Informatikai hibákhoz kapcsolódó téveszmék

forrás Prim Online, 2008. február 15. 09:11

A Symantec közzétette az IT Risk Management Report második kiadását, melyben feltárja az informatikai kockázatkezelés egyre növekvő szerepét, valamint a kapcsolódó tévhiteket. Mindazok ellenére, hogy az informatikai szakemberek egy kiegyensúlyozott hozzáállást támogatnak az IT környezetben, mely magában foglalja a biztonságot, felhasználhatóságot, teljesítményt és a működési kockázatokat is, az IT kockázatkezelés félreértéséből több mint 53%- ban következnek be informatikai tévedések és incidensek, valamint az informatikai terület továbbra alábecsüli az adatvesztést eredményező incidensek gyakoriságát.

Az átfogó jelentéssel, mely több, mint 400 részletekbe menően megszerkesztett, IT szakemberek által kitöltött kérdőíven alapul, beazonosíthatók trendek és kulcstémák, valamint a jelentés megvizsgálja és eloszlatja a következő négy tévhitet, melyet többnyire a IT kockázatkezeléssel azonosítanak:

·    Az első tévhit szerint az IT kockázatkezelés csak az informatikai biztonságra koncentrál
·    A második szerint az IT kockázatkezelést csupán egy projektnek lehet tekinteni
·    A harmadik tévhit, hogy a technológia önmagában képes végrehajtani az IT kockázatkezelést
·    A negyedik tévhit szerint kockázatkezelés már egy elfogadott diszciplína

Az első hiedelem: az IT kockázat egyenlő biztonsági kockázattal


Azon hagyományos felfogást, mely a kockázatkezelést elsősorban a biztonsági kockázatokkal azonosítja, a felmérés cáfolja, hiszen az eredmények jelzik egy szélesebb nézőpont szükségességét a szakemberek között. A kérdőívet kitöltők 78%-a jellemezte „kritikus” vagy „komoly” jelzőkkel az elérhetőségi kockázatokat szemben a biztonsági, működési és teljesítési kockázatokkal – 70%, 68% és 63%-kal az elérhetőségi kockázat értéke mögött. Az a tény, hogy a megkérdezettek csupán 15 százaléka választotta szét a legmagasabb és legalacsonyabb kockázati szintet, azt mutatja, hogy az informatikai szakemberek egy sokkal kiegyensúlyozottabb, kevésbé biztonság-centrikus nézetet vallanak.

„Az biztató, hogy a Symantec jelentése kihangsúlyozza, hogy az egyes szervezetek felismerik a kockázatkezelés menedzselésének kritikusságát az olyan területeken, mint az elérhetőség és a működés, és nemcsak a biztonságot említik.” – mondta Teasdale Harold, a Symantec területi igazgatója. „A mai, online üzleti életben kezdik megérteni, hogy a rendszerek széles spektrumán történő hibák hatással vannak az üzletmenetre és az eredményekre.”

A jelentés adatai igazolják, hogy a biztonsági és megfelelési kockázatok jobban felkeltik a figyelmet nagy észrevehetőségük és hatásuk miatt – a megkérdezettek 63 százaléka minősítette az adatvesztést komoly problémának az üzletmenetben. Az elérhetőségi kockázatokra egyre növekvő hangsúly kerül, mely az egyes folyamatok láncolatán végighaladva milliókban mérhető hatást gyakorol. A Dartmouth-i és a Virginiai Egyetem kutatói kimutatták, hogy egy esetleges Supervisory Control and Data Acquisition (SCADA) rendszerhiba gazdasági hatása egy olajfinomítóban körülbelül 405 millió dolláros is lehet, melyből a szolgáltató kára mindössze 255 millió dollár, a többi költség pedig az ellátási lánc többi tagját érinti.
http://www.ists.dartmouth.edu/library/207.pdf

A második hiedelem: IT kockázatkezelés, mint projekt

Az a tévhit, hogy az IT kockázatkezelést egy egyszerű projektként, vagy a költségvetési periódus folyamán fellépő határidős feladatok sorozataként kezelik, nem veszi figyelembe a belső és külső IT kockázatkezelési környezet dinamikus természetét. Ezt a témát úgy kellene megközelíteni, mint egy folyamatban levő eljárást annak érdekében, hogy a vállalat képes legyen lépést tartani az üzleti élet állandóan változó világával. IT biztonsági, elérhetőségi, teljesítési és működési balesetek aggasztó mértékben befolyásolják a modern szervezeteket. A jelentés a következő IT incidensekre világított rá a gyakoriságot tekintve:

·    69 százalékban egy kisebb informatikai hibára számítanak egyszer egy hónapban
·    63 százalékban legalább egy nagyobb hibával számolnak évente
·    26 százalékban évente egyszer a szabályozások be nem tartásából származó incidensre számítanak
·    25 százalékban pedig évi egyszeri adatvesztési hibára számítanak


A jelentés szerint a leghatékonyabb szervezetek egy holisztikus megközelítést alkalmaznak. Sok vállalat nem képes keresztülvinni egy alapvető kockázat menedzsment kontrollt - mint példálul az eszközminősítés és eszközmenedzsment,és csupán 40 százalékuk értékeli a működésüket 75 százalékosnál hatékonyabbnak. Mindezek mellett a megkérdezettek mindössze 34 százaléka hiszi, hogy rendelkezik egy frissített leltárral a vezeték nélküli hálózatukról és a használt mobileszközökről, melyek elengedhetetlenek napjaink üzleti életében.

Harmadik tévhit: a technológia önmagában mérsékli az esetleges IT kockázatokat

Amíg a technológia komoly szerepet játszik a kockázat-megelőzésben, az emberek és a technológia által támogatott folyamatok is meghatározzák az IT kockázatkezelési program hatékonyságát. A jelentés szerint a folyamatokat érintő események az informatikai incidensek 53 százalékának az okozói. Számos ellenőrzés visszaesést mutatott a tavalyi jelentéshez képest, növekvő aggodalmat okozva ezzel. Például, az olyan folyamatokat figyelembe véve, mint a képzés és a tudatosság kialakítása. A tavalyi 50 százalékról mindössze 43 százalékra csökkent azoknak a száma, akik a vállalatuk ezen területét 75 százaléknál hatékonyabbnak értékelték.

Hasonlóan a tavalyi jelentéshez most is kimutatható egy minimális előrelépés az eszközök ellenőrzésének és minősítésének értékelését tekintve. A szakemberek csupán 43 százaléka értékelte 75 százaléknál hatékonyabbnak az adatok élettartamának menedzsmentjét – ez 17 százalékos visszaesés a tavalyi kimutatáshoz képest. Ezen irányítások gyengesége azt jelzi, hogy az eszközökkel egyenlően bánnak, tehát néhány rendszer, eszköz és folyamat védelmét túlzásba viszik, másoknak pedig kevés támogatást biztosítanak, eredménytelenséget okozva ezzel a költségekben és a szolgáltatásban.

Az IT Risk Management jelentés második kiadása rávilágít arra a 10 százalékos javulásra, melynél a megkérdezett szakemberek 75 százalékkal hatékonyabbnak értékelték a biztonsági alkalmazások fejlődését. A kimutatás jelzi azt is, hogy a problémakezelésnek is egyre növekvő súlya van.

Negyedik tévhit: az IT kockázatkezelés diszciplínává vált

A jelentés tisztázza azt a tényt, hogy az informatikai kockázatkezelés inkább egy kialakuló szakterület, mint egy pontosan meghatározható tudományág, köszönhetően a magánszemélyek és szervezetek által a folyamatosan változó üzleti környezetben felhalmozott tapasztalatoknak. Egyre növekvő egyetértés van abban, hogy az informatikai kockázatkezelés egyesíti a kockázatkezelés működési kérdéseinek, a minőségbiztosításnak, valamint az üzleti és informatikai irányításnak az elemeit. Mindezek mellett, a szakemberek a kockázatkezelést gyakran fix szabályoknak és kapcsolatoknak, az egyes iparágakban és földrajzi területeken általánosan alkalmazhatónak tartják.

Iparági különbségek

A jelentés ugyancsak fényt derít a kockázatkezelés állapotára az egyes iparágakban. A riport kihangsúlyozza, hogy a gyógyászati iparágban számítanak a leginkább IT incidensekre minden iparágat figyelembe véve. Tekintve a terület komplexitását és magas fokú személyességét, valamint a precíz teljesítési követelményeket, ez komoly nyugtalanságot okoz. A telekommunikációs iparágra jellemző a legfejlettebb informatikai kockázatkezelés - szorosan mögötte áll a banki és pénzügyi szektor. Ez a siker valószínűleg a megnövekedett irányításnak, és az ágazatok részletekbe menő teljesítési vizsgálatainak, valamint a személyes adatok védelmével való törődésnek köszönhető.

„Az IT Risk Management jelentés második kiadásában megtalálható az informatikai szakemberek és vállalati vezetők véleménye és információi, valamint példátlan betekintés az informatikai kockázatkezelés világába – a folyamat megértésének rangsorolásától a végrehajtáshoz szükséges legjobb tanácsokig” – mondta Teasdale Harold, a Symantec területi igazgatója. „A kockázatkezelés jobb megértésével a vállalatok képesek lesznek magabiztosan vállalni kockázatokat, ezzel párhuzamosan pedig az informatikának köszönhetően versenyelőnyre tehetnek szert.”

A teljes jelentés a http://www.symantec.com/business/theme.jsp?themeid=inform linken elérhető.