Raport IT Risk
Wednesday, 21 February 2007
Najnowsze badania przeprowadzone dla CA przez firmę Freeform Dynamics pokazują, że mimo iż firmy coraz trafniej oceniają ryzyko i uwzględniają je w planach aktywności, wiele z nich wciąż nie ma zintegrowanej strategii zarządzania ryzykiem biznesowym obejmującej systemy informatyczne. W wyniku tego firmy nie tylko narażają się na ryzyko, ale również często powstrzymują się od wdrożenia technologii niezbędnych do uzyskania przewagi nad konkurencją, napędzania rozwoju biznesu i zapewnienia zgodności z regulacjami.
Organizacje w coraz większym stopniu polegają na technologiach informatycznych, dlatego zarządzanie ryzykiem związanym z systemami informatycznymi jest newralgiczne dla ich działalności. Jednakże menedżerowie IT i specjaliści często są pomijani w planowaniu zarządzania bardziej ogólnym ryzykiem biznesowym.
Stało się to oczywiste, gdy CA zleciła firmie Freeform Dynamics zbadanie opinii 715 menedżerów działów informatycznych wyższego szczebla w ramach przeprowadzonego w Europie i na Bliskim Wschodzie badania dotyczącego zarządzania ryzykiem biznesowym. Mimo iż ponad 60% respondentów stwierdziło, że ryzyko jest poważnie brane pod uwagę w ich firmach, menedżerowie działów informatycznych wyższego szczebla stwierdzili, że tylko 30% swojego czasu poświęcali na przeciwdziałanie ryzyku biznesowemu. Jest to szczególnie znaczące, gdyż pozycje na początku listy rodzajów ryzyka biznesowego są ściśle związane z informatyką.
W badaniach wykazano, że:
- Na czele listy ryzyka zagrażającego firmie znajdują się "Utrata newralgicznych informacji biznesowych" oraz „Przestoje operacyjne w wyniku awarii systemu". Ponad 90% firm bierze je pod uwagę wprost podczas planowania, a 60% stwierdza, że są to najważniejsze kwestie do rozważenia.
- Nielegalne wykorzystanie poufnych informacji jest wciąż bardzo ważnym zagadnieniem związanym z ryzykiem: 88% respondentów zwraca na nie uwagę podczas planowania, natomiast 58% podkreśla je jako podstawowy problem.
- Powyższe dwa odkrycia podkreślają fakt, że bezpieczeństwo i elastyczność są integralną częścią zarządzania ryzykiem biznesowym.
- Zgodność z przepisami i regulaminem oraz spełnienie wymogów identyfikowalności powinny być realizowane za pomocą systemów informatycznych. Ponad 80% firm stwierdziło, że kwestia ta była brana pod uwagę podczas planowania.
- Około 60% respondentów stwierdziło, że rozpowszechnianie danychw wielu lokalizacjach sprawia, że tworzenie kopii zapasowych i/lub ich odzyskiwanie staje się wyzwaniem. Średni poziom zaufania w zakresie bezpieczeństwa newralgicznych danych dystrybuowanych w ten sposób wynosi mniej niż 70%, co oznacza, że istnieje jedna szansa na trzy, że lokalnie przechowywane i mobilne dane są zagrożone.
Wyniki badań podkreśliły także potrzebę ciągłych ulepszeń w zarządzaniu informacją w większości badanych firm.
- 55% respondentów nie ma ogólnego budżetu do zarządzania ryzykiem dla biznesu lub działu informatycznego, a tylko około 30% angażuje menedżerów IT w dyskusje o ryzyku biznesowym, mimo iż mają one na myśli przede wszystkim ryzyko IT.
Wynik ten podkreśla potrzebę istnienia bardziej skoordynowanego podejścia do zarządzania ryzykiem.
Zgodność z przepisami pozostaje problemem, do którego brak jest skutecznego podejścia pod względem inwestycji w technologie pamięci masowej. 45% firm uważa, że napotkałoby problemy podczas odnalezienia informacji w odpowiednim czasie, a 40% - że ma niekompletne rekordy lub zapisy kontrolne, które mogłyby prowadzić do naruszenia przepisów.
Piotr Owerski, Starszy Konsultant ds. bezpieczeństwa w firmie CA skomentował: "Dość znaczna ilość - 55% respondentów - nie ma ogólnego budżetu do zarządzania ryzykiem dla biznesu lub działu informatycznego, a tylko około 30% angażuje menedżerów IT w dyskusje o ryzyku biznesowym. Ten rozdźwięk będzie w dalszym stopniu wdzierał się między strategię biznesową, a strategię informatyczną, sabotując konkurencyjność i rozwój firm na rynku lub wręcz uniemożliwiając go. Firmy muszą zdać sobie sprawę ze znaczenia udziału IT w realizacji strategii biznesowej i równomiernie zarządzać ryzykiem we wszystkich obszarach. W szczególności, powinny one także szukać inwestycji w elastyczne, zintegrowane technologie, które rozwiązują szeroką gamę problemów, takich jak bezpieczeństwo, pamięć masowa i zgodność z przepisami. Strategia zazwyczaj umożliwia firmom skuteczne reagowanie na zmiany rynkowe, jednocześnie nie naruszając integralności ani dostępności newralgicznych danych w firmie".
W tym badaniu "ryzyko biznesowe" zdefiniowano jako "sposób, w jaki organizacja traktuje ryzyko biznesowe i zarządza nim, tj. zdarzenia lub potencjalne zdarzenia, które mogłyby stanąć na drodze firm, które odnoszą sukces oraz realizują swoje cele i zobowiązania".