Вход
Из чего рождаются IT-инциденты? ("БДМ. Банки и деловой мир", N 7, июль 2008 г.)
-
Из чего рождаются IT-инциденты? ("БДМ. Банки и деловой мир", N 7, июль 2008 г.)
-
Миф 1: IТ-риск - это риск безопасности
-
Миф 2: управление IТ-рисками - это проект
-
Миф 3: IТ-риски можно уменьшить при помощи одной лишь технологии
-
Миф 4: управление рисками - научная дисциплина
-
Разброс по отраслям
Из чего рождаются IT-инциденты?
В конце января корпорация Symantec выпустила второй том отчета об отношении организаций к управлению IТ-рисками (Symantec IT Risk Management Report Volume II). Проведенное исследование показало, что уровень осведомленности организаций о важности управления IТ-рисками растет. Тем не менее, некоторые заблуждения по-прежнему сохраняются. Несмотря на то, что, судя по отчету, руководители стали придерживаться более взвешенного подхода, который учитывает риски готовности, безопасности, производительности и соблюдения нормативных требований, неправильное отношение к управлению IТ-рисками может привести к авариям IТ-систем и в конечном итоге повлиять на непрерывность бизнеса. Выяснилось также, что 53% всех IТ-инцидентов вызвано проблемами, связанными с технологическими процессами. Однако IТ-руководители зачастую недооценивают частоту случаев утечки данных.
Подробный отчет, составленный на основе анализа более чем четырехсот углубленных, систематических опросов IТ-профессионалов во все мире, вскрывает важнейшие проблемы и тенденции, анализируя и развеивая следующие четыре общих заблуждения или мифа, связанных с IТ-рисками.
Управление IТ-рисками сосредоточено только на IТ-безопасности.
Управление IТ-рисками представляет собой проект.
С IТ-рисками можно справиться исключительно при помощи технологии.
Управление IТ-рисками является научной дисциплиной.
Миф 1: IТ-риск - это риск безопасности
Несмотря на традиционное восприятие IТ-риска, связывающее его главным образом с рисками безопасности, результаты исследования указывают на распространение среди IТ-профессионалов более широкого взгляда. 78% опрошенных оценили как "критический" или "серьезный" риск готовности - при том, что для рисков безопасности, производительности и соответствия нормативным требованиям эта оценка составила соответственно 70, 68 и 63%. Тот факт, что разница в оценке рисков по типам составляет всего 15%, подтверждает: IТ-профессионалы склоняются к более взвешенному отношению к IТ-рискам, в меньшей степени сосредоточенному на безопасности.
"Вывод отчета Symantec о том, что организации признают важность управления IТ-рисками не только в сфере безопасности, но и в таких областях, как готовность и производительность, обнадеживает, - говорит старший аналитик Enterprise Strategy Group Джон Олтсик. - Предприятия начинают понимать, что в современном взаимосвязанном мире на деятельность организации и ее результаты могут повлиять неполадки в широком спектре систем".
Выводы отчета подтверждают: риски безопасности и соответствия нормативам часто привлекают внимание ввиду того, что инциденты данного типа бросаются в глаза и имеют далеко идущие последствия - 63% респондентов оценили как оказывающие серьезное влияние на их бизнес инциденты, связанные с утечкой данных. Однако к рискам готовности относятся все серьезнее: как показывает исследование, даже мелкие проблемы производительности могут распространяться по стоимостной цепочке и приводить к потерям, измеряемым миллионами долларов.
Недавно ученые Дартмутского колледжа и Университета штата Вирджиния установили, что гипотетический отказ системы диспетчерского управления и сбора данных (SCADA) на нефтеперегонном заводе может привести к последствиям, которые оценивается в $405 млн. Причем поставщик понесет убытки только в $255 млн., остальные потери лягут на плечи других участников цепочки поставок (http://www.ists.dartmouth.edu/library/207.pdf).
Миф 2: управление IТ-рисками - это проект
Миф о том, что управлять IТ-рисками можно в рамках единого проекта или даже ряда отдельных мероприятий, проводимых в течение определенного бюджетного периода или года, игнорирует динамическую природу внутреннего и внешнего управления этими рисками. Чтобы идти в ногу с меняющимися условиями, в которых приходится работать современным предприятиям, управление IТ-рисками должно быть организовано как непрерывный процесс. Сегодня очень серьезное влияние на организацию могут оказать инциденты, связанные с IТ-безопасностью, соблюдением нормативных требований, эксплуатационной готовностью и производительностью. Отчет выявил следующие цифры, указывающие частоту IТ-инцидентов разного типа:
69% респондентов ожидает мелких IТ-инцидентов раз в месяц;
63% респондентов ожидает серьезных IТ-инцидентов каждый год;
26% ожидает как минимум раз в год инцидентов, связанных с несоблюдением нормативных требований;
25% ожидает как минимум раз в год инцидентов, связанных с утечкой данных.
Наиболее эффективные организации, согласно выводам отчета, придерживаются систематического подхода. Однако многие, похоже, упускают фундаментальные меры по управлению рисками, такие как классификация ресурсов и управление ими. Всего 40% участников исследования оценили свою эффективность по этому показателю в 75% или выше. К тому же только 34% участников убеждены, что располагают актуальным реестром своих беспроводных и мобильных устройств, без которого в современном деловом мире не обойтись.
Миф 3: IТ-риски можно уменьшить при помощи одной лишь технологии
Хотя технология играет важную роль в предотвращении IТ-рисков, эффективность программы управления ими определяют также люди и процессы, обслуживаемые этой технологией. Согласно отчету, 53% IТ-инцидентов вызваны проблемами, связанными с технологическими процессами. Обеспокоенность вызывает также снижение рейтинга некоторых факторов по сравнению с предыдущим, прошлогодним исследованием. Например, оценка фактора обучения и информирования по вопросам безопасности снизилась почти с 50% в первом исследовании всего до 43% тех, кто оценивает эффективность своих программ обучения и информирования на 75% и выше.
Как и первый том, свежий отчет демонстрирует очень незначительный прогресс в области оценки фактора классификации ресурсов. Наконец, всего 43% участников исследования оценили "выше 75%" эффективность управления жизненным циклом данных - это на 17% меньше, чем в первом томе. Пренебрежение этим фактором предполагает одинаковое отношение ко всем ресурсам, так что одни системы, процессы и объекты будут излишне защищены от IТ-рисков, а другие - недостаточно защищены, что ведет к экономической и производственной неэффективности.
Во втором томе отчета об отношении организаций к управлению IТ-рисками подчеркивается, что число участников, считающих "эффективной более чем на 75%" разработку безопасных приложений, увеличилось на 10%. Повысился и рейтинг дисциплины управления проблемами.
Миф 4: управление рисками - научная дисциплина
Отчет ясно дает понять, что управление IТ-рисками - не научная работа, а развивающаяся бизнес-дисциплина, так как оно опирается на практический опыт, накопленный отдельными людьми и организациями в процессе развития деловой и технологической среды. Усиливается понимание того, что управление IТ-рисками включает в себя факторы управления операционными рисками, контроля качества и руководства производственными и IТ-подразделениями. Однако к этому добавляются также организационные и технологические факторы, уникальные для мира информационных технологий.
Разброс по отраслям
Отчет проливает свет и на состояние управления IТ-рисками в отдельных отраслях. В числе его выводов, например, то, что больше всего инцидентов ожидают представители здравоохранения. Учитывая сложность и высоко индивидуальную природу услуг этой отрасли, а также строжайшие требования по соблюдению нормативов, такой прогноз вызывает некоторую обеспокоенность.
Активнее всех средства управления IТ-рисками внедряют в индустрии связи, близко к которой следует сфера банковских и финансовых услуг. Этот успех, вероятно, вызван растущим числом нормативных актов и строгостью требований по их соблюдению для перечисленных секторов, а также заботой о защите информации частного характера.
"Второе издание годового отчета об отношении организаций к управлению IТ-рисками обеспечивает IТ-профессионалов и руководителей высшего звена беспрецедентным проникающим взглядом в дисциплину управления IТ-рисками - от понимания того, что работает, а что - нет, до практических рекомендаций и действенных советов по эффективной реализации программы, - говорит вице-президент отделения Symantec Information Technology and Services Group Дэвид Томпсон. - Лучшее понимание практики управления IТ-рисками позволяет организациям с уверенностью брать на себя точно рассчитанные риски и использовать IТ для достижения конкурентного преимущества".
"БДМ. Банки и деловой мир", N 7, июль 2008 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журнал "БДМ. Банки и деловой мир"
Журнал зарегистрирован в Комитете Российской Федерации по печати. Регистрационное свидетельство N ПИ N ФС 77-26288 от 17 ноября 2006 г.
Учредитель: издательство "Русский салон периодики"
Издается при поддержке Ассоциации региональных банков России, Международного конгресса промышленников и предпринимателей и Гильдии финансовых менеджеров России
С 1995 до конца 2006 года журнал выходил под названием "Банковское дело в Москве"