Zarządzanie ryzykiem informatycznym
2007-03-24 00:22
Przeczytaj także: Zarządzanie ryzykiem IT - obalenie mitów
Rozbieżność ocen ryzyka między poszczególnymi rolami w działach informatycznych w obrębie organizacji
Raport firmy Symantec dotyczący zarządzania ryzykiem informatycznym pokazał, jak różnie menedżerowie i kierownicy działów IT postrzegają stopień ryzyka informatycznego w swoich firmach, szczególnie w obszarach procesów biznesowych i zgodności z przepisami. Na przykład 8% kierowników działów IT ocenia ryzyko związane z procesami biznesowymi jako bardzo ważne z punktu widzenia operacji informatycznych, podczas gdy podobnie sądzi 22% dyrektorów ds. IT. Z kolei 23% kierowników ocenia ryzyko związane ze zgodnością z przepisami jako bardzo ważne z punktu widzenia operacji informatycznych, z czym zgadza się 16% dyrektorów ds. informatycznych.
Firma Symantec uważa, że aby inwestycje w zarządzaniu ryzykiem informatycznym były udane, musi istnieć duża zgodność w poglądach między wszystkimi grupami środowiska informatycznego i przedsiębiorstwa. Odmienne opinie personelu informatycznego mogą nawet nieść ze sobą pewne ryzyko, jeśli różnią się one od strategii firmy. Skutkiem może być przeinwestowanie lub niedoinwestowanie mechanizmów kontroli, co prowadzi do marnowania zasobów i stosowania nieefektywnych programów zarządzania ryzykiem informatycznym.
„Ponieważ działalność gospodarcza w coraz większym stopniu zależy od systemów IT, ryzyko informatyczne staje się dla kierownictwa głównym problemem, który należy rozwiązywać w ramach ogólnej strategii zarządzania ryzykiem w przedsiębiorstwie” — mówi Greg Hughes, wiceprezes firmy Symantec ds. globalnej organizacji usług. „W raporcie firmy Symantec nakreślono wszechstronny obraz ryzyka informatycznego, ukazany w ujęciu różnych organizacji z całego świata”.
Całościowe zarządzanie ryzykiem informatycznym owocuje ograniczeniem liczby przypadków naruszenia bezpieczeństwa
Dane z raportu firmy Symantec wskazują na pewien trend dotyczący firm najlepszych w swojej klasie (firma Symantec określa firmy najlepsze w swojej klasie jako czołowe 25% respondentów, którzy ocenili swoją efektywność we wdrożeniu 16 obszarów kontroli). Firmy te doświadczają większego ryzyka związanego ze zgodnością z przepisami i procesami biznesowymi, ale spodziewają się wystąpienia mniejszej liczby incydentów w środowiskach informatycznych. Szczegółowe analizy ujawniły, że firmy najlepsze w swojej klasie osiągają wysoką efektywność w różnych obszarach kontroli, także w zakresie mechanizmów kontroli procesów, dzięki wypracowaniu całościowego podejścia. Z danych wynika również, że firmy, które radzą sobie nieco gorzej, zwykle nie wprowadzają wielu obszarów kontroli, lecz koncentrują się na niewielkiej liczbie bardziej taktycznych mechanizmów kontroli technologii.
W raporcie firmy Symantec dotyczącym zarządzania ryzykiem informatycznym udostępniono wzorce i zalecenia, które mogą być wykorzystane przez firmy do oceny ich strategii zarządzania ryzykiem informatycznym.
Do pobrania:
- (w jęz. polskim)
- (w jęz. ang.)
Przeczytaj także:
Ryzyko a przestępczość komputerowa w firmie
1 2
oprac. : Aleksander Walczak / eGospodarka.pl
Więcej na ten temat:
ryzyko informatyczne, zarządzanie ryzykiem informatycznym, bezpieczeństwo informatyczne, zagrożenia informatyczne