Současný stav likvidace dat v organizacích Current state of data disposing in organizations Ing. Vít Pěkný Abstrakt Článek prezentuje výsledky zjištěné dotazníkovým šetřením, které bylo realizované v roce 2016 a bylo zaměřené na monitoring aktuálního stavu použitých procesů pro likvidaci dat v organizacích. Dotazníkového šetření se účastnilo 381 respondentů. Klíčová slova: informační bezpečnost, likvidace dat, dotazníkové šetření Abstract The paper presents the results of the questionnaire survey that was implemented in 2016 and was focused on monitoring the current state of the processes used for data disposing in organizations. The questionnaire survey was attended by 381 respondents Keywords: information security, data disposing, questionnaire survey Úvod Ze závěrů realizovaných výzkumů (Čandík 1 [2], Čandík 2 [3]) plynou jisté rezervy v řešení bezpečnosti na svých pracovištích. I přes to, že většina organizací má zpracovanou bezpečnostní politiku, v praxi ale vyskytují bezpečnostní incidenty, které organizacím způsobují finanční ztráty buďto přímo (způsobené únikem nebo ztrátou dat/informací) nebo nepřímo (vynaložené finanční náklady pro obnovení ztráty dat 1 Čandík, Marek. Závěry statistického zpracování výzkumu obecných znalostí informační bezpečnosti. In: Právo- Bezpečnost-Informace roč.2016, č.2016/1, ISSN 2336-3657 [online], Dostupné z: <http://www.teorieib.cz/pbi > 2 [3] Čandík, Marek Analýza bezpečnostních rizik informačních systémů. Čandík, Marek. Závěry statistického zpracování výzkumu obecných znalostí informační bezpečnosti. In: Právo-Bezpečnost-Informace roč.2016, č.2015/2, ISSN 2336-3657 [online], Dostupné z: <http://www.teorieib.cz/pbi >
nebo pro eliminaci škod způsobených ztrátou/únikem dat) 3 (Šulc [8]). Cílem výzkumu bylo monitorovat stav bezpečnosti dat/informací v oblasti likvidace dat na pracovištích, kde respondenti pracují. Dotazníkový průzkum K realizaci provedeného výzkumu byl na základě kvalitativní analýzy odborné literatury navržený standardizovaný dotazník s pevně danou strukturu pevně daným seznamem otázek/tvrzení, na které respondenti odpovídají pevně danými odpověďmi. Dotazník byl vytvořen v elektronické podobě a byl umístěn na serveru Survio (www.survio.com). Dotazníkový formulář byl komponován do tří částí. První část obsahovala 10 identifikačních a demografických znaků respondentů: pohlaví, věk, nejvyšší dosažené vzdělání, typ zaměstnavatele (státní správa, malá firma, středně velká firma, velká firma, ostatní) majetková struktura zaměstnavatele (100% účast státu, x% podíl státu, česká společnost, firma s podílem zahraničního kapitálu, zahraniční společnost) Doba zaměstnání u současného zaměstnavatele Celková doba zaměstnání (praxe) Doba působení na současné pracovní pozici Pracovní zařazení (majitel nebo nejvyšší post, vyšší management (2. linie), střední management, projektový vedoucí, ostatní) Země pracovního působení (stát) Druhá část byla tvořena tabulkou znázorňující způsob vyplňování dotazníku (5- bodová škála; od respondenta se požaduje, aby vyjádřil stupeň souhlasu či nesouhlasu s různými výroky, které se týkají určitého postoje postojové škály. Každý 3 ŠULC, Vladimír. Právní postihy v České repoublice pro kyberprostor terorismu. In: Právo-Bezpečnost- Informace roč.2016, č.2017/1, ISSN 2336-3657 [online], Dostupné z: <http://www.teorieib.cz/pbi >
bod této škály je kódován 1, 2, 3, 4, 5 pokud jde o výrok pozitivní případně naopak, pokud je výrok negativní. Nejnižší hodnotu má tedy souhlas s pozitivním, případně nesouhlas s negativním výrokem). Tabulka 1. Použitá škála dotazníkového šetření 1 2 3 4 5 souhlasím částečně souhlasím Neumím posoudit částečně nesouhlasím nesouhlasím Třetí část dotazníkového formuláře představovala zjišťovací část dotazníkového formuláře. Zjišťovací část byla zaměřena na oblast likvidace dat/informací se skládala z 6 tvrzení: Oblast likvidace dat/informací Naše organizace má definovaný postup na likvidaci dat. Naše organizace má stanovenou dobu na uchovávání informací. Naše organizace likviduje data pravidelně. Naše organizace vede evidenci likvidovaných dat. Naše organizace likviduje data bezpečně - úplné odstranění informací. Naše organizace likviduje data komplexně - všechny zdroje i kopie informací. Předvýzkum (Pilotáž) Před samotným výzkumem bylo provedeno pilotní šetření, jehož cílem bylo ověřit, zda je dotazník dostatečně srozumitelný. Tento předvýzkum měl dále ověřit výroky pro část měřící postoje respondentů. Pilotní šetření bylo provedeno pro potřeby správného nastavení úrovně atributů a za účelem odhalení možných chyb v dotazníku. V předvýzkumu bylo získáno 30 odpovědí od 15 mužů a 15 žen. 2016. Předvýzkum dat probíhal v papírové formě v období od 24. 12. 2015 do 2. 1. Vypracovaný dotazník byl korigovaný z hlediska validity (odlišná formulace některých otázek, vynechání otázek, ve kterých všichni respondenti deklarovali pouze
souhlasný/nesouhlasný postoj apod.). Otázky se zároveň nechaly posoudit třem odborníkům (akademické prostředí, informační bezpečnost, statistika). Sběr, zpracování a kontrola dat Sběr dat probíhal v období od 19. 1. 2016 do 15. 6. 2016. Během tohoto období bylo obdrženo 412 dotazníků. Následným počítačovým zpracováním bylo vyřazeno 31 dotazníků (7,5% z celkového počtu obdržených dotazníků) z důvodu neúplného plnění. Pro statistické plnění bylo použito celkem 381 dotazníků. Veškeré dotazníky byly následně překódovány do programu MS Excel 2016 tak, aby byla možná jejich statistická analýza. Vznikl objem dat, který byl importován do softwarového prostředí Statistica v. 10, aby data mohla být v tomto prostředí následně analyzována. V dalším kroku byla provedena kontrola dat, která neodhalila žádné chyby či nesrovnalosti, proto počet dotazníků zůstal i po kontrole stejný - výzkumný vzorek tedy čítá 381 dotazníků. Metodika výzkumu Objekt výzkumu: Postoje respondentů v otázkách spočívajících ve vnímání informační bezpečnosti a ochraně informací. Předmět výzkumu: Metoda výzkumu: oblasti informační bezpečnosti stanovené dílčími cíli výzkumu Dotazníkové šetření, s následným matematicko-statistickým vyhodnocením. Dosažené výsledky Zastoupení respondentů z hlediska pohlaví znázorňuje níže uvedený obr. 1.
Obrázek 1. Struktura respondentů z hlediska pohlaví Z celkového vzorku 381 respondentů převládají muži, kterých bylo 288 (76 %) nad ženami, kterých bylo 93 (24 %). Další základní statistické veličiny respondentů znázorňuje tab. 2. Tabulka 2. Základní statistické údaje o věku a praxi respondentů Všichni respondenti Věk Praxe u současného Celková Působení na (n=381) (v letech): zaměstnavatele praxe současné pozici Minimum 23 1 1 1 Maximum 65 40 47 27 Průměr 44,6 10,2 23,2 8,3 směrodatná odchylka 10,0 8,2 10,3 7,1 Medián 44 8 23 6 Modus 44 1 30 1 Nejmladším respondentem v rámci výzkumu byl 23 let starý respondent (minimum), nejstarším respondentem byl 65 let starý respondent (maximum). Průměrný věk respondentů byl 44,6 let, mediánová hodnota věku respondentů je 44 let, nejčetnější skupinou respondentů byla skupina 44 letých (modus). Tato skupina respondentů disponovala praxí u současného zaměstnavatele v intervalu jednoho roku (minimum) až 40 let (maximum), průměrná délka praxe
respondentů u současného zaměstnavatele byla 10,2 roku, mediánová hodnota praxe u současného zaměstnavatele byla 8 let, nejčetnější skupinou respondentů byli respondenti s praxí u současného zaměstnavatele v délce jednoho roku (modus). Z hlediska délky celkové praxe respondentů lze konstatovat, že u respondentů se pohybovala v intervalu jednoho roku (minimum) až 47 let (maximum), průměrná délka celkové praxe respondentů byla 23,2 roku, mediánová hodnota celkové doby praxe byla 23 let, nejčetnější skupinou respondentů byli respondenti s celkovou délkou praxe v trvání jednoho roku (modus). Z hlediska délky působení respondentů na současné pozici byla minimální doba působení 1 rok, maximální doba působení byla 27 let, průměrná doba působení na současné pozici byla 8,3 let. Mediánová hodnota délky působení respondentů na současné pozici byla 6 let, nejčetněji uváděli respondenti délku působení na své pozici dobu 1 rok (modus). Položková analýza výsledků v oblasti likvidace dat/informací Postoj všech respondentů, i postoje uvažovaných skupin respondentů k tvrzení: Naše organizace má definovaný postup na likvidaci dat interpretuje následující obr. 3. Obrázek 3. Obdržené poměrné zastoupení výsledků u jednotlivých skupin respondentů.
Většina respondentů (68,5 %) vyjádřilo souhlas s tím, že jejich organizace má jasně definované postupy pro likvidaci dat. Z jednotlivých skupin respondentů nejnižší souhlasné stanovisko dosáhli respondenti pracující ve státní správě (58,8 %) nejvyšší pozitivní stanovisko deklarovali respondenti pracující v zahraničí (85,2 %). Z jednotlivých skupin respondentů je nejblíže celkovému postoji všech respondentů skupina respondentů s 20ti letou a delší celkovou praxi (odchylka 0,2 %), svými postoji se nejvíce vzdálili od celkového postoje respondenti v zahraničí (odchylka 16,7 %). Poměrné zastoupení výsledků u jednotlivých skupin respondentů k tvrzení: Naše organizace má stanovenou dobu na uchovávání informací interpretuje následující obr. 4. Obrázek 4. Obdržené poměrné zastoupení výsledků u jednotlivých skupin respondentů. Většina respondentů (70,1 %) deklarovalo souhlas s tím, že jejich organizace má stanovenou dobu na uchovávání informací. Z jednotlivých skupin respondentů nejnižší souhlasné stanovisko dosáhli respondenti pracující v zahraničních společnostech v ČR (65,9 %) a respondenti s 10ti letou a delší praxí (66,7 %) nejvyšší pozitivní stanovisko deklarovali respondenti ze zahraničí (85,2 %). Z jednotlivých skupin respondentů je nejblíže celkovému postoji všech respondentů skupina respondentů s pětiletou a delší praxí na současné pozici (odchylka 0,2 %), svými postoji se nejvíce vzdálili od celkového postoje zahraniční respondenti (15,1 %).
Poměrné zastoupení výsledků u jednotlivých skupin respondentů k tvrzení: Naše organizace likviduje data pravidelně interpretuje následující obr. 5. Obrázek 5. Obdržené poměrné zastoupení výsledků u jednotlivých skupin respondentů. Většina respondentů (51,6 %) deklaruje, že jejich organizace likviduje data pravidelně vyjádřilo souhlas s tím, že jejich organizace má jasně definované informace důležité pro svůj chod. Z jednotlivých skupin respondentů nejnižší souhlasné stanovisko dosáhly ženy (87,1 %) nejvyšší pozitivní stanovisko deklarovali respondenti malých společností (100 %). Z jednotlivých skupin respondentů je nejblíže celkovému postoji všech respondentů skupina respondentů ze zahraničních společností (odchylka (0,3 %), svými postoji se nejvíce vzdálili od celkového postoje respondenti malých společností (9,3 %). Poměrné zastoupení výsledků u jednotlivých skupin respondentů k tvrzení: Naše organizace vede evidenci likvidovaných dat interpretuje následující obr. 6.
Obrázek 6. Obdržené poměrné zastoupení výsledků u jednotlivých skupin respondentů. Většina respondentů (90,6 %) vyjádřilo souhlas s tím, že jejich organizace má jasně definované informace důležité pro svůj chod. Z jednotlivých skupin respondentů nejnižší souhlasné stanovisko dosáhly ženy (87,1 %) nejvyšší pozitivní stanovisko deklarovali respondenti malých společností (100 %). Z jednotlivých skupin respondentů je nejblíže celkovému postoji všech respondentů skupina respondentů ze zahraničních společností (odchylka (0,3 %), svými postoji se nejvíce vzdálili od celkového postoje respondenti malých společností (9,3 %). Poměrné zastoupení výsledků u jednotlivých skupin respondentů k tvrzení: Naše organizace likviduje data bezpečně - úplné odstranění informací interpretuje následující obr. 7.
Obrázek 7. Obdržené poměrné zastoupení výsledků u jednotlivých skupin respondentů. Většina respondentů (90,6 %)vyjádřilo souhlas s tím, že jejich organizace má jasně definované informace důležité pro svůj chod. Z jednotlivých skupin respondentů nejnižší souhlasné stanovisko dosáhly ženy (87,1 %) nejvyšší pozitivní stanovisko deklarovali respondenti malých společností (100 %). Z jednotlivých skupin respondentů je nejblíže celkovému postoji všech respondentů skupina respondentů ze zahraničních společností (odchylka (0,3 %), svými postoji se nejvíce vzdálili od celkového postoje respondenti malých společností (9,3 %). Poměrné zastoupení výsledků u jednotlivých skupin respondentů k tvrzení: Naše organizace likviduje data komplexně - všechny zdroje i kopie informací interpretuje následující obr. 8.
Obrázek 8. Obdržené poměrné zastoupení výsledků u jednotlivých skupin respondentů. Většina respondentů (90,6 %) vyjádřilo souhlas s tím, že jejich organizace má jasně definované informace důležité pro svůj chod. Z jednotlivých skupin respondentů nejnižší souhlasné stanovisko dosáhly ženy (87,1 %) nejvyšší pozitivní stanovisko deklarovali respondenti malých společností (100 %). Z jednotlivých skupin respondentů je nejblíže celkovému postoji všech respondentů skupina respondentů ze zahraničních společností (odchylka (0,3 %), svými postoji se nejvíce vzdálili od celkového postoje respondenti malých společností (9,3 %). Závěr Příspěvek poukázal na odlišné vnímání problematiky likvidace citlivých informací v organizacích a poukázal na rozdíly ve vnímání problematiky likvidace dat z hlediska pohlaví, nejvyšší dosažené úrovni vzdělání respondentů, z hlediska majetkové struktury společností, z hlediska struktury/velikosti společností, věku respondentů, délky praxe ve společnosti, celkové délky praxe, doby působení respondentů na současné pozici, z hlediska pracovní pozice respondentů, i z hlediska geografického.
Literatura [1] BUDÍKOVÁ, Marie, Maria KRÁLOVÁ a Bohumil MAROŠ. Průvodce základními statistickými metodami. Praha: Grada, 2010. Expert (Grada). ISBN 978-80- 2473243-5. [2] ČANDÍK, Marek. Závěry statistického zpracování výzkumu obecných znalostí informační bezpečnosti. In: Právo-Bezpečnost-Informace roč.2016, č.2016/1, ISSN 2336-3657 [online], Dostupné z: <http://www.teorieib.cz/pbi > [3] ČANDÍK, Marek Analýza bezpečnostních rizik informačních systémů. Čandík, Marek. Závěry statistického zpracování výzkumu obecných znalostí informační bezpečnosti. In: Právo-Bezpečnost-Informace roč.2016, č.2015/2, ISSN 2336-3657 [online], Dostupné z: <http://www.teorieib.cz/pbi > [4] HAYES, Nicky. Základy sociální psychologie. Vyd. 7. Praha: Portál, 2013. ISBN 978-80-262-0534-0. [5] HENDL, Jan. Přehled statistických metod zpracování dat: analýza a metaanalýza dat. Vyd. 2., opr. Praha: Portál, 2006. ISBN 80-7367-123-9. [6] KALAMÁR, Štěpán a Josef POŽÁR. Vybrané aspekty informační bezpečnosti. Praha: Policejní akademie České republiky v Praze, 2010. ISBN 978-80-7251-339- 0. [7] MELOUN, Milan a Jiří MILITKÝ. Kompendium statistického zpracování dat: metody a řešené úlohy včetně CD. Praha: Academia, 2002. ISBN 80-200-1008-4. [8] ŠULC, Vladimír. Právní postihy v České repoublice pro kyberprostor terorismu. In: Právo-Bezpečnost-Informace roč.2016, č.2017/1, ISSN 2336-3657 [online], Dostupné z: <http://www.teorieib.cz/pbi >