賽門鐵克:IT人員因應風險 傾向平衡、非單以安全為核心

賽門鐵克公佈IT 風險管理研究報告第二期,報告中指出,目前對於IT風險管理之重要性的認知雖已提升,但是仍有迷思存在。

賽門鐵克公佈IT 風險管理研究報告第二期,報告中指出,目前對於IT風險管理之重要性的認知雖已提升,但是仍有迷思存在。IT從業人員雖然已採用更為平衡的方式來兼顧安全性、可用性、法規遵循以及效能等風險,但是,對於IT風險管理的誤解,卻可能導致潛在的IT系統故障,進而影響到業務的持續性。報告同時指出,因流程而產生的問題佔了IT事故的53%,然而IT人員卻經常低估了資料丟失事故發生的頻率。

這份完整的報告內含有400多項深入的分析,有系統地對全球IT從業人員作了調查,並找出關鍵性的問題和趨勢,並分析了以下四種常見的IT風險迷思:

  • 迷思一:IT風險管理只專注在IT的安全領域內
  • 迷思二:IT風險管理需要以專案方式驅動
  • 迷思三:只仰賴技術就能夠管理IT風險
  • 迷思四:IT風險管理已經成為正式固定的規範

迷思一:IT風險就是安全性風險

儘管對於IT風險的傳統認知主要都以安全性風險為主,問卷調查的結果卻指出,IT從業人員之間已出現更寬廣的觀點。在受訪人員當中,已有78%的人將可用性風險評為「關鍵」或「嚴重」等級,相較於將安全性的70%、效能的68%及法規的63%。事實上,只有15%的人將高低風險類型做區隔,代表IT專業人員仍傾向採用較為平衡、而非以安全性為中心的觀點來看待IT風險。

Enterprise Strategy Group的資深分析師Jon Oltsik指出,這份賽門鐵克報告的結果,突顯了現在組織已意識到安全性以外的風險管理,如可用性和效能等領域。許多企業已經警覺到,在現今環環相連的世界裡,各種的系統事故,都會影響到業務運作和其結果。

報告中發現,由於安全性及法規風險較容易被察覺、影響也較大,因此通常會受到較多重視,有63%的受訪者認為資料丟失事故會對業務造成嚴重影響。然而,人們對於可用性風險的注意力也有所提升,報告中的資料顯示,即使只是小小的效能問題,影響也可能高達數百萬元美金。Dartmouth和維吉尼亞大學的研究人員最近發現,在其假設的煉油廠中,若是監管控制及資料擷取(Supervisory Control and Data Acquisition,SCADA)網路故障,將會造成大約4億零5百萬美金的損失,其中供應商的損失只佔2億5千5百萬,剩下的金額都是由供應鏈中的其它部分所承擔。

迷思二:IT風險管理是單一的專案

認為IT風險管理透過單一專案來執行、或是甚至能依據預算編列時期或以年為單位來分階段實施的迷思,這都忽略了IT風險環境內在及外在的變動特質。IT風險管理應以持續執行的形式為之,方能趕上現代日益變動的商務面貌。IT的安全性、可用性、法規遵循及效能事故,都會對當今的組織造成衝擊。報告中亦提出以下各種IT事故發生的頻率:

  • 百分之69的人預期每月會有一次輕微的IT事故;
  • 百分之63的人預期一年至少會發生一次重大IT事故;
  • 百分之26的人預期一年至少會發生一次非法規事故;
  • 百分之25的人預期一年至少會發生一次資料損失事故。

報告內容顯示,大部分有效率的組織都會採用更為全面性的方式。然而,很多組織似乎也無法實施像是資產分類與管理此類最基本的風險管理控制,只有40%的受訪者將其表現有效程度評為75%或更高。此外,無線與行動裝置是現今商務世界的要素,卻只有34%的受訪者相信他們在這方面掌握了最新的資產清單。

迷思三:只需技術即能解決IT風險

雖然技術在降低風險時扮演重要的角色,但是執行技術的人及相關流程其實也決定了IT風險管理計畫的有效與否。根據報告內容顯示,53%的IT事故是由流程問題而造成。當中部份控制選項的評分也比一年前的報告更低,引起更多的關注。例如訓練及風險意識等流程上的控管,相較於前一次近50%的調查結果,今年只有43%的受訪人覺得自己的訓練及風險意識計劃有效程度超過75%。

本次報告與第一期在資產與資產目錄分類控制方面,都顯示偏低的分數,並無顯著的進步。 最後,只有43%的受訪者將資料生命週期管理有效程度評為75%以上,比第一期報告結果跌落了17%。這些控制的缺失,代表對所有的資產都一視同仁,因此部份的系統、流程及物件會受到過度保護,而其它資產所接受的IT風險保護卻明顯不足,導致成本與服務的效益低落。

IT 風險管理研究報告的第二期指出,相較於去年,將安全應用程式開發評為「75%以上為有效」的受訪者成長了10%。 報告中同時也提出,問題管理(problem management)已逐漸成為受關注的議題之一。

迷思四:IT風險管理已經成為制式的固定規範

報告中明確指出,隨著個人和企業與日新月異的商業及技術環境齊步並進之時,IT風險管理所仰賴的是日積月累的經驗,因此,IT風險管理逐漸發展為商業規範,而非純科學。同時外界也逐漸理解到,IT風險管理是由各種成分組成,包括營運上的風險管理、品質控制、以及業務和IT治理(IT governance)等等。此外,從業人員可能最終將IT風險管理視為一整套的固定原則及關係,不分產業與地域,都一體適用。

產業間的區別-醫療業危機意識最高

本期研究報告同時指出特定產業的IT風險管理現況。例如醫療從業人員所預期的IT事故佔所有行業之冠。這是由於醫療照顧服務的複雜度與高度個人化特質,再加上嚴格的法規要求,因此所引起的關注也較多。電信業在部署IT風險管理控制時的排名為最高,緊追在後的則是銀行與金融服務業。其普遍的IT風險管理意識則要歸功於這些領域日益完備的法規治理與法規遵循、以及對於個人資料保護的謹慎態度之故。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416