Symantec: za selhání mohou nejčastěji chybně nastavené procesy a únik dat

6. 2. 2008

Sdílet

Pouze 34 % správců bezpečnosti IT má aktuální soupis bezdrátových a mobilních zařízení. Manažeři začínají nahlížet na rizika IT vyváženěji a nespojují je pouze se zabezpečením, ale i s výkonem a dostupností aplikací. Efektivita vynaložených nákladů však zůstává nízká.

Každoroční zpráva IT Risk Management Report společnosti Symantec uvádí, že na jedné straně se sice zvyšuje povědomí o důležitosti řízení rizik IT, ale mezi zaměstnanci zodpovědnými za bezpoečnost IT stále přetrvává několik mýtů. Studie tvrdí, že 53 % incidentů v oblasti IT je způsobeno problémy v oblasti procesů, a že oddělení IT často nesprávně nahlížejí na četnost úniků dat.

Zpráva identifikuje čtyřihlavní mýty obvykle spojované s riziky IT:
· Řízení rizik IT se zaměřuje na zabezpečení IT.
· Řízení rizik IT je projekt.
· Ke zmírnění rizik IT stačí samotná technologie.
· Řízení rizik IT je vědecká disciplína.

První mýtus: rizika IT jsou rizika zabezpečení

Výsledky průzkumu ukazují, že vedle tradičního vnímání, které spojuje rizika IT zejména s bezpečnostními riziky, se mezi odbornými pracovníky v oboru IT objevuje také širší pohled. 78 % respondentů hodnotilo rizika spojená s dostupností jako „kritická“ nebo „závažná“, zatímco rizika spojená se zabezpečením, výkonem a souladem takto hodnotilo 70, 68, respektive 63 % respondentů. To, že typy rizik s nejvyšším a nejnižším hodnocením míry závažnosti dělí pouze 15 procentních bodů, naznačuje, že odborní pracovníci v oblasti IT začínají nahlížet na rizika IT vyváženěji a nespojují je pouze se zabezpečením, ale i s výkonem a dostupností aplikací.

Druhý mýtus: řízení rizik IT je projekt

Mýtus, že rizika IT lze vyřešit v jediném projektu, nebo dokonce jako řadu časově omezených úkonů v průběhu rozpočtových období nebo let, ignoruje podle Symantecu dynamickou povahu interního a externího prostředí rizik IT.
· 69 % respondentů očekává menší incident v oblasti IT jednou za měsíc.
· 63 % respondentů očekává nejméně jednou ročně větší selhání IT.
· 26 % respondentů očekává nejméně jednou ročně incident týkající se nesouladu s předpisy.
· 25 % respondentů očekává nejméně jednou ročně únik dat.
Ze zprávy vyplývá, že mnoha organizacím se nedaří zavádět některé základní mechanismy řízení rizik, například klasifikaci a správu prostředků. Pouze 40 % účastníků hodnotí v tomto bodu svoji činnost jako úspěšnou ze 75 % nebo lepší. Pouze 34 % účastníků se navíc domnívá, že mají aktuální soupis svých bezdrátových a mobilních zařízení.

Třetí mýtus: ke zmírnění rizik IT stačí samotná technologie

Technologie má sice nejdůležitější roli ve zmírňování rizik, ale účinnost programu řízení rizik IT určují také lidé a procesy, které technologie podporuje. 53 % incidentů ve oblasti IT je podle zprávy způsobeno potížemi v oblasti procesů. Pouze 43 % účastníků hodnotí správu životního cyklu dat jako účinnou „z více než 75 %“. Slabost tohoto prvku řízení rizik napovídá, že některé systémy, procesy a objekty budou chráněny před riziky IT nadměrně a jiné nedostatečně. To vede k nízké efektivitě vynaložených nákladů a k provozním nedostatkům.

Čtvrtý mýtus: řízení rizik IT je vědecká disciplína

Řízení rizik IT je rozvíjející se obchodní disciplína a nikoli předmět vědeckého studia, protože se opírá o zkušenosti nashromážděné jednotlivci a organizacemi ve snaze udržet krok s měnícím se obchodním a technologickým prostředím.

Zpráva se také věnuje stavu řízení rizik IT v jednotlivých odvětvích. Mezi významná zjištění patří, že respondenti ze zdravotnictví očekávali nejvíce incidentů v oblasti IT ze všech odvětví. Telekomunikace měly nejvyšší hodnocení zavádění mechanismů řízení rizik IT, těsně za nimi následovaly bankovní a finanční služby.

Autor článku