1. No category

UNIVERZA V LJUBLJANI
EKONOMSKA FAKULTETA
MAGISTRSKO DELO
MERJENJE INFORMACIJSKE VARNOSTI
Ljubljana, maj 2015
MATEJ LAMUT SKOK
IZJAVA O AVTORSTVU
Spodaj podpisani Matej Lamut Skok, študent Ekonomske fakultete Univerze v Ljubljani, izjavljam, da sem
avtor magistrskega dela z naslovom Merjenje informacijske varnosti, pripravljenega v sodelovanju s
svetovalcem prof. dr. Alešem Groznikom.
Izrecno izjavljam, da v skladu z določili Zakona o avtorski in sorodnih pravicah (Ur. l. RS, št. 21/1995 s
spremembami) dovolim objavo magistrskega dela na fakultetnih spletnih straneh.
S svojim podpisom zagotavljam, da




je predloženo besedilo rezultat izključno mojega lastnega raziskovalnega dela;
je predloženo besedilo jezikovno korektno in tehnično pripravljeno v skladu z Navodili za izdelavo
zaključnih nalog Ekonomske fakultete Univerze v Ljubljani, kar pomeni, da sem
o poskrbel, da so dela in mnenja drugih avtorjev oziroma avtoric, ki jih uporabljam v magistrskem
delu, citirana oziroma navedena v skladu z Navodili za izdelavo zaključnih nalog Ekonomske
fakultete Univerze v Ljubljani, in
o pridobil vsa dovoljenja za uporabo avtorskih del, ki so v celoti (v pisni ali grafični obliki)
uporabljena v tekstu, in sem to v besedilu tudi jasno zapisal;
se zavedam, da je plagiatorstvo – predstavljanje tujih del (v pisni ali grafični obliki) kot mojih lastnih –
kaznivo po Kazenskem zakoniku (Ur. l. RS, št. 55/2008 s spremembami);
se zavedam posledic, ki bi jih na osnovi predloženega magistrskega dela dokazano plagiatorstvo lahko
predstavljalo za moj status na Ekonomski fakulteti Univerze v Ljubljani v skladu z relevantnim
pravilnikom.
V Ljubljani, dne _____________
Podpis avtorja:__________________
KAZALO
UVOD
............................................................................................................................ 1
1 STANDARDI IN OKVIRI ZA UPRAVLJANJE INFORMACIJSKE VARNOSTI . 4
1.1 Družina ISO 27000 ...................................................................................................... 4
1.2 ITIL .............................................................................................................................. 6
1.3 COBIT ......................................................................................................................... 8
2 MERJENJE IN METRIKA ........................................................................................... 10
2.1 Namen merjenja ......................................................................................................... 10
2.2 Razlika med meritvijo in metriko .............................................................................. 12
2.3 Vrste merskih lestvic ................................................................................................. 13
3 DOLOČITEV IN PRIDOBIVANJE METRIK ........................................................... 15
3.1 Lastnosti dobrih metrik .............................................................................................. 15
3.1.2 Kvantitativne in kvalitativne metrike .................................................................. 18
3.1.3 Kaj je torej pri določitvi metrik res pomembno?................................................. 18
3.2 Vrste metrik glede na predmet opazovanja ................................................................ 19
3.3. Uporabniki metrik ..................................................................................................... 21
3.4 Povezati cilje deležnikov s cilji informacijske varnosti ............................................. 21
3.4.1 Določanje varnostnih vprašanj različnih nivojev odločanja v organizaciji ......... 21
3.5 Standardi, smernice in panožne pobude .................................................................... 26
3.5.1 NIST SP 800-55 Rev 1 ........................................................................................ 27
3.5.2 ISO/IEC 27004 .................................................................................................... 29
3.5.2 Zrelostni modeli .................................................................................................. 30
3.5.3 ISO/IEC15408 - Kriteriji za ocenjevanje IT varnosti.......................................... 31
3.5.4 Panožne pobude ................................................................................................... 32
3.6 Viri podatkov za metrike ........................................................................................... 33
4 CELOVITO SPREMLJANJE INFORMACIJSKE VARNOSTI ............................. 34
4.1 Sistem uravnoteženih kazalcev (BSC) ....................................................................... 34
4.2 Sistem BSC za informacijsko varnost ....................................................................... 37
4.3 Uvajanje sistema BSC za informacijsko varnost ....................................................... 40
5 EMPIRIČNA RAZISKAVA O STANJU MERJENJA INFORMACIJSKE
VARNOSTI ................................................................................................................... 43
i
5.1 Opredelitev problema ................................................................................................ 43
5.2 Namen in cilji ............................................................................................................ 43
5.3 Metodologija .............................................................................................................. 44
5.3.1 Metoda zbiranja podatkov ................................................................................... 44
5.3.2 Sestava in struktura vprašalnikov........................................................................ 44
5.3.3 Opis vzorca in izvedba raziskave ........................................................................ 45
5.3.4 Metoda analize podatkov .................................................................................... 47
6 REZULTATI EMPIRIČNE RAZISKAVE ................................................................. 47
6.1 Razvitost merjenja informacijske varnosti v Sloveniji .............................................. 47
6.1.1 Zanesljivost vprašalnika ...................................................................................... 47
6.1.2 Podatki o vzorcu in respondentih ........................................................................ 48
6.1.3 Merjenje informacijske varnosti ......................................................................... 50
6.1.4 Koristi merjenja informacijske varnosti in okoliščine, ki ovirajo merjenje ........ 56
6.1.5 Poročanje IT-ja o informacijski varnosti poslovnemu vodstvu .......................... 57
6.1.6 Razlike med finančnimi organizacijami in ostalim vzorcem .............................. 58
6.1.7 Preverjanje hipotez .............................................................................................. 61
6.1.8 Povzetek ugotovitev raziskave ............................................................................ 64
6.2 Pomembnost vidikov informacijske varnosti za različne nivoje upravljanja ............ 65
6.2.1 Zanesljivost vprašalnika ...................................................................................... 65
6.2.2 Podatki o vzorcu in respondentih ........................................................................ 66
6.2.3 Pomembnost različnih vidikov informacijske varnosti ....................................... 68
6.2.4 Priprava in prejemanje poročil o informacijski varnosti ..................................... 73
6.2.5 Preverjanje hipotez .............................................................................................. 75
6.2.6 Povzetek ugotovitev raziskave ............................................................................ 75
SKLEP
.......................................................................................................................... 76
LITERATURA IN VIRI ................................................................................................... 79
PRILOGE
KAZALO SLIK
Slika 1: Model načrtuj-stori-preveri-ukrepaj za proces SUVI ............................................. 5
Slika 2: Piramida standardov upravljanja IT storitev ........................................................... 6
Slika 3: COBIT 5 – ključni dejavniki................................................................................... 9
ii
Slika 4: Hierarhija modela podatek-informacija-znanje-modrost ...................................... 11
Slika 5: Pretakanje ciljev po modelu COBIT 5 .................................................................. 22
Slika 6: Model sistema uravnoteženih kazalnikov (BSC) .................................................. 36
Slika 7: Struktura vzorca glede na velikost organizacije (n = 17) ...................................... 49
Slika 8: Povprečna stopnja razvitosti IT procesov v organizaciji (n = 17) ........................ 50
Slika 9: Razvitost merjenja informacijske varnosti (n = 17) ............................................. 51
Slika 10: Področja, na katerih organizacije merijo dejstva, povezana z informacijsko
varnostjo, in o njih poročajo (n = 17) ................................................................. 52
Slika 11: Orodja in zbirke, ki so najpomembnejši viri podatkov za metrike informacijske
varnosti (n = 16) .................................................................................................. 53
Slika 12: Procesi, ki so najpomembnejši viri podatkov za metrike informacijske varnosti
(n = 16) ................................................................................................................ 53
Slika 13: Način pridobivanja metrik v % (n = 12) .............................................................. 54
Slika 14: Pomembnost kriterijev pri izbiri metrik informacijske varnosti (n = 16) ............ 54
Slika 15: Prejemniki poročil o metrikah informacijske varnosti (n = 16) .......................... 55
Slika 16: Intervali poročanja o metrikah v % (n = 16) ........................................................ 55
Slika 17: Koristi od merjenja informacijske varnosti (n = 16) ............................................ 56
Slika 18: Ovire pri merjenju informacijske varnosti (n = 16) ............................................. 57
Slika 19: Poročila o informacijski varnosti, ki jih IT posreduje poslovnemu (ne IT)
menedžmentu ali vodstvu organizacije (n = 12) ................................................ 58
Slika 20: Struktura nefinančnih organizacij po poslovni dejavnosti (n = 36) ..................... 59
Slika 21: Razsevni diagram tržni delež – razvitost merjenja informacijske varnosti .......... 64
Slika 22: Struktura respondentov po poslovni dejavnosti (n = 117) ................................... 67
Slika 23: Struktura respondentov glede na velikost organizacij v % (n = 117) .................. 67
Slika 24: Struktura respondentov glede na funkcijo v organizaciji (n = 117) ..................... 68
Slika 25: Pomembnost vidikov informacijske varnosti ....................................................... 69
Slika 26: Primerjava pomembnosti vidikov informacijske varnosti po nivojih upravljanja 71
Slika 27: Primerjava pomembnosti vidikov informacijske varnosti med poslovnim
vodstvom, IT vodstvom in funkcijo varovanja ..................................................... 73
Slika 28: Pripravljavci poročil o informacijski varnosti (n = 106) ...................................... 73
Slika 29: Pogostost prejema in priprave poročil o informacijski varnosti .......................... 74
Slika 30: Zadovoljstvo prejemnikov s poročili o informacijski varnosti ............................ 74
KAZALO TABEL
Tabela 1:
Tabela 2:
Tabela 3:
Tabela 4:
Tabela 5:
Tabela 6:
Tabela 7:
Merske lestvice in z njimi povezane značilnosti statistične analize ................... 14
Ujemanje lastnosti dobrih metrik iz opredelitev različnih avtorjev ................... 17
Tipični uporabnik posameznih vrst metrik ......................................................... 21
Primer metrik povezanih z diagnostičnimi vprašanji ......................................... 23
Predloga za določitev cilja po metodi GQM ...................................................... 25
Primer rezultata metode GQM ........................................................................... 26
Predloga za opis metrik NIST SP 800-55........................................................... 28
iii
Tabela 8: Seznam nekaterih zrelostnih modelov informacijske varnosti ........................... 30
Tabela 9: Koeficient Cronbach alfa – vprašalnik o razvitosti merjenja informacijske
varnosti ............................................................................................................. 48
Tabela 10: Sestava respondentov iz finančne in zavarovalniške dejavnosti ....................... 48
Tabela 11: Druge značilnosti organizacij (n = 17) .............................................................. 50
Tabela 12: Področja merjenja informacijske varnosti s statistično značilno povezanostjo na
poslovno dejavnostjo ........................................................................................ 60
Tabela 13: Začetni koeficient Cronbach alfa – vprašalnik o pomembnosti vidikov
informacijske varnosti ...................................................................................... 65
Tabela 14: Končni koeficient Cronbach alfa – vprašalnik o pomembnosti vidikov
informacijske varnosti ...................................................................................... 66
Tabela 15: Najpomembnejši vidiki po posameznih nivojih upravljanja ............................. 70
Tabela 16: Statistično pomembne razlike v oceni pomembnosti vidikov informacijske
varnosti med posameznimi nivoji upravljanja.................................................. 72
iv
UVOD
Informacije so v današnjem poslovanju ključnega pomena. Predstavljajo eno
najpomembnejših dobrin, ki jih ima organizacija: podatki o strankah, podatki o poslovanju,
načrti izdelkov, delovni postopki in podobno. Sposobnost organizacije, da pridobiva,
analizira, hrani in izmenjuje velike količine informacij, je osnova za vrsto poslovnih storitev
in ključ do poslovne uspešnosti. Vendar so informacije uporabne le takrat, ko je zagotovljena
njihova zaupnost, celovitost in razpoložljivost. Izguba zaupnosti, celovitosti ali
razpoložljivosti hitro vpliva na kakovost poslovne storitve pa tudi na ugled organizacije. Če
nivo storitve preveč niha ali pade pod tistega, ki ga stranke doživljajo kot še sprejemljivega,
bodo stranke poiskale drugega ponudnika. Z ohranjanjem teh lastnosti informacij se ukvarja
informacijska zaščita. Lahko torej rečemo, da je varovanje informacij pomemben proces, ki
zasluži, da se ga dobro upravlja.
Sodobno upravljanje procesov temelji na korakih Demingovega kroga ali njegovih
izpeljankah: načrtuj-izvedi-preverjaj-ukrepaj (angl. Plan-Do-Check-Act). Organizacijam
najbolj uspevata prva dva koraka, načrtovanje in izvedba, medtem ko je spremljanje
procesov navadno šibka točka. Na ugotovitvah spremljanja uspešnosti in učinkovitosti
procesa temelji izbira ukrepov za odpravo razkoraka med dejanskim in želenim stanjem. Če
spremljava ne da realnega vpogleda v dejansko stanje, izboljšanja procesa ni pričakovati,
vsaj ne kot sistemski trend, čeprav je še vedno lahko prisotno kot posledica intuicije in
naključnih spoznanj.
Vpogled v dejansko stanje procesa najbolje dobimo z merjenjem izbranih indikatorjev.
Poznan je rek, da česar ne merimo, ne moremo upravljati. Zato se merjenje na skoraj vseh
področij poslovanja in v vseh panogah uveljavlja kot glavno sistemsko orodje spremljanja
uspešnosti in učinkovitosti procesov. Merjenje varnosti, tudi informacijske, pa ni enostavno.
Naloga varnosti je preprečevanje dogodkov, ki bi lahko negativno vplivali na poslovanje.
Če je varovanje uspešno, je takih dogodkov malo ali pa jih sploh ni. Kako torej meriti nekaj,
kar se ni zgodilo? Dodaten problem predstavlja dejstvo, da organizacije nerade razkrivajo
podatke o varnostnih incidentih, zato ni na voljo dovolj podatkov za primerjavo (angl.
banchmarking), kot je to v drugih panogah. Težavo merjenja varnosti je zaznalo tudi
združenje Infosec Research Counsel (2005), ki je problem merjenja na nivoju organizacije
uvrstilo med ključne probleme informacijske varnosti, ki jih je treba rešiti v naslednjih petih
do desetih letih. Končne rešitve tega problema tudi ob izteku navedenega obdobja nisem
zasledil. V praksi so se sicer uveljavile določene metrike merjenja informacijske varnosti,
vendar različni avtorji ugotavljajo, da imajo pomembne omejitve in je njihov doprinos k
informacijski varnosti precenjen (Jaquith, 2007, str. 31–36; Hayden 2010, str. 14–18). Druge
panoge so pri uporabi metrik bistveno uspešneje. Na primer v zavarovalništvu že stoletja
zbirajo in analizirajo vse mogoče vrste podatkov in tako poznajo verjetnost pojavitve
dogodkov, proti katerim bi se rade njihove stranke zavarovale. Proizvodne panoge imajo
dolgo zgodovino uporabe statističnih metod za izboljšanje proizvodnih procesov in
1
kakovosti proizvodov. Dobre prakse iz drugih panog bi veljalo uporabiti tudi pri merjenju
informacijske varnosti.
Če rezultate merjenja primerjamo z zastavljenimi ciljnimi vrednostmi in pri tem zgradimo
tudi časovno vrsto, iz katere so razvidni trendi, govorimo o metriki. Ključno pravilo je, da
metrike izbiramo v skladu s cilji in specifičnimi okoliščinami v organizaciji in da
zagotovimo tesno povezanost ciljev in metrik, ki merijo doseganje teh ciljev. Med metriko
in ciljem mora obstajati vzročna povezanost.
Namen merjenja in metrik je predvsem pomagati sprejemati odločitve. Tipično so to
odločitve, kam je treba usmeriti razpoložljiva sredstva, da bo učinek največji. Druga vrsta
odločitev je izbira med uvedbo alternativnih rešitev oz. investicij. Poleg tega nam metrike
lahko pomagajo demonstrirati skladnost s predpisanimi varnostnimi standardi ali
pogodbenimi obveznostmi, pa tudi ilustrirati prispevek informacijske varnosti k doseganju
poslovnih ciljev. Kot ugotavljata Hauser in Katz (1998, str. 1–2), metrike tudi usmerjajo
delovanje v želeno smer, zato morajo biti skrbno izbrane.
Zaradi velikega vpliva, ki ga imajo lahko metrike na upravljanje procesa informacijske
varnosti, so bile predmet mnogih preučevanj. V akademskih krogih se poskuša graditi
modele za merjenje varnosti informacijskih sistemov ali za merjenje varnosti programske
opreme. Da so metrike informacijske varnosti tudi praktično zanimive, kažejo med drugim
tudi zaključne naloge kandidatov za naziv GIAC pri SANS institutu: Cambra (2004), Payne
(2006), Rathbun (2009) in Hoehl (2010). Tudi v Sloveniji je bila izdelana magistrska naloga,
ki je preučevala metrike za potrebe ovrednotenja ekonomske upravičenost naložb v
informacijsko varnost (Gaberšček, 2007).
V veliki večini se ta preučevanja nanašajo na metrike operativnega zagotavljanje varnosti
informacijske tehnologije. Za sprejemanje odločitev pa je treba imeti celovit pogled na
informacijsko varnost ne samo z vidika operativnega delovanja. Nekdaj se je tudi uspešnost
poslovanja organizacije merila zgolj s finančnimi kazalniki, zdaj pa se vedno bolj uveljavlja
širše spremljanje s pomočjo sistema uravnoteženih kazalnikov (angl. Balanced Score Card
– v nadaljevanju BSC). Zakaj se ne bi tak pristop uporabil tudi pri merjenju informacijske
varnosti? Ključne odločitve sprejema višji menedžment in zakaj mu ne bi tudi informacijske
varnosti predstavili na podoben način, kot je navajen spremljati poslovanje organizacije? To
pobudo je v svoji knjigi dal Andrew Jaquith (2007, str. 257), pojavljajo pa se že razne
izpeljanke tega modela.
Namen magistrskega dela je raziskati, kako je razvito merjenje informacijske varnosti v
slovenskih organizacijah. Želim tudi ugotoviti, kateri vidiki informacijske varnosti najbolj
zanimajo različne nivoje upravljanja v organizacijah. To namreč vpliva na to, katere metrike
je treba vključiti v poročila o informacijske varnosti za posamezen vodstveni nivo.
2
Za dosego namena magistrskega dela sem si postavil več ciljev:



Predstaviti metodološki okvir za merjenje informacijske varnosti s poudarkom na tem,
kako povezati cilje informacijske zaščite s poslovnimi cilji in strategijo organizacije ter
kako opredeliti metrike, ki pomagajo dosegati te cilje.
Pripraviti pregled najpomembnejših modelov in smernic za merjenje informacijske
varnosti.
Izvesti raziskavo o stanju merjenja informacijske varnosti v Sloveniji. Prvi del raziskave
naj pokaže značilnosti organizacij, ki so se odločile za merjenje informacijske varnosti,
ter identificira koristi in največje ovire, s katerimi se pri tem srečujejo. Pri tem
pričakujem, da je merjenje bolj razvito v organizacijah, ki morajo biti skladne z
mednarodnimi varnostnimi standardi, imajo višjo zrelost IT procesov ter vpeljanega
enega od sistemov vodenja. V skladu s temi pričakovanji sem postavil več hipotez, ki
naj jih raziskava preveri. Različni nivoji vodenja najverjetneje gledajo na informacijsko
varnost z različnih vidikov, zato je treba vsakemu nivoju metrike prilagoditi. V drugem
delu raziskave tako želim ugotoviti, kateri vidiki informacijske varnosti se zdijo
posameznemu nivoju vodenja najpomembnejši. Na podlagi primerov iz literature
(Hoehl, 2010; Matunda, 2004) sem postavil hipotezo, da so prioritete vidikov
informacijske varnosti za vodstva na strateškem, taktičnem in operativnem nivoju
različne. Vse hipoteze, katerih pravilnost sem želel preveriti z raziskavo, so podrobneje
predstavljene v poglavju 5.2, pri opisu namena in ciljev raziskave.
Pri pripravi magistrskega dela izkoriščam znanje, pridobljeno na podiplomskem študiju in
lastne izkušnje z dela na področju informacijske varnosti. Pri opisu teoretičnih osnov in
dosedanjih prizadevanj na področju merjenja informacijske varnosti uporabljam
deskriptivno metodo, mestoma tudi komparativno. Empirična raziskava temelji na
anketiranju in analitičnem pristopu pri ugotavljanju povezav med spremenljivkami.
V prvih poglavjih magistrskega dela predstavljam osnovne elemente področja merjenja
informacijske varnosti. Tako prikazujem, kaj informacijska varnost je in kako jo
opredeljujejo najbolj znani okviri upravljanja in standardi ter kakšno mesto ima v njih
metrika. V naslednjem poglavju podajam teoretične osnove merjenja. V tretjem poglavju
opisujem dobre prakse pri izbiri in prikazu uporabnih metrik ter identificiram najpogostejše
vire za pridobivanje podatkov. Razložim tudi sistem uravnoteženih kazalcev in njegovo
aplikacijo za spremljanje informacijske varnosti. V petem in šestem poglavju sledi
predstavitev raziskave o stanju merjenja informacijske varnosti v slovenskih podjetjih in na
katere vidike informacijske varnosti se osredotočajo posamezni nivoji upravljanja v
organizaciji. V zaključku povzemam glavne ugotovitve predhodnih poglavij.
3
1 STANDARDI IN OKVIRI ZA UPRAVLJANJE INFORMACIJSKE
VARNOSTI
1.1 Družina ISO 27000
Družina standardov ISO 27000 se ukvarja z upravljanjem informacijske varnosti. Standarde
sta pripravili Mednarodna organizacija za standardizacijo (v nadaljevanju ISO) in
Mednarodna elektrotehnična komisija (v nadaljevanju IEC). Družina standardov ISO 27000
opredeljuje informacijsko varnost kot »ohranjanje zaupnosti, integritete in razpoložljivosti
informacije, polega tega pa tudi ohranjanje drugih lastnosti, kot so verodostojnost,
odgovornost, neovrgljivost in zanesljivost« (ISO/IEC, 2005, str. 5) Osnovne lastnosti
informacije so



zaupnost – informacija je dostopna le pooblaščenim osebam oz. procesom;
integriteta – ohranjena je pravilnost in celovitost informacijskega vira;
razpoložljivost – informacijski vir je dostopen in uporaben za pooblaščene osebe, ko ga
te potrebujejo.
Družino 27000 sestavlja več standardov, ki obravnavajo različna vidike sistema varovanja
informacij: zahteve sistema upravljanja varovanja informacij (v nadaljevanju SUVI), dobre
prakse za implementacijo kontrol informacijske varnosti, merjenje delovanja SUVI,
upravljanje tveganj, navodila za uvedbo SUVI, revidiranje SUVI itd.
Temeljni standard družine je standard ISO 27001, ki opredeljuje model za vzpostavitev,
vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje sistema za
upravljanje varovanja informacij (SUVI) v organizaciji (ISO/IEC, 2005, str. v). Standard
promovira procesni pristop in opredeljuje osnovne aktivnosti, ki jih mora izvajati
organizacija, da bo sistem upravljanja informacijske varnosti uspešen. Pri tem v veliki meri
upošteva načela iz standarda vodenja kakovosti ISO 9001. Tako tudi ISO 27001 temelji na
Demingovem upravljavskem krogu načrtuj-stori-preveri-ukrepaj.
Načrtuj:
Vzpostavitev politike, ciljev, procesov in postopkov SUVI, ki so povezani s
tveganjem in izboljšanjem varovanja informacij, da se zagotovi rezultate v
skladu s splošno politiko in cilji organizacije.
Stori:
Vpeljava in delovanje politike, kontrol, procesov in postopkov SUVI.
Preveri:
Ocenjevanje, in kjer je izvedljivo, tudi merjenje delovanja procesov, glede na
politiko in cilje SUVI ter praktične izkušnje ter poročanje o dobljenih rezultatih
vodstvu organizacije, da jih pregleda.
4
Ukrepaj:
Sprejemanje popravnih in preventivnih ukrepov na podlagi rezultatov notranje
presoje SUVI in vodstvenega pregleda, da se doseže neprestano izboljševanja
SUVI.
Demingov krog za proces SUVI je predstavljen na Sliki 1.
Slika 1: Model načrtuj-stori-preveri-ukrepaj za proces SUVI
Načrtuj (Plan)
Zainteresirane
stranke
Vzpostavi
SUVI
Vzdržuj in
izboljšuj
SUVI
Vpelji in
izvajaj SUVI
Stori (Do)
Zahteve
in
pričakovanja pri
varovanju
informacij
Zainteresirane
stranke
Ukrepaj (Act)
nje varovanja informacij – Zahteve, 2005, str. 15.
Spremljaj in
pregleduj
SUVI
Upravljano
varovanje
informacij
Preveri (Check)
Vir: ISO/IEC, Mednarodni standard ISO/IEC 27001 Informacijska tehnologija - Varnostne tehnike – Sistemi
za upravljanje varovanja informacij – Zahteve, 2005, str. 15.

Odnos do merjenja informacijske varnosti
Standard ISO 27001 zahteva, da organizacija izvaja redne preglede uspešnosti SUVI, pri
čemer upošteva rezultate merjenja uspešnosti, in da meri uspešnost kontrol ter tako preverja,
ali so varnostne zahteve izpolnjene. Standard tudi nalaga, da organizacija definira, kako meri
uspešnost kontrol in opredeli, kako se te metrike uporabljajo, da se dosežejo primerljivi in
ponovljivi rezultati (ISO/IEC, 2005, str. 15).
Verzija standarda iz leta 2005 se je ukvarjala s strukturiranjem procesa okoli upravljavskega
kroga načrtuj-stori-preveri-ukrepaj. V najnovejši verzija standarda iz leta 2013 ta
upravljavski krog ni več izpostavljen, daje pa se poseben poudarek ocenjevanju uspešnosti
delovanja SUVI (Slovenski institut za kakovost in meroslovje, 2013). To kaže, da je
merjenje informacijske varnosti naslednji korak v zrelosti SUVI, ko je enkrat osnovni proces
vzpostavljen.
Podrobneje je merjenje informacijske varnosti obravnavano v standardu ISO/IEC 27004.
Standard ponuja vodila za razvoj in uporabo metrik pri ocenjevanju sistema SUVI, kot to
5
zahteva standard ISO/IEC 27001. Namen je pomagati vodstvu, da odkrije neskladne in
neučinkovite procese SUVI ter neuspešne kontrole ter določi prioritete aktivnosti za
izboljšanje. Pri tem predpostavlja, da organizacija dobro pozna informacijska tveganja, s
katerimi se sooča.
1.2 ITIL
Information Technology Infrastructure Library (v nadaljevanju ITIL) je okvir dobrih
praks za izvajanje IT storitev na tak način, da te storitve pomagajo poslovnim procesom
doseči želene rezultate. Razvil se je iz skupka priporočil, ki jih je v 80-ih letih prejšnjega
stoletja pripravila britanska Vladna agencija za računalništvo in telekomunikacije (angl. UK
Government's Central Computer and Telecommunications Agency - CCTA). Priporočila so
nastala iz zavedanja o vse večji odvisnosti od informacijske tehnologije in spoznanja, da se
brez standardiziranega pristopa v pogodbah med vladnimi agencijami in privatnim sektorjem
neusklajeno oblikujejo svoje prakse za upravljanje informacijske tehnologije. Leta 2001 je
bila CCTA vključena v Office of Government Commerce. Od julija 2013 pa je lastnik ITILa
AXELOS, skupno podjetje kabineta angleške vlade in zunanjega izvajalca poslovnih
procesov (Information Technology Infrastructure Library, b.l.).
Da bi razumeli mesto ITIL-a kot okvira za upravljanje IT storitev, si oglejmo piramido
standardov upravljanja IT storitev na Sliki 2 in razmerja med posameznimi nivoji (Clinch,
2009, str. 6–7).
Slika 2: Piramida standardov upravljanja IT storitev
Kaj
želimo
doseči
Razlage, smernice
1.del
Specifikacije
Dobre prakse
Okvir
najboljših praks
Vpeljava in
načrt
nenehnega
izboljševanja
Globalni standard
ISO/IEC 20000
2. del
ITIL
Politike, proces in procedure,
lastne organizaciji
Vir: J. Clinch, ITILV3 and Information Security, 2009, str. 6.
Na vrhu piramide so standardi, ki določajo, za kaj si mora organizacija prizadevati, da bo
upravljanje IT storitev uspešno. Standarde sestavljata dva dela – specifikacija zahtev, ki so
6
navadno bolj skopo predstavljene in obširnejša pojasnila. Zadnja verzija ITIL-a je bila
zgrajena na osnovi standarda ISO/IEC 20000.
Dobre prakse predstavljajo srednji nivo in povedo, kako se upravljanja IT storitev najbolje
lotiti. Predstavljajo okvir pristopov, procesov, funkcij in organizacijskih struktur, ki
omogočajo organizaciji, da doseže zahteve standarda. V okvir ITIL so vgrajene globalne
izkušnje in znanje menedžerjev IT storitev, kako na najboljši način reševati vsa vprašanja
upravljanja IT storitev. Upravljanje je obravnavano predvsem z vidika izvajalca IT storitev.
Na najnižjem mestu se nahaja implementacija najboljših praks, ki je povezana s
prilagoditvijo globalnega okvira lokalnim razmeram in poslovnim potrebam. Zaželeno je,
da si organizacije izoblikujejo lastne politike, procese, procedure in organizacijske strukture,
ki jih neprestano izboljšujejo.
ITIL sestavljata dva dela: ITIL Core (smernice najboljše prakse, ki veljajo za vse vrste
organizacij, ki zagotavljajo storitve za podjetja) in ITIL Complementary Guidance (dodatne
publikacije s smernicami za specifične industrijske panoge, tipe organizacij, modela
delovanja in tehnološke arhitekture).
ITIL Core sestavlja 5 publikacij. Vsaka zagotavlja usmeritve, ki so potrebne za integriran
pristop, kot ga zahteva specifikacija standarda ISO/IEC 20000:





Strategija storitve (angl. Service Strategy),
Oblikovanje storitve (angl. Service Design),
Prenos storitve v produkcijo (angl. Service Transition),
Izvajanje storitve (angl. Service Operation) in
Nenehno izboljševanje storitve (angl. Continual Service Improvement).
Struktura Cora ima obliko življenjskega cikla, ki je ponovljiv in večdimenzionalen. Vsaka
publikacija obravnava eno fazo življenjskega cikla, ki neposredno vpliva na uspešnost
izvajalca storitve (Office of Gavernment Commerce, b.l., str. 22).
ITIL se tipično uporablja v povezavi z drugimi dobrimi praksami in standardi za upravljanje
z informacijsko tehnologijo, ki ponujajo podrobnejše usmeritve za posamezne vidike
upravljanja, npr. (Arraj, 2013, str. 3)





COBIT (okvir za upravljanje IT-ja in kontrole),
Six Sigma (metodologija za upravljanje kakovosti),
TOGAF (okvir za IT arhitekturo),
ISO 27000 (standard za IT varnost),
ISO/IEC 2000 (standard za upravljanje IT storitev).
7

Upravljanje informacijske varnosti
Upravljanje informacijske varnosti je v ITIL-u definirano kot proces, ki zagotavlja zaupnost,
integriteto in razpoložljivost informacij ter zaupanja vredne poslovne transakcije (avtentične
in neovrgljive). Naloga procesa upravljanje informacijske varnosti je uskladiti IT varnost s
poslovno varnostjo in zagotoviti, da je informacijska varnost uspešno vodena v vseh
storitvah in aktivnosti za upravljanje storitev. Zavedanje in upoštevanje varnostnih tveganj
mora biti po ITIL-u vgrajeno v vsak korak uspešnega upravljanja IT storitev. Informacijsko
varnost ITIL enači z varnostjo informacijske tehnologije, ki je del širše varnosti (OGC, 2013,
str. 244). Najbolj je upravljanje informacijske varnosti opisano v fazi Oblikovanje storitev
(Service Design), čeprav se omenja v vseh fazah življenjskega cikla.

Odnos do merjenja informacijske varnosti
V ITIL-u je celotna faza življenjskega cikla posvečena nenehnemu izboljševanju, ki temelji
na spremljanju in merjenju. V publikaciji Nenehno izboljševanje storitve (angl. Continual
Service Improvement) so opisani principi merjenja uspešnosti in učinkovitosti tako storitev
kot tudi procesa upravljanja storitev. Dani so nasveti za razvoj okvira merjenja in izbiro
metrik. Vsa ta načela so veljavna tudi za merjenje informacijske varnosti. V publikaciji
Oblikovanje storitev (angl. Service Design) so predstavljeni primeri ključnih kazalnikov
uspešnosti informacijske varnosti, ki jih lahko organizacija meri in spremlja.
1.3 COBIT
Control Objectives for Information and Related Technology (v nadaljevanju COBIT) je
poslovni okvir dobrih praks za upravljanje in vodenje informacijske tehnologije. Njegov
namen je omogočiti organizacijam, da pridobijo najboljšo vrednost od informacijske
tehnologije, pri čemer ohranjajo ravnotežje med koristmi in višino tveganja ter porabljenimi
viri (Information Systems Audit and Control Association, 2012a, str. 13).
COBIT je pripravilo združenje Information Systems Audit and Control Association (v
nadaljevanju ISACA). Prva verzija COBIT-a iz leta 1996 je bila namenjena revizorjem
informacijskih sistemov. V naslednjih verzijah se je poudarek spreminjal preko nadzora
informacijske tehnologije, vodenja (angl. management), upravljanja z IT-jem (angl. IT
Governance) do upravljanja IT-ja z vidika podjetja (angl. Governance of Enterprise IT) v
najnovejši verziji COBIT 5 (Ken Vander Wal et al., 2012). COBIT 5 želi omogočiti vodenje
in upravljanje IT-ja na celovit način za celotno organizacijo. COBIT 5 je na visokem nivoju
usklajen z drugimi pomembnimi standardi za različna področja IT aktivnosti in na tak način
predstavlja integracijski okvir za vodenje in upravljanje IT-ja v organizaciji.
COBIT 5 temelji na petih ključnih načelih za upravljanje in vodenje IT v organizaciji:


zadovoljiti potrebe deležnikov (angl. Meeting Stakeholder Needs),
pokrivati organizacijo od začetka do konca (angl. Covering the Enterprise End-to-end),
8



uporabiti samo en, integriran okvir (angl. Applying a Single, Integrated Framework),
omogočiti celovit pristop (angl. Enabling a Holistic Approach),
ločiti upravljanje od vodenja (angl. Separating Governance From Management).
Z namenom celovitega pristopa COBIT 5 prepoznava 7 vrst ključnih dejavnikov (enablers,
»omogočevalcev«), ki samostojno ali v kombinaciji vplivajo na to, ali bo upravljanje in
vodenje IT uspešno. Teh sedem skupin dejavnikov (Information Systems Audit and Control
Association, 2012a, str. 27) je prikazano na Sliki 3:
Slika 3: COBIT 5 – ključni dejavniki
2. Procesi
3. Organizacijske
strukture
1.
5.Informacije
4. Kultura, etika
obnašanje
Načela, politike, okviri
6. Storitve,
infrastruktura,
aplikacije
7. Ljudje,
veščine,
kompetence
Viri
Vir: Povzeto po Information Systems Audit and Control Association, COBIT 5, A Business Framework for
the Governance and Management of Enterprise IT,2012a, str. 27.

Informacijska varnost v COBIT 5
Informacijsko varnost obravnavata dva procesa: »Upravljaj varnost« in »Upravljaj varnostne
storitve«. Informacijska varnost je v COBIT 5 opredeljena kot nekaj, kar zagotavlja, da je
znotraj organizacije informacija zaščitena pred razkrivanjem nepooblaščenim uporabnikom
(zaupnost), napačnimi spremembami (integriteta) in nedostopnosti, kadar je potrebna
(razpoložljivost) (Information Systems Audit and Control Association, 2012b, str. 19).
Novost COBIT-a 5 je, da pripravlja strokovne vodnike za različna področja in kot prvi je bil
na voljo COBIT 5 za informacijsko varnost.

Odnos do merjenja informacijske varnosti
Del obravnave vsakega od omogočevalcev, je tudi merjenje njegove uspešnosti. Vprašanja,
ki si ji mora organizacija neprenehoma zastavljati in z metrikami iskati odgovore, so:
 Ali so potrebe deležnikov upoštevane?
 Ali so cilji omogočevalcev doseženi?
 Ali se upravlja z življenjskim ciklom omogočevalca?
 Ali se uporabljajo dobre prakse?
9
Prvi dve vprašanji se ukvarjata z dejanskim rezultatom, ki ga dosega omogočevalec. To so
»kazalniki z zamikom« (angl. lag indicators). Zadnji dve vprašanji se ukvarjata z
delovanjem samega omogočevalca. Metrike, s katerimi spremljamo ta vidik, kažejo na
verjetnost doseganja ciljev. Meriti jih je mogoče, preden so rezultati popolni, zato so to
»vnaprejšnji kazalniki« oz. »vodilni kazalniki« (angl. lead indicators).
COBIT 5 for Information Security gradi na COBIT 5 okviru, s tem da se osredotoča na
informacijsko varnost in opredeljuje podrobnejše in praktične usmeritve za tiste, ki se
ukvarjajo z informacijsko varnostjo. Za vsak standardni COBIT 5 proces opredeljuje
varnostno specifične cilje in predlaga metrike (Information Systems Audit and Control
Association, 2012b, str. 71–151).
Informacijsko varnost lahko merimo tudi tako, da ocenjujemo zrelostni oz. zmožnostni nivo
procesov, ki so ključni za upravljanje in zagotavljanje informacijske varnosti. V COBIT 5
je opredeljen zmožnostni model (angl. capability model), s katerim lahko organizacija določi
zmožnostni nivo vseh procesov. Namen modela je meriti uspešnost upravljanja in vodenja
procesa ter tako pomagati identificirati priložnosti za izboljšave.
2 MERJENJE IN METRIKA
2.1 Namen merjenja
O merjenju govorimo, ko z empiričnim opazovanjem ugotavljamo lastnosti predmeta
merjenja. Primeri fizikalnih lastnosti, ki jih merimo, so dolžina, masa, temperatura, čas,
število, količina, hitrost in podobno. Merimo pa lahko tudi nefizikalne lastnosti, kot so tržni
delež, zadovoljstvo uporabnikov, povečanje prodaje, skladnost delovanja, uspešnost
varnostnih kontrol itd. Podatki, ki jih na ta način pridobimo oz. njihova interpretacija, nam
omogočajo boljši vpogled in s tem poznavanje predmeta merjenja. Dobro poznavanje nekega
področja pa je pogoj za sprejemanje dobrih odločitev.
Hayden (2010, str. 57) razlaga, da sta merjenje dejstev in njihova interpretacija bistven, a ne
edini, sestavni del širšega procesa spoznavanja sveta, v okviru katerega se poskušamo s
časom vedno več naučiti in se izboljševati. Ta razvoj lahko ilustriramo z modelom podatek–
informacija–znanje–modrost (angl. Data–Information–Knowladge–Wisdom ) in hierarhijo
med temi pojmi.
Podatek predstavlja osnovno dejstvo, ki ga pridobimo z opazovanjem. Sam po sebi ne pove
nič, dokler ga ne postavimo v kontekst in ga interpretiramo ter tako dobimo informacijo.
Ko informacijo primerjamo in povezujemo z drugimi informacijami, jo obravnavamo in
preučimo njen vpliv, z izkušnjami pridobivamo znanje. Ko to znanje organizacija v praksi
uporabi pri presoji in sprejemanju boljših odločitev, govorimo o modrosti. Meritve in
metrike v tem modelu predstavljata spodnja dva nivoja: podatke in informacije.
Hierarhija modela podatek–informacija–znanje–modrost je predstavljena na Sliki 4.
10
Slika 4: Hierarhija modela podatek–informacija–znanje–modrost
Modrost
Izkušnje
Znanje
Kontekst
Informacije
Podatki
Vir: L. Hayden, IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data,
2010, str. 58.
Namen oz. koristi merjenja, to je zbiranje podatkov in informacij, so tako:




Podpora sprejemanju odločitev
Priprava osnov za dobro odločanje je poglavitni namen merjenja. Na osnovi ugotovitev
merjenja se vodstvo lahko odloči, katera izmed alternativnih rešitev je najprimernejša. Z
merjenjem določenih indikatorjev procesa se lahko oceni, ali se proces izvaja v
pričakovanih mejah in ali bodo predvideni rezultati procesa doseženi. Merjenje ključnih
lastnosti nekega izdelka ali storitve pove, ali izdelek ustreza želenim standardom. Če z
merjenjem ugotovimo odstopanje od želenega stanja, lahko sprejmemo popravljalne
ukrepe. Uspešnost teh ukrepov pa spet presojamo na podlagi informacij, ki jih pridobimo
z merjenjem.
Odkrivanje vzrokov problemov
Če imamo na voljo objektivne podatke o nekem problemu, potem razmeroma lahko
določimo, kje leži temeljni vzrok in to tudi utemeljimo.
Ocenjevanje uspešnosti uvedenih kontrol
Z izrazom »kontrole« so mišljene vse aktivnosti, ki jih organizacija izvaja v svojih
procesih, da bi ti dosegli pričakovane rezultate. Z merjenjem indikatorjev uspešnosti
organizacija ugotavlja, ali te rezultate dejansko dosega oz. ali je na pravi poti, da jih
doseže. To seveda velja tudi za kontrole informacijske varnosti
.Usmerjanje virov
Boljši vpogled v neko področje, ki ga prinaša merjenje, pomaga prepoznati tveganja in
priložnosti. Organizacija lahko finančne in druge viri, ki so navadno omejeni, usmerja
tja, kjer bo njihov učinek največji.
11






Komuniciranje prispevka k doseganju poslovnih ciljev
Vpogled v dejansko stanje, ki ga pridobimo z merjenjem, omogoča tudi argumentirano
predstavitev doprinosa nekega procesa, poslovne funkcije ali organizacijske enote k
doseganju poslovnih ciljev organizacije.
Povečanje odgovornosti in izboljšanje učinkovitosti
Ko metrike povečajo vpogled v določeno področje, ima to navadno za posledico, da se
poveča vestnost zaposlenih. Še zlasti, če metrike omogočajo primerjavo uspešnosti in
učinkovitosti med različnimi organizacijskimi enotami ali skupinami.
Vplivanje na obnašanje zaposlenih
Z merjenjem lahko usmerjamo obnašanje in delovanje zaposlenih. Hauser in Katz (1998)
poudarjata, da ima merjenje vedno pomemben vpliv na odločitve in aktivnosti
zaposlenih, če je ocena uspešnosti njihovega dela odvisna od rezultatov metrik.
Menedžerji bodo dali več poudarka tistim aktivnostim, ki bodo izboljšale rezultate
metrik, skozi katere se ocenjuje njihova uspešnost. Zato morajo biti metrike izbrane tako,
da izboljšanje vrednosti metrik pomeni tudi uresničevanje dolgoročnih ciljev
organizacije.
Ocenjevanje zrelosti procesov
Merjenje je eden pomembnih kriterij pri ocenjevanju zrelosti in zmožnosti procesov.
Tako v modelu COBIT kot CMM je ravno merjenje tista aktivnost, ki dvigne zrelost
procesa s 3. na 4. nivo (na lestvici od 0 do 5 oz. 1 do 5).
Demonstracija skladnosti delovanja
Nekatere panoge, kot npr. bančništvo, zavarovalništvo in farmacevtika, so močno
regulirane. Da lahko organizacija demonstrira skladnost delovanja z regulatornimi in
drugimi predpisi, potrebuje dokazila, ki jih lahko pridobiva tudi z merjenjem.
Primerjanje z drugimi organizacijami
Če obstajajo podatki o tem, kolikšne vrednosti istih metrik dosegajo druge organizacije,
potem je možna primerjava uspešnosti in učinkovitosti našega delovanja z drugimi
organizacijami (angl. benchmarking). Ugotovitve pa so spet osnova za razmislek, katera
področje delovanje mora organizacija okrepiti.
2.2 Razlika med meritvijo in metriko
Ena od definicij opredeljuje metriko kot (Cambra, 2004):
»Meritev, ki se izvaja v določenem časovnem obdobju in sporoča pomembne informacije o
procesu ali aktivnosti. Metrika mora omogočati ustrezno vodenje ali ukrepanje. Fizično
celoten paket metrike zajema njeno operativno definicijo, meritve v časovnem obdobju in
predstavitev rezultatov.«
Enote merjenja za metriko lahko vključujejo število, frekvenco, delež (%) ali druge fizične
količine.
S. Payne (2006) za boljše razumevanje pojasnjuje razliko med metriko in meritvijo. Meritev
je enkratni posnetek neke lastnosti/dejstva v določenem trenutku. Metriko zbiramo v
12
daljšem časovnem obdobju, pri čemer njeno vrednost primerjamo s prejšnjimi vrednostmi.
Vrednost metrike je lahko opredeljena tudi kot funkcija meritev različnih dejstev. Tako
pridobljene vrednosti nato primerjamo s ciljno vrednostjo sistema, ki ga želimo upravljati.
V splošnem vrednost meritve pridobimo z merjenjem, vrednost metrike pa z analizo. Če
meritev predstavlja posamezen podatek, potem metrika pomeni interpretacijo podatkov. Z
drugimi besedami, meritve so surovi podatki, metrike pa objektivna ali subjektivna človeška
interpretacija teh podatkov.
Opozoriti velja še na različno izrazoslovje v literaturi:
V angleškem jeziku se za metriko uporablja izraz »metrics«. Standard ISO/IEC 27004
(ISO/IEC, 2009 ) pa izraza »metrics« ne uporablja več. Pozna osnovne meritve (angl. base
measure) in izvedene meritve (angl. derived measure) ter indikatorje (angl. indicators).
Vrednosti indikatorjev se določijo na podlagi postavljenega analitičnega modela in se
interpretirajo v skladu z odločitvenimi pravili glede na ciljno vrednost.
Standard NIST (Chew et al., 2008) za rezultate zbiranja podatkov, njihove analize in
poročanja uporablja enoten izraz »measures«, za proces zbiranja podatkov, analize in
poročanja pa »measurement«.
2.3 Vrste merskih lestvic
V postopku merjenja so nekateri pogoji in okoliščine vnaprej določeni in so fiksni,
nespremenljivi. Rezultati meritev lastnosti predmeta opazovanja se spreminjajo, zato
govorimo o spremenljivkah. Osnova za določitev vrednosti, ki jih posamezne spremenljivke
lahko zavzamejo, so merske lestvice. Pri analizi kvantitativnih podatkov so se uveljavile
merske lestvice, ki se razlikujejo v tem, na kakšen način lahko ugotavljamo razliko med
dvema vrednostima preučevane spremenljivke. Različnost med dvema vrednostima je
mogoče izraziti z enakostjo oz. neenakostjo, z urejanjem po velikosti, z razliko in razmerjem
(Bregar, Ograjenšek & Bavdaž, 2005, str.6). Tako poznamo naslednje vrste merskih lestvic:



Imenske (nominalne) lestvice omogočajo zgolj razločevanje med posameznimi
kategorijami. Primer je poštna številka določenega kraja. Četudi je vrednost izražena v
številki, ne prinaša nobenega kvantitativnega sporočila, ampak samo označuje, v katero
kategorijo sodi nek pojav. Na podlagi poštne številke dveh krajev ne moremo primerjati
po nobeni lastnosti.
Urejenostne (ordinalne) lestvice urejajo enote opazovanja po vrstnem redu, nič pa ne
povedo o razliki med njimi. Primer je lahko vrstni red tekmovalcev v maratonu. Iz
vrednosti spremenljivke lahko ugotovimo, kateri tekmovalec je bil najhitrejši, nič pa ne
vemo, za koliko je bil zmagovalec hitrejši od tistega na drugem mestu.
Razmične (intervalne) lestvice poleg ugotavljanja enakosti in razvrščanja enot
omogočajo tudi merjenje razlike v razvrstitvi v enakih enotah. Ničelna točka je določena
poljubno in ne označuje situacije, ko nekega pojava ni. Primer je merjenje temperature.
13

Razlika med 10 °C in 20 °C je enaka kot med 20 °C in 30 °C, vendar temperatura 0 °C
ne pomeni, da pojava (temperature) ni.
Razmernostne lestvice imajo vse lastnosti prej obravnavanih lestvic, dodatno k temu je
vrednost 0 upoštevana kot enolično določeno izhodišče. Če merimo število ugotovljenih
kritičnih varnostnih ranljivosti nekega sistema, vrednost 0 pomeni, da takih ranljivosti
ni.
Od tega, v katero mersko lestvico sodijo vrednosti spremenljivke, je odvisno tudi, s katerimi
statističnimi metodami jih lahko obdelujemo. V Tabeli 1 so za vsako mersko lestvico
navedene glavne aritmetične operacije in statistične metode, ki pridejo v poštev za obdelavo
vrednosti spremenljivk.
Tabela 1: Merske lestvice in z njimi povezane značilnosti statistične analize
Merska lestvica
Lastnosti
Nekatere
tipične Možni parametri
spremenljivke
Imenska (nominalna)
Enotnost razvrščanja
Urejenostna (ordinalna)
Rangiranje (razvrščanje
po velikosti)
Razmična (intervalna)
Razlike v intervalih
Spol,
nacionalnost,
blagovna
znamka
dejavnost,
poštna
številka,
operacijski
sistem,
ranljivost
Stopnja izobrazbe, ocena
kakovosti
proizvoda,
dohodkovna skupina, tip
podjetja po velikosti,
Ocena tveganja, odčitana
iz matrike tveganja
Temperatura
na
Celzijevi
skali,
inteligenčni
kvocient,
indeksi,
CVSS sistem točkovanja
varnostne ranljivosti
Razmernostna
Ničelna vrednost
Plača, število otrok,
promet, javni dolg,
temperatura
na
Kelvinovi lestvici
Število enot, modus,
delež enot, frekvenca,
koeficient kontingence
Vse
iz
predhodne
lestvice in dodatno:
kvantili,
koeficient
korelacije ranga
Vse
iz
predhodnih
lestvic in dodatno:
numerične
operacije
seštevanja, odštevanje in
množenja ter aritmetična
sredina,
standardni
odklon,
koeficient
korelacije, t-preizkus,
Anova.
MANOVA,
faktorska analiza
Vse
iz
predhodnih
lestvic in dodatno:
numerična
operacija
deljenja ter geometrijska
sredina,
harmonična
sredina
Vir: Prirejeno po L. Bregar, I. Ograjenšek, & M. Bavdaž, Metode raziskovalnega dela za ekonomiste:
izbrane teme, 2005, str. 8.
14
3 DOLOČITEV IN PRIDOBIVANJE METRIK
3.1 Lastnosti dobrih metrik
Osnovni in splošno sprejeti prvini kakovostnega merjenja sta veljavnost in zanesljivost
(Bregar et al., 2005, str. 8).
Veljavnost pomeni, da merimo resnično tisto, kar mislimo, da merimo. Gre za kredibilnost
naše metrike oz. metode merjenja. Velikokrat nas zanimajo lastnosti predmeta/pojava, ki
niso neposredno merljive. Zato merimo spremenljivke, ki so merljive, pri čemer
predvidevamo, da so te močno povezane z lastnostjo, ki nas zanima. Če želimo izvedeti,
kako uspešen je proces upravljanja informacijske varnosti, nam število zaznanih skeniranj z
interneta o tem ne pove nič. To število je odvisno od zunanjih dejavnikov, ne pa od našega
procesa. V tem primeru metrika »število zaznanih skeniranj z interneta« ni veljavna. Po drugi
strani pa metrika »delež strežnikov z manjkajočimi kritičnimi varnostmi popravki« meri
enega od vidikov upravljanja informacijske varnosti na veljaven način.
Zanesljivost merjenja pomeni, da dajo meritve podobne rezultate, če jih izvajajo različni
izvajalci oziroma se ponavljajo v različnih časovnih obdobjih (ob nespremenjenem pojavu,
ki je predmet opazovanja).
Vendar pa tudi metrika, ki je veljavna in zanesljiva, ne prinaša koristi, če ne zadovoljuje
nobene poslovne potrebe. Če metrika ne sporoča informacije, ki jo nekdo potrebuje, potem
taka metrika ni potrebna. Kot navaja Brotby (2009), je edini namen metrik pridobiti podporo
odločanju. Merimo zato, da bi upravljali. Dodamo lahko še en namen merjenja, to je
prikazati doprinos k doseganju ciljev organizacije.
Obstajajo različni seznami lastnosti metrik, ki naj jih ima dobra metrika. Pogosta opredelitev
lastnosti dobre metrike je izražena kot akronim v angleškem jeziku S.M.A.R.T (Payne,
2006):





Specifična (angl. Specific)
Metrika mora biti nedvoumno določena in se nanašati na področje, ki ga želimo meriti.
Merljiva (angl. Measurable)
Metrika naj bo opredeljena tako, da je mogoče pridobiti točne in celovite podatke.
Omogoča ukrepanje (angl. Actionable)
Metrika naj bo enostavna za razumevanje in mora podajati jasno informacijo, kdaj se
ciljni vrednosti lastnosti približujemo in kdaj oddaljujemo.
Relevanta (angl. Relevant)
Metrika mora tistemu, ki mu je namenjena, predstavljati uporabno informacijo.
Pravočasna (angl. Timely)
Podatki o stanju metrike morajo biti na voljo takrat, ko so potrebni; za nekatere odločitve
zadostujejo informacije na tedenskem ali trimesečnem nivoju, za odkrivanje določenih
anomalij pa so včasih potrebni dnevni podatki.
15
Brotby (2009) meni, da je S.M.A.R.T. opredelitev dobre metrike nepopolna in da morajo
dobre metrike biti:








Obvladljive
Informacije morajo biti dosegljive, jedrnate in razumljive.
Smiselne
Informacije morajo biti prejemniku razumljive, pomembne ter morajo predstavljati
osnovo za odločanje.
Omogočati ukrepanje
Dobre metrike morajo jasno pokazati, kaj je treba narediti.
Nedvoumne
Metrike, ki si jih lahko razlagamo na več načinov, so lahko zavajajoče, včasih tudi
nevarne, če na njihovi osnovi sprejemamo usodne napačne odločitve.
Zanesljive
Če naj bodo metrike podlaga za odločanje, jim moramo zaupati. Če meri več ljudi,
morajo dobiti enake rezultate.
Točne
Če nam metrike ne predstavljajo točne informacije (z neko sprejemljivo napako), potem
niso primerna osnova za odločanje.
Pravočasne
Metrike, ki nas na katastrofo opozorijo po tem, ko se je ta zgodila, niso uporabne.
Napovedne
Metrike morajo biti take, da napovejo težave, preden te postanejo neobvladljive.
Poleg lastnosti, ki v bistvu opredeljujejo osnovne prvine kakovostnega merjenja, Brotby
navaja še dodatne lastnosti: obvladljivost, točnost in napovednost.
Jaquith (2007, str. 22) postavlja za dobre metrike malo drugačne kriterije. Nekateri se
prekrivajo z zgornjimi, drugi pa izražajo bolj tehnične lastnosti. Meni, da morajo biti
metrike:



Merjene dosledno
Različni ljudje bi morali na enakih podatkih z isto metodo dobiti iste rezultate. Metrike,
ki temeljijo na subjektivnem mnenju ljudi, niso metrike, ampak ocene. Če je metrika
izračunana na podlagi več osnovnih podatkov, mora biti formula lahko razumljiva.
Zbiranje podatkov mora biti poceni
Za večino procesov informacijske varnosti je »pogosto« bolje kot »včasih«. Frekvenca
izračunavanja metrike naj bi bila sorazmerna s hitrostjo spremembe procesa. Če se
metrika izračunava pogosto (dnevno, tedensko), potem mora biti pridobivanje izvornih
podatkov poceni. Zbiranje naj bo po možnosti avtomatizirano.
Izražene kot število ali delež
Pri tem mora biti številka naravno število, ki pove, koliko je nečesa, ne pa zaporedna
številka. Kvalitativne ocene »visoko«, »srednje«, »nizko«, ne štejejo, ampak določajo
zaporedje, zato po Jaquithu ne predstavljajo dobre metrike.
16


Izražene v najmanj eni merski enoti
Dobra metrika je izražena v številkah in mora vsebovati enoto, ki pove, kaj se je štelo,
npr. »napake«, »ure«, »evro«. Še bolje je, če metrike vsebuje dve enoti, npr. »število
napak na 1000 vrstic programske kode«.
Specifične za dani kontekst
Dobra metrika mora njenemu prejemniku nekaj pomeniti, mu osvetliti določen problem
ali demonstrirati vrednost, ki jo ljudje in procesi prispevajo organizaciji. Metrike morajo
biti dovolj informativne, da lahko odločevalci ukrepajo.
Predstavljene zahteve za dobre metrike pokrivajo več vidikov:
 dodano vrednost za prejemnika (omogočajo odločanje, specifične za dani kontekst,
nedvoumne, napovedne, točne, pravočasne …);
 operativno zbiranje podatkov (obvladljive, morajo biti poceni);
 pojavno obliko (izražene v številkah, z merskimi enotami).
Jaquith (2007) kot kriterij za dobro metriko izpostavlja pojavno obliko. Razlog je domneva,
da bo metrika, izražena v številki ali deležu, bolj nedvoumna, točna in uporabna za
prejemnika metrike, se pravi, da bo njena dodana vrednost večja. Da bo metrika zaživela v
praksi, je pomemben tudi operativni vidik zbiranja podatkov. Preveliki stroški in
kompleksnost procesa so lahko prevelika ovira pridobivanje metrike, zato je bolje izbrati
drugo, ki je bolj obvladljiva.
V Tabeli 2 je prikazano ujemanje lastnosti dobrih metrik iz predstavljenih naborov in njihova
povezava s prvinami kakovostnega merjenja. Za izhodišče sem vzel Brotbyjev seznam, ker
vsebuje največ želenih lastnosti dobre metrike.
Tabela 2: Ujemanje lastnosti dobrih metrik iz opredelitev različnih avtorjev
Brotby
SMART
Jaquith
Obvladljive
Smiselne
Omogočajo
ukrepanje
Nedvoumne
Zanesljive
Točne
Pravočasne
Napovedne
Merljive
Relevante
Omogočajo
ukrepanje
Specifične
Zbiranje mora biti poceni
Specifične za dani kontekst
Specifične za dani kontekst
Veljavnost
Veljavnost
Merjene dosledno
Zanesljivost
Zanesljivost
Pravočasne
Prvine kakovostnega
merjenja
Zbiranje mora biti poceni
Veljavnost
Izražene kot število ali delež
Izražene v najmanj eni merski
enoti
17
3.1.2 Kvantitativne in kvalitativne metrike
Videli smo, da je Andrew Jaquith, z njim pa tudi mnogi strokovnjaki informacijske varnosti,
prepričan, da mora biti dobra metrika kvantitativna, to je izražena v številkah. Ali drugače
povedano, vrednosti spremenljivke se morajo nahajati vsaj na intervalni lestvici. Prednost
take metrike je v tem, da lahko na njej izvajamo mnoge statistične obdelave. Metrika naj bi
bila tudi bolj točna in nedvoumna v primerjavi s kvalitativno metriko. Zagovorniki
kvantitativne metrike velikokrat citirajo lorda Kelvina, ki je dejal, da pojava ne poznamo
dovolj dobro, dokler ga nismo sposobni izraziti v številkah. Podatke za kvantitativno metriko
dobimo največkrat s štetjem dogodkov. To za nas navadno opravijo tehnični sistemi, zato je
pridobivanje kvantitativnih podatkov in metrik lahko avtomatizirati.
Kvantitativne metrike so običajno izražene opisno, npr. »nizko«, »srednje« in »visoko«. Če
opisnim vrednostim priredimo številke, njihove vrednosti v najboljšem primeru temeljijo na
ordinalni lestvici. Gre bolj za ocene kot pa za izmerjene vrednosti. Lahko so pridobljene s
kvalitativno analizo izjav ali mnenj. Kvalitativna analiza je kompleksnejša od kvantitativne
in zahteva posebno usposobljenost ter je zamudna. S tega vidika je razumljivo, da so
kvantitativne metrike bolj priljubljene.
Lance Hayden (2010, str. 32–36) meni, da so kvalitativne metrike dopolnilo kvantitativnim
in lahko odgovorijo na vprašanja, ki nimajo odgovorov v številkah. Kvantitativne metrike
so primernejše za izražanje podatkov, katerih viri so tehnične naprave. Posebno dobro se
obnesejo pri merjenju operativnega delovanja informacijskega sistema in njegove zaščite. Z
njihovo pomočjo lahko poiščemo odgovore na vprašanje kdo, koliko, kje, kdaj in kaj.
Vendar to ni edino, kar nas pri informacijski varnosti zanima. Varnost ni samo tehnično,
ampak tudi sociološko in psihološko vprašanje, saj ima ključno vlogo pri zagotavljanju
varnosti obnašanje ljudi. Če nas zanima, zakaj se ljudje obnašajo na določen način in kako
razmišljajo, potem je treba zagristi v kvalitativno analizo. Brez odgovorov na ta vprašanja
bo vpogled v informacijsko varnost našega okolja pomanjkljiv. Velikokrat nekega pojava
tudi ne moremo meriti neposredno, ampak se moramo zanesti na mnenja in ocene ljudi, ki
imajo s tem pojavom veliko izkušenj in ga dobro poznajo. Te ocene so sicer subjektivne in
lahko od ocenjevalca do ocenjevalca zelo odstopajo, pri čemer trpi zanesljivost metrike.
Razlike v ocenah lahko zmanjšamo s tehnikami, ki usklajujejo mnenja ocenjevalcev, npr.
tako, da se ocenjevanje izvaja v več krogih, pri čemer ocenjevalci po vsakem krogu
primerjajo svojo oceno s povprečjem vseh ocenjevalcev. V naslednjem krogu so ocene že
bolj izenačene. S posebnimi tehnikami lahko torej tudi kvalitativno merjenje postane
veljavno in zanesljivo.
3.1.3 Kaj je torej pri določitvi metrik res pomembno?
Vsaka metrika, ki nam izboljša poznavanje predmeta merjenja, je koristna, če ji ne
pripisujemo lastnosti, ki jih nima. Ocena nivoja tveganja je zelo koristna, če se zavedamo,
da ne merimo neposredno tveganja, ampak mnenja ljudi in temu prilagodimo tudi postopek
ocenjevanja. Čeprav ocena ni točna, pa je zelo uporabna kot prototip (Hayden, 2010, str. 13),
18
ki nam pokaže, kje je treba z dodatnimi meritvami iskati vzroke tveganja. Tudi ugotovitve
testov vdorov kljub vsem pomanjkljivostim ponujajo neprecenljiv vpogled v varnost našega
informacijskega sistema.
Včasih nam vse lastnosti dobre metrike tudi niso enako pomembne. Morda nas ne zanima
točna vrednost nekega pojava, ampak samo primerjalna velikost glede na predhodne meritve
(več ali manj). Mehanično zavračanje metrik, ker ne izpolnjujejo določenega kriterija dobre
metrike, ni ustrezno. Vseeno pa si med več možnimi metrikami prizadevamo, da izberemo
tisto s čim več dobrimi lastnostmi. Tudi ni bistvenega pomena, da je metrika kvantitativna.
Pomembneje je, da temelji na neposrednem opazovanju in izkušnjah (Hayden, 2010, str. 35).
Edini kriterij, ki ga lahko štejemo za izločitvenega, ko se odločamo za neko metriko, je
smiselnost metrike, kar vključuje tudi veljavnost metrike (metrika meri res tisto, kar
mislimo, da merimo). Ključni preizkusni kamen, ali je neka metrika dobra, pa je, ali dosega
svoj namen. Ali nam pomaga bolje spoznati predmet merjenja, npr. informacijsko varnost?
Ali lahko na podlagi metrike sprejmemo odločitve, ki nam bodo pomagale doseči zastavljene
cilje? Gary Hinson (2006) meni, da procesa merjenja informacijske varnosti sploh nima
smisla vzpostavljati, če ga ne nameravamo izvajati redno in sistematično. Niti nima smisla
zbirati podatkov, ki jih ne nameravamo analizirati, saj to povzroča le nepotrebne stroške.
Podatke pa se splača analizirati le, če vemo, kako bomo uporabili rezultate analize. Najprej
je treba torej razčistiti, kako bomo metrike sploh uporabljali.
3.2 Vrste metrik glede na predmet opazovanja
Gary Hinson (2006) poudarja, da je bistvo informacijske varnosti zmanjševanje tveganja,
tveganje pa je zelo težko meriti. Če so vpeljane kontrole uspešne, potem bi moralo število
incidentov upadati. Nikoli pa ne vemo, ali ne bi bilo manj incidentov ne glede na naše
kontrole zaradi zunanjih razlogov. Zato je treba meriti tudi izvajanje procesov informacijske
varnosti, ne samo njihovih učinkov.
John P. Pironti (2007) je metrike glede na ciljno področje opazovanja podrobneje razdelil
na:

Organizacijske metrike in metrike uspešnosti
Organizacijske metrike merijo uspešnost programa informacijske varnosti in procesa
vodenja informacijske varnosti. S temi metrikami ugotavljamo, ali posamezne funkcije
oz. upravljavske kontrole dosegajo poslovne cilje organizacije in tudi cilje informacijske
varnosti. Funkcije, ki jih merimo, morajo biti dobro opredeljene. Tako je na primer treba
razlikovati med funkcijo analize tveganj in varnostnih ranljivosti ter upravljanjem
varnostnih ranljivosti. Upravljanje ranljivosti sodi med operativne funkcije, medtem ko
funkcija analize tveganja navadno v upravljanje informacijske varnosti. Primeri
organizacijske metrike so: obseg opravljenih analiz tveganja, uspešnost zaposlenih pri
zagotavljanju informacijske varnosti, točnost proračuna za informacijsko varnost,
19





sposobnost komuniciranja informacij o informacijski varnosti drugim delom
organizacije in podobno.
Operativne metrike
Operativne metrike merijo uspešnost varnostnih kontrol, katerih namen je varovanje
informacijske infrastrukture. Na podlagi teh metrik lahko organizacija izboljšuje
varnostne kontrole, pa tudi zaznava, če ne dosegajo svojega namena. Primeri operativne
metrike so: število varnostnih incidentov; število varnostih ranljivosti; čas, potreben za
namestitev varnostnih popravkov; stroški operativnih aktivnosti itd.
Tehnične metrike
S tehničnimi metrikami preverjamo delovanje obstoječih tehničnih zaščitnih sistemov.
Vsak dan se odkrivajo novi tehnični načini napada na elemente informacijskega sistema,
pa tudi nove ranljivosti teh sistemov. S tehničnimi metrikami merimo sposobnost
zaščitnih sistemov, da uspešno opravljajo svojo nalogo. Na podlagi tehničnih metrik se
lahko odločamo o vpeljavi različnih IT produktov in tehnologij. Primeri tehnične metrike
so: delež zaustavljenih vsiljenih elektronskih sporočil; število odkritih varnostnih
ranljivosti; število nameščenih varnostnih popravkov; CVE seznam splošnih ranljivosti
in izpostavljenosti (angl. Common Vulnerabilities and Exposures); izračun vrednosti
tveganja RAVs (angl. Risk Assesment Values) po metodologiji OSSTMM (angl. Open
Source Testing Methodology Manual )(Herzog, 2010) itd.
Metrike poslovnih procesov
Metrike poslovnih procesov merijo vpliv, ki ga imajo aktivnosti informacijske varnosti
na uspešnost poslovnih procesov. Primer metrike je čas, potreben za dodelitev potrebnih
pooblastil uporabnikom, stroški varnostnih kontrol na poslovnem procesu in podobno.
Metrike dodane poslovne vrednosti
Metrike dodane poslovne vrednosti merijo vpliv, ki jo ima informacijska varnosti na
poslovni rezultat organizacije. Metrike so namenjene predvsem vodstvu in delničarjem
organizacije in so po možnosti izražene v denarni enoti. Primeri metrik so: število
negativnih objav v medijih, povezanih z informacijsko varnostjo organizacije; vpliv
informacijske varnosti na produktivnost zaposlenih itd.
Metrike skladnosti
Nekatere poslovne dejavnosti, npr. bančništvo, so zelo regulirane. Regulator določi
pogoje in pravila, ki jih morajo upoštevati organizacije in ki imajo za posledico uvedbo
dodatnih kontrol v poslovne procese. Regulatorje in revizorje posebej zanimajo
delovanje kontrol fizične in logične zaščite dostopa do podatkov. Organizacija najlaže
dokazuje skladnost delovanja z zakonskimi predpisi in regulatornimi zahtevami tako, da
meri uspešnost predpisanih kontrol. Primer metrike so: povprečni čas odvzema vseh
pooblastil zaposlenemu, ki mu preneha zaposlitev v organizaciji; število zahtevkov za
izjeme od veljavne varnostne politike in število odobrenih izjem itd.
20
3.3. Uporabniki metrik
Uporabniki oz. prejemniki poročil o vrednosti metrik so različni. Ker imajo v organizaciji
različne vloge, jih zanimajo različni vidiki delovanja organizacije. Tako jih tudi pri
informacijski varnosti največkrat zanima le tisto, kar vpliva na področje njihove
odgovornosti. Zato je treba poročanje o metrikah prilagoditi interesom prejemnika poročila.
Najbolj relevantne so metrike, ki se nanašajo na področje, za katerega je prejemnik
odgovoren in za katerega ima pooblastila, da sprejema odločitve. V Tabeli 3 so navedeni
tipični uporabniki posameznih vrst metrik.
Tabela 3: Tipični uporabnik posameznih vrst metrik
Vrsta metrike
Organizacijske metrike
metrike uspešnosti
Operativne metrike
Tipični uporabniki metrik
in Vodja informacijske zaščite (CISO), varnostni inženir
Skrbniki IT sistemov, vodje IT oddelkov, varnostni
inženir
Tehnične metrike
Varnostni inženir, vodstvo IT sektorja, vodje IT
oddelkov, skrbniki IT sistemov
Metrike poslovnih procesov
Vodstvo poslovnih funkcij
Metrike dodane poslovne Najvišje vodstvo organizacije
vrednosti
Metrike skladnosti
Vodja informacijske zaščite (CISO), varnostni inženir,
notranji revizorji, vodstvo IT sektorja
3.4 Povezati cilje deležnikov s cilji informacijske varnosti
Pred določitvijo metrik je treba ugotoviti, kako jih bomo uporabili. Pogoj za to je, da vemo,
katere cilje sploh želimo doseči. Zato je pri postavljanju metrik ključnega pomena, da najprej
jasno določimo cilje svojega delovanja in metrike potem izbiramo tako, da nam pomagajo
te cilje doseči.
3.4.1 Določanje varnostnih vprašanj različnih nivojev odločanja v organizaciji
3.4.1.1 COBIT 5
Namen vsake organizacija je ustvariti korist za svoje deležnike. Za to je prvo načelo COBITa 5, da je treba zadovoljiti potrebe zainteresiranih strani (deležnikov). Da se to načelo lahko
uresniči v praksi, je treba potrebe deležnikov pretvoriti v strategijo organizacije. COBIT 5 v
ta namen določa mehanizem »pretakanje ciljev« (angl. cascading), ki prevede potrebe
deležnikov najprej v konkretne cilje organizacije, nato v cilje za IT in iz njih izpelje cilje za
posamezne omogočevalce (za politike, procese, organizacijske strukture, etiko in kulturo,
informacije, storitve ter ljudi). To prevajanje omogoča postavljanje konkretnih ciljev na
vsakem nivoju in vsakem področju organizacije in na tak način pripomore k skladnosti IT
21
rešitev in storitev s potrebami organizacije (Information Systems Audit and Control
Association, 2012a, str. 17 ). Pretakanje ciljev je prikazano na Sliki 5.
Slika 5: Pretakanje ciljev po modelu COBIT 5
Okoliščine, ki vplivajo na deležnike (okolje,
razvoj tehnologije …)
Vplivajo
Potrebe deležnikov
Realizacija
koristi
Optimizacija
tveganja
Optimizacija
virov
Se pretvori
Cilji organizacije
Se pretvori
Cilji, povezani z IT
(
Se pretvori
Cilji omogočevalcev
Vir: Povzeto po Information Systems Audit and Control Association, COBIT 5, A Business Framework for
the Governance and Management of Enterprise IT,2012a, str. 18.
Da se dosežejo cilji, povezani z IT, je treba uspešno uporabiti različne omogočevalce. Za
vsak omogočevalec se lahko postavijo specifični cilji, ki pomagajo realizirati cilje, povezane
z IT. Cilji omogočevalca so lahko definirani kot pričakovan izhod omogočevalca ali
delovanje samega omogočevalca.
Cilji omogočevalca se lahko sodijo v različne kategorije:



notranja kakovost: mera, do katere omogočevalec deluje pravilno in dobavlja točne in
objektivne rezultate;
kontekstualna kakovost: mera, do katere so omogočevalec in njegovi izhodi primerni
za namen glede na kontekst, v katerem deluje. Na primer, izhodi morajo biti relevantni,
celoviti, razumljivi, enostavni za uporabo, itd.;
dostop in varnost: do katere mere so omogočevalec in njegovi izhodi dostopni in varni.
Na primer, omogočevalec je dostopen, kadar se ga potrebuje; izhodi so zavarovani tako,
da lahko do njih stopajo le pooblaščeni uporabniki.
22
3.4.1.2 Diagnostična vprašanja za ocenjevanje varnosti sistemov
Ena od metod, ki olajša postavljanje vprašanj, na katera z metrikami iščemo odgovore, je
Diagnostična metoda, razvita v svetovalni hiši McKinsey (Jaquith, 2007, str. 42).




Pri tej metodi, se najprej določi izhodiščna hipoteza o varnosti sistema, na primer
»Organizacija je varna pred brezžičnimi grožnjami zunanjih napadalcev«.
Nato se identificirajo podhipoteze, ki morajo biti resnične, če naj drži osnovna
hipoteza. Primeri podhipotez bi bili: »Brezžične vstopne točke niso dostopne izven
poslovne stavbe« in »Brezžične vstopne točke v notranje omrežje organizacije zahtevajo
šifriranje komunikacijske seje in zanesljivo overjanje uporabnika«.
Za vsako podhipotezo se preuči, ali jo je možno dokazati ali ovreči tako, da nekaj
merimo. Če to ni mogoče, se podhipoteza opusti ali pa razbije na dodatne podhipoteze
nižjega nivoja.
Za vsako hipotezo na najnižjem nivoju se identificira specifična diagnostična
vprašanja. Odgovori na diagnostična vprašanja, ki dajo dokazila v podporo ali za
zavrnitev hipoteze, so pridobljeni z empiričnim opazovanjem oz. merjenjem. Vprašanje
je navadno postavljeno tako, da sprašuje po številu ali deležu nekih dogodkov. Na primer
»Koliko brezžičnih vstopnih točk zahteva 128-bitno WPA šifriranje«. Te trditve nato
narekujejo metrike, s katerimi jih preverimo. Rezultat se nato primerja z mejno
vrednostjo, ki podpira (pod)hipotezo.
V Tabeli 4 je predstavljen primer metrik, povezanih z diagnostičnimi vprašanji.
Tabela 4: Primer metrik povezanih z diagnostičnimi vprašanji
Hipoteza
Upravljanje
pravic
logični dostop ni
ustrezno
Podhipoteze
za Časovni
zamiki
pri
več dodeljevanju
dostopnih
pravic naraščajo
Metrika
Povprečno
trajanje
dodelitve
pravice
v
časovnem obdobju
Nepravilne
dostopne Število
naknadnih
pravice naraščajo
popravkov v primerjavi z
zahtevki za spremembo
Kompleksnost narašča, kar Število
različnih
IT
povečuje tveganje napake
sistemov v primerjavi s
številom
naknadnih
popravkov
Vir: A. Volchkov, How to Measure Security From a Governance Perspective, 2013, str. 49.
Dobra lastnost te metode je v tem, da so hipoteze potrjene ali ovržene na podlagi empiričnih
podatkov. Ker presoja o resničnosti osnovne hipoteze, temelji na urejeni strukturi empiričnih
dokazov, je prepričljiva in ji je težko nasprotovati. Druga korist diagnostične metode pa je,
23
da prisili analitike, da se ukvarjajo samo z metrikami, ki neposredno podpirajo ali zavračajo
osnovno hipotezo. Širjenje meritev na probleme, ki obstajajo samo v teoriji, niso pa
relevantni za konkretno situacijo, je tako malo verjetno.
3.4.1.3 Metoda Cilj-Vprašanje-Metrika (GQM)
Ko vzpostavljamo sistem merjenja informacijske varnosti, je dobro, da že od vsega začetka
zagotovimo, da merimo tisto, kar bi morali meriti, da bi dosegli svoje konkretne cilje. Ena
od enostavnih metod je metoda GQM (angl. Goal-Question-Metric oz. cilj-vprašanjemetrika). Metoda izvira s področja razvoja programske opreme. Razvil jo je Victor Basili z
Univerze Maryland okoli leta 1970 za potrebe NASE. Ustvaril je empirični model za
spremljanje programskih napak, pri čemer so se napake povezovale z zastavljenimi cilji
programske opreme. Opis metode v nadaljevanju je povzet po Lanceu Haydenu (2010, str.
36–52).
Uporaba metode prinese projektu merjenja informacijske varnosti vsaj tri bistvene prednosti:



Metrike so načrtovane od zgoraj navzdol, začenši s cilji, namesto od spodaj navzgor.
Aktivnosti merjenja so omejene s postavljenim ciljem, zato je manjša verjetnost, da bi
prišlo do nekontrolirane širitve obsega projekta.
Metrike so prirejene konkretnim potrebam in zahtevam organizacije. Te se odražajo
skozi cilje, ki jih je organizacija postavila aktivnostim za merjenje informacijske
varnosti.
Metoda je sestavljena iz treh korakov:
1. Določitev ciljev
Opredeli se cilje projekta, ki naj jih metrike pomagajo doseči.
2. Prevedba ciljev v konkretna vprašanja
To so vprašanja, na katere je treba odgovoriti, preden se lahko oceni, ali organizacija
dosega postavljeni cilj.
3. Identifikacija potrebnih metrik
Odgovore na vprašanje se poišče z razvojem ustreznih metrik in zbiranjem potrebnih
empiričnih podatkov.

Določitev ciljev
Postavljanje ciljev je najpomembnejši del procesa določevanja metrik. Dobri cilji po GQM
metodologiji morajo imeti naslednje lastnosti:




so specifični: opredeljeni s čim več konkretnimi podrobnostmi;
so omejeni: meje tistega, kar želimo doseči, morajo biti natančno določene;
so smiselni: morajo biti dosegljivi in preverljivi;
imajo kontekst: se odzivajo na konkretne okoliščine v organizaciji;
24

so dokumentirani: če cilja ni vredno dokumentirati, potem ni dovolj pomemben.
V Tabeli 5 je predstavljena predloga, s katero v GQM metodi hitro določimo potrebne
informacij o cilju, vključno z osnovnimi atributi in kriteriji za uspešnost cilja.
Tabela 5: Predloga za določitev cilja po metodi GQM
Sestavina cilja
Rezultat
Opis
Namen projekta,
bomo dosegli
Primer
kaj Izboljšanje,
razumevanje
Elementi
Meje in objekti (sistem,
proces,
določena
lastnost), ki so vključeni
v cilj ali ima cilj na njih
učinek
Perspektiva
Vidik,
potreben
razumevanje cilja
ocena,
Ranljivost,
omrežne
komponente, skladnost z
zakoni,
sistemski
uporabniki
za Zunanji
revizor
napadalec,
Vir: L. Hyden, IT Security Metrics : A Practical Framework for Measuring Security & Protecting
Data, 2010, str. 41.

Postavljanje vprašanj
Izjave o cilju so po naravi konceptualne in ne opredeljujejo operativnega pristopa za
doseganje cilja. Da bi dobili to informacijo, se cilj preobrazi v vrsto vprašanj, ki omogočajo,
da se posamezne sestavine cilja realizirajo in oceni njihova uspešnost. Ta vprašanja določajo,
katere objekte ali aktivnosti je treba opazovati in katere podatke je treba zbrati za obravnavo
vsake sestavine cilja.

Določanje metrik
Ko smo razvili vprašanja, ki cilj določajo operativno, se cilj lahko začne opazovati na
podatkovnem nivoju in lahko se določi metrike, ki bodo dale odgovore na postavljena
vprašanja. Prednost metode GQM je v tem, da postane izbira metrik bolj intuitivna, saj le
nekatere meritve proizvedejo podatke, ki so potrebni za odgovore na zelo konkretna
vprašanja. Metrike so lahko tako objektivne, če so odvisne samo od objekta, ki ga merimo
(npr. število porabljenih ur), kot subjektivne, če so poleg objekta odvisne tudi od vidika, s
katerega jih merimo.
PRIMER: Predpostavimo, da varnostni inženir pripravlja projekt za izboljšanje skladnosti z
varnostno politiko podjetja. Ugotavlja namreč, da vsi zaposleni s politiko niso seznanjeni in
da politika v organizaciji ni uspešno uveljavljena. Rezultat metode QGM, s katero varnostni
inženir opredeli izjavo o cilju in določi potrebne metrike, je prikazan v Tabeli 6.
25
Tabela 6: Primer rezultata metode GQM
Izjava o cilju
Vprašanje
Cilj projekta je povečati uveljavitev varnostne politike podjetja in
zavedanje uporabnikov, tako da se poveča poznavanje varnostne
politike pri uporabnikih. Cilj je določen z vidika varnostnega
inženirja.
Kakšen je sedanji nivo uveljavitve varnostne politike podjetja?


Vprašanje
Število poročanih kršitev varnostne politike v zadnjih 12 mesecih
Število ukrepov ob kršitvah varnostne politike v zadnjih 12
mesecih
Ali zaposleni preberejo in razumejo varnostno politiko?
Metrike

Metrike
Vprašanje
Delež opisov del in nalog zaposlenega, ki opredeljujejo
odgovornost za spoštovanje varnostne politike podjetja
 Število izobraževalnih aktivnosti ali akcij za povečanje varnostne
zavesti v zadnjih 12 mesecih
 Delež zaposlenih, ki so formalno potrdili seznanjenost z
varnostno politiko v zadnjih 12 mesecih
 Rezultati uporabniške ankete o poznavanju varnostne politike in
njeni primernosti in uporabnosti
Ali se uveljavljanje varnostne politike povečuje?
Metrike




Povečanje aktivnosti za uveljavitev varnostne politike glede na
izhodiščno stanje (izraženo kot število ali delež)
Povečanje zavedanja o varnostni politiki podjetja (število
aktivnosti za povečanje varnostne zavesti, število potrditev o
seznanitvi z varnostno politiko)
Povečanje učinkovitosti procesa obvladovanja varnostne politike
(povečano število pregledov varnostne politike; zmanjšanje
števila dokumentov, ki sestavljajo varnostno politiko ali lokacij,
kjer se politika nahaja)
Izboljšanje rezultatov ankete o seznanjenosti z varnostno politiko
in njeni uporabnosti
Vir: Prirejeno po L. Hyden, IT Security Metrics : A Practical Framework for Measuring Security &
Protecting Data, 2010, str. 41.
3.5 Standardi, smernice in panožne pobude
V tem poglavju bom predstavil najvplivnejše standarde, smernice in panožne pobude za
merjenje informacijske varnosti. Pri tem sem bom naslonil na poročilo raziskave IATAC
(Bartol, Bates, Goertzel, & Winograd, 2009), ki vsebuje pregled stanja merjenja na področju
kibernetske varnosti in varovanje informacij. Uporaba standardov in uveljavljenih smernic
lahko bistveno izboljša program merjenja informacijske varnosti, pri čemer pa mora biti
izbor metrik usklajen s konkretnimi potrebami organizacije.
26
Glede na to, kaj opredeljujejo, lahko standarde in smernice razdelimo v naslednje kategorije
(Bartol et al., 2009, str.21):



procese za razvoj metrik informacijske varnosti, s katerim se meri uspešnost uvedenih
kontrol informacijske varnosti;
zrelostne modele, s katerimi se procesom upravljanja/zagotavljanja informacijske
varnosti pripiše določen nivo zrelosti na podlagi opredeljenih kriterijev;
okvire za ocenjevanje proizvodov, s katerimi se določi nivo izpolnjevanja določenih
kriterijev oz. vsebovanih lastnosti.
Poleg zgoraj naštetih vrst smernic si bomo pogledali še nekaj panožnih pobud za merjenje
informacijske varnosti.
3.5.1 NIST SP 800-55 Rev 1
NIST (angl. National Institute of Standards and Technology) je ameriška vladna agencija,
ki se ukvarja z razvojem standardov, tehnologij in znanostjo o merjenju. Njen laboratorij za
informacijsko tehnologijo (angl. the Information Tehnology Laboratory - ITL) izvaja
raziskave ter razvija merilne postopke, standarde, testne metode, smernice, navodila itd. s
področja informacijske tehnologije. Pripravil je priročnik NIST SP 800-55 Rev 1, katerega
namen je pomagati pri razvoju, izbiri in uvajanju metrik za merjenje informacijske varnosti
informacijskih sistemov in uspešnosti upravljanja informacijske varnosti (Chew et al.,
2008). Priročnik se osredotoča na



metrike izvajanja - za merjenje izvajanja varnostne politike,
metrike uspešnosti/učinkovitosti - za merjenje uspešnosti in učinkovitosti varnostnih
storitev,
metrike vpliva - za merjenje vpliva varnostnih dogodkov na poslovno uspešnost ali
poslanstvo.
Priročnik pristopa k problematiki merjenja na celovit način in predstavlja dober vir za
seznanitev s problematiko merjenja informacijske varnosti. V dodatku A predstavlja 19
primerov metrik, ki ustrezajo 17 družinam varnostnih kontrol iz varnostnega standarda NIST
SP 800-53 in minimalnim varnostnim zahtevam ameriškega zveznega standarda FIPS 200
(Federal Information Processing Standard - Minimum Security Requirements for Federal
Information and Information Systems). Priročnik posebej opozarja, da gre za primere, ki jih
morajo organizacije prirediti svojim potrebam.
Tabela 7 prikazuje informacije, s katerimi je opredeljena vsaka metrika.Podan je tudi
konkreten primer iz priročnika.
27
Tabela 7: Predloga za opis metrik NIST SP 800-55
Polje
Opis
Primer
ID metrike
Cilj
Enolična identifikacija
Navedba strateškega cilja in/ali cilja
informacijske varnosti, ki je izpeljan iz
strateškega cilja organizacije.
Metrika uporabniških računov
Strateški cilj:
Zagotovi okolje celovite varnosti in
odgovornosti za uporabnike, stavbe in
proizvode.
Metrika
Tip
Formula
Ciljna
vrednost
Dokazilo
uvedbi
Cilj informacijske varnosti:
Vsi uporabniki sistema so prepoznani
in avtenticirani v skladu z varnostno
politiko.
Naziv metrike – začne naj se z Delež (%) uporabnikov z dostopom do
numeričnimi pojmi »delež«, »število«, skupnih uporabniških računov.
»frekvenca«, »povprečje« …
NIST SP 800-53 kontrole:
Lahko vsebuje tudi oznako kontrol iz AC-2: Upravljanje računov,
standarda NIST SP8000-53, na katero AC-3:Kontrola dostopa,
se navezuje
IA-2: Identifikacija in avtentikacija
uporabnikov
Opredelitev, kaj metrika meri: Uspešnost/učinkovitost
izvajanje, uspešnost/učinkovitost ali
vpliv
Formula za izračun metrike
(število uporabnikov z dostopom do
skupnih računov /skupno število
uporabnikov) * 100
Mejna, še ustrezna vrednost metrike.
5%
o Elementi, ki so uporabljajo za izračun 1. Koliko uporabnikov ima dostop
formule; preverjanje, da se aktivnost
do sistema (IA-2)? ___
izvaja; prepoznati vzrok nezadovoljive
vrednosti metrike
2. Koliko uporabnikov ima dostop
do skupnih računov (AC-2)?___
Kako pogosto se podatki zbirajo, Zbiranje: mesečno
Frekvenca
analizirajo in poročajo
Poročanje: mesečno
Lastnik
informacije:
sistemski
Odgovornost Navedba odgovornih udeležencev:
- Lastnik informacije za
administrator
metriko
Informacijo
zbira:
sistemski
- Kdo zbira informacije
administrator
- Uporabnik informacije
Uporabnik
informacije:
vodja
informacijske zaščite
Lokacija podatka, ki se uporablja za Sistemski izpis uporabniških ID-jev
Podatkovni
izračun metrike
vir
Tortni diagram: primerjava deleža
Format
za V kakšni obliki bo metrika poročana
uporabnikov z dostopom do skupnih
poročanje
računov proti deležu uporabnikom
brez dostopa do skupnih računov
Vir: Prirejeno po Chew et al,. NIST Special Publication 800-55 Revision 1, Performance Measurement
Guide for Information Security,2008, str. 32.
28
3.5.2 ISO/IEC 27004
ISO in IEC tvorita mednarodni sistem standardizacije. Standardi področja varovanja
informacij imajo oznako 27000, osnovni standard iz te družine pa je ISO/IEC 27001, ki
določa zahteve sistema upravljanja varovanja informacij (SUVI). Namen standarda ISO/IEC
27004 je zagotoviti smernice za razvoj in uporabo metrik za ocenjevanje uspešnosti SUVI
ter varnostnih kontrol ali skupine kontrol, kot jih opredeljuje standard ISO/IEC 27001
(ISO/IEC, 2009).
Ta mednarodni standard je v sebi združil prispevke mnogih nacionalnih organizacij za
standardizacijo. Med temi prispevki so bili tudi NIST SP 800-55 Rev.1 in drugi nacionalni
standardi in smernice za merjenje informacijske varnosti. Razvoj metrik in procesi za
njihovo uvajanje so tako zelo podobni tistim, ki jih opredeljuje NIST SP 800-55 Rev.1, s
tem da je uporabljena terminologija iz ISO/IEC 27001 (Bartol et al., 2009, str. 30). Dodatek
B vsebuje 17 primerov opisov metrik. Predloga za opis metrik je podobna tisti, ki jo
uporablja NIST SP 800-55 Rev 1.
Standard 27004 ponuja priporočila za izvajanje naslednjih aktivnosti (ISO/IEC, 2009, str.
vi,vii):








razvoj metrik (npr. osnovne metrike, izvedene metrike in indikatorji);
uvedbo in izvajanje Programa merjenja informacijske varnosti;
zbiranje in analiziranje podatkov;
pridobivanje rezultatov merjenja;
sporočanje rezultatov merjenja ustreznim deležnikom;
uporabo rezultatov merjenja kot dejavnikov, ki vplivajo na odločitve, povezane s SUVIjem;
uporabo rezultatov merjenja za identifikacijo potrebe po izboljšanju obstoječega sistema
SUVI;
nenehno izboljševanja Programa merjenja informacijske varnosti.
Metrike so opisane v treh nivojih:



osnovne metrike (angl. base measures) predstavljajo izmerjene vrednosti lastnosti
objekta merjenja;
izvedene metrike (angl. derived measures) se izračunajo iz dveh ali več osnovnih metrik
z uporabo funkcije merjenja;
indikatorji, ki na podlagi analitičnega modela združijo izvedene metrike v rezultat, ki se
predstavi vodstvu.
Standard ISO/IEC 27004 ne postavlja zahtev, ampak vsebuje priporočila, smernice. Po
vsebini je podoben priročniku NIST SP 800-55 Rev.1.
29
3.5.2 Zrelostni modeli
Zrelostni model je zbir karakteristik, atributov, indikatorjev ali vzorcev, ki predstavljajo
zmožnost in napredek organizacije v določeni disciplini. Vsebina modela navadno povzema
najboljše prakse, lahko pa vsebuje tudi standarde, ki veljajo na zadevnem področju. Zrelostni
model tako predstavlja merilo, s katerim lahko organizacija izmeri nivo sposobnosti svojih
procesov, si postavlja cilje bodočega stanja ter spremlja svoj napredek. Če gre za model, ki
je razširjen v določeni panogi, lahko služi za primerjavo uspešnosti poslovanja z drugimi
organizacijami. Nivo zrelosti se izrazi z višino nivoja, ki ga dosega proces glede na
postavljene kriterije. Kriteriji za vsak nivo zahtevajo izvrševanje aktivnosti, ki sestavljajo
zrelostni model, pri tem pa ocenjujejo tudi stopnjo ponovljivosti procesa, menedžerske
prakse za njegovo upravljanje in doseganja rezultatov (DOE, 2014, str. 3). Najnižji nivo tako
opisuje stanje, v katerem ima organizacija zelo majhno sposobnost, najvišji pa idealno stanje
popolne zrelosti.
Najbolj znan zrelostni model je SEI CMM (Software Ingineering Institute Capability
Maturity Model) iz leta 1999, ki je bil 2002 nadgrajen v CMMI (CMM Integration). Nastal
je na univerzi Cornegie Mellon, namenjen pa je ocenjevanju zrelosti in sposobnosti procesov
pri razvoju programske opreme. Na njegovi osnovi so nastale mnoge izpeljanke za določanje
zrelosti na različnih področjih, tudi za informacijsko varnost. V Tabeli 8 so navedeni nekateri
zrelostni modeli, ki se osredotočajo na različne vidike informacijske varnosti. David Chapin
in Steven Akridge (2005) sta leta 2005 ugotavljala, da so takratni zrelostni modeli v glavnem
izhajali iz vidika inženiringa in vodenja projektov. Ker se osredotočajo na posamezne vidike
varnosti, niso primerni za ocenjevanje napredka celovite informacijske varnosti. V
naslednjih letih so se vzpostavili zrelostni modeli posebej za upravljanje informacijske
varnosti, npr. ISM3 - Information Security Management Maturity Model.
Tabela 8: Seznam nekaterih zrelostnih modelov informacijske varnosti
Model
Stopnje zrelosti
Komentar
ISM3 – Information Security
Management Maturity Model
(ISM3 Consortium, 2007)
01234-
Nedefiniran
Definiran
Upravljan
Kontroliran
Optimiziran
Usmerjen
v
upravljanje
informacijske varnosti, ocene
tveganja in integracijo procesov.
Varnostni cilji so opredeljeni kot
doseganje poslovnih ciljev.
Možna certifikacija.
NIST-PRISMA
–
Information
Security
Maturity Model
(Bowen & Kissel., 2007)
1234512345-
Politike
Procedure
Uvedba
Testiranje
Integracija
Slepo zaupanje
Ponovljiv
Definiran
Upravljan
Vzdrževanje
Usmerjen v zrelost programa
informacijske
varnosti
in
dokumentacijo.
GSMM - Generic Security
Maturity Model
(Lessing, 2008)
Usmerjen v zaščito informacij.
se nadaljuje
30
nadaljevanje
Model
GISMM
Gartner’s
Information
Security
Awareness Maturity Model
Systems
Security
Engineering
Capability
Maturity Model (SSE-CMM)
C2M2
Cybersecurity
Capability Maturity Model
(The Department of Energy,
2014)
Stopnje zrelosti
Komentar
1- Blažena nevednost
2- Ozaveščenost
3- Popravljanje
Operativna odličnost
1- Izvedeno neformalno
2- Načrtovano in spremljano
3- Dobro definirano
4- Kvantitativno kontrolirano
Nenehno izboljševanje
Specifični cilji za vsako domeno
Nivoji od 0 -3
Za vsak nivo opredeljen
seznam potrebnih praks
Usmerjen
ozaveščenost
tveganj.
Splošni cilji upravljanja so v vseh
domenah enaki
Nivo 1 – 3
Za vsak nivo opredeljen
seznam upravljavskih praks
Cobit 4.1. Maturity Model
(IT Governance Institute,
2007)
12345-
Inicialen/ad hoc
Ponovljiv ampak intuitivno
Definiran
Upravljan in merjen
Optimiziran
v
in
varnostno
upravljanje
Osredotočenost na varnostni
inženiring
in
načrtovanje
programske opreme. Objavljen
kot standard ISO/IEC 21827.
Osredotočen
na
zmožnosti
kibernetske varnosti kritične
infrastrukture. Pozna splošne
cilje upravljanja in specifične
cilje, ki so določeni za vsako
domeno procesov posebej.
Osredotočen na revidiranje
konkretnih procedur. Temelji na
SEI CMM
Vir: Prirejeno po D. Chapin & S. Akridge, How Can Security Be Measured?2005; G. Karokola,S. Kowalski,
& L.Yngström. (2011) Towards An Information Security Maturity Model for Secure e-Government Services:
A Stakeholders View, 2011, str. 3-4.
3.5.3 ISO/IEC15408 - Kriteriji za ocenjevanje IT varnosti
Standard ISO/IEC15408 Informacijska tehnologija – varnostna tehnika – Kriteriji za
ocenjevanje IT varnosti, poznan pod nazivom Skupna merila (angl. Common Criteria),
opredeljuje okvir za določitev in ocenjevanje nivoja varnosti posameznih izdelkov strojne in
programske opreme informacijske tehnologije. Omogoča primerjavo med različnimi
produkti, s tem da opredeljuje nabor skupnih zahtev za implementaciji varnostnih funkcij in
tehnik v IT proizvodu. V Skupnih merilih je definiranih sedem nivojev zagotavljanja
varnosti (angl. Evaluation Assurance Level - EAL). Ti nivoji določajo stopnjo zagotovila,
da ocenjevani proizvod izpolnjuje zahteve, postavljene v njegovem opisu predvidenih
varnostnih funkcionalnosti (angl. Security Target - ST). Varnostne zahteve za določen tip IT
rešitve (npr. operacijski sistem za splošne namene) so opredeljene v profilu zaščite (angl.
Protection Profile - PP). Proizvajalci rešitve lahko varnostne funkcije, ki so vgrajene v
proizvod, opisujejo neposredno, ali pa se sklicujejo na profil zaščite. Ocenjevanje izvajajo
akreditirani laboratoriji. Ocena nivoja EAL omogoča kupcu presojo, ali ocenjeni proizvod
zadovoljuje njegove varnostne zahteve, pa tudi primerjavo med proizvodi iste vrste (Bartol
31
et al., 2009). Tako na primer operacijski sistemi za splošne namene navadno dosegajo nivo
EAL4+ (Certified Products, 2015).
3.5.4 Panožne pobude
Z rastjo zavedanja o varnostnih tveganjih informacijske tehnologije se je pojavila potreba po
določitvi metrik informacijske varnosti, ki ocenjujejo vpliv varnostnih tveganj na poslovanje
organizacije. Tako so nastale različne pobude za izboljšanje merjenja informacijske varnosti,
ki so jih vodila združenja varnostne industrije, proizvajalcev IT rešitev in pa tudi združenja,
katerih osnovni cilj je napredek merjenja informacijske varnosti. V nadaljevanju so
predstavljene nekatere od teh pobud:



Security Information Working Group (v nadaljevnju CISWG) je bila ustanovljena leta
2004 pod okriljem ameriške vladne komisije za reforme. Ena od podskupin CISWG je
bila namenjena pospeševanju dobrih praks in znotraj nje se je ustanovila skupina za
merjenje (angl. Metrics Team). Ta skupina je leta 2004 pripravila poročilo (Security
Information Working Group, 2004), v katerem je opisala elemente programa
informacijske varnosti s potrebnimi aktivnostmi, ki jih morajo izvesti tisti, ki so
odgovorni za elemente programa. Za vsako aktivnost je definiran nabor metrik, s
katerimi se meri, kako uspešno odgovorni izvajajo svoje naloge (Bartol et al., 2009, str.
67–68).
CIS pobudo za metrike informacijske varnosti je oblikovala skupina članov The
Center for Internet Security (v nadaljevanju CIS), ki vključuje predstavnike velikih
podjetij Fortune 50, manjših komercialnih in neprofitnih organizacij, predvsem iz
finančnega sektorja, vladnih služb, ponudnikov rešitev informacijske varnosti, univerz,
raziskovalcev ter drugih organizacij in posameznikov, ki se ukvarjajo z informacijsko
varnostjo. Cilj pobude je bil pripraviti začetni manjši nabor nedvoumnih metrik
informacijske varnosti in spodbuditi njegovo uporabo med članicami CIS. Zadnja verzija
seznama metrik je bila objavljena novembra 2010. Vsebuje 28 metrik za 7 poslovnih
funkcij: upravljanje incidentov, upravljanje ranljivosti, upravljanje varnostnih
popravkov, varnost aplikacij, upravljanje konfiguracij, upravljanje sprememb ter finance
(The Center for Internet Security, 2010).
ISACA je neprofitno mednarodno združenje, ki pripravlja praktične napotke, merila in
druga orodja za vse organizacije, ki uporabljajo informacijske sisteme. V njenih
smernicah in okvirih so zbrane najboljše prakse za upravljanje informacijske tehnologije
in varovanja informacij, kontrole informacijske tehnologije ter revidiranje
informacijskih sistemov. ISACA je leta 2012 pripravila okvir za upravljanje
informacijske varnosti COBIT 5 for Information Security, ki interpretira COBIT procese
z vidika informacijske varnosti in za vsak varnostni cilj predlaga tudi metrike za njegovo
doseganje. ISACA izdaja revijo Journal, v kateri je bilo objavljenih več člankov, ki se
ukvarjajo s problematiko merjenja informacijske varnosti: How Can Security Be
Measured (Chapin et al., 2005), Developing Metrics for Effective Information Security
Governance (Pironti, 2007), Assessing IT Security Governance Through a Maturity
32
Model and the Definition of a Governance Profile (Carbonel, 2008), Accounting for
Value and Uncertainty in Security Metrics (Axelrod, 2008), How to Measure Security
From a Governance Perspective (Volchkov, 2013) in drugi.
3.6 Viri podatkov za metrike
Na splošno lahko podatke za metrike pridobivamo iz IT sistemov in procesov. Da pa bodo
podatki uporabni za metrike, morajo viri omogočiti zanesljivo in ponovljivo pripravo
podatkov. To ni problem pri podatkih, ki nastajajo pri delovanju IT orodij in sistemov, ki ko
se enkrat stabilizirajo, ustvarjajo podatke enake kakovosti. Drugače je pri procesih, ki morajo
doseči določeno zrelost, ki se kaže v standardizaciji in ponovljivosti rezultatov delovanja.
Zato so navadno več uporabljajo tehnične metrike, zlasti v organizacijah z manj zrelim
procesom zagotavljanja informacijske varnosti (Rathbun, 2009).
Tehnične metrike lahko razdelimo v štiri skupine (Jaquith, 2007, str. 46–88):
 obramba meje omrežja – viri podatkov za metrike so elektronska pošta, protivirusna
zaščita, zaščita proti nezaželeni pošti, požarne pregrade in sistemi za zaznavanje vdorov;
 pokritost in kontrola – viri za metrike obsega in dosega varnostnih kontrol so
protivirusna zaščita, sistemska konfiguracija, sistemski dnevniki, orodja za nameščanje
varnostnih popravkov in sistemi za upravljanje varnostnih ranljivosti;
 razpoložljivost in zanesljivost – viri podatkov v tej kategoriji so sistemi, ki zagotavljajo
neprekinjenost poslovanja in omogočajo okrevanje po nepričakovanih varnostnih
incidentih. Velikokrat se podatki nahajajo v preglednicah, kamor se vnesejo ročno;
 tveganje aplikacij – vir podatkov so orodja ali ročne evidence za analizo izvorne kode
in odkrivanje napak, kompleksnosti aplikacije ter indeksov tveganja. Sem sodijo tudi
orodja za avtomatizirano testiranje aplikacij po načelu »črne škatle«.
Za merjenje splošne uspešnosti upravljanja informacijske varnosti so zelo pomembne
metrike, ki izhajajo iz IT procesov. Pri tem je pomembno, da je nastajanje in zbiranje
podatkov dosledno in da podatki predstavljajo pravo stanje. Najpogostejši procesi, ki služijo
kot vir podatkov za metrike, so (Rathbun, 2009):






upravljanje sprememb,
pomoč uporabnikom (angl. Help Desk),
upravljanje identitet in pooblastil za dostop,
ukrepanje ob incidentih,
varnostno ozaveščanje zaposlenih,
zagotavljanje neprekinjenosti poslovanja in okrevanje po nesrečah.
Primeri drugih virov podatkov za metrike, ki ne sodijo v zgoraj naštete skupine, so še


finančni letni plan,
seznam opreme,


zapisi o preverjanju osebja ob zaposlitvi,
poročila o analizi tveganja,
33



načrti sistemske varnosti,
zapisi o uničenju opreme,
pogodbe o nabavi opreme.


plani vzdrževanje, dnevniki vzdrževanja,
zapisi o fizičnih dostopih v prostore,
4 CELOVITO SPREMLJANJE INFORMACIJSKE VARNOSTI
Največja korist merjenja je pridobitev vpogleda v predmet merjenja in njegovo boljše
spoznavanje. Metrike so kot žaromet, s katerim osvetlimo določen problem in na svetlobi
lažje najdemo rešitev oz. je ta boljša, kot če bi jo iskali v temi. Zato metriko velikokrat
uporabljamo v diagnostične namene, ko želimo izvedeti več o predmetu merjenja in tudi
preveriti predpostavke in hipoteze, ki so z njim povezane. Zbiranje teh metrik je lahko
začasno, če ugotovimo, da predmet opazovanja poznamo že dovolj dobro in ga tudi dovolj
dobro obvladujemo. V tem primeru je smiselno, da z metrikami začnemo opazovati neko
drugo področje, o katerem še nimamo dovolj informacij, je pa pomembno za doseganje naših
ciljev.
Poleg reševanja posameznih izzivov lahko metrike organiziramo v sistem kazalnikov, ki
celovito spremlja izpolnjevanje dolgoročnih ciljev in hkrati dovolj zgodaj opozori, če je
njihovo doseganje ogroženo. Eden najbolj znanih sistemov kazalnikov, ki se je dodobra
uveljavil pri upravljanju organizacij v zadnjih dveh desetletjih, je sistem uravnoteženih
kazalcev (angl. Balanced Scorecard - BSC). V nadaljevanju bom predstavil ta sistem in
možnost njegove uporabe za celovito spremljanje informacijske varnosti.
4.1 Sistem uravnoteženih kazalcev (BSC)
Tradicionalno se je uspešnost organizacije merila s finančnimi kazalci in kazalniki, med
katerimi so se uveljavili predvsem dobiček in različni vidiki donosnosti. Organizacije so
sčasoma spoznale, da finančne metrike zelo dobro prikažejo, v kolikšni meri so bili poslovni
cilji doseženi, da pa pretekli rezultati malo povedo, ali bodo uspešnost poslovanja lahko
obdržale tudi v prihodnje. Na podlagi finančnih kazalcev in kazalnikov ni mogoče
napovedovati, kako dobro organizacija uresničuje začrtano dolgoročno strategijo, s katero
naj bi izpolnila svojo vizijo. Upravljanje organizacije le na podlagi finančnih metrik je
podobno vožnji avtomobila, pri kateri voznik ves čas gleda samo v vzvratno ogledalo
(Niven, 2002, str. 6). Med menedžerji je raslo zavedanje, da je za celovito merjenje
uspešnosti poslovanja poleg finančnega treba spremljati tudi druge vidike delovanja
organizacije. Leta 1992 sta David Norton in Robet Kaplan v reviji Harvard Business Review
predstavila svoj predlog merjenja uspešnosti poslovanja. Finančnemu vidiku spremljanja sta
dodala še tri druge perspektive: vidik poslovanja s strankami, vidik notranjih poslovnih
procesov in vidika učenja ter rasti. Sistem kazalcev sta imenovala Sistem uravnoteženih
kazalcev, v katerem je bilo vzpostavljeno ravnotežje med finančnimi in nefinančnimi
kazalniki, kratkoročnimi in dolgoročnimi kazalniki, kazalniki z zamikom in vnaprejšnjimi
kazalniki ter notranjimi in zunanji vidiki.
34
Paul Niven (2002, str. 15–17) takole razlaga značilnosti posameznega vidika oz. perspektive:
Vidik poslovanja s strankami: Veliko organizacij postavlja stranko v središče svojega
poslanstva. Zato je uspešnost delovanja z vidika stranke ena najpomembnejših prioritet
vodstva organizacije. Pri tem vidiku organizacija izbira metrike, ki povedo, kako dobro
organizacija izpolnjuje pričakovanja svojih strank. Tipične metrike so zadovoljstvo strank,
zvestoba strank, tržni delež, pridobivanje novih strank itd. Organizacije morajo razviti
aktivnosti, ki jih merijo z vnaprejšnjimi kazalniki in predstavljajo gonilno silo za izboljšanje
kazalnikov z zamikom.
Vidiki notranjih procesov: V tem vidiku organizacija identificira ključne procese, v katerih
se mora odlikovati, da ustvarja vrednost za svoje stranke in delničarje. Z ustreznimi
metrikami meri njihov napredek. Ta vidik pokriva npr. razvoj produktov, proizvodnjo,
dostavo in poprodajne aktivnosti.
Vidik učenja in rasti: Kazalniki vidika učenja in rasti so v resnici gonilo za doseganje
ciljnih vrednosti kazalnikov na ostalih treh vidikih. Vidik učenja in rasti je temelj, na katerem
je zgrajen sistem uravnoteženih kazalcev. Lahko ga primerjamo s koreninami drevesa, iz
katerih zraste deblo notranjih procesov, ki se razveja v zadovoljstvo strank in na koncu liste
finančnega uspeha. Skozi ta vidik organizacija spremlja usposobljenost zaposlenih in
informacijskega sistema za doseganje ciljev (ciljnih vrednosti kazalnikov) vidika notranjih
procesov in poslovanja s strankami. V tem vidiku je zajeto izobraževanje zaposlenih,
zadovoljstvo zaposlenih, fluktuacija zaposlenih, dostopnost informacij itd.
Finančni vidik: Finančni kazalniki so zelo pomembni del sistema kazalnikov. V teh
kazalnikih se pokaže, ali organizacija dosega svoj končni cilj, ki je, vsaj za profitne
organizacije, dobiček. Ti kazalniki razkrivajo, ali koraki za uresničevanje strategije, ki jih
organizacija izvaja na ostalih perspektivah, dejansko privedejo do finančnega uspeha.
Kazalniki finančnega vidika so večinama kazalniki z zamikom, kot npr. donosnost, rast
dohodka, ekonomska dodana vrednost itd.
Sistem BSC je nabor skrbno izbranih metrik, ki jih organizacija izpelje iz svoje strategije
(Niven, 2002, str. 12).
V začetku je bil sistem BSC zasnovan kot sistem merjenja uspešnosti poslovanja, v
naslednjih letih pa se je vse bolj uveljavil kot orodje za strateško upravljanje podjetij. S
sistemom BSC organizacije na merljiv način opišejo svojo strategijo. Povedo, na katerih
področjih delovanja morajo napredovati in se odlikovati, da bodo dosegle svojo vizijo. Na
ta način se osredotočajo na projekte in aktivnosti, ki so potrebni za izvrševanje strategije. S
tem, ko postavijo metrike, povedo, kaj je pomembno, in na tak način strategijo uspešno
predstavijo nižjim nivojem upravljanja in zaposlenim. Organizacijske enote se tako lahko
vprašajo, kako lahko one prispevajo k doseganju ciljnih vrednosti kazalnikov iz sistema
BSC. Vsaka organizacijska enota si lahko vzpostavi svoj nabor uravnoteženih kazalnikov in
35
na tak način se cilji organizacije in aktivnosti za njihovo doseganje kaskadno prenašajo na
nižje nivoje, lahko tudi do posameznega zaposlenega.
Slika 6 prikazuje model sistema uravnoteženih kazalcev. V osrčju modela sta vizija in
strategija, na podlagi katerih organizacija za vsak vidik poslovanja opredeli operativne cilje,
metrike in njihove ciljne vrednosti ter pobude oz. aktivnosti za doseganje ciljnih vrednosti
kazalnikov.
Slika 6: Model sistema uravnoteženih kazalnikov (BSC)
Finančni vidik
»Kako naj
nas vidijo
delničarji,
da bomo
finančno
uspešni?«
Cilji
Metrike
Ciljne
vrednosti
Aktivnosti
Notranji procesi
Stranka
»Kako naj
nas vidijo
stranke,
da bomo
dosegli
našo
vizijo«
Cilji
Metrike
Ciljne
vrednosti
»V katerih
procesih
se
moramo
odlikovati,
da bomo
zadovoljili
delničarje
in
stranke?«
Aktivnosti
Vizija in
strategija
Cilji
Metrike
Ciljne
vrednosti
Aktivnosti
Učenje in rast
»Kako naj
ohranimo
sposobnost za
preoblikovanje
in izboljšave,
da bomo
uresničili našo
vizijo?«
Cilji
Metrike
Ciljne
vrednosti
Aktivnosti
Vir: Povzeto po R. S. Kaplan & D. P. Norton, Using the Balanced Scorecard as a Strategic Management
System, 2007
V sistemu BSC je ključno načelo vzroka in posledice. Organizacija oz. posamezna
organizacijska enota bo napredovala na tistih področjih, ki jih bo merila. S kazalniki je torej
treba meriti aktivnosti in stanja, ki dejansko vplivajo na rezultate. Cilji aktivnosti temeljijo
na predvidevanju, od katerih aktivnosti so odvisni rezultati. Enako velja za cilje nižjih
nivojev, ki so opredeljeni v skladu s predpostavko, kaj pomaga doseči ciljne vrednosti
kazalnikov višjega nivoja. Ta predvidevanja se lahko uresničijo, lahko pa tudi ne. Lahko se
zgodi, da se aktivnosti izvajajo po načrtu, kar potrjujejo kazalniki, vendar pa želenih
rezultatov ni. To pomeni, da je bila hipoteza, od česa je odvisno doseganje nekega cilja,
napačna in mora organizacija izboljšati delovanje na nekem drugem področju.
36
4.2 Sistem BSC za informacijsko varnost
Zagotavljanje informacijske varnosti je v večini organizacij skupna storitev za vse poslovne
funkcije. Kot taka mora dokazovati svoj prispevek k doseganju poslovnih ciljev, pa tudi, da
ji to uspeva bolje, kot bi zunanjemu izvajalcu. Za to je potreben celovit pristop k merjenju
njene uspešnosti. Program informacijske varnosti potrebuje dolgoročno strategijo, ki mora
biti usklajena s poslovno strategijo. Vprašanje je, ali se lahko tehnike strateškega upravljanja,
ki so se izkazale pri izboljševanju uspešnosti poslovanja, uporabijo tudi pri upravljanju
informacijske varnosti. Odgovor je, da lahko.
Če želimo koristi službe informacijske varnosti predstaviti najvišjemu vodstvu organizacije,
je smiselno, da to storimo na način, ki je domač najvišjemu vodstvu. Pokazati je treba, kako
informacijska varnost podpira doseganje tistih ciljev, ki predstavljajo prioriteto za vodstvo
organizacije. Sistem uravnoteženih kazalcev je za to zelo primeren okvir. S kaskadnim
prenosom ciljev in metrik se strategija organizacije prenese na nižje nivoje, npr. z nivoja
organizacije na nivo IT sektorja in potem niže na službo informacijske varnosti. Tako se cilji
informacijske varnosti uskladijo s poslovno strategijo organizacije.
Ko imamo usklajene cilje, lahko določimo metrike, npr. z uporabo tehnike GQM. Pri tem se
je treba zavedati, da tu ne obstaja splošna rešitev, primerna za vse organizacije, ampak so
cilji in metrike odvisni od vizije in strategije konkretne organizacije. Splošni modeli in
seznami metrik, ki jih predlagajo posamezni avtorji in standardi, so koristni le kot vodila in
ideje, ki pomagajo pri določitvi metrik v konkretni organizaciji. Kaj bomo izbrali, je odvisno
tudi od možnosti pridobivanja podatkov za metrike. Če npr. organizacija nima sistema za
preprečevanje odtekanja podatkov (angl. Data Lost Prevention - DLP), ne more postavljati
metrik, ki za vir podatkov potrebujejo DLP sistem. Po drugi strani pa, če pri opredeljevanju
sistema BSC ugotovimo, da bi bilo za izvajanje strategije organizacije nujno imeti neko
orodje ali vzpostavljen proces, je to lahko spodbuda, da se tak sistem/proces uvede.
Andrew Jaquith (2007, str. 264–299) pojasnjuje, kako lahko klasične poslovne cilje iz
posamezne perspektive interpretiramo z vidika informacijske varnosti, predlaga pa tudi
metrike, ki so se uveljavile v organizacijah. Naj ponovim opozorilo, da teh primerov ne gre
avtomatično uvajati v konkretno organizacijo, ampak jih je treba prilagoditi konkretnim
potrebam organizacije.

Finančni vidik
V tem vidiku spremljamo, kako dobro informacijska varnost podpira sposobnost
organizacije, da pridobiva prihodek, povečuje rast in zmanjšuje tveganja. To je odmik od še
vedno razširjene percepcije, da je informacijska varnost samo stroškovni center. Poleg
samega pridobivanja prihodka je pomembno zagotoviti tudi pravilnost poročil o poslovni
uspešnosti, od katerih so odvisni določitev dobička, plačilo davkov, vrednost delnice na
borzi itd. Kazalniki za informacijsko varnost morajo pokazati, kako informacijska varnost
spodbuja oz. zmanjšuje sposobnost organizacije, da pridobiva prihodke, kako spodbuja oz.
37
zavira rast prihodkov ali povečuje oz. zmanjšuje stroške ter kako povečuje oz. zmanjšuje
tveganja.
Nekaj primerov metrik za finančni vidik:










vrednost naročil oz. transakcij,
število naročil/transakcij (skupno, avtorizirane, neavtorizirane),
razpoložljivost informacijskega sistema (napovedani in nenapovedani izpadi),
število kontrol na transakcijo,
stroški informacijske varnosti za sisteme, ki prinašajo prihodek,
stroški informacijske varnosti za sisteme računovodske spremljave,
stroški varnostnih incidentov,
indeks tveganja za sisteme, ki prinašajo prihodek,
indeks tveganja za sisteme računovodske spremljave.
Vidik poslovanja s strankami
Navadno IT sektor in služba informacijske varnosti, skladno z ITIL okvirom in standardom
kakovosti ISO 9001 obravnavata kot svoje stranke poslovne uporabnike znotraj organizacije.
Vendar po zasnovi sistema BSC, kot sta ga opredelila Kaplan in Norton, notranji uporabniki
ne sodijo v ta vidik, ampak v vidik internih procesov. Zato Jaquith predlaga omejitev vidika
poslovanja s strankami v sistemu BSC za informacijsko varnost samo na zunanje stranke. Z
mešanjem notranjih in zunanjih strank v istem vidiku obstaja tveganje, da pričakovanja
zunanjih strank izgubijo težo na račun notranjih članov organizacije. Pri tem vidiku torej
merimo, kako dobro program informacijske varnosti organizacije izpolnjuje pričakovanja
potrošnikov, poslovnih partnerjev in regulatorjev, kako pripomore k pridobivanju novih
strank ter zagotavlja zvestobo obstoječih. Cilji v tem vidiku naj tudi pokažejo, kako
informacijska varnost povečuje/zmanjšuje verjetnost, da bodo stranke poslovale z
organizacijo, in njen vpliv na ugled organizacije.
Primeri metrik za vidik poslovanja s strankami po Jaquithu:
 število (delež) izgubljenih strank zaradi varnostnih razlogov,
 število razpoložljivih elektronskih kanalov za komuniciranje s strankami in partnerji,
 število (delež) kontrol za zagotavljanje integritete pri elektronski izmenjavi podatkov
s strankami in poslovnimi partnerji,
 število (delež) kontrol za zagotavljanje zaupnosti pri elektronski izmenjavi podatkov
s strankami in poslovnimi partnerji,
 število (delež) avtoriziranih in neavtoriziranih transakcij po aplikacijah,
 delež strateških dogovorov s partnerji in izvajalci storitev, ki imajo opredeljene
varnostne zahteve,
 povprečni čas dodelitve/odvzema dostopa do sistemov organizacije za stranke in
poslovne partnerje,
38








obseg elektronskih transakcij s strankami in poslovnimi partnerji,
stroški zaradi nenamernega razkritja podatkov strank/poslovnih partnerjev,
delež občutljivih podatkov o strankah in poslovnih partnerjih,
delež varnostno pregledanih aplikacij za zunanje uporabnike,
delež aplikacij za zunanje uporabnike brez kritičnih varnostnih slabosti,
ocena strank o uspešnosti organizacije pri zagotavljanju varnosti,
število (delež) uspešno zaključenih regulatornih revizijskih pregledov,
delež skladnih ključnih zahtev poslovnih partnerjev, preverjenih v zunanjem
revizijskem pregledu,
 delež incidentov, pri katerih so bili udeleženi znanji izvajalci,
 delež dostopnih pooblastil zunanjih izvajalcev, katerih upravičenost je bila
preverjena v tekočem obdobju,
 delež skladnih varnostnih zahtev, preverjenih pri zunanjih izvajalcih v tekočem
obdobju.

Vidik notranjih procesov
Če upoštevanje finančnega vidika in vidika poslovanja s strankami ni pogosta praksa pri
upravljanju informacijske varnosti, pa vidik notranjih procesov pokriva vse tisto, s čimer se
običajno ukvarja služba informacijske varnosti. V tem vidiku so zbrane kontrole, ki jih
priporočajo razni varnostni standardi in okviri upravljanja (ISO 27001, Cobit, NIST Special
Publication 800-53 itd.). Vendar to ne pomeni, da smo s prenosom tradicionalnih ciljev
informacijske varnosti zaključili obravnavo vidika internih procesov. V sistemu BSC interni
procesi služijo ustvarjanju zadovoljstva strank in prihodka. Zato morajo cilji notranjih
procesov pokazati, kako lahko informacijska varnost pomaga drugim organizacijskim
enotam pri doseganju njihovih ciljev. Naloga informacijske varnosti je, da omogoča dostop
do informacijskih virov zaupanja vrednim uporabnikom, nezaželene osebe pa zadrži zunaj
informacijskega sistema organizacije, pri čemer pa ne sme predstavljati ovire razvoju
poslovnih storitev.
V vidiku internih procesov organizacija meri uspešnost upravljanja informacijske varnosti
in njeno odzivnost poslovnim potrebam.
Metrike vidika internih procesov morajo omogočiti empirični vpogled, kako dobro je
organizacija zaščitena pred škodljivimi dogodki, kako upravlja dostopna pooblastila in
varuje poslovne priložnosti. Pomembno je, da organizacija doseže ravnovesje med kazalniki
za nazaj, ki merijo rezultate, in vnaprejšnjimi kazalniki. Primeri metrik v tem vidiku:





delež poslovnih projektov z vgrajenimi stroški za varnost,
povprečni čas za namestitev varnostnih popravkov po vrstah tehnološkega okolja,
delež aplikacij, ki so bile varnostno verificirane,
delež organizacijskih enot z načrtom neprekinjenega poslovanja,
delež visokih pooblastil, ki so bila preverjena v tekočem obdobju,
39








delež kritičnih informacijskih sredstev/funkcij z dokumentirano oceno tveganja,
delež sistemov, katerih varnostne nastavitve so skladne z varnostno politiko,
delež mobilnih naprav z nameščeno protivirusno zaščito,
delež sistemov z nameščenimi najnovejšimi varnostnimi popravki,
delež medijev z varnostnimi kopijami, ki so bili zbrisani pred izločitvijo iz uporabe,
povprečni čas za uvedbo nove varnostne kontrole,
povprečni čas za odvzem vseh dostopnih pooblastil,
število posvetovanj o informacijski varnosti po poslovnih enotah.
Nabor morebitnih kazalnikov je bistveno daljši od zgornjega seznama. Dober seznam metrik
je objavljen v priročniku Corporate Information Security Working Group (CISWG, 2004).
Metrike so združene po različnih nivojih upravljanja (najvišje vodstvo, direktorji in tehniki),
pri čemer so posebej izpostavljene izhodiščne varnostne kontrole in metrike, ki predstavljajo
osnovni nabor za manjša podjetja

Vidik učenja in rasti
BSC vidik učenja in rasti meri, kako se širi odgovornost za informacijsko varnost v
organizaciji in kako dobro organizacija zagotavlja zaposlenim pridobivanje potrebnih veščin
s področja varovanja informacij in izobraževanje. Prikazuje tudi, ali je organizacija
vzpostavila okolje, v katerem je zaposlenim enostavno ravnati in delati varno. V tem vidiku
se tudi spremlja, kako uspešno program informacijske varnosti sledi novim grožnjam in
preučuje nove varnostne mehanizme, ko ti postanejo dostopni.
Primeri metrik za vidik učenja in rasti:
 delež osebja z varnostnimi odgovornostmi,
 delež zaposlenih, ki so opravili izobraževanje iz informacijske varnosti,
 delež opisov delovnih mest z opredeljenimi vlogami in odgovornostmi za
informacijsko varnost, potrebnimi kompetencami ter strokovnimi certifikati,
 realizacija planiranih zunanjih izobraževalnih varnostnih delavnic in seminarjev,
 delež varnostnega osebja s strokovnimi certifikati,
 delež novih sistemov s predhodnim posvetovanjem o zagotavljanju informacijske
varnosti,
 delež poslovnih projektov z vgrajenimi stroški za zagotavljanje informacijske
varnosti.
4.3 Uvajanje sistema BSC za informacijsko varnost
Pri vsaki večji aktivnosti, ki ima za posledico spremembe v procesih, je treba upoštevati
načela projektnega vodenja. Podrobno je treba opredeliti namen in cilje projekta ter pridobiti
podporo ključnih deležnikov, predvsem vodstva. Poleg tega je treba zagotoviti potrebne
človeške in druge vire za projekt, načrtovati aktivnosti ter spremljati in poročati o njihovem
40
statusu realizacije, upravljati projektna tveganja itd. Projektno vodenje je široko in zahtevno
področje, ki pa ni tema te naloge. Na tem mestu se bomo osredotočili samo na nasvete, ki so
specifični za uvajanje merjenja informacijske varnosti.

Splošni nasveti pri uvajanju merjenja informacijske varnosti
Ko se odločimo, da potrebujemo metrike, upoštevajmo naslednje praktične nasvete:
 K oblikovanju metrik je treba pritegniti tiste, ki delajo na področju dela, ki je predmet
opazovanja, saj to področje najbolje poznajo in je njihovo znanje za določitev dobrih
metrik neprecenljivo.
 Z uporabniki metrik je treba preveriti, ali so predvidene metrike za njih dejansko
zanimive.
 Upoštevati je treba, da ljudje ne marajo, da se jih ocenjuje in meri. Zato naj se metrike
ne nanašajo na posameznike, ampak na skupine oz. storitve (Jaquith, 2007, str. 296).
 V avtomatizirano zajemanje metrik vgradimo kontrole za detekcijo anomalij v
procesu merjenja, npr. izpad podatkov s posameznih merilnih mest (Hayden, 2010,
str. 83).
 Sistem za zbiranje in poročanje metrik mora omogočiti prikaz vrednosti kazalnikov
po operativnih skupinah, npr. organizacijskih enotah, sistemskih platformah,
strokovnih teamih itd. Na tak način spodbudimo skupine s slabšimi rezultatom, da
poskušajo ujeti najboljše. Priprava skupnega poročila za direktorja, ki je nadrejen
tem skupinam, pomaga vodstvu identificirati težave v delovanju njegovih timov.
(Hayden, 2010, str. 86).
 Ne pozabimo, da je pri zajemanju metrik iz različnih virov (npr. iz različnih orodij
ali različnih sistemskih platform) velikokrat treba dobljene podatke normalizirati, da
so med seboj primerljivi. Izzivi, s katerimi se bomo pri tem srečali, se nanašajo na
različne formate podatkov, nepričakovane znake v izvornih podatkih, različen nivo
podrobnosti posameznih spremenljivk v različnih virih podatkov ter nevarnost, da s
pretvarjanjem podatkov ogrozimo njihovo integriteto (Hayden, 2010, str. 172–191).
 Ne odlašajmo s poročanjem o metrikah do trenutka, ko bomo razpolagali s popolnimi
podatki, saj morda zaradi neprestanih sprememb v okolju nikoli ne bomo. Moramo
pa dobro premisliti, ko izbiramo prejemnike začetnih poročil. Gotovo je vredno takoj
poročati podatke, tudi slabše kakovosti, tistim, ki so zadolženi, da se podatki očistijo.
Ko je čiščenje že v teku, se poročila lahko posredujejo tudi Vodji informacijske
zaščite (CISO – angl. Chief Information Security Officer), kar bo pospešilo čiščenje
podatkov (Hayden, 2010, str. 301). Višjega vodstva pa ne obremenjujmo s slabimi
podatki, razen če tega samo ne zahteva in če lahko uskladimo njihova pričakovanja
z našimi trenutnimi zmožnostmi.
 Začeti z manjšim številom metrik in potem postopoma širiti obseg programa
merjenja.
41

Dodatni nasveti za uvajanje BSC sistema za informacijsko varnost
 Če je vzpostavitev sistema BSC za informacijsko varnost del projekta vzpostavitve
BSC za celotno organizacijo, potem bodo tveganja upravljana v okviru tega projekta.
Računamo lahko, da projekt podpira in nadzoruje najvišje vodstvo organizacije in da
so razviti ključni kazalniki organizacije oz. IT sektorja, iz katerih se lahko kaskadno
določijo cilji informacijske varnosti. Če pa gre za ožji projekt, ki obsega samo
informacijsko varnost, pa mnogokrat BSC kazalniki višjih organizacijskih nivojev
ne bodo na razpolago. Cilje organizacije, ki jih mora podpirati informacijska varnost,
lahko razberemo iz vizije in strategije organizacije, ali iz planov poslovnih enot. V
koliko ima IT služba sklenjene dogovore o nivoju storitev s poslovnim delom (angl.
Service Level Agreement - SLA), lahko mejne vrednosti indikatorjev iz SLA
vzamemo kot izhodišče za opredelitev nekaterih ciljev informacijske varnosti. V
vsakem primeru pa je obvezno treba potrditi povezavo »vzrok in učinek«.
 Pri določanju metrik je treba paziti, da teh ni preveč. Niven (2002, str. 151))
priporoča od 3 do 10 metrik za vsako perspektivo (največ za interne procese in
najmanj za finančni vidik). To naj velja tudi za metrike informacijske varnosti.
Vključiti je treba tako metrike, ki merijo rezultat (kazalnike z zamikom), kot
kazalnike, ki merijo aktivnosti, ki pripeljejo do rezultata (vnaprejšnji kazalniki). Za
vsak kazalnik z zamikom naj obstajata vsaj eden do dva vnaprejšnja kazalnika.
 S predstavitvijo prototipa prikaza BSC kazalnikov bodočim uporabnikom si bomo
laže zagotovili njihovo aktivno podporo. Celotni BSC je treba prikazati na eni strani.
Če našega sporočila ne moremo prikazati na eni strani, želimo verjetno povedati
preveč. Prejemniki poročila morajo z enim pogledom dobiti dober vpogled v
program informacijske varnosti. Poročilo naj ne bo preveč natlačeno. Vsebuje naj
mešanico grafov, besedila in praznega prostora. Jasno je treba povedati, da gre za
prototip in ne za končno obliko (Jaquith, 2007, str. 299).
 Zelo zgovoren je prikaz spreminjanja določenega kazalnika skozi čas (Jaquith, 2007,
str. 299). Vendar s prikazovanjem trendov počakajmo, dokler nimamo zanesljivih
izhodiščnih metrik. Predvsem pazimo, da ne mešamo podatkov iz testnih faz uvajanja
metrik s produkcijskimi meritvami (Hayden, 2010, str. 81).
 Pri izračunu metrike višjega nivoja iz več metrik nižjih organizacijskih nivojev se
priporoča uporaba enostavnih in lahko razumljivih formul (Jaquith, 2007, str. 293).
Prevelika kompleksnost pretvorbe vzpodbudi razprave o metodologiji, namesto da
bi se prejemniki poročila posvetili vrednostnim kazalnikov.
42
5 EMPIRIČNA RAZISKAVA O STANJU MERJENJA
INFORMACIJSKE VARNOSTI
5.1 Opredelitev problema
Spremljanje uspešnosti delovanja organizacije je ključno za ugotavljanje odstopanj od
želenega stanja in preverjanje, ali so aktivnosti za doseganje poslovnih ciljev uspešne. Na ta
način organizacija dovolj zgodaj zazna morebitne probleme, da jih lahko še pravočasno
odpravi. Zato so se metrike uveljavile kot pomembno orodje za uspešno upravljanje v
mnogih poslovnih panogah, znotraj organizacije pa v mnogih poslovnih funkcijah (Hayden,
2010, str.19). Tudi upravljanje informacijske varnosti je proces, kjer bi bila uporaba metrik
zelo koristna. To še zlasti velja za organizacije v panogah, kjer je zaupnost informacij ključna
za uspešno poslovanje, na primer v finančni dejavnosti.
5.2 Namen in cilji
Z raziskavo sem želel ugotoviti, kako je merjenje informacijske varnosti razvito v
organizacijah v Sloveniji. Želel sem ugotoviti, na katerih področjih organizacije merijo
informacijsko varnost, kateri so ključni viri podatkov za metrike informacijske varnosti,
kateri kriteriji so najpomembnejši pri izbiri metrik, kdo je prejemnik poročil o metrikah,
kako pogosto se o metrikah poroča in kako avtomatizirano je pridobivanje podatkov za
metrike. Zanimalo me je tudi, kakšne koristi imajo organizacije od merjenja informacijske
varnosti in s kakšnimi ovirami se pri merjenju srečujejo. Dodatno sem želel ugotoviti, ali je
razvitost merjenja informacijske varnosti povezana z drugimi značilnostmi organizacije.
Pri tem sem razvil naslednje hipoteze, ki sem jih v raziskavi želel potrditi ali ovreči.
H1: Merjenje informacijske varnosti je bolj razvito v organizacijah v tuji lasti.
H2: Elementi merjenja so bolj prisotni v organizacijah z višjo zrelostjo IT procesov.
H3: Elementi merjenja so bolj prisotni v organizacijah, ki morajo biti skladne z varnostnimi
standardi
H4: Elementi merjenja so bolj prisotni v organizacijah, ki imajo vpeljan sistem upravljanja
varovanja informacij (SUVI) ali sistem upravljanja sistema kakovosti.
H5: Elementi merjenja informacijske varnosti so bolj prisotni v organizacijah, kjer se
merjenje že izvaja na drugih področjih.
V drugem delu raziskave sem želel ugotoviti, kateri vidiki informacijske varnosti so
pomembni za posamezne nivoje upravljanja v organizaciji. Menedžment na različnih nivojih
je namreč glavni uporabnik metrik informacijske varnosti. Če naj metrike pomagajo pri
sprejemanju odločitev, se morajo nanašati na vidike informacijske varnosti, ki zanimajo
konkretne prejemnike. Za najvišji menedžment (upravo) bi pričakovali, da je glede varnosti
43
najbolj zanima stopnja obvladovanja tveganj ter vpliv na stroške in ugled organizacije.
Menedžerje na taktičnem nivoju bolj zanimajo uspešnost in učinkovitost procesa upravljanja
informacijske varnosti in njegovo izboljševanje. Poleg trenutnega stanja informacijske
varnosti so za njih pomembni trendi. Na operativnem nivoju pa je pomembna stopnja
uspešnosti konkretnih ključnih varnostnih kontrol, npr. nameščanja varnostnih popravkov in
skladnost nastavitev z varnostno politiko. Želel sem preveriti veljavnost hipoteze:
H6: Najvišje vodstvo, menedžement na taktičnem nivoju in operativni menedžment imajo
različne prioritete glede vidikov informacijske varnosti.
5.3 Metodologija
5.3.1 Metoda zbiranja podatkov
Podatke za obe anketi sem zbiral s pomočjo spletnih vprašalnikov, ki sem jih objavil na
portalu EnKlikAnketa – 1KA. V orodju 1KA sem izdelal dva vprašalnika:
Vprašalnik Merjenje informacijske varnosti je bil namenjen tistemu v organizaciji, ki ima
dober vpogled v upravljanje informacijske varnosti. Pričakovane funkcije anketirancev so
bile: varnostni inženir, vodja informacijske zaščite ter vodja IT službe. Vsaka organizacija
naj bi izpolnila en sam vprašalnik.
Vprašalnik Pomembnost vidikov informacijske varnosti je bil namenjen vodjem oz.
funkcijam na strateškem, taktičnem in operativnem nivoju. Predvideni vprašanci so bili člani
uprave, direktorji poslovnih funkcij, vodstvo sektorja informacijske tehnologije, vodja
informacijske zaščite, vodje oddelkov, kjer operativno skrbijo za informacijsko zaščito in
notranji revizorji. Iz vsake organizacije sem pričakoval po več odgovorov od ljudi z
različnimi funkcijami v organizaciji.
5.3.2 Sestava in struktura vprašalnikov

Vprašalnik Merjenje informacijske varnosti
Ta vprašalnik je sestavljalo 24 vprašanj. Razdeljen je bil na pet vsebinskih sklopov. Prvi
sklop je spraševal po podatkih o organizaciji in vlogi respondenta v njej. V tem delu se
je respondent tudi opredelil, koliko je za organizacijo pomembna skladnost z
varnostnimi standardi. Vprašanja iz drugega sklopa so se nanašala na merjenje
informacijske varnosti: kako je razvito, na katerih področjih organizacija meri dejstva,
povezana z informacijsko varnostjo, katera orodja in procesi so najpomembnejši viri
podatkov meritev, stopnja avtomatiziranosti pridobivanja metrik ter kateri kriteriji so
pomembni pri izbiri metrike. Kriteriji so bili navedeni kot izjave, za katere je respondent
izrazil nivo pomembnosti s petstopenjsko Likertovo lestvico. Tretji sklop je spraševal,
kakšne koristi ima organizacija od merjenja informacijske varnosti ter katere so
najpomembnejše ovire, s katerimi se pri tem srečuje. Tudi v tem primeru je anketiranec
označil stopnjo strinjanja z navedbami na Likertovi lestvici. Četrti sklop vprašanj se je
44
nanašal na druge okoliščine organizacije, ki bi lahko vplivale na razvitost merjenja
informacijske varnosti: ali se kakršnokoli merjenje izvaja na drugih IT in poslovnih
področjih in ali ima organizacija vpeljan sistem vodenja kakovosti oz. sistem
upravljanja informacijske varnosti. Ker se informacijska varnost še vedno velikokrat
obravnava kot pretežna odgovornost IT-ja, je bilo zastavljeno tudi vprašanje o stopnji
razvitosti IT procesov. Zadnji sklop je obravnaval, kaj in kako pogosto IT poroča o
informacijski varnosti poslovnemu delu organizacije.

Vprašalnik Pomembnost vidikov informacijske varnosti
Vprašalnik je sestavljalo 14 vprašanj, razdeljen pa je bil v tri dele. Prvi del je spraševal
po podatkih o organizaciji in vlogi respondenta v njej. Drugi del je obravnaval
pomembnost različnih vidikov informacijske varnosti za respondenta. Vseboval je 17
navedb o tem, kaj je pomembno pri informacijski varnosti. Anketiranci so svoje
strinjanje z izjavami izrazili s pomočjo 5-stopenjske Likertove lestvice. Imeli so tudi
možnost, da navedejo dodatne vidike, ki so za njih pomembni, pa v vprašanju niso bili
zajeti. Tretji del vprašalnika se je nanašal na pogostost prejemanja ali priprave poročil
o informacijski varnosti in oceno zadovoljstva s temi poročili. Literatura, ki obravnava
merjenje informacijske varnosti, pogosto izpostavlja pomembnost načina, kako so
rezultati merjenja predstavljeni prejemnikom poročil (Jaquith, 2007, str. 158).
Raziskava Frost & Sullivan (2007) ugotavlja, da IT poročila o informacijski varnosti ne
zadovoljujejo poslovnega vodstva. Želel sem preveriti, kakšno je stanje v slovenskih
podjetjih.
5.3.3 Opis vzorca in izvedba raziskave
Anketi sem izvajal od oktobra 2013 do marca 2014, potem pa sem podatke dodatno zbiral
še v dveh poskusih maja in julija 2014. Preden sem k anketama povabil širši krog organizacij,
sem ju testiral na pilotskem naboru anketirancev. Vprašalnik o pomembnosti vidikov
informacijske varnosti je testno izpolnilo 15 anketirancev (od 20 povabljenih), vprašalnik o
merjenju informacijske varnosti pa 6 anketirancev (od 9 povabljenih). V odzivih se je veliko
vprašanj nanašalo na zaupnost odgovorov v anketah. Zato sem v končni verziji ankete, zlasti
pa v povabilu k sodelovanju v raziskavi, podrobneje razložil, kdo bo imel dostop do
odgovorov in da bodo rezultati raziskave vsebovali samo statistične podatke, brez navedbe
sodelujočih organizacij. Na podlagi pilotskih odgovorov sem nekatera vprašanja dopolnil z
dodatnimi kategorijami, ki so v vprašalniku na voljo anketirancu kot odgovor.
V osnovi anketi nista bili čisto anonimni. Anketiranec je moral navesti davčno številko ali
ime organizacije, potem pa sem imel namen dodatne podatke poiskati sam iz javno dostopnih
virov. S tem sem želel skrajšati čas, potreben za izpolnitev vprašalnikov in razbremeniti
anketiranca. Ključna dodatna podatka sta bili poslovna dejavnost in velikost organizacije.
Po odzivu pilotskih respondentov sem anketo o pomembnosti vidikov informacijske varnosti
spremenil tako, da so tisti anketiranci, ki niso hoteli razkriti svoje organizacije, sami vnesli
oznako poslovne dejavnosti in velikost organizacije. Možnosti popolne anonimnosti pa
45
nisem dopustil v anketi o merjenju informacijske varnosti. Tu sem namreč potreboval
mehanizem kontrole, da se vsak vprašalnik nanaša samo na eno organizacijo.
K sodelovanju sem želel pritegniti organizacije z več kot petdesetimi zaposlenimi, saj sem
predpostavljal, da imajo razvitejšo IT službo in se bolj ukvarjajo z informacijsko varnostjo.
Poskušal sem zajeti kar največje število različnih organizacij. Vabila k sodelovanju v
raziskavi sem pošiljal po elektronski pošti, pri čemer sem morebitne anketirance iskal na vse
načine, ki so mi bili na voljo. Pridobil sem si seznam naslovov vodij IT služb v velikih in
srednjih podjetjih, v poslovnem imeniku BIZI.SI sem našel splošne e-naslove organizacij
tipa info@podjetje. Uporabil sem osebna poznanstva, za sodelovanje sem prosil udeležence
izobraževanj in strokovnih srečanj, ki sem se jih udeležil v tistem obdobju. Prijatelji in
sorodniki so promovirali raziskavo v svojem krogu znancev in poslovnih partnerjev.
Ocenjujem, da je bilo vsega skupaj razposlanih okoli 1900 vabil za izpolnitev vprašalnikov.
Na vprašalnik Pomembnost vidikov informacijske varnosti sem dobil 150 odgovorov,
vprašalnik Merjenje informacijske varnosti je izpolnilo 65 organizacij. Ker so vabila šla
k naslovnikom preko različnih kanalov, ki jih nisem v celoti obvladoval, so poleg srednjih
in večjih podjetij odgovarjala tudi mala in mikro podjetja. Ko sem jih izločil iz vzorca, mi je
ostalo 113 vprašalnikov Pomembnost vidikov informacijske varnosti in 50 vprašalnikov
Merjenje informacijske varnosti. Po zaključku zbiranja sem podatke dopolnil še z
informacijo o poslovni dejavnosti in velikosti organizacije, kjer tega že ni naredil
respondent. V vprašalniku Merjenje informacijske varnosti sem dodatno označil vrsto
lastnine: domača oz. tuja, če je tuji delež bil enak ali je presegal polovico vsega kapitala.
Kmalu je postalo jasno, da respondenti vprašalnika Merjenje informacijske varnosti ne
predstavljajo reprezentativnega vzorca slovenskih organizacij. Število sodelujočih v anketi
je bilo premajhno, struktura glede na poslovno dejavnost ni ustrezala dejanski strukturi
organizacij v Sloveniji. Zato sem preveril, ali znotraj sodelujočih organizacij obstaja vzorec,
ki bi bil reprezentativen za svojo populacijo. Ugotovil sem veliko zastopanost finančnih
organizacij, ki so dejansko predstavljale reprezentativen vzorec populacije finančnih
organizacij. Ker sem tudi sam zaposlen v finančni organizaciji, sem sklenil, da bodo ciljna
populacija, za katero bom izvedel raziskavo o Merjenju informacijske varnosti, finančne
organizacije. Postavljene hipoteze sem preoblikoval tako, da so se nanašale na finančne
organizacije. Odločil sem se, da bom na koncu odgovore finančnih inštitucij primerjal z
ostalim vzorcem, pri čemer sem postavil dodatno hipotezo:
H5a: Merjenje informacijske varnosti je v finančni panogi bolj razvito, kot je to povprečno
v drugih poslovnih dejavnostih.
Poslovanje finančnih organizacij temelji na zaupanju njihovih strank, ki v poslovanju s
finančno organizacijo pričakujejo varnost. Del splošne varnosti poslovanja je tudi
informacijska varnost. Merjenje je pokazatelj zrelejšega procesa obvladovanja informacijske
varnosti, zato sem postavil dodatno hipotezo:
46
H5b: Finančne organizacije, ki imajo bolj razvito merjenje informacijske varnosti, so
poslovno bolj uspešne od tistih, kjer je merjenje manj razvito.
Za merilo poslovne uspešnosti sem vzel tržni delež organizacije. Tako sem podatke o
organizacijah, ki so odgovarjale na vprašalnik Merjenje informacijske varnosti dopolnil
še s podatkom o tržnem deležu organizacije.
5.3.4 Metoda analize podatkov
Pred analizo podatkov sem preveril, ali vprašalnik predstavlja dovolj zanesljivo orodje za
merjenje mnenja anketirancev. Vprašalnik kot inštrument merjenja bo zanesljiv, če bo ob
ponovnem merjenju pri enakih pogojih dal enake rezultate (Ferligoj, Leskošek & Kogovšek,
1995, str. 12). To je pomembno pri vprašanjih, pri katerih respondenti izražajo svoje mnenje.
Brez ponavljanja ankete lahko sklepamo na zanesljivost vprašalnika preko njegove notranje
konsistence. Vprašalnik bo zanesljiv, če bo notranje konsistenten, tako da vse spremenljivke
(trditve) enakovredno merijo isto dejansko spremenljivko (Ferligoj et al., 1995, str. 12).
Testiral sem vprašanja, v katerih anketiranci izrazijo svoje strinjanje s trditvami s pomočjo
Likertove lestvice, tako da sem za vsako vprašanje izračunal koeficient Cronbach alfa.
Odgovore sem analiziral s pomočjo orodij na portalu enKlikAnketa in statističnim
programom SPSS za Windows. Osrednji del analize sestavljajo opisne statistike, s katerimi
sem ugotavljal značilnosti vzorca, ki sem jih predstavil s frekvenčnimi tabelami in grafi. Pri
nadaljnjih analitičnih obdelavah sem uporabil tako univariantne kot bivariantne statistike.
Pri tem sem uporabil neparametrične teste, ker odgovori niso sledili normalni porazdelitvi,
kar je ena od predpostavk parametričnih testov. Podobnost normalni distribuciji sem
preverjal s Saphiro-Wilk preizkusom. Tako sem postavljene hipoteze preizkusil z
neparametričnima testoma neodvisnih skupin: Mann-Whitney U testom v primeru dveh in
Kruskal-Wallis testom v primeru več neodvisnih skupin. Povezanost oz. neodvisnost
nominalnih spremenljivk sem testiral s preizkusom χ2 za asociacije.
6 REZULTATI EMPIRIČNE RAZISKAVE
6.1 Razvitost merjenja informacijske varnosti v Sloveniji
6.1.1 Zanesljivost vprašalnika
Vrednost koeficienta Cronbach alfa tega vprašalnika se je pri posameznih vprašanjih gibala
med 0,710 in 0,872, kar pomeni da je njihova zanesljivost dobra (Laerd Statistics, 2014a;
Bregar et al., 2005, str. 12). Podrobnejši podatki so v Tabeli 9.
47
Tabela 9: Koeficient Cronbach alfa – vprašalnik o razvitosti merjenja informacijske
varnosti
Vprašanje
Koeficient Cronbach alfa
Katere kriterije uporabljate, ko izbirate
metrike informacijske varnosti ? Označite,
prosim, kako pomembni so za vas naslednji
kriteriji, ko se odločate o metrikah
informacijske varnosti.
Naslednje izjave opisujejo koristi, ki jih ima
vaša organizacija od merjenja informacijske
varnosti. Označite nivo strinjanja z izjavo.
Naslednje izjave opisujejo ovire, s katerimi
se organizacije srečujejo pri merjenju
informacijske varnosti. Označite nivo
strinjanja z izjavo.
0,710
Število
trditev
8
0,860
12
0,872
11
6.1.2 Podatki o vzorcu in respondentih
Populacijo finančnih organizacij, ki sem jo opazoval, sestavljajo banke in hranilnice,
zavarovalnice, investicijski skladi ter pokojninske družbe. Iz vsake kategorije sem v vzorcu
imel vsaj 1 predstavnico. V času raziskave je bilo v Sloveniji 18 bank in 3 hranilnice (Banka
Slovenije, 2014a; 214b), 14 zavarovalnic (Agencija za zavarovalni nadzor, 2914a), 3
pokojninske družbe (Agencija za zavarovalni nadzor, 2014b) ter 10 krovnih investicijskih
skladov (Agencija za trg vrednostnih papirjev, 2014). Od skupaj 48 organizacij, kolikor jih
je v populaciji, je bilo v vzorcu zajetih 17 organizacij ali 35 %. Podrobnejša razdelitev
prikazuje Tabela 10.
Tabela 10: Sestava respondentov iz finančne in zavarovalniške dejavnosti
Vrsta
finančne Domač kapital
institucije
Banke + hranilnice
6+1
Zavarovalnice
3
Krovni vzajemni
1
skladi
Pokojninska
1
družba
12
Tuj kapital
4
1
5
Populacija
% vzorca
18+3
14
10
52
28
10
3
33
48
35
Glede na velikost je 12 (71 %) organizacij iz vzorca sodilo v velike in 5 (29 %) v srednje
organizacije. To je pričakovano, saj banke in zavarovalnice, ki v vzorcu prevladujejo, v
48
slovenskem prostoru sodijo med večje organizacije. Od tega je bilo 12 (71 % ) v domači in
5 (29 %) v tuji lasti. Grafično je porazdelitev vzorca glede na velikost organizacije prikazana
na Sliki 7.
Slika 7: Struktura vzorca glede na velikost organizacije (n = 17)
Srednja
5
Velika
12
Anketirance sem tudi spraševal o drugih značilnosti organizacije, ki bi bile lahko povezane
z razvitostjo merjenja informacijske varnosti. Zanimalo me je:





Kakšna je razvitost IT procesov v organizaciji?
Ali je skladnost z varnostnimi standardi za organizacijo obvezna?
Ali se kakršnokoli merjenje izvaja na drugih področjih IT?
Ali se kakršnokoli merjenje izvaja na poslovnih področjih?
Ali ima organizacija vpeljan sistem upravljanja varovanja informacij (SUVI) ali sistem
kakovosti?
Definicije stopenj razvitosti IT procesov se bile povzete iz zrelostnega modela procesov
COBIT 4.1 (IT Governance Institute, 2007, str. 19). Na tem mestu navajam le nazive
nivojev, v vprašalniku pa so bile podane celotne definicije.






Neobstoječe (nivo 0)
Začetno / Ad Hoc (nivo 1)
Ponovljivo, vendar intuitivno (nivo 2)
Opredeljeno (nivo 3)
Vodeno in merljivo (nivo 4)
Optimizirano (nivo 5)
Večina organizacij (35 %), ki so odgovorila na vprašanje, je ocenila, da so njihovi IT procesi
na zrelostnem nivoju »Opredeljeno« , 24 % jih je ocenila na nivo »Vodeno in merljivo« ter
29 % na nivo »Optimizirano« (Slika 8).
49
Slika 8: Povprečna stopnja razvitosti IT procesov v organizaciji (n = 17)
Ponovljivo
2
Optimizirano
5
Opredeljeno
6
Vodeno in merljivo
4
Delež odgovorov po ostalih značilnostih je zbran v Tabeli 11. Vidimo, da je za večino
finančnih organizacij skladnost s standardi obvezna, da merjenje izvajajo tudi na drugih
področjih in da imajo vpeljan SUVI, sistema kakovosti pa ne.
Tabela 11: Druge značilnosti organizacij (n = 17)
Vprašanje
Da
v%
Ali je skladnost z varnostnimi standardi
76
obvezna?
Ne
v%
24


Ali se kakršnokoli merjenje izvaja na
drugih področjih IT?
Ali se kakršnokoli merjenje izvaja na
poslovnih področjih?
Ali ima organizacija vpeljan sistem
upravljanja varovanja informacij (SUVI)?
Ali ima organizacija vpeljan sistem
kakovosti, npr. ISO9001?
Ne vem v
%
Ni
pomembno 6
Zaželeno 18
88
0
12
63
12
24
76
24
12
88
6.1.3 Merjenje informacijske varnosti

Razvitost merjenja informacijske varnosti
Razvitost merjenja informacijske varnosti je bila v vprašalniku opisana s šestimi nivoji:
 Nivo 1 - O merjenju informacijske varnosti še nismo veliko razmišljali
 Nivo 2 - Zavedamo se, da bi z določenimi meritvami informacijske varnosti lahko
izboljšali nivo varnosti
 Nivo 3 - Pripravljamo se na uvajanje merjenja informacijske varnosti
 Nivo 4 - Redno spremljamo določene indikatorje uspešnosti/učinkovitosti
50
informacijske varnosti
 Nivo 5 - Na podlagi meritev varnostnih indikatorjev sprejemamo ukrepe za
izboljšanje informacijske varnosti
 Nivo 6 - Metrike informacijske varnosti že uporabljamo in razmišljamo o njihovi
širitvi
77 % finančnih organizacij, ki so sodelovale v raziskavi, aktivno meri informacijsko varnost
(ocena je bila od nivoja 4 do nivoja 6): 65 % redno spremlja določene indikatorje, 6 % na
podlagi meritev sprejema ukrepe za izboljšanje varnosti, 6 % pa razmišlja, da bi k
dosedanjim metrikam dodale še nove (Slika 9). En respondent (6 %) o merjenju
informacijske varnosti še ni razmišljal, zato na naslednja podrobnejša vprašanja o merjenju
ni odgovarjal.
Slika 9: Razvitost merjenja informacijske varnosti (n = 17)
Nivo 1 - O merjenju informacijske varnosti še nismo
veliko razmišljali
Nivo 2 - Zavedamo se, da bi z določenimi meritvami
informacijske varnosti lahko izboljšali nivo varnosti
Nivo 3 - Pripravljamo se na uvajanje merjenja
informacijske varnosti
Nivo 4 - Redno spremljamo določene indikatorje
uspešnosti / učinkovitosti informacijske varnosti
Nivo 5 - Na podlagi meritev varnostnih indikatorjev
sprejemamo ukrepe za izboljšanje informacijske…
Nivo 6 - Metrike informacijske varnosti že
uporabljamo in razmišljamo o njihovi širitvi
6
12
6
65
6
6
0
10
20
30
40
50
60
70
Delež v %

Področja merjenja informacijske varnosti
Naslednje vprašanje je spraševalo, na katerih področjih organizacija meri dejstva, povezana
z informacijsko varnostjo in o njih tudi poroča. Tri najpogostejša področja so: zaposleni,
obstoj varnostnih politik in analiza tveganj informacijske varnosti. Nato delež merjenja na
predlaganih področjih enakomerno pada, kot je prikazano na Sliki 10. Področja, ki jih meri
manj kot 50 % organizacij, so investicije in stroški informacijske varnosti, skladnost
delovanja s standardi in zakonodajo, zrelostni nivo informacijske zaščite ter razvoja
aplikacij.
Videti je, da organizacije bolj merijo področja, na katerih se izvajajo aktivnosti, ki bolj očitno
vplivajo na varnost informacijskega sistema. Manj potrebe za uporabo metrik pri opazovanju
svoje uspešnosti imajo pri upravljanju informacijske varnosti (zrelost procesa in doseganje
skladnosti). Vtis je, da se varnost bolj povezuje s stanjem infrastrukture kot pa z razvojem
aplikacij, čeprav ravno izrabljanje slabosti v aplikacijah predstavlja najpogostejši način
vdora v informacijski sistem. Organizacije sicer spremljajo gibanja varnostnih ranljivosti,
vendar gre pri tem za ranljivosti proizvodov drugih ponudnikov, ne pa lastnih aplikacij.
51
Na prvi pogled tudi preseneča, da se stroški in investicije ne merijo. Možna razlaga bi bila,
da organizacije vse izdatke za informacijsko varnost spremljajo kot IT porabo in jih ne
merijo posebej.
Slika 10: Področja, na katerih organizacije merijo dejstva, povezana z informacijsko
varnostjo, in o njih poročajo (n = 17)
Obstoj varnostnih politik (npr. pokritost področij…
Zaposleni (npr. izobraževanje, podpisi izjave o…
Izvajanje varnostnih in revizijskih pregledov,…
Fizična zaščita in podporni sistemi (klimatski sistemi,…
Zagotavljanje neprekinjenosti poslovanja (npr.…
Delovanje zaščitnih sistemov (npr. statistike požarne…
Razpoložljivost in zanesljivost delovanja ključnih…
Analiza tveganj informacijske varnosti
Obvladovanje varnostnih incidentov (npr. statistike…
Dokumentiranost sistemov in uporabniška navodila
Upravljanje dobaviteljev in zunanjih izvajalcev (npr.…
Upravljanje posegov v produkcijo (odobritev posegov, …
Zagotavljanje informacijske varnosti pri izvajanju…
Informacijska sredstva (npr. opredeljeno lastništvo…
Upravljanje varnostnih ranljivosti (npr. statistika…
Upravljanje dostopnih pooblastil (npr. statistika…
Skladnost delovanja z varnostnimi politikami
Upravljanje zahtevkov in sprememb (npr. delež…
Skladnost delovanja s standardi in zakonodajo (npr.…
Investicije v informacijsko varnost in stroški (npr.…
Izdelava aplikativnih rešitev (npr. število odkritih…
Zrelostni nivo informacijske zaščite
Drugo:
Merjenja informacijske varnosti ne izvajamo
88
88
82
82
82
82
82
82
71
71
65
65
65
59
59
59
53
53
41
31
29
24
6
6
0
10
20
30
40
50
60
70
80
90
100
Delež v %

Viri podatkov za metrike informacijske varnosti
Najpomembnejši viri podatkov za metrike informacijske varnosti so protivirusna zaščita,
zaščita proti nezaželeni e-pošti (94 %) in mrežni zaščitni sistemi (94 %). Več kot 50 %
respondentov zajema podatke za metrike še iz orodij za upravljanje varnostnih popravkov in
ranljivosti, operacijskih sistemov in podatkovnih baz.
Manj se kot vir podatkov uporabljajo sistemi za preprečevanje odtekanja podatkov in
zagotavljanje integritete sistemov, najmanj pa rešitve za zaščito mobilnih naprav in orodja
za preverjanje varnostni aplikacij (13 %). Vzrok je verjetno v tem, da te tehnologije v času
izvedbe ankete v organizacijah še niso bile dovolj razširjene. Celotna porazdelitev
odgovorov o orodjih in zbirkah kot virov metrik je prikazana na Sliki 11.
52
Slika 11: Orodja in zbirke, ki so najpomembnejši viri podatkov za metrike informacijske
varnosti (n = 16)
Protivirusna zaščita, zaščita pred nezaželeno e-pošto
94
Mrežni zaščitni sistemi (požarna pregrada, IDS/IPS,…
94
Orodja za upravljanje z varnostnimi popravki in…
69
Podatkovne baze
69
Operacijski sistem
63
SIEM sistem
44
Statistike spletnih strani
31
Sistemi za preprečevanje odtekanja podatkov (DLP)
19
Orodja za zagotavljanje integritete sistemov
19
Orodja za preverjanje varnosti aplikacij
13
Sistemi za zaščito mobilnih naprav
13
Drugo:
6
0
10
20
30
40
50
60
70
80
90
100
Delež v %
Procesi, ki so v finančnih organizacijah najpomembnejši vir podatkov za metrike
informacijske varnosti, so »ukrepanje ob incidentih« (94 %), »izvajanje varnostnih
pregledov« (88 %), ter »izobraževanje in ozaveščanje za informacijsko varnost« (81 %).
Bistveno manj se podatki zajemajo iz procesov, ki niso neposredno povezani z IT ali
informacijsko varnostjo (Slika 12).
Slika 12: Procesi, ki so najpomembnejši viri podatkov za metrike informacijske varnosti
(n = 16)
Ukrepanje ob incidentih
94
Izvajanje varnostnih pregledov, revizij
88
Izobraževanje in ozaveščanje za varovanje informacij
81
Zagotavljanje neprekinjenosti delovanja
81
Upravljanje sprememb
75
Upravljanje identitet in pooblastila
75
Pomoč uporabnikom
44
Nabava
19
Upravljanje s kadri
6
Kontroling / finančno upravljanje
0
Prodaja
0
Drugo:
0
0
10
20
30
40
50
60
Delež v %
53
70
80
90
100

Način pridobivanja metrik
58 % respondentov pridobiva metrike delno ročno in delno avtomatizirano, večinoma ročno
jih pridobiva 33 %, večinoma avtomatizirano pa le 8 % (Slika 13)
Slika 13: Način pridobivanja metrik v % (n = 12)
Večinoma
avtomatizirano
8
Večinoma ročno
33
Delno ročno delno
avtomatizirano
58

Pomembnost kriterijev za izbiro metrik informacijske varnosti
Pomembnost kriterijev za izbiro metrik informacijske varnosti so respondenti ocenjevali s
pomočjo 5-stopenjske Likertove lestvice (od 1 – sploh ni pomembno, do 5 – obvezno). Vsi
ponujeni kriteriji so dobili oceno nad 3, kar lahko interpretiramo, da so vsi pomembni.
Najpomembnejši kriteriji po vrstnem redu so »metrike morajo biti razumljive« (ocena 4,2),
»metrike morajo omogočiti odločanje« (4,1) in »metrike morajo biti ponovljive« (4,0).
Najnižje na lestvici pomembnosti z oceno 3,1 so kriteriji »metrike morajo biti poceni«,
»metrike morajo biti številčne« in »pridobivanje metrik mora biti avtomatizirano« (3,1).
Srednje vrednosti ocen pomembnosti kriterijev prikazuje Slika 14.
Večjo težo imajo tako kriteriji, ki vplivajo na uporabnost metrik, malo manjšo pa tisti, od
katerih je odvisen način njihovega pridobivanja.
Slika 14: Pomembnost kriterijev pri izbiri metrik informacijske varnosti (n = 16)
Metrike morajo biti razumljive
4,2
Metrike morajo omogočati odločanje
4,1
Metrike porajo biti ponovljive
4
Uporabiti je potrebno že zbrane podatke
3,6
Metrike morajo biti povezane s konkretnim problemom
3,4
Pridobivanje metrik morajo biti avtomatizirane
3,1
Metrike morajo biti številčne (kvantitativne)
3,1
Metrike morajo biti poceni
3,1
0
0,5
1
1,5
2
2,5
3
1-Sploh ni pomembno 2-Ni preveč pomembno 3-Še kar pomembno 4-Zelo pomembno 5-Obvezno
54
3,5
4
4,5

Prejemniki poročil o metrikah informacijske varnosti in frekvenca poročanja
Prejemniki poročil o metrikah informacijske varnosti so najpogosteje vodstvo IT sektorja
(69 %) ter vodstvo organizacije in vodja informacijske zaščite oz. varnostni inženir (63 %).
Najmanj se o metrikah poroča vodjem IT oddelkov (6 %) in skrbnikom IT sistemov (6 %).
Grafični prikaz je na Sliki 15. Poročila o metrikah se torej posredujejo vodstveni in nadzorni
funkciji, medtem ko operativa poročil ne dobiva, morda zato, ker sami pripravljajo podatke
o metrikah.
Slika 15: Prejemniki poročil o metrikah informacijske varnosti (n = 16)
Vodstvo IT sektorja
69
Vodstvo organizacije
63
Vodja informacijske zaščite, varnostni inženir
63
Notranji revizorji
50
Management poslovnih funkcij organizacije
25
Vodje IT oddelkov
6
Skrbniki IT sistemov, administratorji
6
Drugo:
6
0
10
20
30
40
50
60
70
80
Delež v %
Najpogostejša frekvenca poročanja o metrikah informacijske varnosti je leto (53 %), potem
sledi poročanje po potrebi oz. na zahtevo (38 %) ter kvartalno in mesečno (31 %). Pogostejše
poročanje je razmeroma redko – tedensko poroča 6 %, dnevno pa 13 % finančnih organizacij,
ki so odgovarjale na vprašanje (Slika 16).
Slika 16: Intervali poročanja o metrikah v % (n = 16)
Tedensko Dnevno
6
13
Letno
50
Mesečno
31
Kvartalno
31
Po potrebi / na
zahtevo
38
55
6.1.4 Koristi merjenja informacijske varnosti in okoliščine, ki ovirajo merjenje
Vse finančne organizacije, ki merijo informacijsko varnost, se strinjajo, da je merjenje
informacijske varnosti koristno. Strinjanje s ponujenimi trditvami o koristi merjenja so
ocenile s 5-stopenjsko Likertovo lestvico (1- Sploh se ne strinjam, 2- Se pretežno ne
strinjam, 3 – Sem neopredeljen, 4 – Se pretežno strinjam, 5 – Popolnoma se strinjam).
Najbolj so se strinjale s trditvami »Merjenje nam omogoča prepoznavati pomanjkljivosti
informacijske varnosti« (4,2), »Meritve omogočajo uspešnejše odločanje« (4,1) in »Metrike
nam pomagajo oceniti nivo informacijske varnosti« (4,1). Manj izražene morebitne koristi,
kjer se ocene že nagibajo proti neopredeljenosti, so »Meritve vodijo k večji odgovornosti pri
izvajanju varnostnih ukrepov« (3,5) in »Meritve nam pomagajo pri primerjavi nivoja
informacijske varnosti v naši organizaciji z drugimi organizacijami« (3,1).
Menim, da je korist možne primerjave z drugimi organizacijami pričakovano na zadnjem
mestu, kajti podatke drugih je težko dobiti. Preseneča pa višina ocene, ki kaže na
neopredeljenost respondentov, saj bi pričakoval odločnejše nestrinjanje s to izjavo. Grafični
prikaz ocenjevanja koristi merjenja informacijske varnosti je prikazana na Sliki 17.
Slika 17: Koristi od merjenja informacijske varnosti (n = 16)
Merjenje nam omogoča prepoznati pomanjkljivosti
informacijske varnosti in s tem omogoča njeno izboljšanje
Meritve omogočajo uspešnejše odločanje v zvezi z
informacijsko varnostjo
Meritve nam pomagajo dokazovati skladnost delovanja z
notranjimi varnostnimi pravili, standardi in/ali regulatornimi…
Metrike nam omogočajo oceniti nivo informacijske varnosti v
naši organizaciji / IT oddelku
Z metrikami ugotavljamo uspešnost delovanja varnostnih
ukrepov
Meritve pomagajo usmerjati vire na področja, kjer bo njihov
učinek na informacijsko varnost največji
Merjenje nam omogoča komunicirati dosežke procesa
upravljanja informacijske varnosti
Merjenje nam omogoča opravičiti investicije in stroške v
informacijsko varnost
4,3
4,1
4,1
4,1
4
3,9
3,8
3,8
Merjenje nam pomaga poiskati vzroke varnostnih problemov
3,8
Meritve vodijo k večji odgovornosti pri izvajanje varnostnih
ukrepov
Meritve nam pomagajo pri primerjavi nivoja informacijske
varnosti v naši organizaciji z drugimi organizacijami
3,5
2,9
Od metrik nima organizacija nobene koristi
1,4
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
1-Se ne strinjam 2-Se pretežno ne strinjam 3-Sem neopredeljen 4-Večinoma se strinjam 5-Popolnoma se
strinjam
Ugotovimo lahko, da v organizacijah, ki so sodelovale v anketi, prehudih ovir za merjenje
informacijske varnosti ni. Za večino morebitnih ovir so se povprečne ocene gibale med
pretežnim nestrinjanjem in neopredeljenostjo. Uporabljena je bila ista Likertova lestvica kot
56
pri vprašanju o koristi metrik. Kot največjo oviro pri merjenju informacijske varnosti so
respondenti ocenili pomanjkanje informacij o vrednosti metrik v drugih organizacijah (3,6).
To se ujema z oceno v predhodnem vprašanju. Naslednji največji oviri pa sta pomanjkanje
ljudi, ki bi se z metrikami ukvarjali (3,5), in pomanjkanje finančnih sredstev (3,5).
Pomanjkanje znanja ni ključni problem (2,8), podatki za metrike pa so po mnenju
respondentov na voljo (2,3) in dovolj kakovostni (2,4).
Ocene morebitnih ovir so grafično predstavljene na Sliki 18.
Slika 18: Ovire pri merjenju informacijske varnosti (n = 16)
Podatki o metrikah primerljivih organizacij so težko dostopni
3,7
Pomembna ovira pri merjenju informacijske varnosti je
pomanjkanje ljudi
Pomembna ovira pri merjenju informacijske varnosti je
pomanjkanje finančnih sredstev
3,4
3,3
Nimamo dovolj znanja o merjenju informacijske varnosti
2,8
Vhodnih podatkov za metrike je preveč in nimamo orodij, s
katerimi bi jih obdelali
2,8
V naši organizaciji ni razvita kultura merjenja
2,5
Podatki, ki bi jih potrebovali za metriko, niso dostopni ali pa bi
bilo zbiranje predrago
2,4
Kvaliteta podatkov, ki so na voljo, je slaba
2,4
Povezanost ciljev organizacije in ciljev informacijske varnosti ni
dovolj jasna, da bi lahko definirali koristne metrike
Odgovornosti za pridobivanje podatkov niso nedvoumno
določene
Vodstvo ni zainteresirano za vzpostavitev sistema merjenja
informacijske varnosti
2,3
2,3
2,1
0
0,5
1
1,5
2
2,5
3
3,5
4
1-Se ne strinjam 2-Se pretežno ne strinjam 3-Sem neopredeljen 4-Večinoma se strinjam 5-Popolnoma se
strinjam
6.1.5 Poročanje IT-ja o informacijski varnosti poslovnemu vodstvu
V večini organizacij (69 %), ki so odgovorile na vprašanje, IT služba poroča o informacijski
varnosti poslovnemu menedžmentu ali vodstvu organizacije. V 25 % organizacijah se ne
poroča, medtem ko 6 % (1 organizacija) odgovora ni poznalo. Pri tem vprašanju ni bilo
pomembno, ali poročila vsebujejo podatke o metrikah.
Najpogostejša poročila, ki jih IT pošilja vodstvu organizacije, se nanašajo na varnostne
incidente (100 % respondentov), periodično merjenje stanja varnosti (82 %) in finančne
izgube zaradi varnostnih incidentov (64 %). Podobno vprašanje smo zastavili že v enem od
predhodnih vprašanj, ko nas je zanimalo, koliko organizacij o metrikah poroča poslovnemu
vodstvu. Delež organizacij je bil tam nekoliko nižji, kar je razumljivo, saj se pri tokratnem
vprašanju nismo omejevali le na poročila o metrikah. Vseeno pa lahko iz vsebine najbolj
pogostih poročil sklepamo, da poročila vsebujejo tudi metrike, saj sta procesa
57
»Obvladovanje incidentov« in »Izvajanje varnostnih pregledov, revizij« najpogostejša
procesa, ki predstavljata vir za metrike informacijske varnosti v finančnih organizacijah.
Grafičen prikaz frekvenc vseh odgovorov prikazuje Slika 19. Najmanj se poroča o
produktivnosti varnostnega osebja in tehnologij (18 %) in dosežkih organizacijskih enot na
področju obnašanja, ki je povezano z informacijsko varnostjo (9 %). To je precej manj, kot
je v raziskavi leta 2006 ugotavljalo svetovalno podjetje Frost & Sullivan (Ayoub, 2007). Že
takrat je o teh vidikih varnosti poročalo med 30 % in 40 % organizacij. Pač pa so incidenti
in z njimi povezani stroški tudi po raziskavi Frost & Sullivana najpogostejši tip poročil o
informacijski varnosti, ki jih je IT poročal poslovnemu delu organizacije.
Slika 19: Poročila o informacijski varnosti, ki jih IT posreduje poslovnemu (ne IT)
menedžmentu ali vodstvu organizacije (n = 12)
Poročilo o varnostnih incidentov
100
Periodično merjenje stanja varnosti v organizaciji
75
Finančna izguba zaradi varnostnih incidentov
58
Seznam najbolj pogostih varnostnih ranljivosti
33
Prispevek informacijske varnosti uvajanju novih
storitev
25
Produktivnost varnostnega osebja in tehnologij
17
Dosežki organizacijskih enot na področju obnašanja, ki
je povezano z informacijsko varnostjo
8
0
20
40
60
80
100
120
Delež v %
IT službe sodelujočih finančnih organizacij najpogosteje poročajo poslovni strani o
informacijski varnosti letno in po potrebi/zahtevi (obakrat 33 %) ter kvartalno (28 %).
6.1.6 Razlike med finančnimi organizacijami in ostalim vzorcem
V raziskavi sem podrobneje obdelal samo vprašalnike, ki so predstavljali reprezentativni
vzorec populacije finančnih organizacij. Poleg finančnih je v raziskavi sodelovalo še veliko
drugih organizacij. Čeprav ne predstavljajo reprezentativnega vzorca nefinančnih
organizacij v Sloveniji, me je vseeno zanimalo, kako se odgovori organizacij iz drugih
poslovnih dejavnosti razlikujejo od odgovorov finančnega sektorja. Ugotovitve bi namreč
lahko v nadaljnjih raziskavah stanja merjenja informacijske varnosti uporabili kot izhodišče
za postavljanje razvojnih vprašanj in hipotez. V primerjavo sem vključil le srednje in velike
organizacije, primerjal pa sem odgovore na ključna vprašanja ankete:


stopnja razvitosti merjenja
področja, na katerih se zbirajo metrike informacijske varnosti
58



viri podatkov za metrike (orodja, zbirke, procesi)
koristi merjenja informacijske varnosti
ovire pri merjenju informacijske varnosti
6.1.6.1 Predstavitev ostalih organizacij, ki sodelujejo v primerjavi
V ostalem delu pridobljenih odgovorov na anketo je 36 organizacij. Od tega jih je 22 (61 %)
velikih in 14 (39 %) srednjih organizacij, njihova struktura po poslovni dejavnosti pa je
prikazana na Sliki 20.
Slika 20: Struktura nefinančnih organizacij po poslovni dejavnosti (n = 36)
A - KMETIJSTVO IN LOV, GOZDARSTVO, RIBIŠTVO
B - RUDARSTVO
C - PREDELOVALNE DEJAVNOSTI
D - OSKRBA Z ELEKTRIČNO ENERGIJO, PLINOM IN PARO
E - OSKRBA Z VODO, RAVNANJE Z ODPLAKAMI IN…
F - GRADBENIŠTVO
G - TRGOVINA, VZDRŽEVANJE IN POPRAVILA…
H - PROMET IN SKLADIŠČENJE
I - GOSTINSTVO
J - INFORMACIJSKE IN KOMUNIKACIJSKE DEJAVNOSTI
K - FINANČNE IN ZAVAROVALNIŠKE DEJAVNOSTI
L - POSLOVANJE Z NEPREMIČNINAMI
M - STROKOVNE, ZNANSTVENE IN TEHNIČNE…
N - DRUGE RAZNOVRSTNE POSLOVNE DEJAVNOSTI
O - DEJAVNOST JAVNE UPRAVE IN OBRAMBE,…
P - IZOBRAŽEVANJE
Q - ZDRAVSTVO IN SOCIALNO VARSTVO
R - KULTURNE, RAZVEDRILNE IN REKREACIJSKE…
S - DRUGE DEJAVNOSTI
T - DEJAVNOST GOSPODINJSTEV Z ZAPOSLENIM…
0
0
28
11
3
0
11
3
0
14
0
0
3
0
11
6
11
0
0
0
0
5
10
15
20
25
30
Delež v %
6.1.6.2 Razlike med odgovori finančnih in nefinančnih organizacij
V obdelavi sem tudi ugotavljal, ali obstajajo statistično značilne razlike med odgovori
finančnih organizacij in ostalim vzorcem pri ključnih vprašanjih ankete:

Stopnja razvitosti merjenja informacijske varnosti
Test sem izvedel na rekodirani spremenljivki razvitosti merjenja informacijske varnosti,
ki je imela dve vrednosti – »Manj razvito merjenje« in »Bolj razvito merjenje«. MannWhitney U test je pokazal, da obstaja statistično značilna razlika med finančnimi in
nefinančnimi organizacijami v razvitosti merjenja informacijske varnosti. (U = 404,0, z
= 2,166, p = 0,030). Finančne organizacije imajo bolj razvito merjenje informacijske
varnosti (srednji rang = 32,76) kot nefinančne (srednji rang = 24,28).
59

Področja, na katerih se merijo dejstva, povezana z informacijsko varnostjo
S χ2 preizkusom za povezave je bila ugotovljena statistično pomembna povezanost med
poslovno dejavnostjo organizacije in naslednjimi področji, na katerih se meri
informacijska varnost:
 Upravljanje posegov v produkcijo
To področje meri 65 % finančnih in le 28 % nefinančnih organizacij.
 Upravljanje dobaviteljev in zunanjih izvajalcev
To področje meri 65 % finančnih in le 31 % nefinančnih organizacij.
 Zagotavljanje neprekinjenosti poslovanja
To področje meri 82 % finančnih in 44 % nefinančnih organizacij.
 Obstoj varnostnih politik
To področje meri 88 % finančnih in 61 % nefinančnih organizacij.
Vse povezave so srednje močne (0,3 <φ>0,5), razen zadnje, ki je nizka (φ < 0,3). Rezultati
testov za področja, kjer je bila ugotovljena statistično pomembna povezanost, so zbrani v
Tabeli 12.
Tabela 12: Področja merjenja informacijske varnosti s statistično značilno povezanostjo
na poslovno dejavnostjo
Področje
Upravljanje
posegov
v
produkcijo
Upravljanje
dobaviteljev in
zunanjih
izvajalcev
Zagotavljanje
neprekinjenosti
poslovanja
Obstoj
varnostnih
politik

Delež
organizacij,
ki
merijo področje v %
Finančne
Nefinančne
65
28
χ2
6,582
p
0,010
φ
0,352
65
31
5,574
0,019
0,324
82
44
6,755
0,009
0,357
88
61
4,031
0,045
0,276
Viri podatkov za metrike
Z uporabo Fisherjevega eksaktnega preizkusa je bila ugotovljena statistično pomembna
povezanost med poslovno dejavnostjo organizacije in procesom ukrepanja ob incidentih
kot virom za metrike (p = 0,037). Proces ukrepanja ob incidentih uporablja kot vir za
metrike 93 % finančnih in le 64 % nefinančnih organizacij.
60



Kriteriji za izbiro metrik informacijske varnosti
Med odgovori finančnih in nefinančnih organizacij ni statistično značilnih razlik.
Koristi merjenja informacijske varnosti
Mann-Whitney U test je pokazal, da obstaja statistično značilna razlika med finančnimi
in nefinančnimi organizacijami pri strinjanju s trditvijo »Meritve vodijo k večji
odgovornosti pri izvajanju varnostnih ukrepov« (U = 136,5, z = -2.469, p = 0,014). S to
trditvijo so se nefinančne organizacije strinjale bolj (srednji rang = 26,29) kot nefinančne
(srednji rang = 17,03).
Ovire pri merjenju informacijske varnosti
Med odgovori finančnih in nefinančnih organizacij ni statistično značilnih razlik.
6.1.7 Preverjanje hipotez
6.1.7.1 Preverjanje hipotez o razvitosti merjenja informacijske varnosti glede na določene
lastnosti organizacije
Z raziskavo sem želel tudi ugotoviti, ali obstajajo statistično značilne razlike med odgovori
o razvitosti merjenja informacijske varnosti, če sodelujoče finančne organizacije razdelim v
neodvisne skupine glede na spodaj naštete lastnosti. Pričakovanja o statistični odvisnosti oz.
povezavi med značilnostmi organizacije in razvitostjo merjenja informacijske varnosti sem
izrazil v vrsti hipotez, navedenih v poglavju 5.1 Opis izvedbe raziskave. Na tem mestu se na
njih sklicujem samo z oznakami (zapisane v oklepaju):







Lastništvo organizacije
Nivo razvitosti IT procesov
Obveznost skladnosti z varnostnimi standardi
Izvajanje kakršnihkoli meritev na drugih področjih IT
Izvajanje kakršnihkoli meritev na poslovnih področjih
Vpeljan sistem upravljanja varovanja informacij (SUVI)
Vpeljan sistem kakovosti, npr. ISO9001
(H1)
(H2)
(H3)
(H5)
(H5)
(H4)
(H4)
Spremenljivko, ki opisuje razvitost merjenja informacijske varnosti s šestimi nivoji, sem za
potrebe tega testa rekodiral v novo spremenljivko z dvema kategorijama. Na tak način sem
dobil kategoriji s podobnim številom odgovorov, kar je izboljšalo pogoje za statistične
obdelave. Razvitost merjenja informacijske varnosti je bila tako opredeljena z dvema
kategorijama:


»Manj razvito merjenje«
V to kategorijo sem združil prve tri (nižje) nivoje razvitosti merjenja iz vprašalnika.
»Bolj razvito merjenje«
V to kategorijo sem združil zadnje tri (višje) nivoje razvitosti merjenja iz vprašalnika.
61
Ugotovitve testiranja značilnih statističnih razlik med neodvisnimi skupinami, ki so temeljile
na naslednjih lastnostih finančnih organizacij:

Lastništvo organizacije
Mann-Whitney U test ni pokazal statistično značilnih razlik v razvitosti merjenja
informacijske varnosti glede na lastništvo organizacije. Hipoteza H1 ni potrjena.

Nivo razvitosti IT procesov
Za potrebe testa so bili organizacije razdeljene v dve skupini. V skupino »Slabše razvito«
so bile združene organizacije z zrelostjo IT procesov na prvi štirih nivojih (od
»Neobstoječe« do »Opredeljeno«) v skupino »Dobro razvito« pa tiste z oceno zrelosti
na najvišjih dveh nivojih (»Vodeno in merljivo« ter »Optimizirano«). Mann-Whitney U
test ni pokazal statistično značilnih razlik v razvitosti merjenja informacijske varnosti
glede na razvitost IT procesov. Hipoteza H2 ni potrjena.

Obvezna skladnost z varnostnimi standardi
Finančne organizacije so bile glede na odgovore o pomembnosti skladnosti z varnostnimi
standardi razdeljene v dve skupini. V skupino »Skladnost ni obvezna« so bile uvrščene
tiste, ki so odgovorile, da skladnost ni pomembna ali da je samo zaželena. V drugo
skupino »Skladnost je obvezna« so bile uvrščene organizacije, ki so odgovorile, da je za
njih skladnost obvezna. Mann-Whitney U test je pokazal, da obstaja statistično značilna
razlika med razvitostjo merjenja informacijske varnosti glede potrebo organizacije po
skladnosti z varnostnimi standardi (U = 8,5,
z = -2,692, p = 0,045). Merjenje je bolj razvito v organizacijah, za katere je skladnost z
varnostmi standardi obvezna. S tem je potrjena hipoteza H3.

Vpeljan sistem vodenja
 Vpeljan sistem upravljanja varovanja informacij (SUVI)
Mann-Whitney U test ni pokazal statistično značilnih razlik v razvitosti merjenja
informacijske varnosti glede na vpeljan SUVI. To je majhno presenečenje, glede na
to, da je število sodelujočih finančnih organizacij z vpeljanim SUVI-jem isto kot
število organizacij, pa katerih je skladnost z varnostnimi standardi obvezna.
Podrobnejša analiza je pokazala, da ne gre za iste organizacije. Tri organizacije, za
katere je skladnost obvezna, nimajo vpeljanega SUVI-ja, za tri organizacije, ki imajo
SUVI, pa skladnost ni obvezna. To je nenavadno, saj je SUVI osrednji del
varnostnega standarda ISO/IEC 27001, ki je v Sloveniji za banke obvezen. Te
organizacije torej zahtevane skladnosti ne dosegajo, lahko pa je šlo tudi za napačno
razumevanje, da se vprašanje nanaša na pridobljen certifikat o skladnost z ISO/IEC
27001, ki ga finančne organizacije praviloma nimajo.
62
 Vpeljan sistem upravljanja vodenja kakovosti
Mann-Whitney U test ni pokazal statistično značilnih razlik v razvitosti merjenja
informacijske varnosti glede na vpeljan sistem vodenja kakovosti.
Rezultati statističnega preizkusa hipoteze H4 niso potrdili.

Izvajanje kakršnihkoli meritev na drugih področjih
 Izvajanje kakršnihkoli meritev na drugih področjih IT
Mann-Whitney U test ni pokazal statistično značilnih razlik v razvitosti merjenja
informacijske varnosti glede na izvajanje meritev na drugih področjih IT.
 Izvajanje kakršnihkoli meritev na poslovnih področjih
Mann-Whitney U test ni pokazal statistično značilnih razlik v razvitosti merjenja
informacijske varnosti glede na izvajanje meritev na poslovnih področjih.
Hipoteza H5 tako ni potrjena.
6.1.7.2 Preverjanje hipoteze o povezavi med razvitostjo merjenja informacijske varnosti in
uspešnostjo finančne organizacije
V raziskavi me je tudi zanimalo, ali je višji nivo razvitosti merjenja informacijske varnosti
povezan z večjo uspešnostjo organizacije, merjeno s tržnim deležem. Poslovanje finančnih
organizacij namreč temelji na zaupanju njihovih strank, ki v poslovanju s finančno
organizacijo pričakujejo varnost. Del splošne varnosti poslovanja je tudi informacijska
varnosti. Merjenje je pokazatelj zrelejšega procesa obvladovanja informacijske varnosti,
zato bi pričakovali, da so organizacije, ki merijo informacijsko varnost, uspešnejše. To sem
izrazil v hipotezi H5b.
Iz razsevnega diagrama na Sliki 21 lahko vizualno ugotovimo, da ni povezave med nivojem
razvitosti merjenja informacijske varnosti in uspešnostjo organizacije. Razlog je verjetno v
tem, da informacijska varnost v očeh strank ne predstavlja konkurenčne prednosti finančne
organizacije, ampak sta pomembnejša ugodna in prilagodljiva ponudba ter poslovni odnos.
Informacijska varnost je nujni pogoj, da finančna organizacija lahko posluje, ni pa
razlikovalni element, ki bi prinašal prednost na trgu. S tem je hipoteza H5b ovržena.
63
Slika 21: Razsevni diagram tržni delež – razvitost merjenja informacijske varnosti
35
Tržni delež [%]
30
25
20
15
10
5
0
0
1
2
3
4
5
6
7
Nivo razvitosti merjenje informacijske varnosti
6.1.7.3 Preverjanje hipoteze o razvitejšem merjenju informacijske varnostni v finančnih
organizacijah v primerjavi z ostalimi poslovnimi dejavnostmi
Preizkus statistično značilnih razlik v razvitosti merjenja informacijske varnosti v finančnih
in nefinančnih organizacijah, opisan v poglavju 6.1.6.2, je potrdil hipotezo H5a. V finančnih
organizacijah je merjenje informacijske varnosti bolj razvito.
6.1.8 Povzetek ugotovitev raziskave
V več kot treh četrtinah (77 %) finančnih organizacij v Sloveniji se merjenje informacijske
varnosti izvaja operativno. Tri najpogostejša področja, na katerih se izvaja merjenje, so
zaposleni, pokritost področij delovanja z varnostnimi politikami in analiza tveganj
informacijske varnosti. Najpogostejši vir podatkov za metrike so protivirusna zaščita, mrežni
zaščitni sistemi in proces obvladovanja incidentov. Pri določanju metrik je za finančne
organizacije najpomembneje, da so metrike razumljive in ponovljive. Merjenje omogoča
prepoznavanje pomanjkljivosti v informacijski varnosti in uspešnejše odločanje. Prav
velikih ovir za merjenje ni, še najbolj manjkajo primerljivi podatki o rezultatih meritev v
drugih organizacijah. Merjenje informacijske varnosti je bolj razvito v organizacijah, ki
morajo delovati skladno z varnostnimi standardi. Uspešnost poslovanja organizacije pa ni v
korelaciji z razvitostjo merjenja informacijske varnosti. V finančnih organizacijah je
merjenje informacijske varnosti razvitejše kot v nefinančnih in na nekaterih področjih
delovanja so finančne organizacije opazno aktivnejše pri izvajanju merjenja (upravljanje
posegov v produkcijo, upravljanje dobaviteljev in zunanjih izvajalcev, zagotavljanje
neprekinjenosti poslovanja) in pri pripravi varnostnih politik. Pri uporabi virov podatkov za
metrike med finančnimi in nefinančnimi organizacijami ni statistično značilnih razlik razen
procesa upravljanja incidentov, ki ga kot vir uporablja pomembno večji delež finančnih kot
nefinančnih organizacij. Ni pa med finančnimi in nefinančnimi organizacijami statistično
značilnih razlik v kriterijih za izbiro metrik niti v prepoznanih koristih in ovirah za merjenje.
64
6.2 Pomembnost vidikov informacijske varnosti za različne nivoje
upravljanja
6.2.1 Zanesljivost vprašalnika
Za vprašanja, pri katerih so morali anketiranci izraziti svoje mnenje s pomočjo Likertove
lestvice, sem izračunal koeficient Cronbach alfa. Vrednost koeficienta Cronbach alfa za
vprašanja tega vprašalnika se je gibala med 0,425 in 0,952 (Tabela 13).
Tabela 13: Začetni koeficient Cronbach alfa – vprašalnik o pomembnosti vidikov
informacijske varnosti
Vprašanje
Koeficient Cronbach alfa
Prosim, da označite pomembnost različnih
vidikov informacijske varnosti za vas oz.
vašo vlogo v organizaciji. Kaj je vaša
največja skrb v zvezi z informacijsko
varnostjo, o čem želite biti vedno na
tekočem?
Prosim, da označite pomembnost različnih
vidikov informacijske varnosti za vas oz.
vašo vlogo v organizaciji. Kaj je vaša
največja skrb v zvezi z informacijsko
varnostjo, o čem želite biti vedno na
tekočem?
Če dobivate poročila o informacijski
varnosti iz IT sektorja, kako ste z njimi
zadovoljni ?
Če dobivate poročila o informacijski varnosti
iz organizacijskih enot, ki niso IT, kako ste z
njimi zadovoljni?
0,952
Število
trditev
17
0,952
17
0,492
6
0,425
6
Obe vprašanji o zadovoljstvu s poročili o informacijski varnosti izkazujeta prenizek
koeficient Cronbach alfa. Nadaljnja analiza je pokazala, da sta pri obeh vprašanjih za to krivi
dve trditvi:


»Poročila so preveč tehnična«
»Predstavitev informacij v poročilih poslovnih funkcij organizacije je razumljivejša kot
v poročilih o informacijski varnosti«
Ob izločitvi teh dveh trditev iz vprašanj bi se koeficient Cronbach alfa povečal na 0,781
oziroma na 0,804, kar pa že pomeni dobro zanesljivost. Zato v nadaljnji obdelavi nisem
65
upošteval trditev, ki so rušile konsistentnost vprašalnika. Končne vrednosti koeficientov
Cronbach alfa so zbrane v Tabeli 14.
Tabela 14: Končni koeficient Cronbach alfa – vprašalnik o pomembnosti vidikov
informacijske varnosti
Vprašanje
Prosim, da označite pomembnost različnih
vidikov informacijske varnosti za vas oz.
vašo vlogo v organizaciji. Kaj je vaša
največja skrb v zvezi z informacijsko
varnostjo, o čem želite biti vedno na
tekočem?
Če dobivate poročila o informacijski varnosti
iz IT sektorja, kako ste z njimi zadovoljni ?
0,952
Število
trditev
17
0,781
4
Če dobivate poročila o informacijski varnosti
iz organizacijskih enot, ki niso IT, kako ste z
njimi zadovoljni?
0,804
4
Koeficient Cronbach alfa
6.2.2 Podatki o vzorcu in respondentih
Iz vseh izpolnjenih vprašalnikov sem upošteval samo odgovore srednje velikih in velikih
organizacij. Iz razporeditve po poslovni dejavnosti na Sliki 22 se vidi struktura respondentov
po poslovni dejavnosti, ki pa ne ustreza strukturi organizacij v Sloveniji (glej Prilogo 14).
Zelo očitna je nadpovprečna zastopanost javne uprave, informacijske in finančne dejavnosti
ter premajhna zastopanost izobraževanega sektorja. Tudi število odgovorov (117) je bilo
premajhno, da bi lahko trdili, da predstavljajo reprezentativni vzorec za slovenski prostor.
Uporabljeni način vzorčenja lahko opredelim kot neverjetnostnega in priložnostnega, saj
sem izbral enote, ki so bile najlaže dosegljive oz. vse, ki so sploh hoteli sodelovati. Tak način
vzorčenja se pogosto uporablja v odkrivalnem raziskovanju, ko želi raziskovalec pridobiti
grobe, izhodiščne informacije o raziskovalnem problemu (Bregar et al., 2005, str. 44).
Morda bi lahko zopet opazoval samo finančne institucije kot pri anketi o merjenju
informacijske varnosti, vendar bi se število enot v vzorcu močno zmanjšalo: s 117 na 29. Še
bolj bi se zmanjšalo število enot po posameznih nivojih upravljanja. Določene funkcije
upravljanja bi tako imele samo enega zastopnika, nekatere pa sploh nobenega, kar spet
relativizira reprezentativnost vzorca za finančne organizacije. Dodatni testi, ki bodo
predstavljeni v nadaljevanju, so pokazali, da obstajajo določene statistično značilne razlike
med nekaterimi nivoji upravljanja v finančnih in nefinančnih organizacijah. Vendar pa, če
primerjamo nesegmentirane odgovore, statistično pomembnih razlik med odgovori
finančnih in nefinančnih organizacij ni. Zato sem se odločil, da bom upošteval širši vzorec,
66
ki ponuja več enot v posameznih kategorijah in s tem omogoča boljšo izvedbo statističnih
testov. Pri tem bom razlike med finančnimi in nefinančnimi organizacijami posebej
izpostavil.
Slika 22: Struktura respondentov po poslovni dejavnosti (n = 117)
A - KMETIJSTVO IN LOV, GOZDARSTVO, RIBIŠTVO
B - RUDARSTVO
C - PREDELOVALNE DEJAVNOSTI
D - OSKRBA Z ELEKTRIČNO ENERGIJO, PLINOM IN PARO
E - OSKRBA Z VODO, RAVNANJE Z ODPLAKAMI IN…
F - GRADBENIŠTVO
G - TRGOVINA, VZDRŽEVANJE IN POPRAVILA…
H - PROMET IN SKLADIŠČENJE
I - GOSTINSTVO
J - INFORMACIJSKE IN KOMUNIKACIJSKE DEJAVNOSTI
K - FINANČNE IN ZAVAROVALNIŠKE DEJAVNOSTI
L - POSLOVANJE Z NEPREMIČNINAMI
M - STROKOVNE, ZNANSTVENE IN TEHNIČNE…
N - DRUGE RAZNOVRSTNE POSLOVNE DEJAVNOSTI
O - DEJAVNOST JAVNE UPRAVE IN OBRAMBE,…
P - IZOBRAŽEVANJE
Q - ZDRAVSTVO IN SOCIALNO VARSTVO
R - KULTURNE, RAZVEDRILNE IN REKREACIJSKE…
S - DRUGE DEJAVNOSTI
T - DEJAVNOST GOSPODINJSTEV Z ZAPOSLENIM…
U - DEJAVNOST EKSTERITORIALNIH ORGANIZACIJ IN…
1
0
15
3
3
2
4
3
0
15
25
0
3
0
15
4
4
0
3
0
0
0
5
10
15
20
25
30
Delež v %
Slika 23 kaže, da so v vzorcu prevladovale velike organizacije (65 %). Predvidevam, da
imajo velike organizacije večje IT službe, pri katerih je upravljanje bolj pomembno in so
bile zato bolj zainteresirane sodelovati v raziskavi.
Slika 23: Struktura respondentov glede na velikost organizacij v % (n = 117)
Srednje
35
Veliko
65
67
Slika 24 prikazuje strukturo respondentov glede na funkcijo, ki jo opravljajo v organizaciji.
Najpogosteje so na anketo odgovarjali člani vodstva poslovne funkcije, vodje IT oddelka in
varnostni inženirji. Posebej bi rad poudaril, da respondenti te ankete niso bili isti kot
respondenti ankete o merjenju informacijske varnosti. Večina tistih, ki so izpolnili anketo o
merjenju informacijske varnosti, je odgovarjala tudi na vprašalnik o pomembnosti vidikov
informacijske varnosti. To lahko zaključimo na podlagi podatkov tistih respondentov, ki niso
izkoristili možnosti popolne anonimnosti in njihove vloge v organizaciji. Je pa poleg njih
odgovarjalo še mnogo drugih vodstvenih ali strokovnih kadrov, bodisi iz iste ali drugih
organizacij, kar je razvidno že iz razlike v številu odgovorov.
Slika 24: Struktura respondentov glede na funkcijo v organizaciji (n = 117)
Član najvišjega vodstva organizacije, uprave
10
Član vodstva poslovne funkcije (sektorja, področja,…
21
Vodja poslovnega oddelka
4
Član vodstva IT sektorja (področja, službe,...)
9
Vodja IT oddelka
19
Vodja informacijske zaščite, pooblaščenec za…
11
Varnostni inženir (Information Security Officer,…
13
IT administrator, skrbnik strežnika, administrator…
4
Razvijalec programske opreme, tehnolog,…
3
IT skrbnik zaščitnega sistema (npr. požarne…
1
Notranji revizor, skrbnik sistema kakovosti
1
Izvajalec IT storitev za stranke, svetovalec
1
0
5
10
15
20
25
Delež v %
6.2.3 Pomembnost različnih vidikov informacijske varnosti
Na Sliki 25 so prikazani vidiki informacijske varnosti, urejeni po pomembnosti. Noben od
ponujenih vidikov ni bil ocenjen kot nepomemben. Vidimo, da so respondenti kot
najpomembnejši vidike ocenili »Uspešnost izdelave varnostnih kopij«, »Skladnost z
zakonskimi in regulatornimi zahtevami« ter »Ali organizacija obvladuje varnostna
tveganja«. Povprečna ocena pomembnosti teh vidikov je 4,6. Drugi sklop vidikov s
povprečno oceno pomembnost 4,4 zajema »Vpliv varnostnih incidentov na poslovanje«,
Ažurno nameščanje varnostnih popravkov« in »Vpliva varnostnih incidentov na ugled
organizacije«. Tudi najmanj pomemben vidik »Status nalog iz plana informacijske varnosti«
se je približal oceni Dokaj pomembno (3,8). Zanimivo je, da so kljub gospodarski krizi, ki
je vladala v obdobju izvajanje raziskave, stroški čisto na repu prioritet, in da so skoraj vsi
ponujeni drugi vidiki ocenjeni kot pomembnejši.
Respondenti so izpostavili še dodatne vidike, ki v vprašalniku niso bili zajeti, pri čemer pa
68
sta bila najpogostejša dva:


Izobraževanje zaposlenih,
Varnost osebnih podatkov.
Slika 25: Pomembnost vidikov informacijske varnosti
Uspešnost izdelave varnostnih kopij
Skladnost z zakonskimi in regulatornimi zahtevami
Ali organizacija obvladuje informacijska tveganja?
Vpliv varnostnih incidentov na poslovanje
Ažurno nameščanje varnostnih popravkov
Vpliv varnostnih incidentov na ugled organizacije
Skladnost IT sistemov z varnostno politiko
Sedanje stanje informacijske varnosti
Skladnost delovanja s politiko informacijske varnosti
Vpliv informacijske varnosti na izpolnjevanje…
Uspešnost procesa upravljanja informacijske varnosti
Vpliv informacijske varnosti na uvajanje novih storitev…
Vpliv informacijske varnosti na kompleksnost…
Učinkovitost procesa upravljanja informacijske varnosti
Trendi, razvoj zrelosti informacijske varnosti
Stroški zagotavljanja informacijske varnosti
Status nalog iz plana informacijske varnosti
0
4,6
4,6
4,6
4,4
4,4
4,4
4,2
4,2
4,2
4,1
4,1
4,1
4
4
3,9
3,9
3,8
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
1 - Sploh ni pomembno 2 - Ni preveč pomembno 3 - Še kar pomembno 4 - Dokaj pomembno 5 - Zelo
pomembno

Pomembnost vidikov po posameznih nivojih upravljanja
Ključni cilj te ankete je bil ugotoviti, kako se razlikuje pomembnost različnih vidikov
informacijske varnosti v očeh različnih nivojev upravljanja. Pri tem sem v posamezne nivoje
upravljanja združil naslednje funkcije:





Najvišje vodstvo: člani najvišjega vodstva
Direktorji: Člani vodstva poslovne organizacije enote, člani vodstva IT sektorja
Vodje oddelkov: vodje poslovnih in IT oddelkov
Funkcija varovanja: vodja informacijske zaščite, varnostni inženir
Operativni skrbniki: razvijalci programske opreme, sistemski analitiki, IT
administratorji, skrbniki IT zaščitnih sistemov
 Drugo: notranji revizorji, izvajalec IT storitve za stranke, svetovalci, ostalo
V Tabeli 15 so za vsak nivo upravljanja predstavljeni vidiki, ki so dobili povprečno oceno
pomembnosti 4,50 ali več. Operativni skrbniki pomembnosti nobenega vidika niso ocenili
tako visoko. Vseeno sem vključil tudi tista najpomembnejša tveganja po njihovem izboru,
69
ki so dobila štiri najvišje ocene. Izpustil sem nivo »Drugo«, ker večinoma zajema mnenja
respondentov, ki svoje vloge v organizaciji niso točneje opredelili.
Tabela 15: Najpomembnejši vidiki po posameznih nivojih upravljanja
Zap
. št.
1
Najvišje
vodstvo
Ali
organizacija
obvladuje
informacijsk
a tveganja?
Oce
na
4,82
2
Skladnost z
zakonskimi
in
regulatorni
mi
zahtevami
4,73
3
Uspešnost
izdelave
varnostnih
kopij
4,64
Vpliv
varnostnih
incidentov
na
poslovanje
4,57
4
Ažurno
nameščanje
varnostnih
popravkov
4,64
Uspešnost
izdelave
varnostnih
kopij
4,51
5
Vpliv
varnostnih
incidentov
na
poslovanje
Skladnost IT
sistemov z
varnostno
politiko
4,55
4,51
Vpliv
informacijsk
e varnosti na
izpolnjevanj
e
pogodbenih
dogovorov
4,55
Vpliv
varnostnih
incidentov
na
ugled
organizacije
Ali
organizacija
obvladuje
informacijsk
a tveganja?
Ažurno
nameščanje
varnostnih
popravkov
Skladnost
delovanja s
politiko
informacijsk
e varnosti
4,54
6
7
8
4,55
Direktorji
Skladnost z
zakonskimi
in
regulatorni
mi
zahtevami
Ali
organizacija
obvladuje
informacijsk
a tveganja?
Oce
na
4,66
Vodje
oddelkov
Uspešnost
izdelave
varnostnih
kopij
Oce
na
4,85
Funkcija
varovanja
Ali
organizacija
obvladuje
informacijsk
a tveganja?
Oce
na
4,75
Operativni
skrbniki
Uspešnost
izdelave
varnostnih
kopij
Oce
na
4,44
4,63
Skladnost
z
zakonski
mi
in
regulatorn
imi
zahtevami
Vpliv
varnostnih
incidentov
na
poslovanj
e
4,69
Skladnost z
zakonskimi
in
regulatorni
mi
zahtevami
4,71
Ali
organizacija
obvladuje
informacijsk
a tveganja?
3,89
4,58
Vpliv
varnostnih
incidentov
na
ugled
organizacije
4,61
Ažurno
nameščanje
varnostnih
popravkov
3,78
Uspešnost
izdelave
varnostnih
kopij
4,50
Vpliv
informacijsk
e varnosti na
uvajanje
novih
storitev za
stranke
Stroški
zagotavljanj
a
informacijsk
e varnosti
3,44
4,54
4,54
70
3,44
Slika 26 prikazuje grafično primerjavo, kako so pomembnost posameznih vidikov
informacijske varnosti ocenjevali različni nivoji upravljanja. Vidimo, da so razlike v
prioritetah posameznih vidikov majhne. Izjema so operativni skrbniki, ki pomembnost
skoraj vseh vidikov razen vidika »Uspešnost izdelave varnostnih kopij« ocenjujejo za razred
niže kot vodstveni nivoji.
Slika 26: Primerjava pomembnosti vidikov informacijske varnosti po nivojih upravljanja
Da bi ugotovil, ali obstajajo statistično pomembne razlike med nivoji upravljanja in pri
katerih vidikih, sem izvedel Kruskal-Wallis H test. Kruskal-Wallis H test se pogosto
uporablja kot neparametrična alternativa enosmerne ANOVE, kadar podatki ne zadostijo
predpostavkam testa ANOVA (Laerd Statistics, 2014). V našem primeru ni bila izpolnjena
predpostavka o normalni porazdelitvi, kar sem preveril s Saphiro-Wilk testom.
Značilno pomembne razlike so bile ugotovljene na vidikih »Vpliv varnostnih incidentov na
ugled organizacije« (χ2 (5) = 14,350, p = 0,014), »Skladnost delovanja s politiko
informacijske varnosti« (χ2 (5) = 11,947, p = 0,036) in »Vpliv informacijske varnosti na
izpolnjevanje pogodbenih dogovorov« (χ2 (5) = 11,414, p = 0,044).
Za te vidike informacijske varnosti sem s post-hoc testom še raziskal, med katerimi nivoji
obstajajo razlike. Pri vseh statično pomembnih razlikah so udeleženi Operativni skrbniki,
kar je bilo za pričakovati glede na grafično primerjavo pomembnosti nivojev na Sliki 26.
Tabela 16 prikazuje pare, pri katerih so bile ugotovljene statistično značilne razlike v oceni
71
pomembnosti posameznega vidika informacije varnosti. V oklepaju je podan srednji rang –
višji rang pomeni relativno višjo pomembnost vidika za nivo upravljanja.
Tabela 16: Statistično pomembne razlike v oceni pomembnosti vidikov informacijske
varnosti med posameznimi nivoji upravljanja
Nivo 1 (srednji rang)
Nivo 2 (srednji rang)
Stopnja značilnosti
p
Vpliv varnostnih incidentov na ugled organizacije
Operativni skrbniki
(27,2) Vodje oddelkov
(60,78)
Operativni skrbniki
(27,2) Direktorji
(61,10)
Operativni skrbniki
(27,2) Funkcija varovanja (65,25)
0,029
0,019
0,006
Skladnost delovanja s politiko informacijske varnosti
Operativni skrbniki
(31,30) Vodje oddelkov
(65,74)
0,032
Vpliv informacijske varnosti na izpolnjevanje pogodbenih dogovorov
Operativni skrbniki
(30,89) Najvišje vodstvo
(73,09)
0,033
Zanimalo me je tudi, ali obstajajo statistično značilne razlike v oceni pomembnosti vidikov
informacijske varnosti med poslovnimi funkcijami, IT funkcijami in funkcijo varovanja. V
to primerjavo sem vključil le nivoje, katerih ključna naloga je odločanje, izpustil pa sem
operativni nivo. Pri tem sem v posamezne nivoje upravljanja združil naslednje funkcije:
 Poslovne funkcije
Zajema člane najvišjega vodstva, člane vodstva poslovne organizacije enote in vodje
poslovnih enot.
 IT funkcije
Vsebuje člane vodstva IT sektorja in vodje IT oddelkov
 Funkcija varovanja
Združuje funkciji vodja informacijske zaščite in varnostni inženir
Slika 27 prikazuje grafično primerjavo, kako je pomembnost posameznih vidikov
informacijske varnosti ocenjevalo poslovno vodstvo, IT vodstvo in funkcija varovanja.
Obstajajo malenkostna odstopanja, vendar nič velikega. Primerjavo med oceno
pomembnosti vidikov sem naredil še s Kruskal-Wallis H testom, ki dejansko ni pokazal
statistično značilnih razlik.
72
Slika 27: Primerjava pomembnosti vidikov informacijske varnosti med poslovnim
vodstvom, IT vodstvom in funkcijo varovanja
6.2.4 Priprava in prejemanje poročil o informacijski varnosti
V raziskavi me je zanimalo, od kod prejemniki dobijo poročila o informacijski varnosti.
Statistiko odgovorov prikazuje Slika 28. O informacijski varnosti še vedno najpogosteje
poroča IT sektor. Odgovor, da sami pripravljajo poročila, so največkrat izbrali respondenti,
ki se primarno ukvarjajo z informacijsko varnostjo, in vodstvene funkcije IT sektorja, ob
tem, da poročila o varnosti tudi prejemajo. Predpostavljam, da poročila o informacijski
varnosti prejemajo od operativnih skrbnikov, nato pa podatke uporabijo pri pripravi
nadaljnjih poročilih za vodstvo organizacije.
Slika 28: Pripravljavci poročil o informacijski varnosti (n = 106)
Poročila o informacijski varnosti dobimo iz IT sektorja
45
Sami pripravljamo poročila o informacijski varnosti
38
Poročila o informacijski varnosti dobimo iz
organizacijskih enot, ki niso IT
25
Poročil o informacijski varnosti ne dobivamo
20
0
5
10
15
20
25
30
Delež v %
73
35
40
45
50
Redno poročanje o informacijski varnosti poteka najpogosteje letno, kvartalno in mesečno.
Pogostejše poročanje je razmeroma redko. V večini organizacij poročila o informacijski
varnosti izdelujejo tudi po potrebi oz. na zahtevo. Zanimivo, da je le manjši delež
prejemnikov poročil odgovoril, da dobivajo letna poročila, medtem ko je letna frekvenca
druga najpogostejša pri pripravljavcih poročil. Morda si to lahko razlagamo tako, da se letno
poročilo pripravlja bolj za interno oceno opravljenega dela v preteklem letu in se ga ne
posreduje naprej. Delež pogostosti prejema in priprave poročil o informacijski varnosti
prikazuje slika 29.
Slika 29: Pogostost prejema in priprave poročil o informacijski varnosti
0,60
0,53
0,48
Delež v %
0,50
0,45
0,40
0,33
0,30
0,20
0,33
0,25
0,18
0,15
0,11 0,13
0,07 0,05
0,10
0,00
Letno
Kvartalno
Mesečno
Tedensko
Dnevno
Po potrebi / na
zahtevo
Frekvenca
Prejem poročil (n=57)
Priprava poročil (n=40)
Slika 30 prikazuje, da so prejemniki poročil o informacijski varnosti na splošno zadovoljni
s poročili. Prejemniki so nekoliko bolj zadovoljni z vsebino poročil, ki jih dobijo iz IT službe,
kot če se poročilo o informacijski varnosti pripravi drugje. Informacije v poročilih o
informacijski varnosti so enako razumljive kot informacije v poročilih poslovnih funkcij.
Slika 30: Zadovoljstvo prejemnikov s poročili o informacijski varnosti
Predstavitev informacij v poročilih poslovnih funkcij
organizacije je razumljivejša kot v poročilih o…
3,1
3,1
3,8
4
Razumljivost poročil o informacijski varnosti je dobra
3,6
Pogostost poročanja je primerna
4
3,8
4
Informacije v poročilih omogočajo odločanje
4,1
4,2
Poročila vsebujejo relevantne informacije
0
0,5
1
1,5
2
2,5
3
3,5
1-Sploh se ne strinjam 2-Se pretežno ne strinjam 3-Sem neopredeljen 4-Večinoma se strinjam 5Popolnoma se strinjam
Poročila iz neIT sektorja (n=25)
74
Poročila iz IT sektorja (n=46)
4
4,5
6.2.5 Preverjanje hipotez
Pred začetkom raziskave sem pričakoval, da bodo različni nivoji upravljanja v organizacijah
imeli različne prioritete glede posameznih vidikov informacijske varnosti, odvisno od tega,
ali jih zanima strateški, taktični ali operativni vidik. Tako je napovedovala literatura (Hoehl,
2010, str.10–11) in tudi moje izkušnje z drugih področij upravljanja IT. V skladu s temi
pričakovanji sem oblikoval hipotezo H6, ki pa je podatki, pridobljeni z raziskavo, niso
potrdili. V ocenah pomembnosti vidikov informacijske varnosti, ki jih je ponudil vprašalnik,
so sicer bile med posameznimi nivoji upravljanja malenkostne razlike, ki pa v veliki večini
niso statistično značilne. Statistično pomembne razlike so bila ugotovljene le pri odgovorih
operativnih skrbnikov v primerjavi z drugimi nivoji upravljanja, pa še to le pri treh vidikih
informacijske varnosti. Kot že rečeno, se percepcija pomembnosti vidikov informacijske
varnosti med vlogami, ki v organizaciji dejansko odločajo, ne razlikuje. Razlike ni niti, če
primerjamo odgovore poslovnega vodstva z IT vodstvom. Enako mnenje kot vodstvo imajo
tudi nosilci funkcij, ki so primarno zadolženi za varovanje informacij.
Razlog za to, da se niso pokazale razlike v pomembnosti vidikov informacijske varnosti, je
morda njihov nepopoln nabor, ki ni dovolj široko zajel vseh operativnih, taktičnih in
strateških vidikov. V vprašalnik so bili vključeni večinoma vidiki, ki so bili po mojem
mnenju pomembni. Če bi bili vključeni tudi taki, ki se mi zdijo nepomembni za ciljno
skupino anketirancev, bi morda bile izkazane večje razlike v odgovorih. Vendar se je vidik
»Uspešnost izdelave varnostnih kopij«, ki se je meni zdel izrazito operativna naloga, tudi pri
vodstvenih funkcijah izkazal kot eden najpomembnejših. Mogoče je tudi, da se vse, kar je v
zvezi z informacijsko varnostjo, zdi vsem, ki so bili pripravljeni sodelovati v raziskavi, zelo
pomembno. Tako so morda respondenti ocenjevali pomembnost vidikov bolj z načelne plati
in ne, o katerih zadevah bi bil radi takoj obveščeni. Na to nakazuje razmeroma nizka
pomembnost stroškov, čeprav je v praksi denar vedno problem.
6.2.6 Povzetek ugotovitev raziskave
Raziskava je pokazala, da so najpomembnejši vidiki informacijske varnosti »Uspešnost
izdelave varnostnih kopij«, »Skladnost z zakonskimi in regulatornimi zahtevami« ter »Ali
organizacija obvladuje varnostna tveganja«. Naslednji sklop vidikov z malenkost nižjo
oceno zajema »Vpliv varnostnih incidentov na poslovanje«, »Ažurno nameščanje varnostnih
popravkov« in »Vpliv varnostnih incidentov na ugled organizacije«. Primerjava med
upravljavskimi nivoji Najvišje vodstvo, Direktorji, Vodje oddelkov in Funkcija varovanja ni
pokazala statistično značilnih razlik, kar je v nasprotju s postavljenimi hipotezami na začetku
raziskave. V oceni pomembnosti vidikov informacijske varnosti se od vodstvenih razlikuje
operativni nivo. Večinoma je ocena pomembnosti za razred nižja od ocene ostalih nivojev,
vendar je bila statistično pomembna razlika ugotovljena samo pri treh vidikih. Vidik
»Uspešnost izdelave varnostnih kopij« vsi nivoji ocenjujejo približno kot enako zelo
pomembnega.
75
Najbolj pogosta frekvenca rednega poročanja o informacijski varnosti je leto, sledi pa
poročanje na zahtevo. Na splošno so prejemniki poročil zadovoljni s poročili, je pa tu še
nekaj prostora za izboljšanje, zlasti pri poročilih, ki se ne pripravljajo v IT sektorju.
SKLEP
Če želimo izboljšati delovanje organizacije na področju informacijske varnosti, moramo o
informacijski varnosti v organizaciji vedeti čim več. Najboljši vpogled, kaj se z
informacijsko varnostjo dogaja, je merjenje ključnih dogodkov in stanj, ki so za
informacijsko varnost pomembni. Z merjenjem ugotavljamo, ali smo dosegli zastavljene
cilje. Še pomembneje je meriti uspešnost izvajanja procesov, ki so potrebni za doseganje
cilja. Če ugotovimo odstopanja od pričakovanega stanja dovolj zgodaj, imamo čas z
dodatnimi ukrepi izboljšati aktivnosti tako, da bomo prišli do zastavljenega cilja. Rezultati
meritev skozi časovno obdobje predstavljajo metrike, s katerimi spremljamo uspešnost
procesov in ukrepov za odpravo anomalij. Poglavitno pravilo, ki bi se ga morali držati, je,
da metrike izbiramo v skladu s cilji in specifičnimi okoliščinami v organizaciji in da
zagotovimo tesno povezanost ciljev in metrik, ki merijo doseganje teh ciljev.
Namen magistrskega dela je bil raziskati, kako je v organizacijah v Sloveniji razvito
merjenje informacijske varnosti in kakšne so njegove značilnosti. Pri tem sem si postavil več
ciljev, ki sem jih v nalogi tudi uresničil. Iz literature sem zbral razlage ključnih pojmov
merjenja in metrik ter prikazal, kakšen pomen metrikam pripisujejo uveljavljeni okviri za
upravljanje informacijske tehnologije in informacijske varnosti. Predstavil sem najbolj
znane standarde in smernice za izbiro dobrih metrik. Posebno pozornost sem namenil
vzpostavitvi Sistema uravnoteženih kazalcev za informacijsko varnost ter metodam za
uskladitev metrik s cilji organizacije. Empirična raziskava o stanju merjenja informacijske
varnosti zavzema osrednji del magistrske naloge. Ob zaključku ankete število in struktura
respondentov nista predstavljala reprezentativnega vzorca organizacij v Sloveniji. Zato sem
se v analizi rezultatov ankete osredotočil na finančne organizacije, ki imajo potrebo po višji
informacijski varnosti in lahko z uporabo metrik veliko pridobijo. Ugotovljene značilnosti
merjenja v finančnih organizacijah sem nato primerjal še z ostalimi odgovori, ki sem jih
zbral od organizacij iz drugih poslovnih dejavnosti. Namen magistrske naloge je tako v celoti
dosežen, čeprav je bila raziskava opravljena na drugačni populaciji, kot je bilo v začetku
predvideno.
V prvem delu empirične raziskave sem ugotavljal, kako je razvito merjenje informacijske
varnosti v finančnih organizacijah. Ugotovil sem, da se v več kot treh četrtinah finančnih
organizacij v Sloveniji merjenje informacijske varnosti aktivno izvaja. Tri najpogostejša
področja, na katerih se izvaja merjenje, so zaposleni, pokritost področij delovanja z
varnostnimi politikami in analiza tveganj informacijske varnosti. Najpogostejši vir podatkov
za metrike so protivirusna zaščita ter mrežni zaščitni sistemi ter proces obvladovanja
incidentov. Najpomembnejša kriterija pri določanju metrik v finančnih organizacijah sta
razumljivost in ponovljivost metrik. Po mnenju sodelujočih finančnih organizacij je največja
76
korist merjenja ta, da omogoča prepoznavati pomanjkljivosti v informacijski varnosti in
uspešnejše odločanje. Velikih ovir za merjenje ni, še najbolj manjkajo primerljivi podatki o
rezultatih meritev v drugih organizacijah.
Merjenje informacijske varnosti je bolj razvito v organizacijah, ki morajo delovati skladno
z varnostnimi standardi. Pokazalo se je, da pri razvitosti merjenja ni razlik med
organizacijami v domači in tuji lasti. Prav tako raziskava ni potrdila hipoteze, da je uspešnost
poslovanja organizacije povezana z razvitostjo merjenja informacijske varnosti. Očitno je
dobra varnost za finančne organizacije nujni pogoj, ni pa razlikovalna prednost, vsaj v
obdobju, ko ni odmevnejših varnostnih incidentov. V nasprotju s postavljeno hipotezo
razvitost merjenja ni povezana niti s tem, ali ima organizacija vpeljan sistem vodenja
kakovosti oz. sistem upravljanja informacijske varnosti. Odgovore finančnih organizacij
sem primerjal z odgovori nefinančnih. V finančnih organizacijah je merjenje informacijske
varnosti pričakovano razvitejše kot v nefinančnih in na nekaterih področjih delovanja so
finančne organizacije opazno aktivnejše pri izvajanju merjenja. Finančne organizacije kot
vir za metrike bolj uporabljajo proces ukrepanja ob incidentih kot nefinančne, drugih
statistično značilnih razlik pri virih za metrike pa ni. Med finančnimi in nefinančnimi
organizacijami tudi ni statistično značilnih razlik v kriterijih za izbiro metrik niti v
prepoznanih koristih in ovirah za merjenje.
Namen drugega dela raziskave je bil pridobiti vpogled, kateri vidiki informacijske varnosti
so pomembni za posamezne nivoje upravljanja v organizaciji. S tem sem želel ugotoviti,
katere metrike bi bile zanimive za različne prejemnike poročil o informacijski varnosti.
Raziskava je pokazala, da so najpomembnejši vidiki informacijske varnosti uspešnost
izdelave varnostnih kopij, skladnost z zakonskimi in regulatornimi zahtevami ter
obvladovanje varnostnih tveganj. Naslednji sklop vidikov z malenkost nižjo oceno, zajema
vpliv varnostnih incidentov na poslovanje, ažurnost nameščanja varnostnih popravkov in
vpliv varnostnih incidentov na ugled organizacije. Primerjava med upravljavskimi nivoji
Najvišje vodstvo, Direktorji, Vodje oddelkov in Funkcija varovanja ni pokazala statistično
značilnih razlik, kar je v nasprotju s postavljeno hipotezo na začetku raziskave. V oceni
pomembnosti vidikov informacijske varnosti se od vodstvenih razlikuje operativni nivo, ki
praviloma vse vidike razen varnostnega kopiranja ocenjuje z nižjo pomembnostjo.
Statistično pomembnih razlik med odgovori finančnih in nefinančnih organizacij ni bilo.
Ugotovitev raziskave, da ni razlik v dojemanju pomembnosti različnih vidikov med
strateškim, taktičnim in operativnim menedžmentom, je presenečenje. Ali to pomeni, da bi
vsi želeli dobiti poročilo o informacijski varnosti z enakimi metrikami, kar je v nasprotju z
navedbami v literaturi (Hoehl, 2010; Chew et al., 2008, str. 26)? Še vedno sem prepričan, da
ne. Vzrok, zakaj raziskava tega ni potrdila, bi lahko bil v preozkem vprašalniku, ki je ponujal
na izbiro samo splošne pomembne vidike, ne pa tudi takih, ki bi bili značilni zgolj za en
vodstveni nivo. Pa tudi, če ima isti vidik informacijske varnosti isto prioriteto za vse
vodstvene nivoje, jih verjetno najbolj zanima v okviru njihovih odgovornosti: najvišje
vodstvo na nivoju celotne organizacije, direktorje na nivojih njihovih organizacijskih enot,
77
vodjo oddelka pa po posameznih timih ali sistemskih platformah. Poleg tega lahko ista
metrika različne nivoje upravljanja zanima z različno stopnjo podrobnosti. Vse to pa pomeni,
da vsak vodstveni nivo potrebuje svoje poročilo s posebej prirejenimi metrikami.
Moj osebni prispevek k znanosti v magistrskem delu predstavlja lastna empirična raziskava
o stanju merjenja informacijske varnosti v slovenskih podjetjih. Pred to raziskavo ni bilo
znano, ali organizacije v Sloveniji sploh merijo informacijsko varnost, zdaj pa imamo
podatke tako o področjih, ki so največkrat predmet merjenja kot o virih podatkov in kriterijih
za izbiro metrik. To je prva tovrstna raziskava v slovenskem prostoru in njene ugotovitve se
lahko uporabijo kot izhodišče za nadaljnje raziskovanje.

Predlogi za nadaljnje raziskovanje
V nalogi sem predstavil tudi BSC sistem za informacijsko varnost. Nadaljnje raziskovanje
bi lahko imelo za cilj preučitve študije primera priprave BSC kazalnikov v konkretni
organizaciji, v kateri bi se na praktičnem primeru prikazalo določanje ključnih ciljev na vseh
perspektivah in utemeljila izbira uporabljenih metrik.
Z nadaljnjim raziskovanjem bi lahko podrobneje preučila vzroke ugotovitve, da ni bistvenih
razlik v dojemanju pomembnosti raznih vidikov informacijske varnosti med različnimi
nivoji upravljanja. Pri tem bi lahko bilo temeljno razvojno vprašanje, katera informacijska
tveganja se različnim nivojem vodenja zdijo najpomembnejša.
78
LITERATURA IN VIRI
1. Agencija za trg vrednostnih papirjev. (2014). Družbe za upravljanje in investicijski
skladi. Najdeno 23. avgusta 2014 na spletnem naslovu http://www.atvp.si/Default.aspx?id=101
2. Agencija za zavarovalni nadzor. (2014a). Zavarovalnice. Najdeno 23. avgusta 2014 na
spletnem naslovu http://www.a-zn.si/Default.aspx?id=44
3. Agencija za zavarovalni nadzor. (2014b). Pokojninske družbe. Najdeno 23. avgusta 2014
na spletnem naslovu http://www.a-zn.si/Default.aspx?id=46
4. Arraj, V. (2013). ITIL: the basics . Najdeno 10. februarja 2013 na spletnem naslovu
http://www.best-management-practice.com/gempdf/itil_the_basics.pdf
5. Axelrod, C.W. (2008). Accounting for Value and Uncertainty in Security Metrics.
Information Systems Control Journal, 6, 24-29.
6. Ayoub, R. (2007). Analysis of Business Driven Metrics: Measuring for Security Value .
Frost & Sullivan whitepaper. Najdeno 12. maja 2013 na spletnem naslovu
http://www.dmreview.com/white_papers/2290613-1.html
7. Banka Slovenije. (2014a). Banke v Sloveniji. Najdeno 23. avgusta 2014 na spletnem
naslovu https://www.bsi.si/nadzor-bank.asp?MapaId=521
8. Banka Slovenije. (2014b). Hranilnice v Sloveniji. Najdeno 23. avgusta 2014 na spletnem
naslovu https://www.bsi.si/nadzor-bank.asp?MapaId=522
9. Bartol, N., Bates, B., Goertzel, K. M., & Winograd, T. (2009, 8.maj) Measuring Cyber
Security and Information Assurance. State-of-the-Art Report (SOAR). Najdeno 15. marca
2013 na spletnem naslovu http://iac.dtic.mil/csiac/download/cybersecurity.pdf
10. Bowen, P., & Kissel, R. (2007). NISTIR 7358 - Program Review for Information Security
Management Assistance (PRISMA). Gaitherburg: National Institute of Standards and
Technology.
Najdeno
15.
marca
2015
na
spletnem
naslovu
http://www.nist.gov/customcf/get_pdf.cfm?pub_id=50907
11. Bregar, L., Ograjenšek, I., & Bavdaž, M. (2005). Metode raziskovalnega dela za
ekonomiste : izbrane teme. Ljubljana: Ekonomska fakulteta.
12. Brotby, W.K. (2009). Information Security Management Metrics: A Definitive Guide to
Effective Security Monitoring and Measurement. Boca Raton: CRC Press.
13. Cambra, R. (2004, 4. julij). Metrics for Operational Security Control. SANS Institute
Reading Room. Najdeno 20. februarja 2013 na spletnem naslovu
http://www.sans.org/reading_room/whitepapers/sysadmin/metrics-operational-securitycontrol_1443
14. Carbonel, J. (2008). Assessing IT Security Governance Through a Maturity Model and
the Definition of a Governance Profile. Information Systems Control Journal, 2, 29-32.
15. The Center for Internet Security. (2010). The CIS Security Metrics v.1.10. Najdeno 1.
decembra
2012
na
spletnem
naslovu
https://benchmarks.cisecurity.org/downloads/show-single/?file=metrics.110
16. Certified Products. Najdeno 23. januarja 2015 na spletnem naslovu
http://www.commoncriteriaportal.org/products/
17. Chapin, D., & Akridge, S. (2005). How Can Security Be Measured?. Information
Systems Control Journal, 2, str 43 – 47.
18. Chew, E., Swanson, M., Stine, K., Bartol, N., Brown, A., &Robinson, W. (2008, julij).,
Performance Measurement Guide for Information Security. Gaitherburg: National
Institute of Standards and Technology. Najdeno 20. februarja 2013 na spletnem naslovu
http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf
79
19. Clinch, J. (2009, maj). ITIL V3 and Information Security. Best Management Practice.
Najdeno 20. februarja 2013 na spletnem naslovu http://www.best-managementpractice.com/gempdf/itilv3_and_information_security_white_paper_may09.pdf
20. Corporate Information Security Working Group. (2004). Report of Best Practices and
Metrics Teams. Najdeno 10. oktobra 2014 na spletnem naslovu
https://net.educause.edu/ir/library/pdf/CSD3661.pdf
21. Cronbach's Alpha (α) in SPSS. Najdeno 20. avgusta 2014 na spletnem naslovu
https://statistics.laerd.com/premium/ca/cronbachs-alpha-in-spss-4.php
22. The Department of Energy. (2014). Cybersecurtiy Capability Maturity Model (C2M2),
Version
1.1.
Najdeno
23.
januarja
2015
na
spletnem
naslovu
http://energy.gov/sites/prod/files/2014/03/f13/C2M2-v1-1_cor.pdf
23. Ferligoj, A., Leskošek, K. & Kogovšek, T. (1995). Zanesljivost in veljavnost merjenja.
Ljubljana: FDV.
24. Gaberšček, S. (2007). Ekonomika naložb v informacijsko varnost (magistrsko delo).
Ljubljana: Ekonomska fakulteta.
25. Hauser, J., & Katz, G. (1998, april). You Are What You Measure! Najdeno 20. februarja
2013 na spletnem naslovu http://web.mit.edu/~hauser/www/Papers/HauserKatz%20Measure%2004-98.pdf
26. Hayden, L. (2010). IT Security Metrics : A Practical Framework for Measuring Security
& Protecting Data. New York: McGraw Hill.
27. Herzog, P. (2010). OSSTMM3 The Open Source Security Testing Methodology Manual.
Najdeno
9.
decembra
2012
na
spletnem
naslovu
https://scadahacker.com/library/Documents/Assessment_Guidance/OSSTMM-3.0.pdf
28. Hinson, G. (2006). Seven Myths about Information Security Metrics. Najdeno 3.
februarja 2013 na spletnem naslovu http://www.noticebored.com/html/metrics.html
29. Hoehl, M. (2010, 24. december). Creating a monthly Information Security Scorecard for
CIO and CFO. SANS Institute Reading Room. Najdeno 20. februarja 2013 na spletnem
naslovu http://www.sans.org/reading_room/whitepapers/leadership/creating-monthlyinformation-security-scorecard-cio-cfo_33588
30. Information Systems Audit and Control Association. (2012a). COBIT 5, A Business
Framework for the Governance and Management of Enterprise IT. Najdeno 17.
novembra
2013
na
spletnem
naslovu
http://www.isaca.org/COBIT/Documents/COBIT5-Ver2-FrameWork.pdf
31. Information Systems Audit and Control Association. (2012b). Cobit 5 for information
security. Rolling Meadows: ISACA.
32. Information Technology Infrastructure Library. (b.l.). V Wikipedia. Najdeno 10.
novembra
2013
na
spletni
strani
http://en.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
33. InfoSec Research Counsil (2005, november). Hard Problem List. Najdeno 20. februarja
2013
na
spletnem
naslovu
http://www.cyber.st.dhs.gov/docs/IRC_Hard_Problem_List.pdf
34. ISM3 Consortium. (2007). ISM3 Information Security Managment Maturity Model
Handbook, ver 2.0. Najdeno 10. novembra 2013 na spletnem naslovu
http://www.lean.org/FuseTalk/Forum/Attachments/ISM3_v2.00-HandBook.pdf
80
35. ISO/IEC. (2005). Mednarodni standard ISO/IEC 27001 Informacijska tehnologija Varnostne tehnike – Sistemi za upravljanje varovanja informacij – Zahteve. Ženeva:
ISO/IEC.
36. ISO/IEC. (2009). International standard ISO/IEC 27004: Information technology –
Security techniques – Information Security Management – Measurement. Ženeva:
ISO/IEC.
37. IT Governance Institute. (2007). Cobit 4.1. Rolling Meadows: ISACA.
38. Jaquith, A. (2007). Security Metrics: Replacing Fear, Uncertainty, and Doubt. Boston:
Addison-Wesley.
39. Kaplan, R.S., & Norton, D.P. (2007) Using the Balanced Scorecard as a Strategic
Management System, Harvard Business Review, julij –avgust. Najdeno 30. novembra
2014 na spletnem naslovu https://hbr.org/2007/07/using-the-balanced-scorecard-as-astrategic-management-system
40. Karokola,G., Kowalski, S. & Yngström, L. (2011). Towards An Information Security
Maturity Model for Secure e-Government Services: A Stakeholders View. Najdeno
23.januarja
2015
na
spletnem
naslovu
http://www.divaportal.org/smash/get/diva2:469623/FULLTEXT02.pdf
41. Kruskal-Wallis H test in SPSS Statistcs. Najdeno 20. avgusta 2014 na spletnem naslovu
https://statistics.laerd.com/premium/kwht/kruskal-wallis-test-in-spss.php
42. Lessing, M. (2008). Best practices show the way to Information Security Maturity.
Najdeno
23.
januarja
2015
na
spletnem
naslovu
http://researchspace.csir.co.za/dspace/bitstream/10204/3156/1/Lessing6_2008.pdf
43. Matunda, N. (2004). Information Security Effectiveness Information Security
Effectiveness Metrics: What Metrics? What Role for Metrics? (Prosojnice predavanja
IBM Global Services). Najdeno 20. februarja 2013 na spletnem naslovu
http://www.matunda.org/wp-content/uploads/2008/08/world-expo-toronto-final.pdf
44. Membership, Guidance and Certification for IT Professionals. Najdeno 20. februarja
2015 na spletnem naslovu http://www.isaca.org/About-ISACA/What-We-Offer-WhomWe-Serve/Pages/default.aspx
45. Niven, P. (2002). Balanced Scorecard Step-by-Step: Maximizing Performance and
Maintaining Results. New York: John Wiley & Sons, Inc.
46. Office of Government Commerce. (b.l.). ITIL V3 Service Design. Najdeno 10.
februarja 2013 na spletnem naslovu
https://virtualizationandstorage.files.wordpress.com/2013/06/itil_v3_service_design.pd
f
47. Payne, S. (2006, junij). A Guide to Security Metrics. SANS Institute Reading Room.
Najdeno
20.
februarja
2013
na
spletnem
naslovu
http://www.sans.org/reading_room/whitepapers/auditing/guide-security-metrics_55
48. Pironti, J.P. (2007). Developing Metrics for Effective Information Security Governance.
Information Systems Control Journal, 2, 33-37.
49. Rathbun, D. (2009, oktober). Gathering Security Metrics and Reaping the Rewards.
SANS Institute Reading Room. Najdeno 20. februarja 2013 na spletnem naslovu
http://www.sans.org/reading-room/whitepapers/leadership/gathering-security-metricsreaping-rewards-33234
50. Slovenski institut za kakovost in meroslovje. (2013). Novi izdaji standardov ISO/IEC
27001:2013 in ISO/IEC 27002:2013 – kako prehod zastaviti in izpeljati (interno
gradivo). Ljubljana: SIQ.
81
51. Statistični urad RS. (2012). Podjetja po dejavnosti(CKD2008) in velikosti glede na
število oseb, ki delajo, Slovenija, letno. Najdeno 10. oktobra 2014 na spletnem naslovu
http://pxweb.stat.si/pxweb/Dialog/varval.asp?ma=1418801S&ti=&path=../Database/Ek
onomsko/14_poslovni_subjekti/01_14188_podjetja/&lang=2
52. Vander Wal, K., Lainhart, J. & Tessin, P. (2012). A Cobit 5 Overview, prosojnice.
Najdeno
17.
novembra
2013
na
spletnem
naslovu
http://www.isaca.org/COBIT/Documents/A-COBIT-5-Overview.pdf
53. Volchkov, A. (2013). How to Measure Security From a Governance Perspective.
Information Systems Control Journal, 5, 44-351.
82