosti klíčové bezpečnostní požadavky na různé typy služeb ELB technologická řešení bezpečnostních požadavků, fyzická bezpečnost a bezpečnost aplikací

3 ICT systémy v bance

4

5 Transakční systém banky I. Nejdůležitější část celého komplexu ICT systémů v bance Modul informací o klientech (customer information system) Evidence informací o klientech Modul depozitních účtů klientů (deposit processing system) Modul úvěrových účtů klientů (loan accounting system) Hlavní kniha (general ledger system) Účtování transakcí s účty klientů Zdroj dat pro tvorbu výpisů z účtů Výpočty úroků a poplatků a účtování o nich Zdroj dat pro ostatní systémy banky (MIS, CRM, ELB,...) Zpracovatel dat z ostatních systémů banky (Front office, ELB,...)

6 Transakční systém banky II. Modul informací o klientech (customer information system) zdrojem informací - dat je pobočkový front office systém zde jsou uložena data z identifikace klienta a zde se také provádí jejich aktualizace klientem mohou být osoby fyzické, fyzické podnikající a osoby právnické každá osoba je vedena pod jednoznačným identifikátorem například označovaným jako CUID (customer unique ID), CIF (customer information file)

7 Transakční systém banky III. Modul informací o klientech (customer information system) informace identifikující osobu - zákazníka FO - jméno, titul, rodné číslo, datum narození, místo narození, bydliště, číslo identifikačního dokladu, vydavatel ID, platnost ID, číslo dalšího ID, fotokopie dokladů s fotografií zákazníka atd. FOP - jméno, titul, rodné číslo, IČO, sídlo, číslo identifikačního dokladu, vydavatel ID, platnost ID, druh číslo dokladu opravňujícího k podnikání, fotokopie ID s fotografií a dokladů opravňujících k podnikání atd. PO - název, IČO, sídlo, relevantní dokumenty dle druhu PO (výpis z Obchodního rejstříku, stanovy, potvrzení o registraci u občanských sdružení, atd.) osobní identifikační údaje statutárních orgánů - osob (i více) jméno, titul, rodné číslo, datum narození, místo narození, bydliště, číslo identifikačního dokladu, vydavatel ID, platnost ID, číslo dalšího ID, fotokopie ID

8 Transakční systém banky IV. Modul informací o klientech (customer information system) kontaktní informace zákazníka FO - adresa bydliště, korespondenční adresa, ová adresa, telefonní číslo, mobilní telefonní číslo,... FOP - adresa sídla, korespondenční adresa, ová adresa, telefonní číslo, mobilní telefonní číslo,... PO - adresa sídla, (adresy organizačních složek),korespondenční adresa/y, adresa/y bydliště, ová/é adresa/y a telefonní číslo/a statutárních orgánů,... informace o produktech zákazníka v transakčním systému vedených: čísla depozitních účtů vedených v deposit processing system čísla úvěrových účtů vedených v loan accounting system

9 Transakční systém banky V. Modul depozitních účtů(deposit processing system) zdrojem informací - dat je pobočkový front office systém zde jsou uložena data o jednotlivých depozitních účtech klienta (zákazníka) a zde se také provádí jejich aktualizace každý účet je veden pod jednoznačným číslem účtu, které musí v kombinaci s kódem banky být jedinečné tvar čísla účtu je v současné době upraven dle mezinárodní normy a používaný standard nazýváme IBAN (viz dále) pro TPS (tuzemský platební styk) - mezibankovní platby v CZK v rámci ČR se používá i starší standard čísla účtu dle tzv. ABO (Systém účetnictví a platebního styku ČNB)

10 Transakční systém banky VI. Modul depozitních účtů(deposit processing system) pro každý účet je zde definována řada dalších informací a nastaveny konkrétní parametry upravující vlastnosti: definice oprávnění k nakládání s účtem osoby oprávněné s účtem nakládat finanční a jiné limity pro osoby k nakládání s účtem autorizační nástroje (nejčastěji podpisové vzory, razítka) parametry upravující vlastnosti účtu druh účtu a vlastnosti spojené s typem účtu - produktu periodicita vyhotovování výpisu a zasílací adresa úrokový a poplatkový předpis, úroková sazba a řada dalších parametrů...

11 Transakční systém banky VII. Formáty čísel účtů IBAN - International Bank Account Number - je formát čísla účtu definovaný mezinárodní normou ISO 13616, která byla v roce 2007 aktualizována a uvedena do souladu se standardem EBS204, který v roce 1996 vydala ECBS (European Committee for Banking Standards Standard stanovuje mezinárodní formát čísla účtu takto: IBAN může obsahovat číslice a velká písmena IBAN má následující strukturu: 2 znaky - kód země (CZ pro Českou republiku) 2 znaky - kontrolní číslice - umožňuje programovou kontrolu čísla ochrana proti chybně zadanému číslu účtu (např. z důvodu překlepu) Max. 30 znaků - kód banky a číslo účtu v rámci banky Číslo účtu ve formátu IBAN má dvě podoby - elektronickou (bez mezer) a písemnou (s mezerou za každou čtveřicí znaků pro lepší orientaci) Každá země si určuje vlastní strukturu s tím, že pevně stanoví pozice, na kterých je kód banky, popř. pobočky banky pevně stanoví pozice, na kterých je uvedeno číslo účtu

12 Transakční systém banky VIII. Příklad čísla účtu v různých formátech pro Českou republiku Tuzemské bankovní spojení (ABO) /0300 může být také /0300 předčíslí vlastní číslo účtu kód banky (0300 = ČSOB, 0800 = Česká Spořitelna, Komerční Banka) kód banky a číslo účtu v rámci banky (max 30 znaků) kontrolní číslice (2 znaky) kód země (2 znaky) IBAN - elektronická forma CZ IBAN - písemná forma CZ

13 Transakční systém banky IX. Modul úvěrových účtů(loan accounting system) zdrojem informací - dat je jedna nebo i více specializovaných aplikací pro řízení úvěrového procesu zde jsou uložena data o jednotlivých úvěrových účtech klienta (zákazníka) a zde se také provádí jejich aktualizace každý účet je veden pod jednoznačným číslem účtu, které musí v kombinaci s kódem banky být jedinečné a tvar čísel účtů odpovídá standardům používaným pro bankovní účty obecně (viz předchozí informace) otevírání, vedení a uzavírání úvěrových účtů se obvykle provádí na základě úvěrových smluv a nikoli na základě smluv o vedení účtů

14 Transakční systém banky X. Modul úvěrových účtů(loan accounting system) pro každý účet je zde definována řada dalších informací a nastaveny konkrétní parametry upravující vlastnosti: definice oprávnění k nakládání s účtem na úvěrových účtech obvykle transakce provádí systém nebo oprávněné osoby - zaměstnanci banky (ne klienti) parametry upravující vlastnosti účtu druh úvěrového účtu a vlastnosti s ním spojené periodicita vyhotovování výpisu a zasílací adresa úrokový a poplatkový předpis, úroková sazba limity úvěru data splatnosti a splátkový plán

15 Transakční systém banky XI. Hlavní kniha(general ledger system) tento modul slouží pro provádění souvztažných účetních transakcí mezi účty klientů a banky každá transakce na účtu klienta musí mít souvztažný zápis na některém (vnitřním) účtu banky a to včetně operací platebního styku bezhotovostní transakce - platby jsou účtovány na vrub účtu klienta - plátce a ve prospěch vnitřního účtu banky pro platební styk vlastní zúčtování ve prospěch účtu klienta stejné banky je prováděno účtováním na vrub vnitřního účtu a ve prospěch účtu klienta - příjemce pokud je příjemcem klient jiné banky v ČR je účtováno na vrub vnitřního účtu banky a ve prospěch účtu pro clearingové zúčtování ČNB

16 Transakční systém banky XII. Hlavní kniha(general ledger system) také další transakce na klientských účtech a to například povahy polatků nebo úroků musí být účtovány souvztažným zápisem na některém (vnitřním) účtu banky pro naší potřebu postačí tyto obecně definované příklady: úrok připsaný ve prospěch depozitního účtu klienta je souvztažně účtován jako úrokový náklad banky na vrub účtu tohoto druhu nákladů úrok zaúčtovaný na vrub úvěrového účtu klienta je souvztažně účtován jako úrokový výnos banky ve prospěch účtu tohoto druhu výnosů hotovostní výběr z účtu klienta je nejprve účtován na vnitřních účtech banky (pokladna) a teprve následně na vrub účtu klienta

17 Transakční systém banky XIII. Hlavní kniha(general ledger system) tento modul je důležitým zdrojem dat pro vlastní účetní systém banky (účtování o výnosech a nákladech banky - ekonomického subjektu) dále je zdrojem dat pro manažerský informační systém (MIS) a celou řadu dalších systémů banky zaměřených na řízení hlavních obchodních aktivit banky

18 Pobočkový front office systém

19 Pobočkový front office systém I. Pracovní nástroj klientských pracovníků na pobočkách bank Modul hotovostních operací Modul bezhotovostních operací Otevírání nových účtů Neúčetní operace s účty klientů - správa účtů Prodejní modul - podpora prodeje produktů a služeb banky Zdroj dat pro ostatní systémy banky (Transakční systém, systémy platebních karet, CRM, ELB,...) Zobrazování dat z ostatních systémů banky Transakční systém, CRM, systémy investičního bankovnictví, systémy hodnocení bonity klienta pro úvěrové obchody,...)

20 Pobočkový front office systém II. Pracovní činnosti pobočkových pracovníků podporované pobočkovým front-office systémem Vklady a výplaty - obvykle i ve více měnách Ostatní hotovostní operace - směnárenské operace Bezhotovostní platební operace na základě ústních nebo papírových dispozic Otevírání nových účtů klientů Identifikace osob Nastavení oprávnění k nakládání s účty Nastavení a administrace přístupů k účtům prostřednictvím ELB Vydávání platebních karet, nastavení limitů Digitalizace podpisových vzorů a dokladů klienta

21 Pobočkový front office systém II. Pracovní činnosti pobočkových pracovníků podporované pobočkovým front-office systémem Administrace informací o klientech Aktualizace údajů v systémech - kontaktní údaje, oprávnění, atd. Podpora prodejních aktivit - informace o klientech Jaké produkty klient má a propenzity - sklony k nákupu určité služby Kontaktní historie (CRM, Contact management Úvěrové systémy hodnocení bonity a prodej úvěrových produktů Investiční a spořící produkty Pojistné produkty Stavební spoření,...) Informace podávané klientům Stavy účtů, zaúčtované položky, limity, atd...

22 Vazby transakčního systému a pobočkového systému na služby ELB

23 Vazby transakčního systému a pobočkového systému na služby ELB I. Jaké požadavky mají klienti na systémy ELB Nepřetržitý provoz - 24 * 7 * 365 Rychlé odezvy systémů Malý objem přenášených dat Jednoduché a srozumitelné používání Možnost předpřipravení dat pro opakovaná použití - vzory Schopnost rychlé aplikace nových technologií PC aplikace (modem - modem), Internet, Mobilní technologie,... Vysoký stupeň zabezpečení Možnosti nastavení různých stupňů přístupových oprávnění Podpora technologických platforem po dlouhou dobu

24 Vazby transakčního systému a pobočkového systému na služby ELB II. Jaké požadavky mají banky na systémy ELB Vysoký stupeň zabezpečení vlastních informací v systémech banky Vysoký stupeň zabezpečení dat i prostředků klienta Konzistentní informace ve všech systémech banky v čase Jednoduchá integrace nových služeb do stávajícího systémového celku Schopnost rychlé aplikace nových technologií PC aplikace (modem - modem), Internet, Mobilní technologie,... Omezení nákladů na podporu mnoha technologických platforem vysoké nároky na vývoj a testování menšinových platforem omezení popory ze strany výrobců (zejména u OS) Efektivní užití nákladů na vývoj i provoz

25 Vazby transakčního systému a pobočkového systému na služby ELB III. Jak jsou řešeny uvedené oblasti v praxi? Služby ELB jsou obvykle řešeny jako separátní moduly Call centrum (aplikace pro podporu komunikace pracovníků s klienty) Internetové bankovnictví (jen on-line) PC bankovnictví pro SME / Corporate (off-line - aplikace pro přípravu dat) Mobilní bankovnictví (Java, SIM Toolkit), Smartbanking,... Napojení na modul dat přístupných on-line (Modul 24/7 apod.) zrcadlení dat z transakčních systémů Moduly pro správu přístupů ke službám ELB Oprávněné osoby, účty, limity, nástroje pro autentizaci a autorizaci Moduly pro ověřování autentizace (přístupy) a autorizace (transakce) Systémy zajišťující ověření přístupů klientů do systémů ELB a oprávněnosti zadat dispozice s danými účty v daném rozsahu

26 Zjednodušené schéma napojení systémů ELB na klíčové systémy banky Pobočkový front office Nastavování dat o klientech, účtech a oprávněných osobách pro obsluhu prostřednictvím ELB Modul správy přístupů a oprávnění ELB Oprávněné osoby, přístupové nástroje, kódy, rozsahy oprávnění, limity, atd... Modul 24/7 Zrcadlo dat z transakčního systému banky Call centrum PC banking Internetbanking Smartbanking Transakční systém Prostor Zrcadlení dat o klientech, účtech, jejich stavech a transakcích Zpracování dat z transakcí podaných přes ELB Z domova Ze světa Z práce Z postele

27 Bezpečnost bankovních systémů a služeb ELB

28 Zásady informační bezpečnosti organizace 100% bezpečný systém, řešení ani technologie neexistují Bezpečnost nepřináší zisk, ale minimalizuje ztráty Bezpečnost je proces, ne stav Při zavádění bezpečnostních prvků je nutné myslet jako zloděj Všeumělé přestávají být přínosem, důležití jsou specialisté Nejdůležitějším bezpečnostním opatřením jsou bdělí zaměstnanci Žádná norma ani zákon nenahradí etické zásady podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

29 Ochrana informací ve firmě - legislativa Zákon číslo 101/2000 Sb., o ochraně osobních údajů Zákon číslo 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (Zákon o elektronickém podpisu) Zákon číslo 412/2005 Sb. o ochraně utajovaných skutečností Zákon číslo 499/2004 Sb., o archivnictvví a spisové službě podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

30 Ochrana informací ve firmě - normy ISO 17799:2000 resp. ISO/IEC 17799:2005 IT Code of Practice for Information (ISMS) ISO Guidelines for the Management of IT Security security management ISO Common Criteria for IT Security Evaluation ECMA 271 Commercially Oriented Functionality Class Standardy ISVS pro životní cyklus IS, atestaci IS atd. podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

31 Bezpečnost organizace Bezpečnost lze definovat zhruba jako proces, který zajišťuje ochranu zdrojů organizace. Zdrojem myslíme pro tento účel vše, co vědomě nebo svou podstatou či určením přispívá k vlastnímu chodu organizace (finanční prostředky, pracovníci, stroje, know-how firmy, její dobrá pověst, atd.) Takto definován je pojem bezpečnosti hodně široký a proto bezpečnost dále můžeme dělit na: Fyzickou Administrativní Personální Bezpečnost IT. podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

32 Základní pojmy To, co chráníme aktiva (souhrnný název pro vše, co má pro firmu nějaký význam, hodnotu, spojené s vlastní činností firmy) To, před čím chráníme hrozby (veškeré potenciální nepříznivé vlivy, okolnosti, které mohou způsobit ztrátu či znehodnocení aktiv) To, čím chráníme protiopatření (nejrůznější způsoby ochrany před působením hrozeb) podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

33 Základní pojmy podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

34 Základní pojmy zranitelnost (vulnerability) : zahrnuje slabé místo aktiva nebo skupiny aktiv, které může být využito hrozbou. hrozba (threat) : potenciální příčina nežádoucího incidentu, který může mít za následek poškození systému nebo organizace protiopatření, nebo také bezpečnostní opatření (safeguard) : praxe, postup nebo mechanismus, který snižuje riziko následek, nebo také dopad (impact) : výsledek nežádoucího incidentu aktivum (asset) : cokoliv, co má pro organizaci hodnotu podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

35 Největší hrozby z hlediska informační bezpečnosti Internet a/nebo elektronická pošta 58% Vlastní uživatelé 51% Vnější útočníci 32% Nedostatek financí 27% Nevyhovující bezpečnostní politika a/nebo bezpečnostní standardy 20% Nedostatek lidských zdrojů 17% Neadekvátní technická infrastruktura nebo zastaralé technologie 15% Nedostatečná podpora ze strany nejvyššího vedení 15% Provozované aplikace 7% Dodavatelé produktů, služeb a řešení v oblasti IT 6% E-business a/nebo e-commerce 6% zdroj: prezentace NextiraOne, 2005

36 Obecné schéma řízení bezpečnosti Cíle a strategie řešení bezpečnosti IT Analýza rizik Bezpečnostní politika Implementace bezpečnosti Monitoring a audit

37 Cíle a strategie řešení bezpečnosti IT Cíle identifikují, čeho má být dosaženo, Strategie určují, jak cílů dosáhnout Cíle lze vyjádřit v pojmech: integrita důvěrnost / důvěryhodnost dostupnost individuální zodpovědnost autenticita spolehlivost podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

38 Analýza rizik Analýza rizik identifikuje rizika, která je třeba kontrolovat nebo akceptovat Riziko je potenciální možnost, že daná hrozba využije zranitelností, aby způsobila ztrátu nebo poškození aktiv nebo skupiny aktiv Analýza rizik systémů IT zahrnuje analýzu hodnot aktiv, hrozeb a zranitelností. Rizika jsou odhadnuta z hlediska možného dopadu, způsobeného narušením důvěrnosti, integrity, dostupnosti, individuální zodpovědnosti, autenticity nebo spolehlivosti (viz cíle bezpečnosti) podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

39 Způsoby provedení analýzy rizik Základní přístup Aplikuje se vybraná sada opatření (lze např. přejmout z ISO 17799) Neformální přístup Opatření se navrhnou na základě zkušeností Detailní analýza rizik Manuálně (vymezení hranic systému, ohodnocení aktiv, určení a posouzení hrozeb, odhad zranitelností, výběr protiopatření), akceptace reziduálních (zbytkových) rizik) s využitím nástrojů pro analýzu rizik (CRAMM, COBRA) Kombinovaný přístup Výběrově se kombinuje základní přístup a detailní analýza rizik podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

40 Bezpečnostní politika IT Odráží základní bezpečnostní zásady a směrnice aplikované na používání systémů IT uvnitř organizace Zohledňuje výsledky analýzy rizik Na potřebné úrovni detailu stanoví pravidla používání IT z pohledu bezpečnosti v rámci organizace Příklad struktury bezpečnostní politiky IT je uveden v příloze A - Definování rozsahu a hranic procesu řízení rizik bezpečnosti informací dle standardu ČSN ISO/IEC (369790) podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

41 Implementace bezpečnosti Realizace protiopatření vycházejících z analýzy rizik a zásad přijatých v rámci bezpečnostní politiky Je vhodné provádět realizaci formou bezpečnostních projektů Projekty lze zaměřit na jednotlivé oblasti, např. Bezpečnost informací Bezpečnost komunikace (interní / externí) Prevence - vzdělávání v oblasti bezpečnosti informací a IT Antivirová ochrana podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

42 Monitoring a audit Monitoring slouží k monitorování rizikových činností za účelem detekování a zachycení bezpečnostních incidentů jedná se o pravidelný proces Incidenty je nutno vyhodnocovat a využívat vyhodnocení jako zpětnou vazbu pro hodnocení síly opatření Audit slouží k hodnocení adekvátnosti přijatých opatření ve vztahu k míře rizik (mohou se objevit nové zranitelnosti, nové hrozby) Výsledky obou procesů by měly být podkladem pro pravidelnou revizi analýzy rizik podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

43 Způsoby řešení dodávky bezpečnosti IT Některé fáze ustavení a řízení bezpečnosti jsou tak složité a nákladné, že jen největší organizace si mohou dovolit řešit všechny oblasti interními týmy (např. pro analýzu rizik) Většina organizací řeší bezpečnost IT ve spolupráci útvaru IT s externí firmou a někdy dokonce kompletním outsourcingem I v případech outsourcingu je nutná kooperace organizace, protože bezpečnost ovlivňuje do značné míry chování uživatelů IT a tedy zaměstnanců organizace podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

44 Způsoby řešení dodávky bezpečnosti IT Cíle a strategie řešení bezpečnosti Vhodná spolupráce expertů mají zkušenosti s výběrem cílů a odpovídajících strategií Analýza rizik Nejlépe svěřit externí firmě zkušenosti s AR, jistota nezatíženého pohledu Bezpečnostní politika Užitečná spolupráce expertů Implementace bezpečnosti Vzhledem k náročným technologiím spolupráce se specializovanými firmami nevyhnutelná Monitoring Lze řešit prostřednictvím vlastních týmů organizace, ale také externě přes dohledová centra apod. Audit Pravidelné audity provádí obvykle tzv. interní audit, velké audity doporučujeme provádět prostřednictvím externích firem podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011

45 Výskyt bezpečnostních incidentů a vnímání trendu Průzkum stavu informační bezpečnosti v ČR Národního bezpečnostního úřadu, 2009

46 Průzkum stavu informační bezpečnosti v ČR studie společnosti Ernst & Young, Národního bezpečnostního úřadu ČR a časopisu DSM (Data security management) z roku 2007 Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou. Téměř 20% organizací jako výbornou. Nejlépe se hodnotí společnosti v oblasti IT/telekomunikací a financí/bankovnictví. Tlak zákazníků má, ze všech sledovaných okolností, nejrychleji rostoucí význam na prosazování informační bezpečnosti. Roste zapojení vyššího managementu do řízení informační bezpečnosti. Roste role dedikovaných útvarů bezpečnosti, nicméně informační bezpečnost je v 70 % začleněna do úseků IS/IT. 80 % organizací nemá zaveden funkční program pro zvyšování bezpečnostního povědomí svých zaměstnanců. Přitom obecně nízké bezpečnostní povědomí je vnímáno jako nejvýznamnější překážka rychlejšího prosazování informační bezpečnosti u nás. Přes polovinu společností má definovanou a nejvyšším vedením přijatou bezpečnostní politiku

47 Průzkum stavu informační bezpečnosti v ČR studie společnosti Ernst & Young, Národního bezpečnostního úřadu ČR a časopisu DSM (Data security management) z roku % společností spoléhá při řízení informační bezpečnosti na interně vyvinuté standardy, ať již na lokální, či korporátní úrovni. Stále roste výskyt nevyžádané elektronické komunikace (SPAMu). V posledních dvou letech se s ním setkalo 92 % společností. Pětina společností nikdy neprovedla analýzu rizik IS. Řešení problematiky informační bezpečnosti ve spolupráci s externími firmami je běžný postup pro 60 % společností. Naprostá většina (80 %) společností nemá na informační bezpečnost vyhrazen finanční rozpočet. U organizací nad 1000 zaměstnanců došlo ve srovnání se situací v roce 2005 k poklesu poměru celkových ročních výdajů na bezpečnost v porovnání s celkovým rozpočtem na IS/IT. U menších organizací se tento poměr naopak zvýšil.

48 Průzkum stavu informační bezpečnosti v ČR studie společnosti Ernst & Young, Národního bezpečnostního úřadu ČR a časopisu DSM (Data security management) z roku 2007 Pouze 6 % společností nepředpokládá v budoucnosti využití elektronického podpisu. 20 % společností však není schopno identifikovat výhody, které používání elektronického podpisu přináší. Většina firem si rostoucí nebezpečí uvědomuje a snaží se ho řešit. Na druhou stranu však v přímém rozporu stojí požadavky na maximální otevřenost informačních systémů: marketing prezentace firmy elektronizace obchodních procesů elektronické bankovnictví a ochrana informací

49 Vliv mobilních zařízení na bezpečnost informací studie společnosti Check Point Software Technologies, únor 2012 Souvislost mezi zvyšováním počtu mobilních zařízení a bezpečnostními incidenty Přibližně 71 % oslovených podniků se domnívá, že rostoucí počty chytrých mobilních telefonů a multimediálních tabletů přispěly v posledních dvou letech k nárůstu počtu bezpečnostních událostí v jejich organizaci. Mnoho mobilních zařízení obsahuje citlivá zákaznická a podniková data V osobních a podnikem vlastněných mobilních zařízeních jsou často uloženy a zpřístupněny různé citlivé informace, včetně ů (79 %), dat zákazníků (47 %) a přihlašovacích údajů k interním databázím nebo podnikovým aplikacím (38 %). Růst počtu mobilních zařízení připojujících se do podnikových sítí Přibližně 94 % dotázaných organizací uvedlo, že evidují podstatně vyšší počet mobilních přístrojů, které se připojují k jejich firemní síti. V případě 78 % respondentů došlo za poslední dva roky ke zdvojnásobení počtu těchto zařízení. Chování zaměstnanců má vliv na zabezpečení mobilních dat Většina dotázaných podniků věří, že nedostatek odpovědnosti v oblasti bezpečnosti, který sledují u svých zaměstnanců, představuje nejzávažnější faktor ovlivňující mobilní data. Následují jej mobilní prohlížení internetu (61 %), nezabezpečená Wi-Fi připojení (59 %), ztracená nebo ukradená zařízení (58 %) a stahování škodlivých mobilních aplikací (57 %). Nejběžnější mobilní zařízení a jejich bezpečnostní rizika Apple (30 %) a BlackBerry (29 %) patřily k nejběžnějším typům mobilních zařízení, která se ve zkoumaných podnicích připojovala k firemním sítím. Další příčka patřila přístrojům s operačním systémem Android (21 %). Téměř polovina respondentů (43 %) se rovněž domnívá, že přístroje s operačním systémem Android představují největší ohrožení jejich mobilního podnikání. 13. února 2012, studie se účastnilo 750 IT odborníků z USA, Kanady, Velké Británie, Německa a Japonska

50 Děkuji za pozornost Další přednáška bude 20. dubna 2012