Zarządzanie ryzykiem IT - obalenie mitów

Przeczytaj także: Zarządzanie ryzykiem informatycznym

Jak wynika z raportu, problemy dotyczące procesów stanowią źródło 53 procent incydentów informatycznych, podczas gdy w działach IT częstotliwość występowania wycieku informacji jest często bagatelizowana.

Raport opracowano na podstawie analizy ponad 400 ankiet wypełnionych przez pracowników działów informatycznych na całym świecie. Wyszczególniono w nim najważniejsze zagadnienia i tendencje oraz zbadano i obalono następujące mity powszechnie kojarzone z ryzykiem informatycznym:

• Mit pierwszy: zarządzanie ryzykiem informatycznym polega głównie na stosowaniu zabezpieczeń.
• Mit drugi: zarządzanie ryzykiem informatycznym to jednorazowa inicjatywa.
• Mit trzeci: technologia sama w sobie umożliwia zarządzanie ryzykiem informatycznym.
• Mit czwarty: zarządzanie ryzykiem informatycznym to dziedzina naukowa.

Mit pierwszy: zarządzanie ryzykiem informatycznym skupia się na zagrożeniach bezpieczeństwa

Mimo, że wciąż pokutuje tradycyjne wyobrażenie, w którym ryzyko informatyczne jest związane głównie z zagrożeniami bezpieczeństwa, wyniki ankiety pokazują, że pracownicy działów IT mają znacznie szerszy obraz tego zagadnienia. 78 procent respondentów oznaczyło jako „krytyczne” lub „poważne” ryzyko dotyczące dostępności, a zagrożenia bezpieczeństwa, wydajności i zgodności uzyskały odpowiednio 70, 68 oraz 63 procent wskazań ankietowanych. Tylko 15 procent respondentów rozdzieliło najwyżej i najniżej ocenione rodzaje zagrożeń, co oznacza, że pracownicy działów informatycznych przyjmują bardziej wyważone podejście do ryzyka informatycznego, które nie jest skupione wyłącznie na zabezpieczeniach.

Wnioski z raportu potwierdziły, że zagrożenia bezpieczeństwa i zgodności często przyciągają uwagę, ponieważ są najbardziej spektakularne. 63 procent ankietowanych określiło wyciek danych jako incydent mający poważny wpływ na działanie ich firmy. Jednak coraz większe znaczenie przypisuje się zagrożeniom związanym z dostępnością, które mogą przejść przez cały łańcuch wartości i spowodować straty liczone w milionach dolarów. Wystarczy niewielki problem z dostępnością. Badacze z Dartmouth i Uniwersytetu w Wirginii sprawdzili ostatnio, że potencjalna awaria sieci nadzoru i pozyskiwania danych w rafinerii byłaby przyczyną strat w wysokości 405 milionów dolarów, gdzie sam dostawca poniósłby 255 milionów straty, a inne elementy łańcucha wartości „podzieliłyby się” resztą strat.

Mit drugi: zarządzanie ryzykiem informatycznym to projekt

Błędne przekonanie polegające na tym, że zarządzanie ryzykiem informatycznym można zamknąć w jednym projekcie lub nawet w serii operacji z określonej chwili na przestrzeni okresów budżetowych lub lat. Zarządzanie ryzykiem informatycznym powinno być procesem ciągłym, aby umożliwić dotrzymanie kroku nieustannie zmieniającemu się środowisku, z jakim mierzą się dziś przedsiębiorstwa. Wypadki informatyczne z zakresu zabezpieczeń, zgodności, dostępności i wydajności mogą mieć destrukcyjny wpływ na działanie firm. W raporcie można znaleźć następujące dane odnośnie częstotliwości występowania różnych rodzajów incydentów informatycznych:

• 69 procent ankietowanych spodziewa się wystąpienia drobnego incydentu raz w miesiącu.
• 63 procent respondentów szacuje prawdopodobieństwo wystąpienia poważnej awarii systemu informatycznego na co najmniej raz w roku.
• 26 procent badanych spodziewa się, że incydent dotyczący zachowania zgodności z przepisami pojawi się co najmniej raz na rok.
• 25 procent ankietowanych sądzi, że wyciek danych wystąpi co najmniej z częstotliwością raz na rok.