`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

О мифах и причинах IT-инцидентов

Статья опубликована в №7 (624) от 19 февраля

0 
 

Недавно компания Symantec выпустила второй том отчета об отношении организаций к управлению IT-рисками. Один из его главных выводов: уровень осведомленности предприятий о важности этой проблемы повышается, однако многие заблуждения по-прежнему остаются.

Отчет, выпущенный Symantec, составлен на основе анализа опроса более чем 400 профессионалов. Исследование показывает, что большинство руководителей придерживаются взвешенного подхода, учитывающего риски готовности, безопасности, производительности и соблюдения нормативных требований, однако неправильное отношение к управлению IT-рисками может привести к серьезным авариям информационных систем и, в конечном итоге, повлиять на непрерывность бизнеса.

Согласно полученным данным около 53% всех инцидентов вызвано проблемами, связанными с технологическими процессами, однако при этом руководители по-прежнему недооценивают фактор утечки информации, что происходит все еще весьма часто.

В своем отчете исследователи Symantec стремятся развеять четыре общих заблуждения, или мифа, связанных с управлением IT-рисками: первый – о том, что эти задачи сосредоточены только на информационной безопасности; второй – что управление рисками представляет собой проект; третий – что можно справиться исключительно с помощью технологии; и наконец, четвертый – что само по себе управление IT-рисками является научной дисциплиной.

Несмотря на традиционное восприятие IT-риска, связывающее его главным образом с безопасностью, результаты исследования показали, что у профессионалов более широкий взгляд на эту проблему. Почти 78% опрошенных рассматривали как «критический» или «серьезный» риск готовности – притом что для рисков безопасности, производительности и соответствия нормативным требованиям этот показатель равен 70, 68 и 63%. Тот факт, что разница в оценке рисков по типам составляет всего 15%, объясняется склонностью специалистов к более взвешенному отношению к IT-рискам, в меньшей степени сосредоточенному на безопасности.

Выводы отчета подтверждают: риски безопасности и соответствия нормативам часто привлекают внимание ввиду того, что инциденты этого типа бросаются в глаза и имеют далекоидущие последствия – 63% респондентов оценили как оказывающие существенное влияние на их бизнес инциденты, связанные с утечкой данных. Однако к рискам готовности относятся все серьезнее: как показывает отчет, даже мелкие проблемы производительности могут распространяться по стоимостной цепочке и приводить к потерям, измеряемым миллионами долларов.

Недавно ученые Дартмутского колледжа и Университета штата Вирджиния установили, что гипотетический отказ системы диспетчерского управления и сбора данных (SCADA) на нефтеперегонном заводе может привести к последствиям, влияние которых оценивается в 405 млн долл., причем поставщик понесет убытки только в 255 млн, тогда как остальные потери лягут на плечи других участников цепочки поставок.

Миф о том, что управление IT-рисками можно осуществлять в рамках единого проекта или даже ряда отдельных мероприятий, проводимых в течение определенного бюджетного периода или года, игнорирует динамическую природу внутреннего и внешнего управления этим процессом.

Управление IT-рисками должно быть организовано как непрерывный процесс. Сегодня очень серьезное влияние на предприятие могут оказать инциденты, связанные с IT-безопасностью, соблюдением нормативных требований, эксплуатационной готовностью и производительностью.

Исследование выявило следующие моменты, указывающие частоту инцидентов разного типа:

  • 69% респондентов ожидают мелких IT-инцидентов раз в месяц;
  • 63% респондентов ожидают серьезных IT-инцидентов раз в год;
  • 26% ожидают как минимум раз в год инцидентов, связанных с несоблюдением нормативных требований;
  • 25% ожидают как минимум раз в год инцидентов, связанных с утечкой данных.

Хотя технология играет важную роль в предотвращении IT-рисков, эффективность программы управления ими определяют также люди и процессы, обслуживаемые этой технологией. Согласно отчету 53% IT-инцидентов вызваны проблемами, связанными с технологическими процессами. Обеспокоенность вызывает также падение рейтинга некоторых факторов по сравнению с предыдущим, прошлогодним отчетом. Например, количество респондентов, оценивающих эффективность своих программ обучения и информирования на 75% и выше снизилось почти с 50% в первом томе отчета до 43%.

Во втором томе, где речь идет об отношении организаций к управлению IT-рисками, подчеркивается, что число участников, считающих «эффективной более чем на 75%» разработку безопасных приложений, выросло на 10%. Также отмечается повышение рейтинга дисциплины управления проблемами.

Одним из главных выводов отчета является следующий тезис: управление IT-рисками – это не научная работа, а развивающаяся бизнес-дисциплина. И здесь особенно важен практический опыт, накопленный отдельными людьми и организациями в процессе эволюции деловой и технологической среды. Кроме того, происходит все более четкое понимание того, что контроль над IT-рисками включает в себя факторы управления операционными рисками, контроля качества и руководства производственными и IT-подразделениями. Однако к этому добавляются также организационные и технологические факторы, уникальные для мира IT.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT