Zarzadzanie ryzykiem informatycznym - raport Symantec

Firma Symantec (Nasdaq: SYMC) opublikowaÅ‚a drugÄ… część raportu na temat zarzÄ…dzania ryzykiem informatycznym. Wynika z niego, że Å›wiadomość znaczenia zarzÄ…dzania ryzykiem wciąż wzrasta, natomiast nadal funkcjonuje kilka mitów. Okazuje siÄ™, że klienci stosujÄ…cy zarzÄ…dzanie ryzykiem informatycznym w praktyce przyjmujÄ… bardziej zrównoważone podejÅ›cie, uwzglÄ™dniajÄ…c zagrożenia dostÄ™pnoÅ›ci, zabezpieczeÅ„, zgodnoÅ›ci i wydajnoÅ›ci.

Jednak mimo to bÅ‚Ä™dne rozumienie kwestii zarzÄ…dzania ryzykiem informatycznym może prowadzić do potencjalnych awarii systemu informatycznego, a co za tym idzie do zakÅ‚óceÅ„ w dziaÅ‚alnoÅ›ci biznesowej. Jak wynika z raportu, problemy dotyczÄ…ce procesów stanowiÄ… źródÅ‚o 53 procent incydentów informatycznych, podczas gdy w dziaÅ‚ach IT czÄ™stotliwość wystÄ™powania wycieku informacji jest czÄ™sto bagatelizowana.

Raport opracowano na podstawie analizy ponad 400 ankiet wypeÅ‚nionych przez pracowników dziaÅ‚ów informatycznych na caÅ‚ym Å›wiecie. Wyszczególniono w nim najważniejsze zagadnienia i tendencje oraz zbadano i obalono nastÄ™pujÄ…ce mity powszechnie kojarzone z ryzykiem informatycznym:

• Mit pierwszy: zarzÄ…dzanie ryzykiem informatycznym polega gÅ‚ównie na stosowaniu zabezpieczeÅ„.
• Mit drugi: zarzÄ…dzanie ryzykiem informatycznym to jednorazowa inicjatywa.
• Mit trzeci: technologia sama w sobie umożliwia zarzÄ…dzanie ryzykiem informatycznym.
• Mit czwarty: zarzÄ…dzanie ryzykiem informatycznym to dziedzina naukowa.

Mit pierwszy: zarządzanie ryzykiem informatycznym skupia się na zagrożeniach bezpieczeństwa

Mimo, że wciąż pokutuje tradycyjne wyobrażenie, w którym ryzyko informatyczne jest zwiÄ…zane gÅ‚ównie z zagrożeniami bezpieczeÅ„stwa, wyniki ankiety pokazujÄ…, że pracownicy dziaÅ‚ów IT majÄ… znacznie szerszy obraz tego zagadnienia. 78 procent respondentów oznaczyÅ‚o jako „krytyczne” lub „poważne” ryzyko dotyczÄ…ce dostÄ™pnoÅ›ci, a zagrożenia bezpieczeÅ„stwa, wydajnoÅ›ci i zgodnoÅ›ci uzyskaÅ‚y odpowiednio 70, 68 oraz 63 procent wskazaÅ„ ankietowanych. Tylko 15 procent respondentów rozdzieliÅ‚o najwyżej i najniżej ocenione rodzaje zagrożeÅ„, co oznacza, że pracownicy dziaÅ‚ów informatycznych przyjmujÄ… bardziej wyważone podejÅ›cie do ryzyka informatycznego, które nie jest skupione wyÅ‚Ä…cznie na zabezpieczeniach.

Wnioski z raportu potwierdziÅ‚y, że zagrożenia bezpieczeÅ„stwa i zgodnoÅ›ci czÄ™sto przyciÄ…gajÄ… uwagÄ™, ponieważ sÄ… najbardziej spektakularne. 63 procent ankietowanych okreÅ›liÅ‚o wyciek danych jako incydent majÄ…cy poważny wpÅ‚yw na dziaÅ‚anie ich firmy. Jednak coraz wiÄ™ksze znaczenie przypisuje siÄ™ zagrożeniom zwiÄ…zanym z dostÄ™pnoÅ›ciÄ…, które mogÄ… przejść przez caÅ‚y Å‚aÅ„cuch wartoÅ›ci i spowodować straty liczone w milionach dolarów. Wystarczy niewielki problem z dostÄ™pnoÅ›ciÄ…. Badacze z Dartmouth i Uniwersytetu w Wirginii sprawdzili ostatnio, że potencjalna awaria sieci nadzoru i pozyskiwania danych w rafinerii byÅ‚aby przyczynÄ… strat w wysokoÅ›ci 405 milionów dolarów, gdzie sam dostawca poniósÅ‚by 255 milionów straty, a inne elementy Å‚aÅ„cucha wartoÅ›ci „podzieliÅ‚yby siÄ™” resztÄ… strat (http://www.ists.dartmouth.edu/library/207.pdf).

Mit drugi: zarzÄ…dzanie ryzykiem informatycznym to projekt

BÅ‚Ä™dne przekonanie polegajÄ…ce na tym, że zarzÄ…dzanie ryzykiem informatycznym można zamknąć w jednym projekcie lub nawet w serii operacji z okreÅ›lonej chwili na przestrzeni okresów budżetowych lub lat. ZarzÄ…dzanie ryzykiem informatycznym powinno być procesem ciÄ…gÅ‚ym, aby umożliwić dotrzymanie kroku nieustannie zmieniajÄ…cemu siÄ™ Å›rodowisku, z jakim mierzÄ… siÄ™ dziÅ› przedsiÄ™biorstwa. Wypadki informatyczne z zakresu zabezpieczeÅ„, zgodnoÅ›ci, dostÄ™pnoÅ›ci i wydajnoÅ›ci mogÄ… mieć destrukcyjny wpÅ‚yw na dziaÅ‚anie firm. W raporcie można znaleźć nastÄ™pujÄ…ce dane odnoÅ›nie czÄ™stotliwoÅ›ci wystÄ™powania różnych rodzajów incydentów informatycznych:

• 69 procent ankietowanych spodziewa siÄ™ wystÄ…pienia drobnego incydentu raz w miesiÄ…cu.
• 63 procent respondentów szacuje prawdopodobieÅ„stwo wystÄ…pienia poważnej awarii systemu informatycznego na co najmniej raz w roku.
• 26 procent badanych spodziewa siÄ™, że incydent dotyczÄ…cy zachowania zgodnoÅ›ci z przepisami pojawi siÄ™ co najmniej raz na rok.
• 25 procent ankietowanych sÄ…dzi, że wyciek danych wystÄ…pi co najmniej z czÄ™stotliwoÅ›ciÄ… raz na rok.

Z raportu wynika, że firmy, które dziaÅ‚ajÄ… najwydajniej, przyjęły podejÅ›cie kompleksowe. Jednak wiele firm nie wdrożyÅ‚o nawet najbardziej podstawowych mechanizmów zarzÄ…dzania ryzykiem informatycznym, takich jak klasyfikacja i zarzÄ…dzanie zasobami, a tylko 40 procent uczestników badania oceniÅ‚o ich skuteczność na 75 procent lub wiÄ™cej. Ponadto jedynie 34 procent ankietowanych wyznaÅ‚o, że dysponuje aktualnÄ… ewidencjÄ… urzÄ…dzeÅ„ bezprzewodowych i przenoÅ›nych, które sÄ… niezbÄ™dne w nowoczesnym Å›wiecie biznesu.

Mit trzeci: sama technologia może zmniejszyć ryzyko informatyczne

Technologia odgrywa wprawdzie kluczowÄ… rolÄ™ w eliminowaniu zagrożeÅ„, ale nie można zapominać o roli ludzi i procesów wspieranych przez technologiÄ™, również decydujÄ…cych o skutecznoÅ›ci programu zarzÄ…dzania ryzykiem informatycznym. WedÅ‚ug raportu problemy dotyczÄ…ce procesów stanowiÄ… przyczynÄ™ 53 procent incydentów informatycznych. Inne Å›rodki kontroli również spadÅ‚y w rankingach w porównaniu z wynikami z poprzedniego raportu opracowanego rok temu. Na przykÅ‚ad skuteczność mechanizmów kontroli w zakresie szkoleÅ„ i wiedzy zostaÅ‚a oceniona na ponad 75 procent przez 50 procent respondentów w pierwszej części raportu, a w drugiej już tylko przez 43 procent osób.

Podobnie jak w pierwszej części raportu, teraz także odnotowano niewielki awans niskiego notowania mechanizmu kontroli klasyfikacji zasobów. Na koniec, tylko 43 procent badanych oceniÅ‚o skuteczność zarzÄ…dzania cyklem eksploatacji danych na „ponad 75 procent”, co stanowi spadek o 17 procent w stosunku do pierwszej części raportu. Niska efektywność tych mechanizmów zabezpieczeÅ„ sugeruje, że zasoby bÄ™dÄ… traktowane równorzÄ™dnie, a zatem część systemów, procesów i obiektów bÄ™dzie nadmiernie zabezpieczona, a inne pozostanÄ… niewystarczajÄ…co chronione przed zagrożeniami informatycznymi, co może być przyczynÄ… dodatkowych kosztów i niskiej wydajnoÅ›ci usÅ‚ug.

Mit czwarty: zarzÄ…dzanie ryzykiem informatycznym to dziedzina naukowa

Z raportu jasno wynika, że zarzÄ…dzanie ryzykiem informatycznym stanowi rozwijajÄ…cÄ… siÄ™ dziedzinÄ™ biznesowÄ…, a nie przedmiot badaÅ„ naukowych, ponieważ bazuje gÅ‚ównie na doÅ›wiadczeniach osób i firm w zmieniajÄ…cym siÄ™ Å›rodowisku biznesowym i technologicznym. Coraz wiÄ™cej osób ma Å›wiadomość, że zarzÄ…dzanie zagrożeniami informatycznymi zawiera elementy sterowania ryzykiem operacyjnym, kontrolÄ… jakoÅ›ci, infrastrukturÄ… biznesowÄ… i zasobami informatycznymi. Charakteryzuje siÄ™ jednak również procesami i technologiami specyficznymi dla branży informatycznej.

Różnice branżowe

Okazuje siÄ™, że spoÅ›ród wszystkich branż respondenci dziaÅ‚ajÄ…cy w sektorze medycznym spodziewajÄ… siÄ™ najwiÄ™kszej liczby tzw. incydentów informatycznych. BiorÄ…c pod uwagÄ™ zÅ‚ożoność i „ludzki” charakter usÅ‚ug medycznych oraz konieczność zachowania zgodnoÅ›ci z niezwykle restrykcyjnymi wymogami, wyniki te sÄ… dosyć niepokojÄ…ce. NajwyższÄ… notÄ™ w zakresie wdrażania mechanizmów zarzÄ…dzania ryzykiem informatycznym osiÄ…gnęła branża telekomunikacyjna, a za niÄ… uplasowaÅ‚y siÄ™ sektory bankowy i finansowy. Za tym sukcesem stojÄ… najprawdopodobniej surowe przepisy i skuteczne procedury zarzÄ…dzania stosowane w tych branżach, a także troska o zabezpieczenie danych osobistych klientów.

Druga część raportu firmy Symantec dotyczącego zarządzania ryzykiem informatycznym dostępna jest na stronie internetowej www.symantec.com.