Raport ma pomóc kierownictwu wyższego szczebla i informatykom w poznaniu najważniejszych elementów efektywnej strategii zarządzania ryzykiem informatycznym. Został on opracowany na podstawie danych zebranych w ramach rocznego - ilościowego i jakościowego - badania ankietowego. Firma Symantec uzyskała informacje od przeszło 500 respondentów (począwszy od menedżerów ds. informatycznych, a skończywszy na najwyższej kadrze kierowniczej działów IT w przedsiębiorstwach działających globalnie), reprezentujących szeroką gamę segmentów rynku.

Firmy wskazują na przypadki naruszenia bezpieczeństwa

Większość respondentów odpowiadających na ankietę firmy Symantec spodziewa się, że w okresie od roku do pięciu lat dotkną ich skutki jakiegoś zdarzenia związanego z naruszeniem bezpieczeństwa lub zgodności z przepisami. 66% respondentów spodziewa się poważnego zagrożenia, związanego ze zgodnością z przepisami, co najmniej raz na pięć lat. Ponadto 58% respondentów spodziewa się, że co najmniej raz na pięć lat staną w obliczu poważnego zagrożenia związanego z utratą danych, spowodowaną takimi zdarzeniami, jak awaria centrum danych, uszkodzenie danych czy naruszenie systemów zabezpieczeń.

Wdrożenie mechanizmów kontroli procesów wypada gorzej w porównaniu z mechanizmami kontroli technologii

Efektywne zarządzanie ryzykiem informatycznym wymaga uważnego połączenia fachowej wiedzy oraz inwestycji w ramach mechanizmów kontroli procesów i technologii. W najskuteczniejszych programach zarządzania ryzykiem informatycznym wykorzystywane są zdefiniowane mechanizmy kontroli, które obejmują dobrze dobrane technologie i najlepsze metody działania. Według raportu firmy Symantec ankietowani – pracujący na rozmaitych poziomach w firmach o różnej wielkości, różnym zasięgu geograficznym i w różnych branżach – uważają mechanizmy kontroli technologii w swoich organizacjach za efektywniejsze od mechanizmów kontroli procesów.

Wyniki badania dowodzą, że za najefektywniejsze są uznawane mechanizmy kontroli procesów związane z uwierzytelnianiem, autoryzacją i uzyskiwaniem dostępu — 68% respondentów oceniło efektywność swoich firm w tej dziedzinie na ponad 75%. W raporcie podkreślono też problem mechanizmów kontroli procesów w zakresie identyfikowania, klasyfikowania i zarządzania zasobami informatycznymi oraz zarządzania nimi. Zaledwie 38% respondentów oceniło swoją efektywność w tej dziedzinie na poziomie powyżej 75%. Te mechanizmy kontroli mają fundamentalne znaczenie w budowaniu programu zarządzania ryzykiem informatycznym i odzwierciedlają priorytety firmy. Bez starannej oceny ryzyka wszystkie zasoby mogą być traktowane jednakowo, a to oznacza, że niektóre mogą być nadmiernie chronione, inne zaś — chronione zbyt słabo.

„Firmy zaczynają dostrzegać, że w strategii zarządzania ryzykiem informatycznym zapobieganie sprawdza się lepiej niż reagowanie” — mówi Jon Oltsik, starszy analityk w firmie Enterprise Strategy Group. „Efektywne zarządzanie ryzykiem informatycznym wymaga, aby firmy właściwie oceniły swoje technologie i procesy oraz by dobrze poznały i oszacowały różne czynniki ryzyka, które mogą mieć wpływ na ich systemy, a także całą działalność”.