Symantec: Více než polovina incidentů v oblasti IT je způsobeno problémy v oblasti procesů

12. 2. 2008

Sdílet

IT Risk Management Report, z něhož vyplývá, že se zvyšuje povědomí o důležitosti řízení rizik IT, ale stále přetrvává několik mýtů, uveřejnila společnost Symantec.

IT Risk Management Report, z něhož vyplývá, že se zvyšuje povědomí o důležitosti řízení rizik IT, ale stále přetrvává několik mýtů, uveřejnila společnost Symantec.
Přes zjištění, že odborní pracovníci pojímají řízení rizik IT více vyváženě a zahrnují do něj rizika související s dostupností, zabezpečením, souladem a výkonem, může podle Symantecu nepochopení řízení rizik IT vést k selháním systémů IT a ve svém důsledku může nepříznivě ovlivnit kontinuitu činnosti organizace. Zpráva také udává, že 53 % incidentů v oblasti IT je způsobeno problémy v oblasti procesů, a že oddělení IT často nesprávně nahlížejí na četnost úniků dat.
Zpráva, vypracovaná na základě analýzy dotazníků vyplněných odbornými pracovníky v oboru IT z celého světa, identifikuje nejdůležitější problémy a trendy a dále analyzuje a rozkrývá následující čtyři mýty obvykle spojované s riziky IT:
· Řízení rizik IT se zaměřuje na zabezpečení IT.
· Řízení rizik IT je projekt.
· Ke zmírnění rizik IT stačí samotná technologie.
· Řízení rizik IT je vědecká disciplína.

První mýtus: rizika IT jsou rizika zabezpečení
Výsledky průzkumu ukazují, že vedle tradičního vnímání, které spojuje rizika IT zejména s bezpečnostními riziky, se mezi odbornými pracovníky v oboru IT objevuje také širší pohled. 78 % respondentů hodnotilo rizika spojená s dostupností jako „kritická“ nebo „závažná“, zatímco rizika spojená se zabezpečením, výkonem a souladem takto hodnotilo 70, 68, respektive 63 % respondentů. To, že typy rizik s nejvyšším a nejnižším hodnocením míry závažnosti dělí pouze 15 procentních bodů, naznačuje, že odborní pracovníci v oblasti IT začínají nahlížet na rizika IT více vyváženě a nespojují je pouze se zabezpečením.
Zjištění publikovaná ve zprávě potvrzují, že rizika spojená se zabezpečením a souladem často přitahují pozornost kvůli své značné viditelnosti a dopadům – 63 % respondentů uvedlo, že úniky dat mají vážné důsledky pro jejich organizaci. Zvýšený důraz je však kladen na rizika spojená s dostupností, která, jak vyplývá ze zprávy, mohou ovlivňovat hodnotový řetězec a jejich důsledky se mohou měřit v milionech dolarů dokonce i při menších potížích s výkonem.

Druhý mýtus: řízení rizik IT je projekt
Mýtus, že rizika IT lze vyřešit v jediném projektu, nebo dokonce jako řadu časově omezených úkonů v průběhu rozpočtových období nebo let, ignoruje dynamickou povahu interního a externího prostředí rizik IT. Incidenty v oblasti zabezpečení, souladu, dostupnosti a výkonu IT mohou mít alarmující dopad na moderní organizaci. Zpráva odhalila následující skutečnosti ve vztahu k četnosti různých typů incidentů v oblasti IT:
· 69 % respondentů očekává menší incident v oblasti IT jednou za měsíc.
· 63 % respondentů očekává nejméně jednou ročně větší selhání IT.
· 26 % respondentů očekává nejméně jednou ročně incident týkající se nesouladu s předpisy.
· 25 % respondentů očekává nejméně jednou ročně únik dat.
Ze zprávy vyplývá, že nejlépe fungující organizace pojímají celou problematiku nejkomplexněji. Zdá se však, že mnoha organizacím se nedaří zavádět některé základní mechanismy řízení rizik, například klasifikaci a správu prostředků. Pouze 40 % účastníků hodnotí v tomto bodu svoji činnost jako úspěšnou ze 75 % nebo lepší. Pouze 34 % účastníků se navíc domnívá, že mají aktuální soupis svých bezdrátových a mobilních zařízení, která jsou v současném obchodním světě nepostradatelná.
Třetí mýtus: ke zmírnění rizik IT stačí samotná technologie
Technologie má sice nejdůležitější roli ve zmírňování rizik, ale účinnost programu řízení rizik IT určují také lidé a procesy, které technologie podporuje. 53 % incidentů ve oblasti IT je podle zprávy způsobeno potížemi v oblasti procesů. U několika kontrolních mechanismů bylo také patrné nižší hodnocení oproti 1. vydání zprávy, což vzbuzuje rostoucí obavy. Například u řízení zabezpečení prostřednictvím školení a informovanosti kleslo procento respondentů, kteří své programy hodnotili jako účinné z více než 75 %. V 1. vydání zprávy takto hodnotilo své programy téměř 50 % respondentů, zatímco nyní pouhých 43 %. Nová zpráva podobně jako její 1. vydání ukazuje také pouze velice malé zlepšení nízkého hodnocení inventarizace a klasifikace prostředků. A konečně pouze 43 % účastníků hodnotí správu životního cyklu dat jako účinnou „z více než 75 %“, což je pokles o 17 procentních bodů oproti 1. vydání. Slabost těchto prvků řízení rizik napovídá, že stejně bude nakládáno s prostředky, takže některé systémy, procesy a objekty budou chráněny před riziky IT nadměrně a jiné nedostatečně. To vede k nízké efektivitě vynaložených nákladů a k provozním nedostatkům.
2. vydání zprávy upozornilo na 10% zvýšení počtu účastníků, kteří hodnotili vývoj bezpečných aplikací jako „úspěšný z více než 75 %“. Zpráva také signalizuje, že bude věnována zvýšená pozornost správě problémů.
Čtvrtý mýtus: řízení rizik IT je vědecká disciplina
Zpráva dává jasně najevo, že řízení rizik IT je rozvíjející se obchodní disciplína a nikoli předmět vědeckého studia, protože se opírá o zkušenosti nashromážděné jednotlivci a organizacemi ve snaze udržet krok s měnícím se obchodním a technologickým prostředím. Vzrůstá povědomí o tom, že řízení rizik IT zahrnuje prvky řízení provozních rizik, kontroly jakosti a řízení podniku a IT. Ale je doplněno také o procesní a technologické kontrolní mechanismy, které se objevují pouze ve světě IT.

 

Autor článku