CUPERTINO, Kalifornie – Společnost Symantec Corp. (Nasdaq: SYMC) zveřejnila druhé vydání zprávy Symantec IT Risk Management Report, z níž vyplývá, že se zvyšuje povědomí o důležitosti řízení rizik IT, ale stále přetrvává několik mýtů. Přes zjištění, že odborní pracovníci pojímají řízení rizik IT více vyváženě a zahrnují do něj rizika související s dostupností, zabezpečením, souladem a výkonem, může nepochopení řízení rizik IT vést k selháním systémů IT a ve svém důsledku může nepříznivě ovlivnit kontinuitu činnosti organizace. Zpráva také udává, že 53 % incidentů v oblasti IT je způsobeno problémy v oblasti procesů, a že oddělení IT často nesprávně nahlížejí na četnost úniků dat.

Obsáhlá zpráva, vypracovaná na základě analýzy více než 400 podrobných strukturovaných dotazníků vyplněných odbornými pracovníky v oboru IT z celého světa, identifikuje nejdůležitější problémy a trendy a dále analyzuje a rozkrývá následující čtyři mýty obvykle spojované s riziky IT:

• Řízení rizik IT se zaměřuje na zabezpečení IT.
• Řízení rizik IT je projekt.
• Ke zmírnění rizik IT stačí samotná technologie.
• Řízení rizik IT je vědecká disciplína.

 

První mýtus: rizika IT jsou rizika zabezpečení
Výsledky průzkumu ukazují, že vedle tradičního vnímání, které spojuje rizika IT zejména s bezpečnostními riziky, se mezi odbornými pracovníky v oboru IT objevuje také širší pohled. 78 % respondentů hodnotilo rizika spojená s dostupností jako „kritická“ nebo „závažná“, zatímco rizika spojená se zabezpečením, výkonem a souladem takto hodnotilo 70, 68, respektive 63 % respondentů. To, že typy rizik s nejvyšším a nejnižším hodnocením míry závažnosti dělí pouze 15 procentních bodů, naznačuje, že odborní pracovníci v oblasti IT začínají nahlížet na rizika IT více vyváženě a nespojují je pouze se zabezpečením.

„Je povzbudivé, že ze všech částí zprávy společnosti Symantec je patrné, že si organizace uvědomují důležitost řízení rizik IT nejen v oblasti zabezpečení, ale například také v oblasti dostupnosti a výkonu,“ řekl Jon Oltsik, vedoucí analytik ve společnosti Enterprise Strategy Group. „Organizace v současném propojeném světě chápou, že jejich činnost a výsledky může nepříznivě ovlivnit selhání širokého spektra systémů IT.“

Zjištění publikovaná ve zprávě potvrzují, že rizika spojená se zabezpečením a souladem často přitahují pozornost kvůli své značné viditelnosti a dopadům – 63 % respondentů uvedlo, že úniky dat mají vážné důsledky pro jejich organizaci. Zvýšený důraz je však kladen na rizika spojená s dostupností, která, jak vyplývá ze zprávy, mohou ovlivňovat hodnotový řetězec a jejich důsledky se mohou měřit v milionech dolarů dokonce i při menších potížích s výkonem. Podle odhadu výzkumníků z Dartmouthu a University of Virginia by mělo selhání hypotetické sítě SCADA v ropné rafinerii za následek ekonomický dopad ve výši 405 mil. USD. Samotný dodavatel by utrpěl ztrátu 255 mil. USD a zbytek částky by připadl na ostatní subjekty v zásobovacím řetězci (http://www.ists.dartmouth.edu/library/207.pdf).

 

Druhý mýtus: řízení rizik IT je projekt
Mýtus, že rizika IT lze vyřešit v jediném projektu, nebo dokonce jako řadu časově omezených úkonů v průběhu rozpočtových období nebo let, ignoruje dynamickou povahu interního a externího prostředí rizik IT. Incidenty v oblasti zabezpečení, souladu, dostupnosti a výkonu IT mohou mít alarmující dopad na moderní organizaci. Zpráva odhalila následující skutečnosti ve vztahu k četnosti různých typů incidentů v oblasti IT:

• 69 % respondentů očekává menší incident v oblasti IT jednou za měsíc.
• 63 % respondentů očekává nejméně jednou ročně větší selhání IT.
• 26 % respondentů očekává nejméně jednou ročně incident týkající se nesouladu s předpisy.
• 25 % respondentů očekává nejméně jednou ročně únik dat.

Ze zprávy vyplývá, že nejlépe fungující organizace pojímají celou problematiku nejkomplexněji. Zdá se však, že mnoha organizacím se nedaří zavádět některé základní mechanismy řízení rizik, například klasifikaci a správu prostředků. Pouze 40 % účastníků hodnotí v tomto bodu svoji činnost jako úspěšnou ze 75 % nebo lepší. Pouze 34 % účastníků se navíc domnívá, že mají aktuální soupis svých bezdrátových a mobilních zařízení, která jsou v současném obchodním světě nepostradatelná.

Třetí mýtus: ke zmírnění rizik IT stačí samotná technologie
Technologie má sice nejdůležitější roli ve zmírňování rizik, ale účinnost programu řízení rizik IT určují také lidé a procesy, které technologie podporuje. 53 % incidentů ve oblasti IT je podle zprávy způsobeno potížemi v oblasti procesů. U několika kontrolních mechanismů bylo také patrné nižší hodnocení oproti 1. vydání zprávy, což vzbuzuje rostoucí obavy. Například u řízení zabezpečení prostřednictvím školení a informovanosti kleslo procento respondentů, kteří své programy hodnotili jako účinné z více než 75 %. V 1. vydání zprávy takto hodnotilo své programy téměř 50 % respondentů, zatímco nyní pouhých 43 %. Nová zpráva podobně jako její 1. vydání ukazuje také pouze velice malé zlepšení nízkého hodnocení inventarizace a klasifikace prostředků. A konečně pouze 43 % účastníků hodnotí správu životního cyklu dat jako účinnou „z více než 75 %“, což je pokles o 17 procentních bodů oproti 1. vydání. Slabost těchto prvků řízení rizik napovídá, že stejně bude nakládáno s prostředky, takže některé systémy, procesy a objekty budou chráněny před riziky IT nadměrně a jiné nedostatečně. To vede k nízké efektivitě vynaložených nákladů a k provozním nedostatkům.
2. vydání zprávy upozornilo na 10% zvýšení počtu účastníků, kteří hodnotili vývoj bezpečných aplikací jako „úspěšný z více než 75 %“. Zpráva také signalizuje, že bude věnována zvýšená pozornost správě problémů.

Čtvrtý mýtus: řízení rizik IT je vědecká disciplina
Zpráva dává jasně najevo, že řízení rizik IT je rozvíjející se obchodní disciplína a nikoli předmět vědeckého studia, protože se opírá o zkušenosti nashromážděné jednotlivci a organizacemi ve snaze udržet krok s měnícím se obchodním a technologickým prostředím. Vzrůstá povědomí o tom, že řízení rizik IT zahrnuje prvky řízení provozních rizik, kontroly jakosti a řízení podniku a IT. Ale je doplněno také o procesní a technologické kontrolní mechanismy, které se objevují pouze ve světě IT.

Rozdíly mezi odvětvími
Zpráva se také věnuje stavu řízení rizik IT v jednotlivých odvětvích. Mezi významná zjištění patří, že respondenti ze zdravotnictví očekávali nejvíce incidentů v oblasti IT ze všech odvětví. Při složitosti a vysoce osobní povaze zdravotnických služeb a přísných požadavcích na soulad je to důvod k určitým obavám. Telekomunikace měly nejvyšší hodnocení zavádění mechanismů řízení rizik IT, těsně za nimi následovaly bankovní a finanční služby. Tento úspěch v uvedených sektorech je pravděpodobně dán jejich zvýšeným řízením a dohledem na soulad s předpisy i starostí o ochranu osobních údajů.
 „Podruhé vydaná zpráva IT Risk Management Report poskytuje odborným pracovníkům v oboru IT a vrcholovým řídícím pracovníkům jedinečné poznatky o disciplině řízení rizik IT, od možnosti seznámit se s tím, co vede a co nevede k cíli, až po praktické rady a doporučené postupy úspěšného provádění programu,“ řekl David Thompson, president skupiny Symantec Information Technology and Services Group. „Lepší pochopení možností řízení rizik IT v praxi umožňuje organizacím s důvěrou podstoupit kalkulovaná rizika a využívat IT k získání konkurenční výhody.“
2. vydání zprávy Symantec IT Risk Management Report je k dispozici na webu společnosti Symantec na adrese
http://www.symantec.com/en/uk/business/theme.jsp?themeid=threatreport

O společnosti Symantec
Společnost Symantec zaujímá světové prvenství v poskytování softwaru, zařízení a služeb, díky nimž mohou podniky i jednotliví zákazníci důvěřovat připojení ke světové síti. Společnost svým zákazníkům poskytuje software a služby zaměřené na předcházení bezpečnostních rizik a rizik týkajících se dostupnosti, dodržování norem a výkonu, a pomáhá jim tak chránit jejich infrastrukturu a informační zdroje a procesy. Společnost Symantec má ředitelství ve městě Cupertino v Kalifornii a pobočky ve více než 40 zemích. Další informace jsou k dispozici na adrese www.symantec.com.