Корпорация Symantec выпустила отчет
Корпорация Symantec выпустила отчет об отношении организаций к управлению ИТ-рисками (IT Risk Management Report), согласно которому свыше 60% респондентов ожидают в течение года по крайней мере одного крупного ИТ-инцидента, способного прекратить или нарушить важную часть бизнеса. Новый отчет Symantec призван помочь руководителям и ИТ-персоналу разобраться в критических элементах, влияющих на эффективную стратегию в отношении ИТ-рисков.
Он основан на данных количественного и качественного исследования, проведенного в течение 12 месяцев по октябрь 2006 года. Symantec собрала сведения от более чем 500 респондентов, начиная с ИТ-менеджеров и заканчивая высшими ИТ-руководителями, в международных организациях широкого спектра отраслей.
Данные отчета Symantec указывают на то, что большинство респондентов ожидает в ближайшие пять лет какого-нибудь инцидента, связанного с безопасностью или соблюдением правил. В частности, по мнению 66% респондентов, как мнимум раз в пять лет будет происходить крупный инцидент, связанный с регулирующими органами. А 58% ожидают в течение пяти лет крупной потери данных, вызванной такими событиями, как авария в вычислительном центре, повреждение данных или нарушение системы безопасности.
Для эффективного управления ИТ-рисками требуется сочетание богатого опыта и инвестиций в средства управления процессом и средства управления технологией. Самые эффективные программы управления ИТ-рисками используют инструменты, сочетающие тщательно подобранные технологии с лучшими практическими процессами. Отчет Symantec обнаружил, что опрошенные специалисты всех уровней в организациях разных отраслей, размеров и географий считают, что применяемые на их предприятиях средства для управления технологией более эффективны, чем средства управления процессом.
Выводы отчета указывают на то, что самыми эффективными средствами управления процессом считают аутентификацию, авторизацию и доступ: 68% респондентов оценили их эффективность на своих предприятиях более чем в 75%. В отчете подчеркивается также специфическая проблема управления процессом в части идентификации, классификации и управления ИТ-ресурсами. Всего 38% респондентов оценили эффективность учета ресурсов, классификации и управления на своих предприятиях более чем в 75%.
Эти функции имеют фундаментальное значение для создания отражающей приоритеты организации программы управления ИТ-рисками. Без тщательной оценки рисков все ресурсы, скорее всего, будут рассматриваться одинаково, в то время как одни из них могут быть чрезмерно защищены, а другие — защищены недостаточно.
Отчет Symantec выявил заметную разницу в восприятии степени подверженности своей организации ИТ-рискам ИТ-персоналом и руководителями ИТ-подразделения. Особенно это касается восприятия риска, связанного как с бизнес-процессом, так и с соблюдением нормативов. Например, 8% ИТ-менеджеров и 22% ИТ-директоров считают важным для своего ИТ-подразделения риск, связанный с бизнес-процессами, и 23% ИТ-менеджеров и 16% ИТ-директоров считают важным риск, связанный с соблюдением нормативов.
Symantec убеждена, что только строгое согласование между всеми аспектами ИТ и бизнеса может сделать успешными инвестиции в управление ИТ-рисками. Существующие различия во внутренних точках зрения может создать дополнительный риск, ухудшая координацию с остальным бизнесом. В результате некоторые факторы могут переоцениваться или недооцениваться, что ведет к затратам лишних ресурсов и неэффективным программам управления ИТ-рисками.
Данные отчета Symantec указывают на тенденцию, относящуюся к «лучшим в своем классе» организациям. В отчете об отношении организаций к управлению ИТ-рисками Symantec определяет лучшие в своем классе организации как 25% респондентов, максимально высоко оценивших эффективность своего управления 16 факторами. Эти организации испытывают более высокий уровень риска в области соблюдения нормативов и бизнес-процессов, но в них наблюдается меньшее число ИТ-инцидентов.
Детальный анализ показал, что лучшие в своем классе организации демонстрируют высокую эффективность управления разными факторами, в том числе относящимися к процессам, добиваясь согласованного подхода. Данные указывают также на то, что организации с худшими показателями обычно сосредоточены на небольшом числе более тактических факторов управления технологией, вместо того, чтобы взять под контроль более широкий спектр направлений.
Он основан на данных количественного и качественного исследования, проведенного в течение 12 месяцев по октябрь 2006 года. Symantec собрала сведения от более чем 500 респондентов, начиная с ИТ-менеджеров и заканчивая высшими ИТ-руководителями, в международных организациях широкого спектра отраслей.
Данные отчета Symantec указывают на то, что большинство респондентов ожидает в ближайшие пять лет какого-нибудь инцидента, связанного с безопасностью или соблюдением правил. В частности, по мнению 66% респондентов, как мнимум раз в пять лет будет происходить крупный инцидент, связанный с регулирующими органами. А 58% ожидают в течение пяти лет крупной потери данных, вызванной такими событиями, как авария в вычислительном центре, повреждение данных или нарушение системы безопасности.
Для эффективного управления ИТ-рисками требуется сочетание богатого опыта и инвестиций в средства управления процессом и средства управления технологией. Самые эффективные программы управления ИТ-рисками используют инструменты, сочетающие тщательно подобранные технологии с лучшими практическими процессами. Отчет Symantec обнаружил, что опрошенные специалисты всех уровней в организациях разных отраслей, размеров и географий считают, что применяемые на их предприятиях средства для управления технологией более эффективны, чем средства управления процессом.
Выводы отчета указывают на то, что самыми эффективными средствами управления процессом считают аутентификацию, авторизацию и доступ: 68% респондентов оценили их эффективность на своих предприятиях более чем в 75%. В отчете подчеркивается также специфическая проблема управления процессом в части идентификации, классификации и управления ИТ-ресурсами. Всего 38% респондентов оценили эффективность учета ресурсов, классификации и управления на своих предприятиях более чем в 75%.
Эти функции имеют фундаментальное значение для создания отражающей приоритеты организации программы управления ИТ-рисками. Без тщательной оценки рисков все ресурсы, скорее всего, будут рассматриваться одинаково, в то время как одни из них могут быть чрезмерно защищены, а другие — защищены недостаточно.
Отчет Symantec выявил заметную разницу в восприятии степени подверженности своей организации ИТ-рискам ИТ-персоналом и руководителями ИТ-подразделения. Особенно это касается восприятия риска, связанного как с бизнес-процессом, так и с соблюдением нормативов. Например, 8% ИТ-менеджеров и 22% ИТ-директоров считают важным для своего ИТ-подразделения риск, связанный с бизнес-процессами, и 23% ИТ-менеджеров и 16% ИТ-директоров считают важным риск, связанный с соблюдением нормативов.
Symantec убеждена, что только строгое согласование между всеми аспектами ИТ и бизнеса может сделать успешными инвестиции в управление ИТ-рисками. Существующие различия во внутренних точках зрения может создать дополнительный риск, ухудшая координацию с остальным бизнесом. В результате некоторые факторы могут переоцениваться или недооцениваться, что ведет к затратам лишних ресурсов и неэффективным программам управления ИТ-рисками.
Данные отчета Symantec указывают на тенденцию, относящуюся к «лучшим в своем классе» организациям. В отчете об отношении организаций к управлению ИТ-рисками Symantec определяет лучшие в своем классе организации как 25% респондентов, максимально высоко оценивших эффективность своего управления 16 факторами. Эти организации испытывают более высокий уровень риска в области соблюдения нормативов и бизнес-процессов, но в них наблюдается меньшее число ИТ-инцидентов.
Детальный анализ показал, что лучшие в своем классе организации демонстрируют высокую эффективность управления разными факторами, в том числе относящимися к процессам, добиваясь согласованного подхода. Данные указывают также на то, что организации с худшими показателями обычно сосредоточены на небольшом числе более тактических факторов управления технологией, вместо того, чтобы взять под контроль более широкий спектр направлений.