Prim Hírek

Az átfogó jelentéssel, mely több, mint 400 részletekbe menően megszerkesztett, IT szakemberek által kitöltött kérdőíven alapul, beazonosíthatók trendek és kulcstémák, valamint a jelentés megvizsgálja és eloszlatja a következő négy tévhitet, melyet többnyire a IT kockázatkezeléssel azonosítanak:

·    Az első tévhit szerint az IT kockázatkezelés csak az informatikai biztonságra koncentrál
·    A második szerint az IT kockázatkezelést csupán egy projektnek lehet tekinteni
·    A harmadik tévhit, hogy a technológia önmagában képes végrehajtani az IT kockázatkezelést
·    A negyedik tévhit szerint kockázatkezelés már egy elfogadott diszciplína

Az első hiedelem: az IT kockázat egyenlő biztonsági kockázattal

Azon hagyományos felfogást, mely a kockázatkezelést elsősorban a biztonsági kockázatokkal azonosítja, a felmérés cáfolja, hiszen az eredmények jelzik egy szélesebb nézőpont szükségességét a szakemberek között. A kérdőívet kitöltők 78%-a jellemezte „kritikus” vagy „komoly” jelzőkkel az elérhetőségi kockázatokat szemben a biztonsági, működési és teljesítési kockázatokkal – 70%, 68% és 63%-kal az elérhetőségi kockázat értéke mögött. Az a tény, hogy a megkérdezettek csupán 15 százaléka választotta szét a legmagasabb és legalacsonyabb kockázati szintet, azt mutatja, hogy az informatikai szakemberek egy sokkal kiegyensúlyozottabb, kevésbé biztonság-centrikus nézetet vallanak.

„Az biztató, hogy a Symantec jelentése kihangsúlyozza, hogy az egyes szervezetek felismerik a kockázatkezelés menedzselésének kritikusságát az olyan területeken, mint az elérhetőség és a működés, és nemcsak a biztonságot említik.” – mondta Teasdale Harold, a Symantec területi igazgatója. „A mai, online üzleti életben kezdik megérteni, hogy a rendszerek széles spektrumán történő hibák hatással vannak az üzletmenetre és az eredményekre.”

A jelentés adatai igazolják, hogy a biztonsági és megfelelési kockázatok jobban felkeltik a figyelmet nagy észrevehetőségük és hatásuk miatt – a megkérdezettek 63 százaléka minősítette az adatvesztést komoly problémának az üzletmenetben. Az elérhetőségi kockázatokra egyre növekvő hangsúly kerül, mely az egyes folyamatok láncolatán végighaladva milliókban mérhető hatást gyakorol. A Dartmouth-i és a Virginiai Egyetem kutatói kimutatták, hogy egy esetleges Supervisory Control and Data Acquisition (SCADA) rendszerhiba gazdasági hatása egy olajfinomítóban körülbelül 405 millió dolláros is lehet, melyből a szolgáltató kára mindössze 255 millió dollár, a többi költség pedig az ellátási lánc többi tagját érinti.
http://www.ists.dartmouth.edu/library/207.pdf

A második hiedelem: IT kockázatkezelés, mint projekt

Az a tévhit, hogy az IT kockázatkezelést egy egyszerű projektként, vagy a költségvetési periódus folyamán fellépő határidős feladatok sorozataként kezelik, nem veszi figyelembe a belső és külső IT kockázatkezelési környezet dinamikus természetét. Ezt a témát úgy kellene megközelíteni, mint egy folyamatban levő eljárást annak érdekében, hogy a vállalat képes legyen lépést tartani az üzleti élet állandóan változó világával. IT biztonsági, elérhetőségi, teljesítési és működési balesetek aggasztó mértékben befolyásolják a modern szervezeteket. A jelentés a következő IT incidensekre világított rá a gyakoriságot tekintve:

·    69 százalékban egy kisebb informatikai hibára számítanak egyszer egy hónapban
·    63 százalékban legalább egy nagyobb hibával számolnak évente
·    26 százalékban évente egyszer a szabályozások be nem tartásából származó incidensre számítanak
·    25 százalékban pedig évi egyszeri adatvesztési hibára számítanak


A jelentés szerint a leghatékonyabb szervezetek egy holisztikus megközelítést alkalmaznak. Sok vállalat nem képes keresztülvinni egy alapvető kockázat menedzsment kontrollt - mint példálul az eszközminősítés és eszközmenedzsment,és csupán 40 százalékuk értékeli a működésüket 75 százalékosnál hatékonyabbnak. Mindezek mellett a megkérdezettek mindössze 34 százaléka hiszi, hogy rendelkezik egy frissített leltárral a vezeték nélküli hálózatukról és a használt mobileszközökről, melyek elengedhetetlenek napjaink üzleti életében.

Harmadik tévhit: a technológia önmagában mérsékli az esetleges IT kockázatokat

Amíg a technológia komoly szerepet játszik a kockázat-megelőzésben, az emberek és a technológia által támogatott folyamatok is meghatározzák az IT kockázatkezelési program hatékonyságát. A jelentés szerint a folyamatokat érintő események az informatikai incidensek 53 százalékának az okozói. Számos ellenőrzés visszaesést mutatott a tavalyi jelentéshez képest, növekvő aggodalmat okozva ezzel. Például, az olyan folyamatokat figyelembe véve, mint a képzés és a tudatosság kialakítása. A tavalyi 50 százalékról mindössze 43 százalékra csökkent azoknak a száma, akik a vállalatuk ezen területét 75 százaléknál hatékonyabbnak értékelték.

Hasonlóan a tavalyi jelentéshez most is kimutatható egy minimális előrelépés az eszközök ellenőrzésének és minősítésének értékelését tekintve. A szakemberek csupán 43 százaléka értékelte 75 százaléknál hatékonyabbnak az adatok élettartamának menedzsmentjét – ez 17 százalékos visszaesés a tavalyi kimutatáshoz képest. Ezen irányítások gyengesége azt jelzi, hogy az eszközökkel egyenlően bánnak, tehát néhány rendszer, eszköz és folyamat védelmét túlzásba viszik, másoknak pedig kevés támogatást biztosítanak, eredménytelenséget okozva ezzel a költségekben és a szolgáltatásban.

Az IT Risk Management jelentés második kiadása rávilágít arra a 10 százalékos javulásra, melynél a megkérdezett szakemberek 75 százalékkal hatékonyabbnak értékelték a biztonsági alkalmazások fejlődését. A kimutatás jelzi azt is, hogy a problémakezelésnek is egyre növekvő súlya van.

Negyedik tévhit: az IT kockázatkezelés diszciplínává vált

A jelentés tisztázza azt a tényt, hogy az informatikai kockázatkezelés inkább egy kialakuló szakterület, mint egy pontosan meghatározható tudományág, köszönhetően a magánszemélyek és szervezetek által a folyamatosan változó üzleti környezetben felhalmozott tapasztalatoknak. Egyre növekvő egyetértés van abban, hogy az informatikai kockázatkezelés egyesíti a kockázatkezelés működési kérdéseinek, a minőségbiztosításnak, valamint az üzleti és informatikai irányításnak az elemeit. Mindezek mellett, a szakemberek a kockázatkezelést gyakran fix szabályoknak és kapcsolatoknak, az egyes iparágakban és földrajzi területeken általánosan alkalmazhatónak tartják.

Iparági különbségek

A jelentés ugyancsak fényt derít a kockázatkezelés állapotára az egyes iparágakban. A riport kihangsúlyozza, hogy a gyógyászati iparágban számítanak a leginkább IT incidensekre minden iparágat figyelembe véve. Tekintve a terület komplexitását és magas fokú személyességét, valamint a precíz teljesítési követelményeket, ez komoly nyugtalanságot okoz. A telekommunikációs iparágra jellemző a legfejlettebb informatikai kockázatkezelés - szorosan mögötte áll a banki és pénzügyi szektor. Ez a siker valószínűleg a megnövekedett irányításnak, és az ágazatok részletekbe menő teljesítési vizsgálatainak, valamint a személyes adatok védelmével való törődésnek köszönhető.

„Az IT Risk Management jelentés második kiadásában megtalálható az informatikai szakemberek és vállalati vezetők véleménye és információi, valamint példátlan betekintés az informatikai kockázatkezelés világába – a folyamat megértésének rangsorolásától a végrehajtáshoz szükséges legjobb tanácsokig” – mondta Teasdale Harold, a Symantec területi igazgatója. „A kockázatkezelés jobb megértésével a vállalatok képesek lesznek magabiztosan vállalni kockázatokat, ezzel párhuzamosan pedig az informatikának köszönhetően versenyelőnyre tehetnek szert.”

A teljes jelentés a http://www.symantec.com/business/theme.jsp?themeid=inform linken elérhető.