Varnost in shranjevanje podatkov – ahilova peta podjetij?

Slovenskim novinarjem je problematiko varnosti in shranjevanja podatkov predstavil CA-jev strokovnjak Petar Verunica.

Po poročanju agencije Freeform Dynamics, ki je v imenu podjetja CA izvedla raziskavo, podjetja vse bolje ocenjujejo in načrtujejo tveganja in nevarnosti, ki jim grozijo, vendar jih še veliko nima prave strategije upravljanja tveganj, ki vključuje IT. Zaradi tega podjetja ne uvajajo tehnologij, ki so nujne za ustvarjanje konkurenčne prednosti, rast poslovanja in zagotavljanje skladnosti s predpisi. 80 % podjetij, zajetih v raziskavo, je povedalo, da zaradi poslovnega tveganja niso uvedli novih tehnologij, npr. upravljanja dobavne verige, naprednih komunikacij in dela od doma. Eden glavnih razlogov za takšno stanje so pomisleki glede varnosti IT ter načina, kako se ta povezuje z okoljem za shranjevanje podatkov in njihovim pridobivanjem; shranjevanje in pridobivanje podatkov lahko namreč zelo dobro rešuje učinkovita strategija obvladovanja tveganja.

Organizacije so vse bolj odvisne od informacijske tehnologije, zato so tveganja, povezana z upravljanjem sistemov IT, tako pomembna za poslovanje. Veliko podjetij sicer ima pravilnike varnosti, ki urejajo uporabo sistemov in informacij podjetja, imajo tudi načrte za obnovo podatkov, toda ti pravilniki niso vedno usklajeni z načrtovanjem poslovnega tveganja ter ne vključujejo okolja za shranjevanje podatkov in varnosti. Podjetja se namreč zavedajo, da se omenjene discipline zaradi centralizacije lahko izboljšajo: 56 % vidi v tem veliko prednost in 28 % jih meni, da je takšna usklajenost “uporabna”.

Raziskava, ki je zajela 715 direktorjev v Evropi in na Bližnjem vzhodu, je prinesla naslednje zaključke:
” Največji problem predstavljajo izguba pomembnih podatkov in operativni izpadi zaradi nedelovanja sistemov; približno 90 % podjetij to upošteva pri načrtovanju, več kot 60 % pa jih meni, da so izpadi glavni problem.
” Nezakonita uporaba zaupnih informacij je prav tako velika težava: 88 % anketiranih razmišlja o tem pri načrtovanju, 58 % pa to označuje kot glavni problem.
” Pri informacijski tehnologiji je izražena potreba po skladnosti s predpisi in zakonodajo ter potreba po beleženju dogodkov: več kot 80 % podjetij pravi, da to upoštevajo pri načrtovanju ter je povezano z učinkovitim shranjevanjem podatkov in njihovim pridobivanjem
” Približno 60 % jih pravi, da širjenje podatkov po različnih lokacijah otežuje upravljanje varnostnih kopij podatkov in/ali njihove obnove. Povprečna raven zaupanja v varnost širjenja kritičnih podatkov na takšen način je pod 70 %, kar ustreza dejstvu, da je ena tretjina podatkov, naj bo shranjena na enem mestu ali pa se prenaša na druge lokacije, potencialno ogrožena.
” 68 % podjetij je tudi izrazilo pomisleke glede varnosti zaradi vse večje uporabe prenosnih naprav za shranjevanje.

To povzroča nove težave, tako v povezavi z ljudmi in pravilniki kot s tehnologijo. 30 % podjetij izvaja varnostna preverjanja v okviru procesov HR in približno 35 % ima pripravljene pravilnike za primere kršitev osebja. Ta odstotek je nizek, čeprav se več kot 75 % podjetij zaveda, da je stopnja tveganja, da kršitve varnosti namerno ali zaradi malomarnosti povzroči osebje, srednja oziroma visoka. Za podjetja je lahko velika prednost, če zagotovijo, da so pravilniki, tehnologija in procesi človeških virov povezani.

Simon Perry, podpredsednik strategije za varnost v CA EMEA, je povedal: “Približno 55 % anketiranih nima pripravljenega splošnega proračuna obvladovanja tveganja za podjetje ali IT, medtem ko jih približno 30 % v pogovore o poslovnem tveganju vključi tudi vodje oddelkov IT. Zaradi tega bo razkorak med poslovno strategijo in strategijo IT vedno večji; spodkopaval ali celo preprečeval bo konkurenčnost podjetja ali njegov razvoj na tržišču. Podjetja se morajo zavedati prispevka, ki ga ima IT pri izvajanju poslovne strategije, poleg tega pa morajo upravljanje tveganja enakomerno uvesti na vsa področja. Še zlasti morajo vlagati v prilagodljive, povezane tehnologije, ki pokrivajo širok spekter vprašanj, npr. varnost, okolje za shranjevanje podatkov in skladnost s predpisi. Ta strategija navadno omogoča poslovanje, poskrbi, da se podjetje učinkovito odziva na spremembe po povpraševanju na tržišču ter pri tem ne ogroža integritete in razpoložljivosti ciljno kritičnih podatkov podjetja.”

V tej raziskavi so označili poslovno tveganje kot “način, na katerega organizacija obravnava in nadzira poslovno tveganje, tj. dogodke ali morebitne dogodke, ki bi lahko preprečevali uspešno delovanje podjetja ter njegovo izpolnjevanje zastavljenih ciljev in obveznosti.