Sikkerhetsdagens årlige undersøkelse om informasjonssikkerhet i norske bedrifter

Per Morten Hoff, Generalsekretær IKT-Norge

Fjorårets undersøkelse var preget av mange ”vet ikke”-svar. I år har vi jobbet for å få bedre resultater, dvs svar fra respondenter med relevant bakgrunn

Bakgrunn Undersøkelsens formål er å evaluere norske bedrifters forhold til data- og

informasjonssikkerhet. Oppdraget er utført for IKT Norge.

Utvalg Undersøkelsens univers er norske bedriftsledere Utvalget er trukket fra Visendis B2B panel. Totalt ble det samlet inn 1515 svar, men etter kontroll av stillingstype ble datagrunnlaget

redusert til 719 norske bedriftsledere. ▫ På grunn av bevegelse i arbeidsmarkedet ble stillingstype benyttet som ett av momentene for kontroll

av utvalgsfeil.

Nytt Innvitasjonen inneholdt klare føringer på hvem vi denne gangen søkte som respondenter for

undersøkelsen. Vi ser en lavere andel svar for ”vet ikke” denne gangen, noe vi antar er invitasjonstekstens fortjeneste.

Vi har i år oppfordret respondentene til å la være å svare på spørsmål de føler seg usikre på, eller ikke har tilstrekkelig innsikt til å svare på.

Datainnsamling Datainnsamling er gjennomført som CAWI Datafangst gjennomført i februar 2010.

Daglig

leder

/Adm

. Dir.

IT-s

jef/a

nsvar

lig

Sikke

rhet

sansv

arlig

(CSO

elle

r CIS

O)

Annen le

derst

illin

g

Annen s

tillin

g

Offe

ntlig

Privat

Opp ti

l 24

ansa

tte

25 ti

l 49

ansa

tte

50 ti

l 99

ansa

tte

100

til 4

99 a

nsatte

500

til 9

99 a

nsatte

1000

til 2

.500

ansa

tte

Ove

r 2.5

00 a

nsatte

Opp ti

l 24

ansa

tte

25 ti

l 49

ansa

tte

50 ti

l 99

ansa

tte

100

til 4

99 a

nsatte

500

til 9

99 a

nsatte

1000

til 2

.500

ansa

tte

Ove

r 2.5

00 a

nsatte

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

23.6 %

10.3 %

1.1 %

36.8 %

28.3 %27.5 %

72.5 %

36.4 %

9.1 %5.6 %

12.5 %

6.5 %6.7 %

23.2 %

43.3 %

13.0 %9.0 %

17.1 %

4.7 %4.4 %8.5 %

Hovedvekten har vært på ledere i SMB-bedrifter, hovedsakelig private bedrifter

Den mest signifikante forskjellen fra i fjor til i år er på spørsmålet:På hvilken måte har virksomheten organisert IT-driften? Flere og flere setter ut

driften, og flere ser ikke behov for egen drift overhodet.

egen IT

-avdelin

g

outsource

t deler a

v IT-drift

en

ingen orga

nisert

IT-drift048

121620

20092010

Stilling/funksjon Sektor Antall ansatte Omsetning

2008

2009

2010

Hvor godt mener du data- og informasjonssikkerheten er ivaretatt i din bedrift? 77 79 77 74 74 75 79 78 76 73 72 76 80 81 84 81 71 73 72 76 77 75 83 79 82 78

I hvilken grad driver din bedrift med opplæring/opplysningsarbeid om data- og informasjonssikkerhet overfor de ansatte?

54 57 57 50 59 65 60 63 54 50 59 57 57 66 63 65 45 47 51 57 60 55 55 62 65 66

I hvilken grad har du till it til at myndighetenes evner å forvalte informasjon som din virksomhet leverer til myndighetene på en sikker og trygg måte?

64 62 65 62 65 58 68 73 63 61 66 68 68 72 75 69 58 63 63 64 60 70 60 75 69 71

I hvilken grad frykter virksomheten at de ansattes økende informasjonsdeling via Internett kan føre til at virksomhetsfølsom informasjon kan komme på avveie og brukes til å skade virksomheten økonomisk?

- 51 49 42 52 69 51 49 48 41 53 51 57 52 46 58 34 39 43 49 52 59 54 53 59 49

Ingen signifikante forskjeller på evaluering av IT-Sikkerhet

6

Ingen signifikante forskjeller på sikkerhetsrutiner og tiltak, med unntak av nedgang i VPN

I hvilken grad vil du si virksomheten er dyktig på å følge opp følgende sikkerhetstiltak:

Oversikten viser hvilke sikkerhetstiltak norske bedrifter mener de er dyktige på:

Brannmur, virusprogramvare og backup av server blir spesielt fremhevet av norske bedriftsledere.

Mobiltelefonsikkerhet ligger lavest.

0

10

20

30

40

50

60

70

80

90

100

87 86 86 85 8478 77 75 75 74 73 73 71 70

6763 62

5350

4541 40

38

Stillstand i sikkerhetsarbeidet –

Sikkerhetsdagundersøkelsen viser en stagnasjon i bedriftenes sikkerhetsarbeid, blant annet i antall som tar backup og i antall som tester backup (73%). Samtidig ser vi at stadig flere setter ut driften.

For å forbedre situasjonen arbeider IKT-Norge med en bransjenorm som skal gjøre det enkelt for bedrifter å velge en god leverandør av backupløsninger. Piloten, The Online Backup Company, vil holde innlegg senere i dag.

Vi jobber mer utenfor arbeidsplassen. Dette gir andre sikkerhetsutfordringer, mer knyttet til holdninger.

Andel som benytter jobb-pc'en utenfor arbei-dsplassen

5253545556575859606162

20092010

Smart-telefonene er kommet, og signifikant flere har mobil tilgang til epost og servere via mobile enheter.

Har du eller andre i din bedrift tilgang til epost/server via mobile enheter?

56.00 %

58.00 %

60.00 %

62.00 %

64.00 %

66.00 %

68.00 %

70.00 %

72.00 %

20092010

Men vi ser ikke tilsvarende økning i sikkerhetstiltakene. Vi ser en signifikant økning i backup som sikringstiltak som benyttes i forhold til mobile enheter. Her skulle vi gjerne sett økning i flere tiltak.

Fjernslet-ting

Installert antivirus

Sikker tilkobling

Backup0

10

20

30

40

50

60

70

20092010

Vi er fortsatt dårlige på å foreta en helhetlig risikovurdering av

informasjonssikkerheten. Halvparten har gjennomført dette i løpet av de siste to

årene.

Årets tema: Nettskyen

Offentlig tilgjengelige nettskytjenester innebærer leie av standardiserte og skalerbare IT-tjenester, levert over internett.

IT-tjenester blir da som ”strømmen i veggen” – småbedrifter vil ikke lenger ha behov for noen egne it-ansvarlige.

Ingen investeringskostnader, kun driftskostnader.Stordriftsfordeler gir reduserte kostnader og redusert miljøbelastning. Analytikerne spår en sterk vekst for nettskyene fremover.

10 prosent har nettskybaserte it-løsninger i dag.

Ytterligere 13,8 prosent vurderer å bruke dem innen de neste to årene.

Hvorfor velger bedriften ikke nettskybaserte løsninger?

40% svarer ”vet ikke” på dette spørsmålet. 25% svarer at det ikke er aktuelt med oppgraderinger eller endringer nå. (Dette gjelder særlig offentlig sektor.) 17 % avventer utviklingen i markedet16,4% er usikre på informasjonssikkerheten ved å lagre opplysninger i nettskyen. 11% mangler kompetanse til å vurdere det og 11% ønsker skreddersøm utover det nettskytjenester kan levere.

Kundeoppfølgingssystem

E-post

Regnskap

Virtuelle møter

Prosjektmøteplasser

Andre typer applikasjoner

Forretningsstøtte

6.0 %

9.8 %

8.3 %

6.0 %

6.8 %

4.3 %

3.8 %

1.3 %

3.5 %

1.0 %

3.7 %

4.8 %

3.3 %

2.8 %

15.5 %

18.3 %

12.3 %

20.2 %

17.8 %

20.9 %

17.0 %

34.8 %

26.0 %

35.8 %

27.7 %

28.1 %

24.1 %

29.1 %

42.4 %

42.5 %

42.6 %

42.4 %

42.6 %

47.5 %

47.3 %

Ja, har i dag Vurderer i løpet av et halvt år Vurderer i fremtiden

Uaktuelt Vet ikke

Epost først ute, deretter følger virtuelle møter og prosjektmøteplasser. (NB av de 23,8 % som har svart at de har eller vurderer nettskybaserte løsninger, dvs 7% (23,8*31,6) av

norske bedrifter vil ha vurdert nettsky-basert epost innen to år)

Hvilke tjenester har du/vurderer virksomheten å legge over i nettskyen?

Sosiale medier er i anmarsj – og de er som regel nettskytjenester. De er tilgjengelige overalt og selv om de er hovedsakelig til privat bruk i dag, er det mange som benytter dem også profesjonelt. Dette skaper nye arbeidsformer.

Vi spurte ”Hva er policy i din virksomhet vedrørende privat bruk av sosiale medier?”

15,4 % har en formell policy som regulerer dette og tillater det.28,6% tillater bruken uten å ha noen formell policy på det. 9,2 % har en policy som varierer med de forskjellige sosiale mediene. (tot 53,2%)

7% forbyr dem totalt10,1 % har strenge restriksjoner på bruk

28,4% svarer ”vet ikke” eller at de ikke har noe policy.

Mange selskaper bruker i dag sosiale medier til å kommunisere med kunder, samarbeidspartnere og potensielle arbeidstakere.

Vi spurte ”Sier virksomhetens policy noe om bruk av sosiale nettsteder på vegne av bedriften?”

15,3% tillater det og har en formell policy på det.14,2% tillater det uten at de har en formell policy på det.7,7% har en policy som varierer med de forskjellige sosiale mediene. (tot 37,2)

12,4% har forbudt det. 12,6% har strenge restriksjoner på bruk.

36,7 % har ingen policy eller vet ikke om de har en policy.

”Hvilke fordeler ser du ved å legge tjenester ut i nettskyen?”

- 52% vet ikke- 31,2% ser økt tilgjengelighet- 26,7% ser det å slippe å forholde seg til å oppdatere programvare- 18,4% ser at det letter samarbeid- 14,8 % ser fleksibilitet på valg av programvare,- 12,8 % ser sikkerhetskopiering,- 9,4% ser pris- 8,5% ser sikkerhet

I hvilken grad føler du at dataene dine vil være sikre om de lagres (på et ikke navngitt sted) utenfor Norge?

I liten grad

I noen grad

I stor grad

29.0%

36.5%

17.1%

1 - I svært liten grad

2

3

4

5

6 - I svært stor grad

Vet ikke

Diagrammet til høyre viser kun de som har svart 1-6. Verdiene er slått sammen slik: 1+2 utgjør ”i liten grad”, 3+4 er ”i noen grad” og 5+6 er ”i stor grad.”

20

Hvilke kriterier vil du vektlegge ved valg av nettsky-leverandør?

Pris

Tilgjengelighet

Tilgangskontroll

Back-up datasenter

Sikring ved konkurs eller oppkjøp

Internasjonal tredjepartssertifisering

Hvilket land dataene lagres i og nasjonal lovgivning

Krypteringsteknologi

Redundans

Parametre for informasjonssikkerhet

Sikkerhetsklarering av personell

Nærhet til leverandør

Nasjonale bransjenormer

Miljøkriterier

Andre

33.2 %

26.8 %

25.7 %

25.5 %

24.8 %

21.8 %

20.7 %

17.7 %

15.5 %

15.2 %

14.5 %

13.2 %

13.0 %

5.0 %

2.5 %

Takk for oss –

se www.sikkerhetsdagen.no for agenda og påmelding til regionale arrangement