Zarzadzanie ryzykiem informatycznym - raport Symantec

Firma Symantec (Nasdaq: SYMC) opublikowała drugą część raportu na temat zarządzania ryzykiem informatycznym. Wynika z niego, że świadomość znaczenia zarządzania ryzykiem wciąż wzrasta, natomiast nadal funkcjonuje kilka mitów. Okazuje się, że klienci stosujący zarządzanie ryzykiem informatycznym w praktyce przyjmują bardziej zrównoważone podejście, uwzględniając zagrożenia dostępności, zabezpieczeń, zgodności i wydajności.

Jednak mimo to błędne rozumienie kwestii zarządzania ryzykiem informatycznym może prowadzić do potencjalnych awarii systemu informatycznego, a co za tym idzie do zakłóceń w działalności biznesowej. Jak wynika z raportu, problemy dotyczące procesów stanowią źródło 53 procent incydentów informatycznych, podczas gdy w działach IT częstotliwość występowania wycieku informacji jest często bagatelizowana.

Raport opracowano na podstawie analizy ponad 400 ankiet wypełnionych przez pracowników działów informatycznych na całym świecie. Wyszczególniono w nim najważniejsze zagadnienia i tendencje oraz zbadano i obalono następujące mity powszechnie kojarzone z ryzykiem informatycznym:

• Mit pierwszy: zarządzanie ryzykiem informatycznym polega głównie na stosowaniu zabezpieczeń.
• Mit drugi: zarządzanie ryzykiem informatycznym to jednorazowa inicjatywa.
• Mit trzeci: technologia sama w sobie umożliwia zarządzanie ryzykiem informatycznym.
• Mit czwarty: zarządzanie ryzykiem informatycznym to dziedzina naukowa.

Mit pierwszy: zarządzanie ryzykiem informatycznym skupia się na zagrożeniach bezpieczeństwa

Mimo, że wciąż pokutuje tradycyjne wyobrażenie, w którym ryzyko informatyczne jest związane głównie z zagrożeniami bezpieczeństwa, wyniki ankiety pokazują, że pracownicy działów IT mają znacznie szerszy obraz tego zagadnienia. 78 procent respondentów oznaczyło jako „krytyczne” lub „poważne” ryzyko dotyczące dostępności, a zagrożenia bezpieczeństwa, wydajności i zgodności uzyskały odpowiednio 70, 68 oraz 63 procent wskazań ankietowanych. Tylko 15 procent respondentów rozdzieliło najwyżej i najniżej ocenione rodzaje zagrożeń, co oznacza, że pracownicy działów informatycznych przyjmują bardziej wyważone podejście do ryzyka informatycznego, które nie jest skupione wyłącznie na zabezpieczeniach.

Wnioski z raportu potwierdziły, że zagrożenia bezpieczeństwa i zgodności często przyciągają uwagę, ponieważ są najbardziej spektakularne. 63 procent ankietowanych określiło wyciek danych jako incydent mający poważny wpływ na działanie ich firmy. Jednak coraz większe znaczenie przypisuje się zagrożeniom związanym z dostępnością, które mogą przejść przez cały łańcuch wartości i spowodować straty liczone w milionach dolarów. Wystarczy niewielki problem z dostępnością. Badacze z Dartmouth i Uniwersytetu w Wirginii sprawdzili ostatnio, że potencjalna awaria sieci nadzoru i pozyskiwania danych w rafinerii byłaby przyczyną strat w wysokości 405 milionów dolarów, gdzie sam dostawca poniósłby 255 milionów straty, a inne elementy łańcucha wartości „podzieliłyby się” resztą strat (http://www.ists.dartmouth.edu/library/207.pdf).

Mit drugi: zarządzanie ryzykiem informatycznym to projekt

Błędne przekonanie polegające na tym, że zarządzanie ryzykiem informatycznym można zamknąć w jednym projekcie lub nawet w serii operacji z określonej chwili na przestrzeni okresów budżetowych lub lat. Zarządzanie ryzykiem informatycznym powinno być procesem ciągłym, aby umożliwić dotrzymanie kroku nieustannie zmieniającemu się środowisku, z jakim mierzą się dziś przedsiębiorstwa. Wypadki informatyczne z zakresu zabezpieczeń, zgodności, dostępności i wydajności mogą mieć destrukcyjny wpływ na działanie firm. W raporcie można znaleźć następujące dane odnośnie częstotliwości występowania różnych rodzajów incydentów informatycznych:

• 69 procent ankietowanych spodziewa się wystąpienia drobnego incydentu raz w miesiącu.
• 63 procent respondentów szacuje prawdopodobieństwo wystąpienia poważnej awarii systemu informatycznego na co najmniej raz w roku.
• 26 procent badanych spodziewa się, że incydent dotyczący zachowania zgodności z przepisami pojawi się co najmniej raz na rok.
• 25 procent ankietowanych sądzi, że wyciek danych wystąpi co najmniej z częstotliwością raz na rok.

Z raportu wynika, że firmy, które działają najwydajniej, przyjęły podejście kompleksowe. Jednak wiele firm nie wdrożyło nawet najbardziej podstawowych mechanizmów zarządzania ryzykiem informatycznym, takich jak klasyfikacja i zarządzanie zasobami, a tylko 40 procent uczestników badania oceniło ich skuteczność na 75 procent lub więcej. Ponadto jedynie 34 procent ankietowanych wyznało, że dysponuje aktualną ewidencją urządzeń bezprzewodowych i przenośnych, które są niezbędne w nowoczesnym świecie biznesu.

Mit trzeci: sama technologia może zmniejszyć ryzyko informatyczne

Technologia odgrywa wprawdzie kluczową rolę w eliminowaniu zagrożeń, ale nie można zapominać o roli ludzi i procesów wspieranych przez technologię, również decydujących o skuteczności programu zarządzania ryzykiem informatycznym. Według raportu problemy dotyczące procesów stanowią przyczynę 53 procent incydentów informatycznych. Inne środki kontroli również spadły w rankingach w porównaniu z wynikami z poprzedniego raportu opracowanego rok temu. Na przykład skuteczność mechanizmów kontroli w zakresie szkoleń i wiedzy została oceniona na ponad 75 procent przez 50 procent respondentów w pierwszej części raportu, a w drugiej już tylko przez 43 procent osób.

Podobnie jak w pierwszej części raportu, teraz także odnotowano niewielki awans niskiego notowania mechanizmu kontroli klasyfikacji zasobów. Na koniec, tylko 43 procent badanych oceniło skuteczność zarządzania cyklem eksploatacji danych na „ponad 75 procent”, co stanowi spadek o 17 procent w stosunku do pierwszej części raportu. Niska efektywność tych mechanizmów zabezpieczeń sugeruje, że zasoby będą traktowane równorzędnie, a zatem część systemów, procesów i obiektów będzie nadmiernie zabezpieczona, a inne pozostaną niewystarczająco chronione przed zagrożeniami informatycznymi, co może być przyczyną dodatkowych kosztów i niskiej wydajności usług.

Mit czwarty: zarządzanie ryzykiem informatycznym to dziedzina naukowa

Z raportu jasno wynika, że zarządzanie ryzykiem informatycznym stanowi rozwijającą się dziedzinę biznesową, a nie przedmiot badań naukowych, ponieważ bazuje głównie na doświadczeniach osób i firm w zmieniającym się środowisku biznesowym i technologicznym. Coraz więcej osób ma świadomość, że zarządzanie zagrożeniami informatycznymi zawiera elementy sterowania ryzykiem operacyjnym, kontrolą jakości, infrastrukturą biznesową i zasobami informatycznymi. Charakteryzuje się jednak również procesami i technologiami specyficznymi dla branży informatycznej.

Różnice branżowe

Okazuje się, że spośród wszystkich branż respondenci działający w sektorze medycznym spodziewają się największej liczby tzw. incydentów informatycznych. Biorąc pod uwagę złożoność i „ludzki” charakter usług medycznych oraz konieczność zachowania zgodności z niezwykle restrykcyjnymi wymogami, wyniki te są dosyć niepokojące. Najwyższą notę w zakresie wdrażania mechanizmów zarządzania ryzykiem informatycznym osiągnęła branża telekomunikacyjna, a za nią uplasowały się sektory bankowy i finansowy. Za tym sukcesem stoją najprawdopodobniej surowe przepisy i skuteczne procedury zarządzania stosowane w tych branżach, a także troska o zabezpieczenie danych osobistych klientów.

Druga część raportu firmy Symantec dotyczącego zarządzania ryzykiem informatycznym dostępna jest na stronie internetowej www.symantec.com.