דו"ח של סימנטק מזהה חסרונות בטיפול בסיכוני IT

סימנטק פרסמה את דוח ניהול סיכוני ה- IT שלה, ממנו עולה כי לפחות 60 אחוז מהמשיבים צופים לפחות אירוע IT גדול אחד בשנה שעלול לעצור לגמרי או להפריע לחלק הקריטי של העסק. הדוח החדש – Symantec IT Risk Management Report – נועד לעזור למנהלים ולאנשי תפעול IT להבין את הרכיבים הקריטיים המעורבים באסטרטגיית ניהול סיכוני IT יעילה.

הדוח מבוסס על מחקר כמותי ואיכותי שבוצע במהלך תקופה של 12 חודשים, שהסתיימו באוקטובר 2006. סימנטק אספה מידע מלמעלה מ- 500 משיבים: מנהלי IT בדרגים השונים עד הבכירים ביותר בארגונים עם פעילויות כלל עולמיות ובייצוג רחב של מגזרי שוק.

נתוני הסקר מצביעים על כך שמרבית המשיבים צופים להיות מושפעים על ידי סוג מסוים של אירוע אבטחה או ציות לתקנות חוקיות בטווח של שנה עד חמש השנים הבאות - 66% מהמשיבים מצפים לתקרית מרכזית הקשורה לתקנות חוקיות לפחות פעם בחמש שנים. בנוסף 58% מהמשיבים מצפים לאובדן נתונים גדול שייגרם על ידי אירועים כמו השבתת מרכז מחשבים, השחתת נתונים, או חדירה אל מערכות האבטחה, לפחות פעם אחת בחמש שנים.

"ניהול יעיל של סיכוני IT דורש שילוב חזק של מומחיות והשקעה בבקרות תהליכים ובקרות טכנולוגיה", אומר אריה דנון, מנכ"ל סימנטק ישראל ואזור הים התיכון. "תוכניות ניהול סיכוני IT היעילות ביותר משתמשות בבקרות מוגדרות ומשלבות טכנולוגיות שנבחרות בקפידה ותהליכים ונהלים מומלצים. דו"ח ניהול סיכוני ה- IT של סימנטק גילה כי המקצוענים שהשתתפו בסקר, בכל רמות הארגונים, תחומים, גודל וגיאוגרפיות, רואים את יכולות ארגוניהם בתחום בקרות טכנולוגיות כיעילות יותר מאשר בתחום בקרות תהליכים".

ממצאי הדוח מגלים כי אימות זהויות, הרשאות וגישה היו בקרות תהליכים שדורגו גבוה יותר מבחינת יעילותן, עם 68% מהמשיבים שדירגו את יעילות ארגוניהם גבוהה יותר מ- 75%. הדוח גם מדגיש בעיות בקרת תהליכים ספציפית בזיהוי, סיווג וניהול של נכסי IT. רק 38% מהמשיבים דירגו את עצמם עם יעילות העולה על 75% בהטמעת בקרות תהליכי מלאי נכסים, סיווגים וניהולם. לבקרות אלה יש חשיבות מהותית בבניית תוכנות ניהול סיכוני IT המשקפת את עדיפויות הארגון. בלי הערכת סיכונים קפדנית, כל הנכסים צפויים לזכות בטיפול שווה, כאשר חלקם צריכים להיות מוגנים יותר ואחרים מוגנים פחות.

דו"ח סימנטק זיהה הבדל בולט בדרך בה אנשי ומנהלי IT רואים את חשיפת סיכוני ה- IT של ארגוניהם, במיוחד סביב הסיכון הנתפס כקשור לסיכוני תהליכים עסקיים וסיכוני ציות לתקנות חוקיות. לדוגמא, 8% ממנהלי ה-IT הבכירים מדרגים סיכון תהליכים עסקיים כקריטי לפעילויות ה- IT שלהם, בהשוואה ל- 22% ממנהלי ה-IT הזוטרים יותר ו-23% ממנהלי ה- IT הבכירים מדרגים סיכוני ציות לתקנות חוקיות כקריטיים לפעילויות ה- IT שלהם, בהשוואה ל-16% ממנהלי ה-IT הזוטרים.

סימנטק מאמינה כי תיאום חזק בין כל התחומים של IT והעסק חייב להתקיים כדי שהשקעות בניהול סיכוני IT יזכו להצלחה. נקודות השקפה פנימיות שונות אלה של IT עלולות ליצור סיכון בגלל תיאום גרוע עם העסק הגדול יותר. זה עלול לבוא לביטוי בהשקעה עודפת או השקעה נמוכה מדי בבקרות, מה שמוביל למשאבים מבוזבזים ותוכניות ניהול סיכוני IT בלתי יעילות.

נתונים נוספים מהסקר זיהו מגמה הקשורה לארגונים המצטיינים מסוגם (Best-in-Class). סימנטק מגדירה ארגונים כאלה כ- 25% בצמרת המשיבים שדירגו את יעילותם בהטמעת 16 אזורי בקרה. ארגונים אלה נהנים מרמות גבוהות יותר של ניהול ציות וסיכונים עסקיים, אך מרמות נמוכות יותר של תקריות IT.

ניתוח מפורט גילה כי ארגוני Best-in-Class פועלים ביעילות גבוהה ברחבי מגוון בקרות, כולל בקרות תהליכים ויוצרים גישה הוליסטית. הנתונים גם גילו כי ארגונים בעלי ביצועים נמוכים יותר מתמקדים בדרך כלל במספר קטן של בקרות טכנולוגיות טקטיות יותר מאשר בהטמעת מגוון רחב של תחומי בקרה.