Az adatvesztéstől és adatszivárgástól tartanak leginkább a vállalatok
Az informatikai kockázatokról készített felmérést a Symantec, amelyből kiderült, hogy a vállalatok főképp attól tartanak, hogy nem felelnek meg a hatósági előírásoknak (compliance), az okok azonban elsősorban az adatok tárolásával és védelmével kapcsolatos aggodalmakra vezethetők vissza.
Adatvesztéstől tartanak leginkább
Egy éven keresztül a Symantec saját rendezvényein 37 iparágból származó összesen 528 vállalat képviselői töltöttek ki egy kérdőívet, amely a biztonsági kockázatokkal és azok kezelésével volt kapcsolatos. A kitöltők túlnyomó része amerikai, az EMEA régióból származó vállalatok aránya mintegy 20 százalékos volt. A Symantec négyféle kategóriába sorolta az informatikai kockázatokat: biztonság, rendelkezésre állás, teljesítmény és jogi (compliance).
A kutatás szerint a vállalatok kétharmada attól tart hogy legalább ötévente egyszer bekövetkezik egy olyan jelentős adatvesztés vagy adatszivárgás, amely miatt a cég nem tud megfelelni a hatósági szabályozásoknak. A megkérdezettek 66 százaléka számít erre. A felmérés alapján a cégek leginkább a pénzügyi és adminisztrációs részlegüket, illetve az ügyfélkapcsolati rendszereiket érzik veszélyben, ami nem csoda, hiszen ezek kezelnek érzékeny adatokat, például a dolgozók személyes adatait vagy az ügyfelekét.
A kutatásból kiderül, hogy a vállalati informatikai vezetők a biztonsági kockázatokat elsősorban hozzáféréskezelési eszközökkel, a szervezeti felépítés átalakításával, jobb incidenskezeléssel és hatékony szabályok bevezetésével, valamint azok betartásával tudják kezelni. A Symantec felmérése szerint a azonban a vállalatok számára -- méretüktől vagy iparágtól függetlenül -- sokkal nagyobb problémát jelent a folyamataik átszervezése, mint új technológiai eszközök bevezetése, annak ellenére hogy az utóbbi időben az IT-ipar egyre inkább a folyamatszabályozásra összpontosít (pl. ITIL).
A kiegyensúlyozott védelem a nyerő
A kockázatkezelés területén legjobban teljesítő vállalatok közös tulajdonsága, hogy általában nagy a kockázatoknak való kitettségük, ugyanakkor helyesen mérik fel a azok hatásait az üzletmenetükre és így megfelelő védekezési stratégiájuk következtében összességében kevés incidenssel találják szemben magukat. Nem túl meglepő módon ezek a szervezetek minden téren megfelelően felkészültek és a kockázatkezelésük kiegyensúlyozott, azaz nem koncentrál túlságosan egyik vagy másik területre.
Ugyanakkor az is látszik, hogy a kockázatkezelés területén leginkább lemaradott vállalatok elsősorban a fizikai biztonságra és az informatikai biztonságra (hálózatok, szerverek, végpontok védelme) koncentrálnak, miközben elhanyagolják az olyan területeket mint az alkalmazások biztonságos fejlesztése, az adatéletciklus-kezelés, a konfiguráció- és változásmenedzsment, a munkatársak továbbképzése vagy akár a rendszeres auditálás.
Az eredmények alapján a cégek közel negyede túlszabályzott, vagyis kicsi a kockázatoknak való kitettsége és kevés incidenst is él át, ez arra enged következtetni hogy ezek a vállalatok talán túlságosan is sokat költenek kockázatkezelésre és könnyen lehet hogy ezzel versenyhátrányba kerülnek mert nem marad keretük más területekre.