Prieskum stavu informaènej bezpeènosti v SR 2008
Information Security Survey in Slovak Republic 2008

             Tretíročník Prieskumu stavu informačnej bezpečnosti v Slovenskej republike je tu a môžeme opäť porovnávať
             a hodnotiť, po akých cestách sa vydala informačná bezpečnosť od posledného prieskumu z roku 2006. Vďaka tomu,
             že máme navyše i možnosť porovnať naše výsledky s výsledkami PSIB ČR ´07, môžeme si urobiť aspoň rámcovú
             predstavu o pripravenosti a vývoji informačnej bezpečnosti, na v súčasnosti už naozaj európsky previazanom teritóriu
             so všetkými rizikami, hrozbami i možnosťami, ktoré táto integrácia prináša.

             We’ve come to the third year of the Information Security Survey in Slovak Republic and we may once again compare
             and evaluate which paths information security has trodden since the last survey in 2006. Thanks to us now being able
             to compare our results with the results of the Information security survey in Czech Republic 2007, we may get at least
             a basic idea of preparedness and information security development across the whole territory of the EU, with all
             the risks, threats and possibilities which this integration brings with it.

Po preštudovaní výsledkov prieskumu a komentárov autorov k jednotlivým bodom môže čitateľ získať dojem, že počas
obrovského technologického boomu a vývoja celej spoločnosti sa základné hrozby, a z nich plynúce riziká v našom
priestore a čase, významne nemenia. To by mohlo naznačovať i možné dôvody, prečo pätina spoločností z prieskumu
doposiaľ neuskutočnila analýzu rizík a väčšina respondentov nemá zriadenú ani pracovnú funkciu, ktorá by sa
zaoberala prioritne informačnou bezpečnosťou. Ponúka sa aj jedno aktuálne vysvetlenie, a to, že súčasná príprava
prechodu na Euro v informačných systémoch spoločností absolútne zatienila ostatné interné projekty.

After studying the survey results and the authors’ comments on individual points, the reader may get the impression that
the basic threats and resulting risks have not currently altered here at all, despite the high-tech boom and the society-wide
development. This could also indicate possible reasons why a fifth of the companies taking part in the survey have still
not performed a risk analysis and why most of the respondents do not have a work-role in place with a preferential
focus on information security. However, a plausible explanation for this is that the current preparation for
Euro-conversion in corporate information systems has wholly overshadowed other internal projects.

             Dnes, v dobe tak dynamickej a rýchlej, že niektoré spoločnosti zmiznú z trhu skôr ako stačia vôbec identifikovať svoje
             hrozby pre informačnú bezpečnosť, je teda dobre, že existujú aspoň základné pravidlá a uznávané praktiky v oblasti
             bezpečnosti, ktorými sa tí ostatní môžu riadiť a ktoré udávajú smer na ceste za lepšou a kvalitnejšou bezpečnosťou
             v rámci finančne možného. Kvalitné riadenie informačnej bezpečnosti v praxi vždy narazí na nečakanú prekážku,
             ako môžeme v poslednej dobe vidieť na príklade úniku informácií od významných a dobre zabezpečených spoločností,
             od ktorých by sa to neočakávalo.

             Today, in the dynamic and fast-changing times where some companies vanish from the market before they even have
             a chance to identify their information security threats, it is good that there are at least basic security rules and accepted
             practices which others can follow and point the way towards improved and higher quality security, always respecting the
             financial considerations. In practice, high-quality information security management always encounters an unexpected
             obstacle, which we could recently have seen in the example of information outflow from leading and prosperous
             companies, which was a surprise to everybody.

Ak je najvýznamnejšie udávaným dôvodom zlepšovanie informačnej bezpečnosti potreba ochrany osobných
a obchodných údajov, presúvame sa ďalej do roviny, kde použité informačné technológie umožňujú túto ochranu tak,
ako to bolo pôvodne zamýšľané. Zodpovední pracovníci majú síce jednoznačnejší cieľ, ale na druhej strane stále ťažšiu
pozíciu pre zdôvodnenie výšky investícii do týchto technológii. Tejto situácii nahrávajú i prieskumom naznačené
očakávania manažérov IT, že pracovníci bezpečnosti vhodne skĺbia znalosti informačnej bezpečnosti s efektívnou
komunikáciou s vrcholovým vedením.

Consequently, if the reason cited as the most significant for improving information security is the need for personal and
business data protection, we move on to those companies where applied information technologies solely play the role of
an enabler of the above protection as it was initially intended. The responsible employees now have a clearer objective
but, on the other hand, it is seldom easy for them to substantiate the extent of investments in these technologies. This
situation is also supported by the expectations of IT managers, as indicated in the survey, that the security staff bring
information security expertise appropriately into accord with effective communication with the top management.

             Partneri tohtoročného prieskumu: Ernst & Young, Národný bezpečnostný úrad SR, časopis DSM – Data Security
             Management a TATE International Slovakia veria, že čitatelia a používatelia výsledkov tohtoročného prieskumu budú
             mať čas sa na svojej ceste k ideálnemu stavu informačnej bezpečnosti zastaviť, obzrieť sa a vybrať si z prieskumu
             to zaujímavé a potrebné k tomu, aby našli svoj cieľ.

             The partners in this year’s survey – Ernst & Young, the National Security Authority SR, the magazine DSM – Data Security
             Management and TATE International Slovakia – believe that the readers and users of this survey’s results will have time
             to stop, look back and choose from the survey interesting and necessary information in order to identify their objectives
             in heading towards the ideal state of information security.

                                                                                                                                  PSIB SR ´08

         V roku 2008 prikladá informačnej bezpečnosti význam 92 % opýtaných spoločností na Slovensku, no napriek tomu
         18 % z nich hodnotí svoj stav informačnej bezpečnosti stále ako nízky alebo nedostatočný.

         Ako najviac motivujúce faktory pre investície do informačnej bezpečnosti spoločnosti označujú bezpečnosť a ochranu
         údajov, rýchly vývoj v oblasti IT a hrozbu útoku.

         83 % spoločností nemá zamestnaného žiadneho špecialistu zaoberajúceho sa prioritne informačnou bezpečnosťou.

         Pracovníci, ktorí aktívne pôsobia v oblasti informačnej bezpečnosti, v priemere zarábajú okolo 43.000 Sk
         (1 427,34 €), čo je oproti minulému prieskumu z roku 2006 výrazný nárast.

         Spoločnosti si najviac u svojich bezpečnostných pracovníkov cenia vecné znalosti problematiky, IT technológií
         a flexibilitu, a naopak im najviac chýba znalosť finančného riadenia a schopnosť efektívnej komunikácie s vedením.

         Bežnou praxou v spoločnostiach je integrácia informačnej bezpečnosti pod IS/IT oddelenia. Priemerný rozpočet na
         bezpečnostné záležitosti tvoria firmy iba v 18 % prípadov a to väčšinou vo veľkosti 10 % z celkového rozpočtu na
         IS/IT. Iba slabá tretina spoločností následne kalkuluje návratnosť investícií do informačnej bezpečnosti.

         65 % spoločností má vytvorené bezpečnostné politiky a tieto sú v 43 % pravidelne prepracovávané a aktualizované.
         Pribúda politík stredného rozsahu, ktoré spoločnosti preferujú pred obšírnejšími aj tými najstručnejšími.

         Majorita spoločností stále spolieha na interné štandardy alebo tie prevzaté od materských spoločností.

         Medzi najvýznamnejšie identifikované hrozby stále patria výpadky prúdu, SPAM a porucha hardvérového vybavenia.

         Oproti roku 2006 problematika počítačových vírusov ustupuje do pozadia.

         Najväčšími výzvami posledného obdobia sú pre spoločnosti participujúce na prieskume prechod na Euro
         a implementácia nových operačných systémov.

         Až 34 % spoločností nemá vypracovaný systém monitorovania bezpečnostných incidentov a viac ako štvrtina
         nedisponuje žiadnymi formálnymi postupmi v tejto oblasti.

         Rastie podiel podnikov, ktoré majú vypracované a pripravené plány obnovy funkčnosti, ktoré majorita z nich
         pravidelne aktualizuje a testuje.

         Hlavnými prioritami na riešenie v oblasti informačnej bezpečnosti sa stávajú už identifikované, známe problémy
         firiem. Vývoj nových riešení v oblasti IT už nie je významnou prioritou, a rovnako sa menší dôraz prikladá na
         analýzy a výsledky auditov, prípadne odporúčania dodávateľov.

         Skoro 20 % podnikov ešte nikdy nevykonalo analýzu rizík informačného systému.

         Tretina podnikov rieši informačnú bezpečnosť vo vlastnej réžii, dve tretiny volia externých dodávateľov riešení.
         Iba zanedbateľné percento túto oblasť nerieši vôbec.

         Oproti roku 2006 klesol podiel spoločností, ktoré dokážu a môžu využívať elektronický podpis z jednej tretiny
         na jednu štvrtinu. Taký istý počet jeho zavedenie vôbec neplánuje. Nedostatok aplikácií podporujúcich elektronický
         podpis a zriedkavá akceptácia zo strany štátu sú hlavné prekážky pre jeho zavádzanie do praxe.

         Rýchlejšiemu rozvoju informačnej bezpečnosti bránia nízke povedomie o bezpečnosti a finančná náročnosť.

         Lídrami v oblasti informačnej bezpečnosti stále zostávajú banky a finančné inštitúcie spolu s IT spoločnosťami,
         ktoré dosahujú nadpriemerné výsledky.



  In 2008, 92% of Slovak companies taking part in the survey asserted that information security was
  important, whereas 18% of them still assessed their state of information security as poor or inadequate.

  Data security, data protection, the rapid pace of developments in IT and concerns about attacks were
  cited by companies as the factors most motivating them to invest in information security.

  83% of companies do not employ a specialist whose priority role is to focus on information security.

  Employees who are actively engaged in information security earn on average around SKK 43,000
  (€ 1,427.34), which is a substantial increase on the previous survey carried out in 2006.

  What the companies value most with regard to their information security staff includes understanding
  of related issues, IT technologies and their flexibility. On the other hand, they lack expertise in financial
  management and the ability to communicate effectively with the management.

  It is common practice to integrate information security within IS/IT departments. Only in 18% of cases
  do companies plan an average budget for security issues; predominantly, this represents 10% of the
  overall budget for IS/IT. Only a poor third of companies then calculates any return on their investment
  in information security.

  65% of companies have security policies in place, which in 43% of cases are regularly redesigned and
  updated. More and more companies implement policies of intermediate extent, in preference to both
  long-term and short-term policies.

  Most companies are subject to their own internal standards or to those of their parent companies.

  The major identified threats are seen to be those posed by power outage, SPAM or hardware malfunction.

  Compared to 2006, issues relating to computer viruses have begun to reduce in severity.

  The greatest challenges recently faced by the respondent companies are Euro-conversion
  and the implementation of new operating systems.

  Up to 34% of companies have no system in place for monitoring security incidents and more than
  a quarter have no appropriate formal procedures in place.

  There is a growing number of companies that have drawn up and prepared Disaster Recovery Plans
  and the majority of them update and test them on a regular basis.

  The main priorities for information security are solving problems which companies have already
  identified. The development of new IT solutions is no longer a significant priority and, similarly, reduced
  emphasis is placed on analyses and findings of audits or recommendations of suppliers.

  Almost 20% of companies have never performed an IS risk analysis.

  A third of companies resolve their information security issues at their own expense and two-thirds turn
  to external suppliers for their solutions. An insignificant percentage has no dealings in this area at all.

  Compared to 2006, the share of companies who are able to and permitted to use an electronic signature
  dropped from a third to a quarter. The same number has no plan to introduce electronic signatures
  at all. The lack of applications supporting electronic signatures and its random acceptance by the state
  represent the main obstacles to its introduction into practice.

  A faster pace for the development of information security is impeded by a low level of security
  awareness and high associated costs.

  Banks and financial institutions still represent the leaders in the information security area, along with IT
  companies which deliver outstanding results.


                                                                                                         PSIB SR ´08

         Prieskum z oblasti informačnej bezpečnosti je už od roku 2004 zameraný na spoločnosti s viac ako 100
         zamestnancami. Viac ako dvojtretinové zastúpenie v prieskume majú spoločnosti do 500 zamestnancov.
         Oproti roku 2006 sa zastúpenie firiem s 501 až 1 000 zamestnancami zvýšilo, na úrok veľkých spoločností
         s viac ako 1 000 zamestnancami.

         The information security survey has focused since 2004 on companies with more than 100 employees.
         More than two-thirds of companies participating in the survey have up to 500 employees. Compared to
         2006, the ratio of companies with 501 to 1,000 employees increased at the expense of large companies
         with more than 1,000 employees.

          Viac než 1 000 zamestnancov
           More than 1,000 employees

                                                                                          72 %
                                                                                100 – 500 zamestnancov
                 20 %                                                             100 – 500 employees
        501 – 1 000 zamestnancov
          501 – 1,000 employees
                                                                           Graf 1: Distribúcia respondentov podľa počtu zamestnancov
                                                                          Chart 1: Distribution of respondents by number of employees

                                      Iná oblasť pôsobnosti
                                                                                                                      17 %
                                                Other areas
                                                                                                         12 %
                                   Mechanical engineering
                                        Stavebný priemysel
                                                                                                    11 %
                                           Building industry
                                Predaj/obchod a distribúcia
                                   Potravinársky priemysel
                                    Food & Drink industry
                                         Textilný priemysel
                                           Textile industry
                                             Štátna správa
                                       State administration
                                 Elektrotechnický priemysel
                                      Electrical engineering
                   Informačné technológie/telekomunikácie
                                       Chemický priemysel
                                        Chemical industry
                     Zdravotníctvo/farmaceutický priemysel
                      Health care/Pharmaceuticals industry
                                   Vodovody a kanalizácie
                          Water distribution and Sewerage
              Energetika/elektroenergetika/distribučná spol.
                  Energy sector/Electro-energy/Distribution
                                 Drevospracujúci priemysel
                                                                            Graf 2: Distribúcia respondentov podľa oboru pôsobnosti
                            Plynárenstvo a ropný priemysel
                                                                           Chart 2: Distribution of respondents by industry
                                      Gas and Oil industry

Až 17 % podiel na prieskume majú spoločnosti s „inou oblasťou pôsobnosti“, ktorá sa nehodila
do žiadnej z ostatných kategórií. Oproti predchádzajúcemu prieskumu sa nám podarilo podiel
nezaraditeľných spoločností výrazne znížiť, keďže v roku 2006 táto skupina tvorila viac ako
štvrtinu respondentov. Ďalej je výrazne v prieskume zastúpené strojárstvo (12 %) nasledované
stavebným priemyslom. Ostatné oblasti si zachovali podobné zastúpenie ako v roku 2006.

Companies with other area of activity which did not fit into any one category comprised
as much as 17% of the survey. Compared to the previous survey, we managed to decrease
the number of unclassifiable companies significantly, as in 2006 this group represented more
than a quarter of respondents. Another significant proportion is represented by Mechanical
engineering (12%) followed by the Building industry. Other areas maintained a similar
proportion to 2006.

                          Vedúci oddelenia IS/IT
                                                                                                              39 %
                     IS/IT Department Manager

                                Špecialista IS/IT
                                                                          17 %
                                 IS/IT Specialist

                                   Riaditeľ IS/IT
                                                                 11 %
                                   IS/IT Director

                        Špecialista bezpečnosti
                            Security Specialist

                                     Iná pozícia
                                  Other Position

                    Ekonomický/finanční riaditeľ
                    Economic/Financial Director

                  Riaditeľ/manažér bezpečnosti
                     Security Director/Manager

             Riaditeľ/konateľ/majiteľ spoločnosti

                          Pracovník marketingu
                           Marketing employee

        Obchodný/technický/prevádzkový riaditeľ
         Business/Technical/Operational Director

                                       Graf 3: Kto za organizácie odpovedal
                                      Chart 3: Who provided answers on behalf of organisations

                                Za spoločnosti na otázky prieskumu odpovedali vedúci pracovníci v dvoch tretinách
                                prípadov. Rovnaký podiel odpovedí poskytli aj pracovníci IS/IT zamerania. Celkovo
                                trend v tejto oblasti signalizuje prechod zodpovednosti za vypĺňanie dotazníka na
                                manažérov a IS/IT zamestnancov.

                                In two-thirds of cases, managers were the persons who responded for the
                                companies. IS/IT staff also provided a similar proportion of responses.
                                On aggregate, the trend in this area signals the transfer of responsibility
                                for completing the questionnaire towards managers and IS/IT staff.


                                                                                                              PSIB SR ´08

       Z výsledkov prieskumu vyplýva jednoznačná orientácia na zaistenie vysokého stupňa kvality informačnej bezpečnosti
       a pochopenie dôležitosti informačnej bezpečnosti pre dosiahnutie primárnych cieľov organizácie. 92 % spoločností pokladá
       informačnú bezpečnosť za stredne významnú alebo veľmi významnú. Iba 2 % spoločností jej prisúdili zanedbateľný význam.

       The results of the survey show a definite focus on ensuring a high level of information security quality and understanding
       its importance in meeting the primary goals of organisations. 92% of companies stated that information security had medium
       significance or high significance. Only 2% of companies claimed that information security was of negligible significance.

                                                            Zanedbateľný význam
                                                            Negligible significance
                                                                                                                                               48 %
                                                                     6%                                                                  Veľký význam
                                                                Malý význam                                                             High significance
                                                               Low significance

                                                                         44 %
                                                                  Stredný význam
                                                                 Medium significance

        Graf 4: Význam informačnej bezpečnosti z hľadiska primárnych cieľov organizácie
       Chart 4: Importance of information security in terms of primary goals of organisations

                                                                                          91 %                                           9%
              Zdravotníctvo/farmaceutický priemysel
                                                                                                                                 25 %
                                                                                   75 %
               Health care/Pharmaceuticals industry
                             Vodovody a kanalizácie
                                                                               67 %                                           33 %
                   Water distribution and Sewerage
            Informačné technológie/telekomunikácie
                                                                            62 %                                          38 %
                                                                                                                          40 %
                                                                            60 %
                         Predaj/obchod a distribúcia
                                                                                                                   40 %                  7%
                                                                       53 %
                                Iná oblasť pôsobnosti
                                                                                                                  39 %                  9%
                                                                       52 %
                                           Other areas
                                                                      50 %                                             50 %
                                  Chemický priemysel
                                                                      50 %                                             50 %
                                    Chemical industry
                     Plynárenstvo a ropný priemysel
                                                                      50 %                                             50 %
                                 Gas and Oil industry
                             Potravinársky priemysel
                                                                                                          38 %                       16 %
                                                                     46 %
                              Food & Drinks industry
                                    Textilný priemysel
                                                                                                                46 %                     9%
                                                                    45 %
                                       Textile industry
                                  Stavebný priemysel
                                                                    45 %                                          55 %
                                     Building industry
                                        Štátna správa
                                                                                                                                        11 %
                                                                   44 %                                    45 %
                                  State Administration
                          Elektrotechnický priemysel
                                                                                                                                        10 %
                                                                                                          50 %
                                                                 40 %
                                Electrical engineering
       Energetika/elektroenergetika/distribučná spol.
                                                                                                           67 %
                                                              33 %
         Energy industry/Electro-energy/Distribution
                                                                                                                                     14 %
                                                                                                 63 %
                                                          23 %
                             Mechanical engineering
                          Drevospracujúci priemysel
                                                                                             100 %

                                                                                          Stredný význam                  Malý alebo zanedbatelný význam
                                                           Velký význam
                                                                                          Medium significance             Low or Negligible significance
                                                           High significance

                                             Graf 5: Význam informačnej bezpečnosti podľa oboru pôsobnosti

                                            Chart 5: Importance of information security by industry

Pri pohľade na rozdelenie významu informačnej bezpečnosti podľa oboru pôsobnosti
podnikov sa na prvých priečkach umiestnili, tak ako po minulé roky, spoločnosti z oblasti
bankovníctva a financií. Zdravotnícky a farmaceutický priemysel, vodovody a kanalizácie
a doprava boli v prieskume zastúpené iba malým percentom, čo skresľuje pohľad na ich
dosiahnuté umiestnenie. Drevospracujúce a strojárske podniky prikladajú informačnej
bezpečnosti skôr menší význam. Spoľahlivé výsledky tejto časti prieskumu môžeme
vidieť v priemernej dôležitosti informačnej bezpečnosti pre podniky z oblasti
poradenstva, štátnej správy a potravinárskeho priemyslu.

When looking at the break-down of importance for information security by the sphere
of activity of companies, the first ranks are occupied by companies from banking
and finance world (as in the previous years). Health care and the pharmaceuticals
industry, water distribution and sewerage as well as transport were only represented
by a minor percentage, which distorts the picture in respect of the position they
acquired. Woodworking and mechanical engineering companies claimed that information
security is less important to them. The reliable results of this part of the survey may be
observed through the average information security for companies active in consultancy,
state administration and the food & drinks industry.

                                                                   17 %
                                                                Nízka úroveň
                                                                  Low level

                                                                    Nedostatočná úroveň
                                                                      Inadequate level

                56 %                                                    26 %
            Dobrá úroveň                                           Výborná úroveň
             Good level                                             Excellent level

                              Graf 6: Úroveň riešenia informačnej bezpečnosti v organizácii (celkovo)
                             Chart 6: Level of information security in organisation (total)

                                        Až 82 % organizácií v prieskume hodnotí svoju informačnú bezpečnosť pozitívne
                                        a optimisticky. Viac ako štvrtina pokladá svoju informačnú bezpečnosť za výbornú,
                                        na druhej strane iba menej ako jedna pätina firiem ju vidí na nízkej úrovni.
                                        Oproti minulému prieskumu vidieť nepatrné zmeny k lepšiemu v sebahodnotení
                                        úrovne informačnej bezpečnosti organizáciami, keď sa ľahko navýšil podiel
                                        spoločností, ktoré svoju úroveň riešenia informačnej bezpečnosti hodnotia
                                        ako výbornú (z 20 % na 26 %). Tento posun sa primárne udial na úkor spoločností
                                        s „dobrou úrovňou“ (z 65 % na 56 %).

                                        Up to 82% of organisations participating in the survey evaluate their information
                                        security positively and are optimistic about its development. More than a quarter
                                        of the companies rated the level of their information security as excellent.
                                        On the other hand, just under a fifth of companies consider it to be at a low level.
                                        Compared to the last survey, only slight changes for the better may be visible
                                        in the self-assessment of information security by organisations, as the ratio
                                        of companies which rate their information security solutions as excellent increased
                                        slightly (from 20% to 26%). This movement primarily happened at the expense
                                        of companies with a “good level” (from 65% down to 56%).


                                                                                                                     PSIB SR ´08
Spoločnosti z plynárenského, ropného a chemického priemyslu hodnotia svoje riešenia bezpečnosti ako výborné v polovici
       prípadoch; obchod a elektrotechnický priemysel v 40 %. Najkritickejšie odvetvie k svojej informačnej bezpečnosti je
       strojárstvo, nasledované poradenstvom alebo službami a vodovodmi a kanalizáciami. Výsledky približne kopírujú
       dôležitosť, ktorú spoločnosti z jednotlivých odvetví prikladajú informačnej bezpečnosti, čo dokladajú výsledky
       napríklad farmaceutického priemyslu a oblasti informačných technológií.

       Companies from the gas, oil and chemical industries assess their security solutions as excellent in half of the cases;
       trade and electrical engineering in 40%. The most critical approach to its information security is maintained by mechanical
       engineering, followed by consultancy or services and water distribution and sewerage. The results approximately reflect
       the level of importance which is assigned by companies from individual sectors to information security, which is also
       demonstrated by the results of, for example, the pharmaceuticals industry or the information technology sector.

                                Chemický priemysel
                                                                           50 %                                33 %                  17 %
                                 Chemical industry
                     Plynárenstvo a ropný priemysel
                                                                           50 %                                       50 %
                               Gas and Oil industry
                         Predaj/obchod a distribúcia
                                                                                                            47 %                      13 %
                                                                        40 %
                          Elektrotechnický priemysel
                                                                         40 %                                  50 %                    10 %
                               Electrical engineering
                            Vodovody a kanalizácie
                                                                                                 34 %                         33 %
                                                                   33 %
                   Water distribution and Sewerage
                               Iná oblasť pôsobnosti
                                                                                                    49 %                            21 %
                                                                  30 %
                                         Other areas
                                   Textilný priemysel
                                                                                                        64 %                               9%
                                                                  27 %
                                     Textile industry
                                                                                                        64 %
                                                                 27 %
                                                                                            38 %
                                                                25 %                                                         37 %
              Zdravotníctvo/farmaceutický priemysel
                                                                                                           75 %
                                                                25 %
               Health care/Pharmaceuticals Industry
            Informačné technológie/telekomunikácie
                                                                25 %                                       75 %
                            Potravinársky priemysel
                                                                                                        69 %                               8%
                                                               23 %
                             Food & Drinks industry
                                      Štátna správa
                                                              22 %                                                                  22 %
                                                                                                 56 %
                                State administration
                                                                                                 60 %                               20 %
                                                              20 %
                                 Stavebný priemysel
                                                                                                 70 %                                 15 %
                                                           15 %
                                    Building industry
                                                                                     45 %                                41 %
                                                           14 %
                            Mechanical engineering
                          Drevospracujúci priemysel
                                                                                                   100 %
       Energetika/elektroenergetika/distribučná spol.
                                                                                  67 %                                              33 %
         Energy industry/Electro-energy/Distribution

                                                        Výborná úroveň            Dobrá úroveň           Nízka alebo nedostatočná úroveň
                                                        Excellent level           Good level             Low or Insufficient level

                                   Graf 7: Úroveň riešenia informačnej bezpečnosti v organizácii podľa oboru pôsobnosti

  8                               Chart 7: Level of information security in organisation by industry

Prím v rizikách, ktoré vedú firmy k zdokonaľovaniu informačnej bezpečnosti, hrá ochrana údajov (66 %), ktorá sa
v prieskume objavila tento rok prvý krát. Tak ako po minulé roky, rýchly vývoj informačných technológií (35 %), požiadavky
na prepájanie smerom von aj dnu (29 % a 21 %) a hrozba útoku (31 %) sú medzi faktormi, ktoré podľa firiem majú najväčší
vplyv. Oproti minulým rokom firmy zrejme prehodnotili dôležitosť niektorých faktorov a tým pádom došlo k preskupeniu
percentuálneho zastúpenia. Prepad o 11 % oproti roku 2006 zaznamenal tlak zo strany legislatívy SR a o 10 % zo strany EU.

The main risk driving companies to strengthen their information security is data protection (66%) which this year appeared
in the survey for the first time. As in the previous years, the fast pace in the development of information technologies (35%),
requirements for external as well as internal connections (29% and 21%) and threat of attack (31%) represent the factors
with the greatest influence, as assessed by the companies. Compared to the previous years, companies apparently
reassessed the importance of certain factors, thereby rearranging percentages. Compared to 2006, a reduction of 11%
and 10% resulted from pressure from the SR legislation and the EU, respectively.

                                                            Ochrana údajov*
                                                                                                                                                66 %
                                                            Data protection*

                                                                                                              35 %
                                                   Rýchly vývoj v oblasti IT
                                                                                                                               50 %
                                             Rapid pace of IT developments
                                                                                                                                   56 %
                                                              Hrozba útoku*
                                                                                                           31 %
                                                            Threat of attack*

                                                                                                         29 %
                            Prepájanie informacných systémov smerom von
                                                                                                                                  53 %
                                                  Connection of IS outside
                                                                                                                                   55 %
                                                                                                  21 %
                    Prepájanie informacných systémov vo vnútri organizácie
                                                                                                           32 %
                                       Connection of IS within organisation
                                                                                                               38 %
                                                                                                  21 %
                          Výsledky vykonaného auditu/odporúcaní audítorov
                                                                                                    23 %
                                    Audit results/Auditors' recommendations
                                                                                                   22 %
                                                                                           15 %
                                                       Legislatívny tlak v SR
                                                                                                     26 %
                                              Legislative pressure in the SR
                                                                                                      27 %
                  Tlak/požiadavky zo strany investorov/akcionárov/vlastníkov
                                                                                      10 %
                         Investor/shareholder/Owner pressure/Requirements
                                                                                       12 %
                              Požiadavky na mobilné spracovanie informácií
                                                                                           14 %
                                Mobile information processing requirements
                                                                                          13 %
                                               Splnenie obchodných cieľov*
                                                   Business plan fulfilment*

                                            E-business a/alebo e-commerce
                                             E-business and/or E-commerce
                                                                                       11 %
             Riešenie informačnej bezpečnosti u porovnatelných organizácií*
                                   Information security solutions from peers*

                                                 Tlak/požiadavky zákazníkov
                                                                                      11 %
                                                Client pressure/requirements
                                            Hrozba negatívnej medializácie*
                                         Threat of negative picture in media*

                                    Tlak/požiadavky obchodných partnerov
                                                                                           14 %
                                   Business partners pressure/requirements                                                                       2008
                                                                                          13 %
                                                Hrozba finančných sankcií*                                                                       2006
                                               Threat of financial sanctions*
                 Platná aj pripravovaná legislatíva Európskej a Menovej Únie
                                                                                      10 %
              Valid or prepared EU and European Monetary Union legislation
                                                                                       12 %
                                                                                                       * možnosti prvý krát k dispozícii až v PSIB SR ´08
                                                                                   10 %                    ** možnosť v PSIB SR ´08 už nie je k dispozícii
                                                               Iné dôvody**
                                                                                                    * option appeared in the 2008 survey for the first time
                                                            Other reasons**                             ** option is no longer available in the 2008 survey

              Graf 8: Okolnosti, ktoré majú najväčší vplyv na presadzovanie informačnej bezpečnosti
             Chart 8: Circumstances with most impact on information security implementation

                                                                                                                                           PSIB SR ´08
Pre jednu tretinu spoločností je pravidelná tvorba správ o informačnej bezpečnosti zabehnutá prax,
       avšak pre 20 % stále nepreskúmaná oblasť. 30 % spoločností vydáva správy podľa potreby.
       Zaujímavým bodom v tejto oblasti je informácia, že pätina spoločností nikdy túto správu nepripravila,
       a preto je otázne, akým spôsobom je informačná bezpečnosť u nich riadená.

       A third of companies stated that regular preparation of reports on information security is a common
       practice; however, for 20% it remains an unexplored area. 30% of companies issue reports when
       necessary. An interesting fact in this area is that a fifth of the companies have never prepared
       a report and it is therefore questionable how information security is managed in their organisations.

                                                                                                  20 %
                                                  30 %                                            Never
                                                                                                               Niekoľkokrát ročne
                                                                                                            More often that once a year

                                                                                                            30 %
                                          16 %                                                              Ročne
                                 Menej ako jedenkrát ročne                                                Once a year
                                  Less than once a year

                                            Graf 9: Ako často sa pripravuje správa o stave informačnej bezpečnosti
                                           Chart 9: How often is prepared reports on the state of information security

                    Podniky, ktoré správy o stave informačnej bezpečnosti tvoria, ich predkladajú najvyššiemu vedeniu vo viac ako
                    dvoch tretinách prípadov, čo potvrdzuje trend uvedomovania si dôležitosti IT pre podporu firemných procesov
                    a tým i rastúcu zainteresovanosť vrcholového vedenia. V 8 % prípadov si správu vyžaduje materská
                    spoločnosť a nie je výnimkou, ak sa správy dostanú do rúk viacero zainteresovaných príjemcov.

                    Companies that compile reports on the state of information security submit them to top management in more
                    than two thirds of cases, which is also confirmed by the trend of awareness of IT importance for the support
                    of corporate procedures and the related increasing involvement of top management. In 8% of cases, reports
                    are required by parent companies and it is quite usual for reports to end up on the desks of a number
                    of interested recipients.

                                                      Bezpečnostnému manažérovi/strednej úrovni riadenia
                                                            Security manager/Middle management
                                                                     Bezpečnostnému špecialistovi (nemanažérska pozícia)
                                                                         Security specialist (non-managerial position)
                                                                          Materskej spoločnosti
                                                                            Parent company
             70 %
                                                                        13 %
       Najvyššiemu vedeniu
        Top management                                            Viacerým príjemcom
                                                                   Several recipients

                       Graf 10: Komu sú správy o stave informačnej bezpečnosti určené?
                      Chart 10: Who are the reports on the state of information security prepared for?


Najviac priestoru pre zlepšovanie úrovne informačnej bezpečnosti vidí skoro polovica respondentov v ešte
            väčšej podpore vrcholového vedenia, napriek výsledku z Grafu 10. Tato situácia by mohla naznačovať, že
            správy predkladané vedeniu nemajú praktický výsledok vo forme zlepšenia stavu informačnej bezpečnosti
            alebo sú tieto správy diplomaticky upravované. Ďalšími oblasťami, kde spoločnosti môžu upriamiť svoju
            pozornosť sú aj systémy prípravy pracovníkov a dostupnosť metodík a informácií o dokumentoch pre praktickú
            činnosť a legislatívu.

            Almost half of the respondents see the greatest scope for the improvement of information security as entailing
            more substantial support from top management, despite the results shown in Chart 10. This situation could
            indicate that the reports submitted to management do not have a practical result in the form of improving the
            state of information security, or they are diplomatically adjusted. Other areas which may also merit companies’
            attention include staff preparation systems and availability of methodologies and information on documents
            for purposeful activity and legislation.

                                                   Väčšia podpora vrcholového vedenia
                                                                                                                      48 %
                                                        Better top management support
      Dostupnosť metodík a informácií o dokumentoch, potrebných pre praktickú činnosť
                                                                                                          32 %
        Availability of methodologies and information on documents required for practice
                                Vyriešenie systému prípravy a vzdelávania pracovníkov
                                                                                                          31 %
                                Development of staff preparation and education system
                                    Legislatívna úprava oblasti informačnej bezpečnosti
                                                                                                   21 %
                                    Legal regulations in the area of information security
                                            Dostupné poradenské a konzultačné služby
                                                                                               16 %
                                            Available advisory and consultancy services
                        Zvýšenie počtu podujatí, ktoré sa touto problematikou zaoberajú
                                                                                            10 %
                                                  More events dealing with these issues

                                              Graf 11: Čo by pomohlo organizácii zvyšovať úroveň informačnej bezpečnosti?
                                             Chart 11: What would help increase the organisations' level of information security?


V tejto oblasti hovoria výsledky sami za seba. Iba 17 % spoločností má pracovníka, ktorý sa venuje informačnej
bezpečnosti ako hlavnej pracovnej náplni, pričom je stále bežná prax zlučovania funkcie informačnej bezpečnosti s IS/IT
oddelením. Prieskum vypovedal i o istej vzdialenosti informačnej bezpečnosti od biznis procesov spoločností. U 46 %
spoločností nie je informačná bezpečnosť a manažment rizík integrovaný. V prípade separátneho riešenia týchto dvoch
oblastí môže dochádzať k neadekvátnemu využitiu zdrojov firmy a nepokrytiu obchodných rizík, ktoré idú ruka v ruke
s rizikami bezpečnosti na úrovni informačných systémov.

In this area the results speak for themselves. Only 17% of companies employ a professional whose main responsibility
is information security. Merging the information security function with an IS/IT department remains a common practice.
The survey also disclosed a certain distance between information security and corporate business processes.
46% of companies lack integration of information security with risk management. Where there is a separate solution
to these two areas, corporate resources may be used inadequately and business risks inadequately covered,
which goes in tandem with IS security risks.

            Spoločnosti sú v tejto oblasti rozdvojené. Jedna polovica ide cestou aspoň čiastočnej integrácie, druhá manaž-
            ment rizík a informačnú bezpečnosť v praxi nespája. Spoločnosti s plnou integráciou týchto oblastí sú primárne
            z bankovej, finančnej a telekomunikačnej sféry, kde je badateľný legislatívny tlak. Bude zaujímavé sledovať vývoj
            v tejto oblasti do budúcna.

            Companies are split into two categories in this area. Half pursue at least partial integration, the other half go
            for risk management and do not link information security with anything within practice. Companies with full
            integration of these areas are primarily from the banking, finance and telecommunications sectors where
            pressure from legislation is apparent. Monitoring future developments in this area will be of interest.

                                                                                                                         PSIB SR ´08
Oproti minulému prieskumu z roku 2006 sa v tejto oblasti veľa nezmenilo. U 17 % respondentov nie je jasne
                   definovaná zodpovednosť. 57 % podnikov zodpovednosť za riešenie informačnej bezpečnosti dáva manažérom
                   a viac ako jedna štvrtina spolieha na špecialistov mimo úrovní riadenia podniku. Trendom však ostáva, že
                   zodpovednosť sa presúva na úroveň vedenia divízie/odboru.

                   No significant changes occurred in this area compared to the 2006 survey. There is a lack of a clear definition
                   of responsibility for 17% of respondents. 57% of companies allot responsibility for information security solutions
                   to managers and more than a quarter rely on outsourced specialists. However, the ongoing trend is to shift
                   responsibility to the level of divisional/departmental management.

                                                                                   14 %
            Manažér – úroveň najvyššieho riadenia
                                                                                           17 %
                Manager – top management level

                                                                                                                     29 %
          Manažér – úroveň vedenia divízie/odboru
                                                                                                            25 %
           Manager – head of division/section level

                                                                                   14 %
                   Manažér – iná úroveň riadenia
                 Manager – other managerial level                                13 %

                                                                                                              26 %
               Špecialista – nemanažérska pozícia
               Specialist – non-managerial position                                                             27 %
                                                                                           17 %
       Nikto/nie je jasne definovaná zodpovednosť
       Nobody/responsibility is not clearly assigned                                         18 %                                   2006

                                         Graf 12: Kto je v organizácii zodpovedný za riešenie informačnej bezpečnosti?
                                        Chart 12: Who is responsible for information security solutions in your organisation?

       Z časového hľadiska je evidentný posun z nižších platových ohodnotení pracovníkov zodpovedných za informačnú
       bezpečnosť do vyšších. V roku 2008 je až 40 % pracovníkov v kategórii „25 tis. Sk – 40 tis. Sk” (829,88 – 1 327,79 €).
       Nárast o 8 % oproti roku 2006 (a až 19 % oproti 2004) zaznamenala skupina pracovníkov s platom od 55 tis. Sk do 70 tis.
       Sk (1 825,70 – 2 323,57 €), kde sa teraz nachádza približne jedna štvrtina všetkých zamestnancov zodpovedných za
       informačnú bezpečnosť.

       Over time, there is an evident shift from lower remuneration levels of employees responsible for information security
       to higher levels. In 2008, as many as 40% of employees were in the category “SKK 25 thousand – SKK 40 thousand”
       (€ 829.88 – 1,327.79). The group of employees with pay ranging from SKK 55 thousand to SKK 70 thousand
       (€ 1,825.70 – 2,323.57), witnessed an increase of 8% on 2006 (and up 19% on 2004); this group currently
       incorporates a quarter of all staff responsible for information security.

                    Viac ako 70.000 Sk (2 323,57 €)
                  More than SKK 70,000 (€ 2,323.57)

                                                                                          23 %
         55.001 – 70.000 Sk (1 825,70 – 2 323,57 €)
                                                                            15 %
        SKK 55,001 – 70,000 (€ 1,825.70 – 2,323.57)

                                                                         13 %
         40.001 – 55.000 Sk (1 327,79 – 1 825,70 €)
                                                                     10 %
        SKK 40,001 – 55,000 (€ 1,825.70 – 2,323.57)
                                                                                 18 %

                                                                                                                   40 %
          25.001 – 40.000 Sk (829,88 – 1 327,79 €)
                                                                                                          35 %
         SKK 25,001 – 40,000 (€ 829,88 – 1,327.79)
                                                                                                                 39 %
                                                                                17 %
                     Menej ako 25.000 Sk (829,88 €)
                                                                                                          35 %                   2006
                    Less than SKK 25,000 (€ 829,88)
                                                                                                                 39 %            2004

        Graf 13: Hrubé mesačné ohodnotenie pracovníkov v oblasti informačnej bezpečnosti
       Chart 13: Gross average monthly remuneration of employees responsible for information security

Medzi stálice na poli chýbajúcich vlastností stále patria znalosti finančného riadenia, schopnosť efektívne
komunikovať s vedením organizácie a prezentačné a manažérske schopnosti. Znalosti cudzích jazykov pracovníkov
v oblasti informačnej bezpečnosti sa vylepšili, keďže už chýba iba v 14 % spoločností. Flexibilita a vecná znalosť
problematiky informačnej bezpečnosti je plne saturovaná vo všetkých spoločnostiach zúčastnených na prieskume,
čo je určite dobrá vizitka slovenských bezpečnostných pracovníkov.

Characteristics still missing include financial management skills, the ability to communicate with an organisation’s
management effectively, presentation skills and managerial skills. The foreign language skills of information security
staff have improved as only 14% are noted as lacking in the companies. Flexibility and understanding of information
security issues have been fully absorbed in all the companies participating in the survey, which is definitely a good
advert for Slovak information security staff.

                                                                                                                      32 %
                    Znalost finančného riadenia (rozpočtovanie)
                                                                                                            25 %
                       Financial management skills (budgeting)
                                                                                               17 %

                                                                                                      21 %
       Schopnosť efektívnej komunikácie s vedením organizácie
                                                                                                       22 %
            Ability to communicate with management effectively
                                                                                                          23 %

                                                                                                   18 %
                                        Prezentačné schopnosti
                                                                                        13 %
                                             Presentation skills
                                                                                     10 %

                                                                                                   18 %
                                        Manažérske schopnosti
                                             Managerial skills
                                                                                        13 %

                                                                                            14 %
                                        Znalosť cudzieho jazyka
                                                                                                              26 %
                                         Foreign language skills
                                                                                                                        33 %

                                                                                            14 %
                                       Schopnosť riadit projekty
                                          Project management
                                                                                     10 %

                                                                                            14 %
                                    Technologické znalosti IS/IT
                                            Technological skills
                                                                                     10 %

                                                                                      11 %
                                          Analytické schopnosti
                                                 Analytical skills

                        Vecná znalosť fungovania organizácie
                      Understanding of organisation's functions

           Vecná znalosť problematiky informačnej bezpečnosti
                  Understanding of information security issues

         Flexibilita a konštruktívny prístup k riešeniu problémov                                                    2006
       Flexibility and constructive approach to solving problems
                                                                                7%                                   2004

 Graf 14: Najviac chýbajúce znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti
Chart 14: Most noticeably absent knowledge and skills of information security staff


                                                                                                                               PSIB SR ´08
Ako najviac cenené znalosti a schopnosti určili respondenti prieskumu vecnú znalosť problematiky informačnej
       bezpečnosti, technologické znalosti IS/IT a flexibilitu a konštruktívny prístup k riešeniu problémov.
       Prepad oproti minulému prieskumu zaznamenala vecná znalosť fungovania organizácie, čo by naznačovalo presun priorít
       k technologicko-bezpečnostným aspektom od zaisťovania bezpečnosti obchodných procesov. To môže súvisieť aj so
       zriaďovaním alebo posilňovaním právomocí oddelení interných auditov, alebo s posunom riadenia informačnej
       bezpečnosti k útvarom IS/IT, ako naznačili odpovede na otázku zodpovednosti za informačnú bezpečnosť.

       The survey respondents stated that the most valued knowledge and skills were understanding of information security
       issues, IS/IT technological skills as well as flexibility and a constructive approach to problem-solving. Understanding
       of the organisation’s functions recorded a decrease on last year’s survey, which would indicate a shift in priorities
       from ensuring the security of business processes towards technological and security aspects. This may also relate
       to the establishing or strengthening of authority of the internal audit departments, or to a shift of information security
       management towards IS/IT units, as was indicated in the answers to the question relating to information security.

                                                                                                                                         75 %
                   Vecná znalosť problematiky informačnej bezpečnosti
                                                                                                                           57 %
                          Understanding of information security issues
                                                                                                                                            80 %

                                                                                                           36 %
                                             Technologické znalosti IS/IT
                                                                                                                  43 %
                                                     Technological skills
                                                                                                                         53 %

                                                                                                         32 %
                  Flexibilita a konštruktívny prístup k riešeniu problémov
                                                                                                           35 %
                Flexibility and constructive approach to solving problems
                                                                                                                40 %

                                                                                                         32 %
               Schopnosť efektívnej komunikácie s vedením organizácie
                                                                                          17 %
                    Ability to communicate with management effectively
                                                                                            20 %

                                                                                               21 %
                                                   Analytické schopnosti
                                                                                                        30 %
                                                          Analytical skills
                                                                                          17 %

                                                                                               21 %
                                                 Manažérske schopnosti
                                                                                                22 %
                                                      Managerial skills
                                                                                                 23 %

                                                                                           18 %
                                 Vecná znalosť fungovania organizácie
                                                                                                                  43 %
                               Understanding of organisation's functions
                                                                                                23 %

                                                                                           18 %
                                                 Prezentačné schopnosti
                                                                                        13 %
                                                      Presentation skills

                                                                                        14 %
                                                 Znalosť cudzieho jazyka
                                                  Foreign language skills

                                                Schopnosť riadiť projekty
                                                                                                        30 %
                                                   Project management

                            Znalosť finančného riadenia (rozpočtovanie)
                                                                               4%                                                 2006
                               Financial management skills (budgeting)
                                                                               3%                                                 2004

         Graf 15: Najviac cenené znalosti a schopnosti pracovníkov v oblasti informačnej bezpečnosti
        Chart 15: Most valued knowledge and skills of information security staff


Prevažujúcim riešením začlenenia útvaru informačnej bezpečnosti do organizačnej štruktúry spoločnosti je spojenie
           s existujúcim IS/IT oddelením v 64 % prípadov. Tak ako po minulé roky sa vynára otázka zlučovania právomocí
           a zvyšovania rizika konfliktov záujmov v týchto spoločnostiach. Ekonomický a finančný útvar už zostáva zodpovedný
           za informačnú bezpečnosť iba v 7 % spoločností, oproti 12 % v roku 2006. Špecializovaný útvar bezpečnosti má
           iba 5 % firiem, čo sa v kontexte veľkosti spoločností zúčastnených v prieskume (28 % spoločností s počtom
           zamestnancov viac ako 500) javí ako nízke číslo.

           The leading solution to incorporating an information security unit within a company’s organisational structure is
           to link it in with the existing IS/IT department in 64% of cases. As in the previous years, there is an issue relating
           to the merging of duties and an increasing risk of conflict of interest in these companies. Economic and finance
           units remain responsible for information security in only 7% of companies, compared to 12% in 2006.
           A specialised security unit is to be found in only 5% of companies, which, in the terms of the size of the
           companies participating in the survey (28% of companies with a number of employees exceeding 500) seems
           to be a rather low number.

                                    Iný útvar
                                                            12 %
                            Other department
                                                            12 %
         Útvar vnútorných/centrálnych služieb
         Internal/Central services department
            Ekonomický alebo finančný útvar
                                                            12 %
           Economic or Financial department
                                                                16 %
          Útvar kontroly, revízie alebo auditu
         Control, Review or Audit department
                                                                                                                       64 %
                                   Útvar IS/IT
                                                                                                              57 %
                             IS/IT department
                                                                                                          53 %
                          Útvar bezpečnosti
                         Security department
                                                   5%                                                                     2008
                                                         11 %
                                Žiadny útvar                                                                              2006
                                                        10 %
                              No department
                                                         11 %                                                             2004

 Graf 16: Útvar zodpovedný za informačnú bezpečnosť
Chart 16: Unit responsible for information security


V roku 2008 sa nepotvrdil trend z roku 2006 a podiel podnikov s formálne definovanou bezpečnostnou politikou klesol na
65 %. V porovnaní s Českou republikou a prieskumom z roku 2007 sú slovenské podniky o 12 % napred. Absencia takejto
formálne definovanej politiky sa môže následne prejaviť na chýbajúcich alebo zlých metrikách vlastného sebahodnotenia
kvality informačnej bezpečnosti, ktoré je tým pádom nevyhnutné brať s rezervou. Kvalitne spracovaná a zadefinovaná
bezpečnostná politika je základným stavebným kameňom konzistentnosti, efektívnosti a kvality riešenia informačnej

In 2008, the trend identified in 2006 was not confirmed and the ratio of companies with a formally documented security
policy reduced to 65%. Compared to the 2007 survey in Czech Republic, Slovak companies are in the lead by 12%.
The lack of a formally documented policy may in turn result in missing or improper measurements of self-assessment
of information security quality, which in this case must thus be taken less seriously. A properly developed and defined
security policy is the cornerstone of information security consistency, effectiveness and quality.


                                                                                                                        PSIB SR ´08
65 %
                                                                                                             70 %
                                                                                                 58 %
                                                                               35 %
                                                                            30 %                                                           2006
                                                                                      42 %                                                 2004

               Graf 17: Má organizácia vo forme dokumentu formálne definovanú a najvyšším vedením prijatú bezpečnostnú politiku?
              Chart 17: Does the organisation have a security policy in place, which would be formally documented
                        and accepted by the top management?

                           Oproti minulým rokom sa objem firemných bezpečnostných politík významne nezmenil. Skoro 60 % spoločností
                           preferuje stredne rozsiahlu bezpečnostnú politiku. Zmenu na takúto cestu definovania politiky volili aj niektoré
                           firmy doteraz presadzujúce voľnejšiu a nie tak obšírnu variantu, ktorá je iba deklarovaním hodnôt a cieľov.

                           Compared to last year, the volume of corporate security policies has not changed significantly.
                           Almost 60% of companies prefer a medium-sized security policy. Certain companies which had previously
                           promoted a looser and less extensive variant, which only declares their values and objectives, have also
                           changed the method of promoting their policy to a medium one.

                                                                                                                    18 %
                                Rozsiahla (niekoľko desiatok strán, detailný opis všetkých oblastí)
                                 Extensive (more than 20 pages, detailed description of all areas)
                                                                                                                    17 %

                                                                                                                                          59 %
         Stredná (cca do 20 strán, podrobnejší opis požiadaviek a organizačného zabezpečenia)
  Medium (approx. up to 20 pages, detailed description of requirements and security organisation)                                        57 %

                                                                                                                       23 %
                                              Stručná (cca do 3 strán, skôr deklaratívny charakter)
                                   Brief (approx. up to 3 pages, somewhat declarational in nature)                       26 %

               Graf 18: Charakteristika rozsahu bezpečnostnej politiky.                                                                    2008
              Chart 18: Characteristics of security policy scope                                                                           2006

             Drvivá väčšina respondentov poskytla pozitívnu odpoveď, približne tretina má pre oblasť ochrany osobných údajov
             v bezpečnostnej politike vyhradený najväčší priestor. Skoro by to vyzeralo, akoby bezpečnostná politika niekedy vznikala
             ako dôsledok zákona na ochranu osobných údajov. Iba 6 % respondentov priznalo, že sa v rámci svojej bezpečnostnej
             politiky úprave ochrany osobných údajov vôbec nevenuje.

             The overwhelming majority of respondents responded positively; a third have reserved the largest scope for issues
             relating to personal data protection. At times, security policy seems almost to be originating as a consequence of the Act
             on Personal Data Protection. Only 6% of respondents claimed that they pay no attention to personal data protection in
             their security policies.

                                                                                                      31 %
                     Áno, je to najväčšia časť bezpečnostnej politiky
                       Yes, it is the major part of our security policy
                                                                                                             39 %

                                                                                                                                  63 %
                       Áno, je to jedna z častí bezpečnostnej politiky
                                 Yes, it is a part of our security policy                                                  55 %

                                                                     Nie                                                                    2008
                                                                     No         6%

               Graf 19: Pokrýva bezpečnostná politika oblasť ochrany osobných údajov v zmysle zákona o ochrane osobných údajov?

              Chart 19: Does security policy also cover the area of personal data protection, as per the Act on Personal Data Protection?

Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008
Information Security Survey in Slovak Republic 2008

