Меню
Поиск

Symantec выпустила отчет о мифах и причинах ИТ-инцидентов

31 январь, 2008 - 17:55

Корпорация Symantec выпустила второй том отчета об отношении организаций к управлению ИТ-рисками (Symantec IT Risk Management Report Volume II), из которого следует, что уровень осведомленности организаций о важности управления ИТ-рисками повышается, тем не менее, некоторые заблуждения по-прежнему сохраняются.

Хотя отчет, который составлен на основе анализа более чем 400 опросов ИТ-профессионалов показывает, что руководители стали придерживаться более взвешенного подхода, который учитывает риски готовности, безопасности, производительности и соблюдения нормативных требований, неправильное отношение к управлению ИТ-рисками может привести к авариям ИТ-систем и в конечном итоге повлиять на непрерывность бизнеса.

Отчет показывает также, что 53% всех ИТ-инцидентов вызвано проблемами, связанными с технологическими процессами, однако ИТ-руководители часто недооценивают частоту случаев утечки данных.

Отчет развеивает следующие четыре общих заблуждения, или мифа, связанных с ИТ-рисками:
• миф о том, что управление ИТ-рисками сосредоточено только на ИТ-безопасности;
• миф о том, что управление ИТ-рисками представляет собой проект;
• миф о том, что с ИТ-рисками можно справиться исключительно при помощи технологии;
• миф о том, что управление ИТ-рисками является научной дисциплиной.

Несмотря на традиционное восприятие ИТ-риска, связывающее его главным образом с рисками безопасности, результаты исследования указывают на распространение среди ИТ-профессионалов более широкого взгляда. 78% опрошенных оценили как «критический» или «серьезный» риск риск готовности — при том, что для рисков безопасности, производительности и соответствия нормативным требованиям эта оценка составила соответственно 70%, 68% и 63%. Тот факт, что разница в оценке рисков по типам составляет всего 15%, указывает на то, что ИТ-профессионалы склоняются к более взвешенному отношению к ИТ-рискам, в меньшей степени сосредоточенному на безопасности.

Выводы отчета подтверждают: риски безопасности и соответствия нормативам часто привлекают внимание ввиду того, что инциденты данного типа бросаются в глаза и имеют далеко идущие последствия — 63% респондентов оценили как оказывающие серьезное влияние на их бизнес инциденты, связанные с утечкой данных. Однако к рискам готовности относятся все серьезнее: как показывает отчет, даже мелкие проблемы производительности могут распространяться по стоимостной цепочке и приводить к потерям, измеряемым миллионами долларов.

Недавно ученые Дартмутского колледжа и Университета штата Вирджиния установили, что гипотетический отказ системы диспетчерского управления и сбора данных (SCADA) на нефтеперегонном заводе может привести к последствиям, влияние которых оценивается в $405 млн, причем поставщик понесет убытки только в $255 млн, тогда как остальные потери лягут на плечи других участников цепочки поставок.

Миф о том, что управление ИТ-рисками можно осуществлять в рамках единого проекта или даже ряда отдельных мероприятий, проводимых в течение определенного бюджетного периода или года, игнорирует динамическую природу внутреннего и внешнего управления ИТ-рисками. Управление ИТ-рисками должно быть организовано как непрерывный процесс. Сегодня очень серьезное влияние на организацию могут оказать инциденты, связанные с ИТ-безопасностью, соблюдением нормативных требований, эксплуатационной готовностью и производительностью. Отчет выявил следующие цифры, указывающие частоту ИТ-инцидентов разного типа:
• 69% респондентов ожидает мелких ИТ-инцидентов раз в месяц;
• 63% респондентов ожидает серьезных ИТ-инцидентов каждый год
• 26% ожидает как минимум раз в год инцидентов, связанных с несоблюдением нормативных требований;
• 25% ожидает как минимум раз в год инцидентов, связанных с утечкой данных.

Хотя технология играет важную роль в предотвращении ИТ-рисков, эффективность программы управления ИТ-рисками определяют также люди и процессы, обслуживаемые этой технологией. Согласно отчету, 53% ИТ-инцидентов вызваны проблемами, связанными с технологическими процессами. Обеспокоенность вызывает также снижение рейтинга некоторых факторов по сравнению с предыдущим, прошлогодним отчетом. Например, оценка фактора обучения и информирования по вопросам безопасности снизилась почти с 50% в первом томе отчета всего до 43% респондентов, оценивающих эффективность своих программ обучения и информирования на 75% и выше.
Во втором томе отчета об отношении организаций к управлению ИТ-рисками подчеркивается, что число участников, считающий «эффективной более чем на 75%» разработку безопасных приложений, увеличилось на 10%. Отчет указывает также на повышение рейтинга дисциплины управления проблемами.

Отчет ясно дает понять, что управление ИТ-рисками — это не научная работа, а развивающаяся бизнес-дисциплина, так как оно опирается на практический опыт, накопленный отдельными людьми и организациями в процессе развития деловой и технологической среды. Усиливается понимание того, что управление ИТ-рисками включает в себя факторы управления операционными рисками, контроля качества и руководства производственными и ИТ-подразделениями. Однако к этому добавляются также организационные и технологические факторы, уникальные для мира ИТ.