По данным исследования, проведенного корпорацией Arthur Andersen, 150 руководителей компаний, расположенных в разных странах мира, считают информационные технологии критически важными для своего бизнеса, но лишь 13% из них заявили, что развитие информационных технологий стало составной частью общей стратегии бизнеса их компании.

Русс Гейтс, партнер Arthur Andersen, заметил: "Раньше пользователи предпочитали анализировать надежность того или иного устройства, совершенно не принимая во внимание возможные последствия, которые может повлечь его поломка, для корпоративной информационной системы в целом".

Вместо того чтобы рассуждать о том, что может случиться с сетью в случае вторжения хакера, для руководителей информационных служб гораздо важнее объяснить главам компаний, в какие это выльется убытки в масштабе предприятия.

Ниже приводятся результаты исследования, которые, мне кажется, могут заинтересовать читателей.

  • Из трех руководителей информационных служб каждые два считают, что рискам, связанным с информационными технологиями, в их компаниях не уделяется должное внимание.

  • Процедуры управления рисками имеются в 61% компаний, руководители которых принимали участие в опросе. И лишь половина этих руководителей уверена в том, что данные процедуры адекватны изменениям, происходящим на рынке.
  • 93% респондентов считают, что информационные технологии должны сильно повлиять на базовые операции компаний в течение следующих трех - пяти лет, в то время как 57% участников опроса отмечают, что роль информационных технологий уже сегодня трудно переоценить.
  • В большинстве компаний отсутствует формальная процедура идентификации и выявления источников риска, связанного с информационными технологиями.

    Использование Internet и распределенные вычисления заставляют многие компании с большим вниманием относиться к процедурам управления рисками и к идентификации источников максимальной опасности.

    Порой информационным технологиям уделяется недостаточно внимания, что частично связано с тем, что эти технологии, по словам Русса Гейтса, "новые и сложные, а кроме того, изобилуют туманными, псевдонаучными терминами".

    Часто, когда речь идет о принятии решений, касающихся сетевой инфраструктуры или программных приложений, традиционный подход "не работает", поскольку изменения в информационных технологиях происходят очень быстро.

    Десять распространенных мифов о защищенности информационных систем

    1. Защита касается безопасности только моих "вещей".

    2. Руководство нашей компании не думает о защите.

    3. Вопросы защиты должна решать технология.

    4. У нас нет информации, которая кому-нибудь может понадобиться.

    5. "Враг" повсюду.

    6. Брандмауэры обеспечивают достаточную защиту.

    7. Раз мой ПК в безопасности - в безопасности и я.

    8. Internet нельзя использовать для защищенных коммуникаций.

    9. Реализованная в наших компьютерных системах и приложениях защита вполне адекватна нашим требованиям.

    10. Сотрудников нашей компании не заставишь соблюдать меры безопасности.

    Пять видов рисков, связанных с информационных систем

  • Риск целостности (integrity risk): включает в себя все риски, связанные с подтверждением полномочий, завершенностью и точностью передачи транзакций и информации. Эти риски могут возникать при работе с пользовательским интерфейсом, обработке данных, обработке ошибок, изменениях в управлении и данных.
  • Риск соответствия (relevance risk): относится к своевременности и полезности информации и непосредственно влияет на принятие решения. Другими словами, не всегда можно гарантировать, что нужная информация своевременно будет передана нужному человеку (или в нужное место).
  • Риск готовности (availability risk): его можно нивелировать за счет контроля и превентивных действий; сюда относятся кратковременные сбои в системе во время процесса восстановления; риски, вызванные авариями, повлекшими за собой долговременные сбои, на случай которых предусмотрено резервное копирование и поддержка ряда ограничений на возможные действия.
  • Риск доступа (access risk): включает в себя нелигитимный доступ к системе, информации и данным.
  • Риск инфраструктуры (infrastructure risk): связан с важнейшими компонентами инфраструктуры информационных систем, в том числе с аппаратным и программным обеспечением, сетями, людскими ресурсами и различными процессами.