омпани€ Symantec разве€ла мифы об »“-рисках

image

“еги: Symantec, безопасность

 орпораци€ Symantec выпустила второй том отчета об отношении организаций к управлению »“-рисками, из которого следует, что уровень осведомленности организаций о важности управлени€ »“-рисками повышаетс€, тем не менее, некоторые заблуждени€ по-прежнему сохран€ютс€.

ќтчет показал, что »“-подразделени€ начинают следовать более взвешенному подходу к »“-рискам, в меньшей степени ориентированному на безопасность.

 орпораци€ Symantec выпустила второй том отчета об отношении организаций к управлению »“-рисками (Symantec IT Risk Management Report Volume II), из которого следует, что уровень осведомленности организаций о важности управлени€ »“-рисками повышаетс€, тем не менее, некоторые заблуждени€ по-прежнему сохран€ютс€. ’от€ отчет показывает, что руководители стали придерживатьс€ более взвешенного подхода, который учитывает риски готовности, безопасности, производительности и соблюдени€ нормативных требований, неправильное отношение к управлению »“-рисками может привести к авари€м »“-систем и в конечном итоге повли€ть на непрерывность бизнеса. ќтчет показывает также, что 53% всех »“-инцидентов вызвано проблемами, св€занными с технологическими процессами, однако »“-руководители часто недооценивают частоту случаев утечки данных.

* ѕодробный отчет, составленный на основе анализа более чем 400 углубленных, систематических опросов »“-профессионалов во все мире, вскрывает важнейшие проблемы и тенденции, анализиру€ и развеива€ следующие четыре общих заблуждени€, или мифа, св€занных с »“-рисками: миф о том, что управление »“-рисками сосредоточено только на »“-безопасности;

* миф о том, что управление »“-рисками представл€ет собой проект;

* миф о том, что с »“-рисками можно справитьс€ исключительно при помощи технологии;

* миф о том, что управление »“-рисками €вл€етс€ научной дисциплиной.

1. ћиф первый: »“-риск — это риск безопасности

Ќесмотр€ на традиционное воспри€тие »“-риска, св€зывающее его главным образом с рисками безопасности, результаты исследовани€ указывают на распространение среди »“-профессионалов более широкого взгл€да. 78% опрошенных оценили как «критический» или «серьезный» риск готовности — при том, что дл€ рисков безопасности, производительности и соответстви€ нормативным требовани€м эта оценка составила соответственно 70%, 68% и 63%. “от факт, что разница в оценке рисков по типам составл€ет всего 15%, указывает на то, что »“-профессионалы склон€ютс€ к более взвешенному отношению к »“-рискам, в меньшей степени сосредоточенному на безопасности.

«¬ывод отчета Symantec о том, что организации признают важность управлени€ »“-рисками не только в сфере безопасности, но и в таких област€х, как готовность и производительность, обнадеживает, — говорит старший аналитик Enterprise Strategy Group ƒжон ќлтсик (Jon Oltsik). — ѕредпри€ти€ начинают понимать, что в современном взаимосв€занном мире на де€тельность организации и еЄ результаты могут повли€ть неполадки в широком спектре систем».

¬ыводы отчета подтверждают: риски безопасности и соответстви€ нормативам часто привлекают внимание ввиду того, что инциденты данного типа бросаютс€ в глаза и имеют далеко идущие последстви€ — 63% респондентов оценили как оказывающие серьезное вли€ние на их бизнес инциденты, св€занные с утечкой данных. ќднако к рискам готовности относ€тс€ все серьезнее: как показывает отчет, даже мелкие проблемы производительности могут распростран€тьс€ по стоимостной цепочке и приводить к потер€м, измер€емым миллионами долларов. Ќедавно ученые ƒартмутского колледжа и ”ниверситета штата ¬ирджини€ установили, что гипотетический отказ системы диспетчерского управлени€ и сбора данных (SCADA) на нефтеперегонном заводе может привести к последстви€м, вли€ние которых оцениваетс€ в $405 млн., причем поставщик понесет убытки только в $255 млн., тогда как остальные потери л€гут на плечи других участников цепочки поставок.

2. ћиф второй: управление »“-рисками — это проект

ћиф о том, что управление »“-рисками можно осуществл€ть в рамках единого проекта или даже р€да отдельных меропри€тий, проводимых в течение определенного бюджетного периода или года, игнорирует динамическую природу внутреннего и внешнего управлени€ »“-рисками. „тобы идти в ногу с мен€ющимис€ услови€ми, в которых приходитс€ работать современным предпри€ти€м, управление »“-рисками должно быть организовано как непрерывный процесс. —егодн€ очень серьезное вли€ние на организацию могут оказать инциденты, св€занные с »“-безопасностью, соблюдением нормативных требований, эксплуатационной готовностью и производительностью.

* ќтчет вы€вил следующие цифры, указывающие частоту »“-инцидентов разного типа: 69% респондентов ожидает мелких »“-инцидентов раз в мес€ц;

* 63% респондентов ожидает серьезных »“-инцидентов каждый год

* 26% ожидает как минимум раз в год инцидентов, св€занных с несоблюдением нормативных требований;

* 25% ожидает как минимум раз в год инцидентов, св€занных с утечкой данных.

ќтчет показал, что наиболее эффективные организации придерживаютс€ систематического подхода. ќднако многие, похоже, упускают фундаментальные меры по управлению рисками, такие как классификаци€ ресурсов и управление ими: всего 40% участников исследовани€ оценили свою эффективность по этому показателю в 75% или выше.   тому же только 34% участников убеждены, что они располагают актуальным реестром своих беспроводных и мобильных устройств, без которого в современном деловом мире не обойтись.

3. ћиф третий: »“-риски можно уменьшить при помощи одной лишь технологии

’от€ технологи€ играет важную роль в предотвращении »“-рисков, эффективность программы управлени€ »“-рисками определ€ют также люди и процессы, обслуживаемые этой технологией. —огласно отчету, 53% »“-инцидентов вызваны проблемами, св€занными с технологическими процессами. ќбеспокоенность вызывает также снижение рейтинга некоторых факторов по сравнению с предыдущим, прошлогодним отчетом. Ќапример, оценка фактора обучени€ и информировани€ по вопросам безопасности снизилась почти с 50% в первом томе отчета всего до 43% респондентов, оценивающих эффективность своих программ обучени€ и информировани€ на 75% и выше.  ак и первый том, свежий отчет демонстрирует очень незначительный прогресс в области оценки фактора классификации ресурсов. Ќаконец, всего 43% участников исследовани€ оценили на «выше 75%» эффективность управлени€ жизненным циклом данных, что на 17% меньше, чем в первом томе отчета. ѕренебрежение этим фактором предполагает одинаковое отношение ко всем ресурсам, так что одни системы, процессы и объекты будут излишне защищены от »“-рисков, а другие — недостаточно защищены, что ведет к экономической и производственной неэффективности.

¬о втором томе отчета об отношении организаций к управлению »“-рисками подчеркиваетс€, что число участников, считающий «эффективной более чем на 75%» разработку безопасных приложений, увеличилось на 10%. ќтчет указывает также на повышение рейтинга дисциплины управлени€ проблемами.

4. ћиф четвертый: управление рисками – научна€ дисциплина

ќтчет €сно дает пон€ть, что управление »“-рисками — это не научна€ работа, а развивающа€с€ бизнес-дисциплина, так как оно опираетс€ на практический опыт, накопленный отдельными людьми и организаци€ми в процессе развити€ деловой и технологической среды. ”силиваетс€ понимание того, что управление »“-рисками включает в себ€ факторы управлени€ операционными рисками, контрол€ качества и руководства производственными и »“-подразделени€ми. ќднако к этому добавл€ютс€ также организационные и технологические факторы, уникальные дл€ мира »“.

ќтчет проливает свет и на состо€ние управлени€ »“-рисками в отдельных отрасл€х. ¬ числе его выводов, например, то, что больше всего инцидентов ожидают представители здравоохранени€. ”читыва€ сложность и высоко индивидуальную природу услуг здравоохранени€, а также строжайшие требовани€ по соблюдению нормативов, это вызывает некоторую обеспокоенность. јктивнее всех средства управлени€ »“-рисками внедр€ют в индустрии св€зи, за которой близко следует сфера банковских и финансовых услуг. Ётот успех, веро€тно, вызван растущим числом нормативных актов и строгостью требований по их соблюдению дл€ перечисленных секторов, а также заботой о защите информации частного характера.

«¬торое издание годового отчета об отношении организаций к управлению »“-рисками обеспечивает »“-профессионалов и руководителей высшего звена проникающим взгл€дом в дисциплину управлени€ »“-рисками — от понимани€ того, что работает, а что – нет, до практических рекомендаций и действенных советов по реализации программы, — говорит вице-президент отделени€ Symantec Information Technology and Services Group ƒэвид “омпсон (David Thompson). — Ћучшее понимание практики управлени€ »“-рисками позвол€ет организаци€м с уверенностью брать на себ€ точно рассчитанные риски и использовать »“ дл€ достижени€ конкурентного преимущества».


или введите им€

CAPTCHA
31-01-2008 17:24:39
–азве кто-то строит свою систему безопасности, основыва€сь на разве€нных мифах? „то нового открыли в Symantec
0 |
31-01-2008 17:49:07
ћиф первый - риски в »Ѕ это не миф
0 |
1
01-02-2008 12:34:14
 омпани€ Symantec разве€ла мифы об ирисках =)))
0 |
1
02-02-2008 22:54:53
“олковый отчет дл€ CISO и CIO. ѕища дл€ прин€ти€ стратегических решений.  онечно, там где они принимаютс€. —истемному администратору и администратору безопасности отчет ничего не говорит.
0 |