קבוצת IT Policy Compliance (IT PCG) פרסמה את דוח המחקר ההשוואתי העדכני שלה, שכותרתו "ניהול הוצאות על אבטחת וביקורת מידע לשיפור תוצאות".
הדוח, המבוסס על מחקר שנערך בקרב יותר מ- 2,600 חברות, מגלה כי 68 אחוז מהחברות מוציאות פחות מידי על אבטחת מידע ביחס לסיכונים הכספיים וההפסדים שהן סובלות מהם. עם זאת, גידול מדורג למימון של תהליכים מומלצים, אחראי לתשואות כספיות היכולות לעלות על 200 אחוז עבור מרבית הארגונים.
המחקר החדש מומן על-ידי סימנטק, המכון לאבטחת מחשבים בארה"ב, המכון למבקרים פנימיים, Protivity, IDACA והמכון ל- IT Governance. המחקר מתווה גישה מבוססת סיכונים לתקצוב אבטחת מידע המביא לתוצאות מתגמלות, נהלים האחראים לניהול סיכונים עסקיים ופיננסיים מהשימוש ב- IT והפחתות משמעותיות בהוצאה על ביקורת ב- IT.
"כמו בתחום השתתפות עצמית בביטוח, כל הארגונים רוצים לשמור רמה מסוימת של סיכון פיננסי ואובדן בעקבות גניבת נתונים, או רמה מסוימת של השבתה עסקית מתקלות IT", אמר ג'ים הרלי, מנכ"ל IT PCG ומנהל מחקר ראשי בסימנטק. "עם זאת, ממצאי המחקר מראים כי סובלנות ארגונים להפסדים היא נמוכה ביותר, וההחזרים הכספיים משיפורים קטנים הם גבוהים ביותר".
סיכונים עסקיים עיקריים
החברות שהשתתפו במחקר דירגו שלושה סיכונים עסקיים מ- IT, בחשיבות גבוהה ביחס לסיכונים אפשריים אחרים: חשאיות של מידע רגיש; שלמות מידע, נכסים ובקרות ב- IT; וזמינות של שירותי IT. דוח ה- IT PCG ממנף מחקרים השוואתיים המתבצעים בקביעות, כדי למדוד את ביצועיהן של חברות מול שלושה תחומי סיכון אלה. את תוצאות הסקרים ההשוואתיים ניתן לפלח באופן הבא:
? התוצאות הגרועות ביותר: 19 אחוז מכל החברות סובלות מיותר מ- 15 מקרי אובדן או גניבת נתונים בכל שנה, 80 שעות או יותר של השבתה עסקית מכשלי IT, ויותר מ- 15 ליקויים וכשלים בביקורות.
? התוצאות הנורמטיביות: 68 אחוז מכל החברות פועלות ברמות "נורמליות" וסובלים מ 3 עד 15 אירועי אובדן או גניבת נתונים בכל שנה, מ- 7-79 שעות של השבתה עסקית מכשלי IT ומ- 3-15 ליקויים וכשלים בביקורות.
? התוצאות הטובות ביותר: 13 אחוז מכל החברות משיגות את התוצאות הטובות ביותר, וסובלות מפחות מ- 3 מקרי אובדן או גניבת מידע רגיש בכל שנה, פחות מ- 7 שעות של השבתה עסקית, ופחות מ- 3 ליקויים וכשלים בביקורות. הרווח הכספי בקרב ארגונים אלה נע מ- 22 אחוז ללמעלה מ- 3,000 אחוז בשנה.
שמוליק אנג'ל, מנכ"ל סימנטק ישראל, אומר כי באופן מפתיע, ההבדלים בתוצאות בין בעלי הביצועים הגרועים ביותר ובעלי הביצועים הטובים ביותר, אינם נובעים מגודל תקציבי אבטחה.
למעשה, ההבדלים בגודל תקציבי האבטחה היו זניחים. מה שהיה חשוב היא הדרך בה נעשה שימוש בתקציבים אלה ומיקוד ההשקעה בתחומים המחזירים ערך גבוהה.
הדוח החדש מפרט את חמישה הנהלים הבאים שמונפו על-ידי אלה עם התוצאות הטובות ביותר וההפסדים הכספיים הנמוכים ביותר:
1. מינוף צוות הנהלה בכיר לניהול סיכונים.
2. קביעת עדיפויות לסיכונים, שיפור בקרות ומיכון תהליכים.
3. הערכה מתמדת של בקרה וסיכונים.
4. מינוף בקרה טכניות, מדיניות וניהול שינויי IT.
5. דיווח מקיף.
השלכות פיננסיות
ההשלכות הפיננסיות של סיכונים אלה נמצאו מתאימות כמעט במלואן לתהליכים שהוטמעו על-ידי IT לניהול חשיפה אליהם. שלא במפתיע, חברות הממנפות את התהליכים המומלצים סבלו מהפסדים כספים פחות גבוהים ופחות שכיחים. חברות הפועלות ברמות הגרועות ביותר שילמו את המחיר, תרתי משמע, עם אובדן וגניבות נתונים בהיקף שווה ל- 9.6 אחוזים מההכנסות השנתיות ועלויות השבתות עסקיות המתקרבות ל- 3 אחוזים מההכנסות השנתיות.
בקרב ארגונים עם הכנסות של 5 מיליארד דולר, הנזק הכספי המשולב מאובדן או גניבת נתונים והשבתות עסקיות נע מ- 329 מיליון דולר לחברות עם הנהלים הגרועים ביותר, ל- 2.25 מיליון דולר לחברות אשר הטמיעו את התהליכים המומלצים - פי 149 פעמים פחות.
"חברות יכולות לחכות עד שמצב חירום ידחוף אותן לשינוי עדיפויות, או שהן יכולות להחליט שלטובתן עליהן למסד נהלים מוכחים אלה בתעשייה", אמר הרלי.
המחקר מצא שחברות עם התוצאות הטובות ביותר הוציא בין 35 עד 52 אחוז פחות על דמי והוצאות ביקורת. לחברות אלה, תיאום רמות הכסף המושקע בתהליכים שמפחיתים סיכונים, אובדן והוצאות ביקורת, יכול להניב תשואות פיננסיות העולות על 1,000 אחוז ביחס לאובדן אותו מוכנים הארגונים לסבול.
הדוח, המבוסס על מחקר שנערך בקרב יותר מ- 2,600 חברות, מגלה כי 68 אחוז מהחברות מוציאות פחות מידי על אבטחת מידע ביחס לסיכונים הכספיים וההפסדים שהן סובלות מהם. עם זאת, גידול מדורג למימון של תהליכים מומלצים, אחראי לתשואות כספיות היכולות לעלות על 200 אחוז עבור מרבית הארגונים.
המחקר החדש מומן על-ידי סימנטק, המכון לאבטחת מחשבים בארה"ב, המכון למבקרים פנימיים, Protivity, IDACA והמכון ל- IT Governance. המחקר מתווה גישה מבוססת סיכונים לתקצוב אבטחת מידע המביא לתוצאות מתגמלות, נהלים האחראים לניהול סיכונים עסקיים ופיננסיים מהשימוש ב- IT והפחתות משמעותיות בהוצאה על ביקורת ב- IT.
"כמו בתחום השתתפות עצמית בביטוח, כל הארגונים רוצים לשמור רמה מסוימת של סיכון פיננסי ואובדן בעקבות גניבת נתונים, או רמה מסוימת של השבתה עסקית מתקלות IT", אמר ג'ים הרלי, מנכ"ל IT PCG ומנהל מחקר ראשי בסימנטק. "עם זאת, ממצאי המחקר מראים כי סובלנות ארגונים להפסדים היא נמוכה ביותר, וההחזרים הכספיים משיפורים קטנים הם גבוהים ביותר".
סיכונים עסקיים עיקריים
החברות שהשתתפו במחקר דירגו שלושה סיכונים עסקיים מ- IT, בחשיבות גבוהה ביחס לסיכונים אפשריים אחרים: חשאיות של מידע רגיש; שלמות מידע, נכסים ובקרות ב- IT; וזמינות של שירותי IT. דוח ה- IT PCG ממנף מחקרים השוואתיים המתבצעים בקביעות, כדי למדוד את ביצועיהן של חברות מול שלושה תחומי סיכון אלה. את תוצאות הסקרים ההשוואתיים ניתן לפלח באופן הבא:
? התוצאות הגרועות ביותר: 19 אחוז מכל החברות סובלות מיותר מ- 15 מקרי אובדן או גניבת נתונים בכל שנה, 80 שעות או יותר של השבתה עסקית מכשלי IT, ויותר מ- 15 ליקויים וכשלים בביקורות.
? התוצאות הנורמטיביות: 68 אחוז מכל החברות פועלות ברמות "נורמליות" וסובלים מ 3 עד 15 אירועי אובדן או גניבת נתונים בכל שנה, מ- 7-79 שעות של השבתה עסקית מכשלי IT ומ- 3-15 ליקויים וכשלים בביקורות.
? התוצאות הטובות ביותר: 13 אחוז מכל החברות משיגות את התוצאות הטובות ביותר, וסובלות מפחות מ- 3 מקרי אובדן או גניבת מידע רגיש בכל שנה, פחות מ- 7 שעות של השבתה עסקית, ופחות מ- 3 ליקויים וכשלים בביקורות. הרווח הכספי בקרב ארגונים אלה נע מ- 22 אחוז ללמעלה מ- 3,000 אחוז בשנה.
שמוליק אנג'ל, מנכ"ל סימנטק ישראל, אומר כי באופן מפתיע, ההבדלים בתוצאות בין בעלי הביצועים הגרועים ביותר ובעלי הביצועים הטובים ביותר, אינם נובעים מגודל תקציבי אבטחה.
למעשה, ההבדלים בגודל תקציבי האבטחה היו זניחים. מה שהיה חשוב היא הדרך בה נעשה שימוש בתקציבים אלה ומיקוד ההשקעה בתחומים המחזירים ערך גבוהה.
הדוח החדש מפרט את חמישה הנהלים הבאים שמונפו על-ידי אלה עם התוצאות הטובות ביותר וההפסדים הכספיים הנמוכים ביותר:
1. מינוף צוות הנהלה בכיר לניהול סיכונים.
2. קביעת עדיפויות לסיכונים, שיפור בקרות ומיכון תהליכים.
3. הערכה מתמדת של בקרה וסיכונים.
4. מינוף בקרה טכניות, מדיניות וניהול שינויי IT.
5. דיווח מקיף.
השלכות פיננסיות
ההשלכות הפיננסיות של סיכונים אלה נמצאו מתאימות כמעט במלואן לתהליכים שהוטמעו על-ידי IT לניהול חשיפה אליהם. שלא במפתיע, חברות הממנפות את התהליכים המומלצים סבלו מהפסדים כספים פחות גבוהים ופחות שכיחים. חברות הפועלות ברמות הגרועות ביותר שילמו את המחיר, תרתי משמע, עם אובדן וגניבות נתונים בהיקף שווה ל- 9.6 אחוזים מההכנסות השנתיות ועלויות השבתות עסקיות המתקרבות ל- 3 אחוזים מההכנסות השנתיות.
בקרב ארגונים עם הכנסות של 5 מיליארד דולר, הנזק הכספי המשולב מאובדן או גניבת נתונים והשבתות עסקיות נע מ- 329 מיליון דולר לחברות עם הנהלים הגרועים ביותר, ל- 2.25 מיליון דולר לחברות אשר הטמיעו את התהליכים המומלצים - פי 149 פעמים פחות.
"חברות יכולות לחכות עד שמצב חירום ידחוף אותן לשינוי עדיפויות, או שהן יכולות להחליט שלטובתן עליהן למסד נהלים מוכחים אלה בתעשייה", אמר הרלי.
המחקר מצא שחברות עם התוצאות הטובות ביותר הוציא בין 35 עד 52 אחוז פחות על דמי והוצאות ביקורת. לחברות אלה, תיאום רמות הכסף המושקע בתהליכים שמפחיתים סיכונים, אובדן והוצאות ביקורת, יכול להניב תשואות פיננסיות העולות על 1,000 אחוז ביחס לאובדן אותו מוכנים הארגונים לסבול.
