Raport IT Risk

Najnowsze badania przeprowadzone dla CA przez firmę Freeform Dynamics pokazują, że mimo iż firmy coraz trafniej oceniają ryzyko i uwzględniają je w planach aktywności, wiele z nich wciąż nie ma zintegrowanej strategii zarządzania ryzykiem biznesowym obejmującej systemy informatyczne. W wyniku tego firmy nie tylko narażają się na ryzyko, ale również często powstrzymują się od wdrożenia technologii niezbędnych do uzyskania przewagi nad konkurencją, napędzania rozwoju biznesu i zapewnienia zgodności z regulacjami.

Organizacje w coraz większym stopniu polegają na technologiach informatycznych, dlatego zarządzanie ryzykiem związanym z systemami informatycznymi jest newralgiczne dla ich działalności. Jednakże menedżerowie IT i specjaliści często są pomijani w planowaniu zarządzania bardziej ogólnym ryzykiem biznesowym.

Stało się to oczywiste, gdy CA zleciła firmie Freeform Dynamics zbadanie opinii 715 menedżerów działów informatycznych wyższego szczebla w ramach przeprowadzonego w Europie i na Bliskim Wschodzie badania dotyczącego zarządzania ryzykiem biznesowym. Mimo iż ponad 60% respondentów stwierdziło, że ryzyko jest poważnie brane pod uwagę w ich firmach, menedżerowie działów informatycznych wyższego szczebla stwierdzili, że tylko 30% swojego czasu poświęcali na przeciwdziałanie ryzyku biznesowemu. Jest to szczególnie znaczące, gdyż pozycje na początku listy rodzajów ryzyka biznesowego są ściśle związane z informatyką.

W badaniach wykazano, że:

• Na czele listy ryzyka zagrażającego firmie znajdują się "Utrata newralgicznych informacji biznesowych" oraz „Przestoje operacyjne w wyniku awarii systemu". Ponad 90% firm bierze je pod uwagę wprost podczas planowania, a 60% stwierdza, że są to najważniejsze kwestie do rozważenia.

• Nielegalne wykorzystanie poufnych informacji jest wciąż bardzo ważnym zagadnieniem związanym z ryzykiem: 88% respondentów zwraca na nie uwagę podczas planowania, natomiast 58% podkreśla je jako podstawowy problem.

• Powyższe dwa odkrycia podkreślają fakt, że bezpieczeństwo i elastyczność są integralną częścią zarządzania ryzykiem biznesowym.

• Zgodność z przepisami i regulaminem oraz spełnienie wymogów identyfikowalności powinny być realizowane za pomocą systemów informatycznych. Ponad 80% firm stwierdziło, że kwestia ta była brana pod uwagę podczas planowania.

• Około 60% respondentów stwierdziło, że rozpowszechnianie danychw wielu lokalizacjach sprawia, że tworzenie kopii zapasowych i/lub ich odzyskiwanie staje się wyzwaniem. Średni poziom zaufania w zakresie bezpieczeństwa newralgicznych danych dystrybuowanych w ten sposób wynosi mniej niż 70%, co oznacza, że istnieje jedna szansa na trzy, że lokalnie przechowywane i mobilne dane są zagrożone.

Wyniki badań podkreśliły także potrzebę ciągłych ulepszeń w zarządzaniu informacją w większości badanych firm.

• 55% respondentów nie ma ogólnego budżetu do zarządzania ryzykiem dla biznesu lub działu informatycznego, a tylko około 30% angażuje menedżerów IT w dyskusje o ryzyku biznesowym, mimo iż mają one na myśli przede wszystkim ryzyko IT.

Wynik ten podkreśla potrzebę istnienia bardziej skoordynowanego podejścia do zarządzania ryzykiem.

Zgodność z przepisami pozostaje problemem, do którego brak jest skutecznego podejścia pod względem inwestycji w technologie pamięci masowej. 45% firm uważa, że napotkałoby problemy podczas odnalezienia informacji w odpowiednim czasie, a 40% - że ma niekompletne rekordy lub zapisy kontrolne, które mogłyby prowadzić do naruszenia przepisów.

Piotr Owerski, Starszy Konsultant ds. bezpieczeństwa w firmie CA skomentował: "Dość znaczna ilość - 55% respondentów - nie ma ogólnego budżetu do zarządzania ryzykiem dla biznesu lub działu informatycznego, a tylko około 30% angażuje menedżerów IT w dyskusje o ryzyku biznesowym. Ten rozdźwięk będzie w dalszym stopniu wdzierał się między strategię biznesową, a strategię informatyczną, sabotując konkurencyjność i rozwój firm na rynku lub wręcz uniemożliwiając go. Firmy muszą zdać sobie sprawę ze znaczenia udziału IT w realizacji strategii biznesowej i równomiernie zarządzać ryzykiem we wszystkich obszarach. W szczególności, powinny one także szukać inwestycji w elastyczne, zintegrowane technologie, które rozwiązują szeroką gamę problemów, takich jak bezpieczeństwo, pamięć masowa i zgodność z przepisami. Strategia zazwyczaj umożliwia firmom skuteczne reagowanie na zmiany rynkowe, jednocześnie nie naruszając integralności ani dostępności newralgicznych danych w firmie".

W tym badaniu "ryzyko biznesowe" zdefiniowano jako "sposób, w jaki organizacja traktuje ryzyko biznesowe i zarządza nim, tj. zdarzenia lub potencjalne zdarzenia, które mogłyby stanąć na drodze firm, które odnoszą sukces oraz realizują swoje cele i zobowiązania".