Szerver/Üzlet
Sulaki - 2008-11-04
Az EMC RSA biztonsági részlege progresszív kockázatkezelési stratégiák kidolgozására biztatja az IT biztonsággal foglalkozó vezetÅ?ket
. A másik kutatás során a biztonsági vezetők egy csoportját kérték fel olyan információs kockázatkezelési stratégiák meghatározására, amelyek célja ennek a szakadéknak a szükítése.
– „Egyértelmü, hogy a biztonság és az innováció elválaszthatatlan egymástól, de a szervezetek ennek dacára is még mindig küzdenek azzal, hogy megfelelő egyensúlyt teremtsenek a piaci innovációs tevékenység serkentése és a hatékony IT-biztonsági eljárások kidolgozása között” – mondta Art Coviello , az RSA elnöke. – „A biztonság régóta globális probléma, és ebből a kutatásból kiderül számunkra, hogy manapság kiemelt fontossággal bír a felsővezetők számára. Sosem volt ennél megfelelőbb a pillanat, hogy a cégek végrehajtsák azokat a kulturális, filozófiai és technológiai változásokat, amelyekre szükség van a biztonsági és az üzleti innovációs stratégiák összehangolásához.”
Az IDC felmérése szerint az informatikai biztonsági kockázat jelentős mértékben gátolja az innovációt
Az RSA által megrendelt, közel 200 üzleti felsővezető és biztonsági szakértő bevonásával készített [%A=http://www.rsa.com/securityforinnovation/%]IDC felmérés[%A%] címe ( „Innovation and Security: Collaborative or Combative”* – Innováció és biztonság: Együttmüködés vagy küzdelem?) is azt mutatja, hogy a szervezetek nagy szerint az innováció szempontjából ideális környezet megteremtése rendkívül fontos a versenytársak legyőzéséhez. A válaszadók szerint azonban – legjobb szándékaik dacára – az informatikai biztonsági kockázatok gátolják az üzleti innovációt. A megkérdezettek nyolcvan százaléka számolt be arról, hogy IT-biztonsági megfontolások tartották vissza a céget az új innovációs lehetőségektől.
Az IDC eredményei szerint, míg a vezérigazgatók 80 százaléka úgy látja, hogy a biztonsági csoport hivatalosan is elszámoltatható az üzleti növekedésben és innovációban játszott szerepéért, addig a biztonsági vezetők mindössze 44 százaléka érzi úgy, hogy az innovációs tevékenységben való részvétele mérhető. Ebből kiderül, hogy a felsővezetők elvárásai és a biztonsági szakemberek prioritásai meglepő mértékben eltérnek. Amíg széles körben elfogadott nézet, hogy az informatikai stratégiákat közvetlenül össze kell kapcsolni az üzleti célokkal, a válaszadóknak mindössze 21 százaléka érzi úgy, hogy szervezete sikeresen adaptálta a megelőző jellegü és üzleti célokhoz illeszkedő megközelítést, és inkább bátorítja, mintsem gátolja az innovációt.
– „A mai cégek nem képesek növekedni az újításokat támogató egészséges környezet nélkül” – mondta Chris Christiansen, az IDC alelnöke. – „Nyilvánvaló, hogy még mindig nagyon feszült az innováció és a biztonság közötti kapcsolat. Valójában az innovációs és biztonsági prioritásoknak nem kellene vetélkedniük, ezek egymást kiegészítő dolgok. Hiszünk abban, hogy az üzleti innovációs törekvésekbe az informatikát már korán bevonó, illetve a biztonsági részleg számára explicit üzleti innovációs mérési módszereket kidolgozó cégek jobb esélyekkel pályázhatnak az általános üzleti célok elérésére.”
A szakadék szükítése: Újfajta kockázatkezelési megoldás megismertetése a biztonsági vezetőkkel
Az RSA szintén beszámolta Security for Business Innovation Council legfrissebb jelentéséről, amelynek összeállításában a világ vezető cégeinél dolgozó legkiemelkedőbb szakemberek közül tízen vettek részt. [%A=http://www.rsa.com/securityforinnovation/%]A jelentés[%A%] (amelynek címe Mastering the[%ITALIC%][%ITALIC%] Risk/Reward Equation: Optimizing Information Risks to Maximize Business Innovation Rewards – azaz kb. „A kockázat-haszon egyenlet megoldása: Az információs kockázatok optimalizálása az üzleti innovációs haszon maximalizálásához”) azt vizsgálja, hogy miért nem müködnek a régebbi kockázatcsökkentő módszerek a mai összekapcsolt világban, amelyben minden új üzleti innovációnak szerves része bizonyos mértékü információs kockázat. E nézet szerint a biztonság fókuszát a kizárólagos kockázatcsökkentésről át kell helyezni az üzleti haszon egyidejü maximalizálására. A közremüködő biztonsági szakértők összesített tapasztalataira épülő jelentés tartalmazza az üzleti érték javítását serkentő kockázat-haszon számítások vázlatos módszerét és segít abban, hogy azok elvégzése a vállalat sikerét szolgálja.
– „Összefoglalva kijelenthetjük, hogy a legnagyobb kockázat nem az egy cég számára, ha egy adott információ kompromittálódik vagy egy adott platform kiesik, hanem az, ha a szervezet nem tud megfelelni a vásárlók elvárásainak” – mondta Bill Boni, a Motorola Information Security and Protection részlegének vállalati alelnöke. – „Az üzleti előnyök eléréséhez a cégeknek kiszámított kockázatokat kell vállalniuk és olyan biztonsági intézkedéseket kell hozniuk, amelyek révén egyszerre lehetnek alkalmazkodók és válaszkészek.”
Kritikus kiindulási pontként a feljebb említett szervezet megfogalmazott néhány ajánlást azzal kapcsolatban, hogy mit érdemes változtatni a cégek gondolkodási és müködési módján:
1.)[%TAB%]A biztonsági csoportnak az „információbiztonság” helyett az „információs kockázatok kezelésére” kell koncentrálnia annak jelzéséhez, hogy a cél egy elfogadható kockázati szint elérése;
2.)[%TAB%]Érdemes egy, az egész szervezetre vonatkozó megközelítést használni a cég kockázatviselő képességének megismerésére és formális leírására;
3.)[%TAB%]Létre kell hozni egy kockázatbecslési modellt annak felvázolására, hogy hol és ki hozza a kockázati döntéseket; valamint
4.)[%TAB%]Ki kell dolgozni egy megismételhető, lépésenként meghatározott eljárást az új üzleti kezdeményezések kockázat-haszon elemzésére és gondoskodni kell róla, hogy az egész szervezet használja.
Mi az a Security for Business Innovation Council – egyéni tapasztalatok, kollektív látásmód
A Security for Business Innovation Council (Üzleti Innovációs biztonsági tanács) nevü testületet az 1000 legnagyobb globális cég (Global 1000) tíz rendkívül sikeres biztonsági vezetője alkotja, akik elkötelezték magukat amellett, hogy a céges információbiztonság fejlődése érdekében megosztják másokkal saját ismereteiket és tapasztalataikat.
Ahogy a társaságok egy próbálják egyre holisztikusabban szemlélni a kockázatkezelést, az információs kockázatok felmérésére használt folyamatokat be kell építeni az átfogó kockázatkezelési feladatok közé. Ebben a tárgykörben a jelentés elkészítésében közremüködött Julia Allen, a nagyvállalati biztonsági és irányítási terület egyik vezető kutatója, a Carnegie Mellon Egyetem Szoftvertervezési Intézetében müködő CERT [%SUP%]®[%SUP%] munkatársa is.
A mai a Security for Business Innovation Council második jelentése. A sorozat első írása ( „The Time is Now: Making Information Security Strategic to Business Innovation,” [%ITALIC%] – Itt az idő: Tegyük az információbiztonságot az üzleti információ stratégiai elemévé)[%ITALIC%] idén jelent meg és hét ajánlást tartalmazott arra nézve, hogy hogyan lehet nagyobb stratégiai jelentősége az információbiztonságnak az üzleti innovációban. Az első jelentés egyik legfontosabb ajánlása az volt, hogy „váljon szakértővé a kockázat-haszon kérdésekben” – ez előkészítette a terepet a mai részletesebb megállapításokhoz.
Azok, akik többet szeretnének tudni a Security for Business Innovation Council jelentéseiről, látogassanak el az RSA Thought Leadership webhelyre a következő címen: RSA.com/securityforinnovation/ (itt mindkét tanulmány elolvasható és letölthető).
Módszertan
Az IDC-felmérést úgy állították össze, hogy mérhetővé tegye az IT-biztonság üzleti innovációra gyakorolt hatását. Az eredményeket az IDC ma megjelent „ Innovation and Security: Collaborative or Combative ” címü tájékoztató kiadványa foglalja össze. A válaszokat online módszerrel gyüjtötte össze az IDC, ezt követte az adatgyüjtés és az elemzés 2008 második negyedévében. A résztvevőket kiválasztásánál szempont volt a közvetlen IT-biztonsági érintettség; felsővezetőket és üzletági vezetőket kerestek. Közel 200 személyt választottak ki és minősítettek a felmérés elvégzéséhez.
§ [%TAB%]A válaszadók 80 százalékánál a cég bevétele meghaladja az 1 milliárd dollárt
§ [%TAB%]73 százalékuk alelnöki vagy magasabb szintü vezető
§ [%TAB%]60 százalékuk 5 ezer embernél többet foglalkoztató cégnél dolgozik
§ [%TAB%]73 százalékuk észak-amerikai, 14 százalékuk az Egyesült Királyságból válaszolt, 2 százalék Indiából, 6 százalék Ausztráliából és 5 százalék más országokból.
Az RSA a Security for Business Innovation Council jelentéseket a szervezet összes tagjával folytatott egyenként lefolytatott mélyinterjúk alapján készíti el. Ezek a világ leginnovatívabb és legkiválóbb biztonsági vezetői közül tíznek a kollektív tudásanyagát, követendő eljárásait és világos áttekintéseit tartalmazzák. Nézeteikkel a teljes iparág fejlődését támogatják. Az RSA várhatóan több eredeti tanácsjelentést is közöl majd a következő hónapokban.
– „Egyértelmü, hogy a biztonság és az innováció elválaszthatatlan egymástól, de a szervezetek ennek dacára is még mindig küzdenek azzal, hogy megfelelő egyensúlyt teremtsenek a piaci innovációs tevékenység serkentése és a hatékony IT-biztonsági eljárások kidolgozása között” – mondta Art Coviello , az RSA elnöke. – „A biztonság régóta globális probléma, és ebből a kutatásból kiderül számunkra, hogy manapság kiemelt fontossággal bír a felsővezetők számára. Sosem volt ennél megfelelőbb a pillanat, hogy a cégek végrehajtsák azokat a kulturális, filozófiai és technológiai változásokat, amelyekre szükség van a biztonsági és az üzleti innovációs stratégiák összehangolásához.”
Az IDC felmérése szerint az informatikai biztonsági kockázat jelentős mértékben gátolja az innovációt
Az RSA által megrendelt, közel 200 üzleti felsővezető és biztonsági szakértő bevonásával készített [%A=http://www.rsa.com/securityforinnovation/%]IDC felmérés[%A%] címe ( „Innovation and Security: Collaborative or Combative”* – Innováció és biztonság: Együttmüködés vagy küzdelem?) is azt mutatja, hogy a szervezetek nagy szerint az innováció szempontjából ideális környezet megteremtése rendkívül fontos a versenytársak legyőzéséhez. A válaszadók szerint azonban – legjobb szándékaik dacára – az informatikai biztonsági kockázatok gátolják az üzleti innovációt. A megkérdezettek nyolcvan százaléka számolt be arról, hogy IT-biztonsági megfontolások tartották vissza a céget az új innovációs lehetőségektől.
Az IDC eredményei szerint, míg a vezérigazgatók 80 százaléka úgy látja, hogy a biztonsági csoport hivatalosan is elszámoltatható az üzleti növekedésben és innovációban játszott szerepéért, addig a biztonsági vezetők mindössze 44 százaléka érzi úgy, hogy az innovációs tevékenységben való részvétele mérhető. Ebből kiderül, hogy a felsővezetők elvárásai és a biztonsági szakemberek prioritásai meglepő mértékben eltérnek. Amíg széles körben elfogadott nézet, hogy az informatikai stratégiákat közvetlenül össze kell kapcsolni az üzleti célokkal, a válaszadóknak mindössze 21 százaléka érzi úgy, hogy szervezete sikeresen adaptálta a megelőző jellegü és üzleti célokhoz illeszkedő megközelítést, és inkább bátorítja, mintsem gátolja az innovációt.
– „A mai cégek nem képesek növekedni az újításokat támogató egészséges környezet nélkül” – mondta Chris Christiansen, az IDC alelnöke. – „Nyilvánvaló, hogy még mindig nagyon feszült az innováció és a biztonság közötti kapcsolat. Valójában az innovációs és biztonsági prioritásoknak nem kellene vetélkedniük, ezek egymást kiegészítő dolgok. Hiszünk abban, hogy az üzleti innovációs törekvésekbe az informatikát már korán bevonó, illetve a biztonsági részleg számára explicit üzleti innovációs mérési módszereket kidolgozó cégek jobb esélyekkel pályázhatnak az általános üzleti célok elérésére.”
A szakadék szükítése: Újfajta kockázatkezelési megoldás megismertetése a biztonsági vezetőkkel
Az RSA szintén beszámolta Security for Business Innovation Council legfrissebb jelentéséről, amelynek összeállításában a világ vezető cégeinél dolgozó legkiemelkedőbb szakemberek közül tízen vettek részt. [%A=http://www.rsa.com/securityforinnovation/%]A jelentés[%A%] (amelynek címe Mastering the[%ITALIC%][%ITALIC%] Risk/Reward Equation: Optimizing Information Risks to Maximize Business Innovation Rewards – azaz kb. „A kockázat-haszon egyenlet megoldása: Az információs kockázatok optimalizálása az üzleti innovációs haszon maximalizálásához”) azt vizsgálja, hogy miért nem müködnek a régebbi kockázatcsökkentő módszerek a mai összekapcsolt világban, amelyben minden új üzleti innovációnak szerves része bizonyos mértékü információs kockázat. E nézet szerint a biztonság fókuszát a kizárólagos kockázatcsökkentésről át kell helyezni az üzleti haszon egyidejü maximalizálására. A közremüködő biztonsági szakértők összesített tapasztalataira épülő jelentés tartalmazza az üzleti érték javítását serkentő kockázat-haszon számítások vázlatos módszerét és segít abban, hogy azok elvégzése a vállalat sikerét szolgálja.
– „Összefoglalva kijelenthetjük, hogy a legnagyobb kockázat nem az egy cég számára, ha egy adott információ kompromittálódik vagy egy adott platform kiesik, hanem az, ha a szervezet nem tud megfelelni a vásárlók elvárásainak” – mondta Bill Boni, a Motorola Information Security and Protection részlegének vállalati alelnöke. – „Az üzleti előnyök eléréséhez a cégeknek kiszámított kockázatokat kell vállalniuk és olyan biztonsági intézkedéseket kell hozniuk, amelyek révén egyszerre lehetnek alkalmazkodók és válaszkészek.”
Kritikus kiindulási pontként a feljebb említett szervezet megfogalmazott néhány ajánlást azzal kapcsolatban, hogy mit érdemes változtatni a cégek gondolkodási és müködési módján:
1.)[%TAB%]A biztonsági csoportnak az „információbiztonság” helyett az „információs kockázatok kezelésére” kell koncentrálnia annak jelzéséhez, hogy a cél egy elfogadható kockázati szint elérése;
2.)[%TAB%]Érdemes egy, az egész szervezetre vonatkozó megközelítést használni a cég kockázatviselő képességének megismerésére és formális leírására;
3.)[%TAB%]Létre kell hozni egy kockázatbecslési modellt annak felvázolására, hogy hol és ki hozza a kockázati döntéseket; valamint
4.)[%TAB%]Ki kell dolgozni egy megismételhető, lépésenként meghatározott eljárást az új üzleti kezdeményezések kockázat-haszon elemzésére és gondoskodni kell róla, hogy az egész szervezet használja.
Mi az a Security for Business Innovation Council – egyéni tapasztalatok, kollektív látásmód
A Security for Business Innovation Council (Üzleti Innovációs biztonsági tanács) nevü testületet az 1000 legnagyobb globális cég (Global 1000) tíz rendkívül sikeres biztonsági vezetője alkotja, akik elkötelezték magukat amellett, hogy a céges információbiztonság fejlődése érdekében megosztják másokkal saját ismereteiket és tapasztalataikat.
Ahogy a társaságok egy próbálják egyre holisztikusabban szemlélni a kockázatkezelést, az információs kockázatok felmérésére használt folyamatokat be kell építeni az átfogó kockázatkezelési feladatok közé. Ebben a tárgykörben a jelentés elkészítésében közremüködött Julia Allen, a nagyvállalati biztonsági és irányítási terület egyik vezető kutatója, a Carnegie Mellon Egyetem Szoftvertervezési Intézetében müködő CERT [%SUP%]®[%SUP%] munkatársa is.
A mai a Security for Business Innovation Council második jelentése. A sorozat első írása ( „The Time is Now: Making Information Security Strategic to Business Innovation,” [%ITALIC%] – Itt az idő: Tegyük az információbiztonságot az üzleti információ stratégiai elemévé)[%ITALIC%] idén jelent meg és hét ajánlást tartalmazott arra nézve, hogy hogyan lehet nagyobb stratégiai jelentősége az információbiztonságnak az üzleti innovációban. Az első jelentés egyik legfontosabb ajánlása az volt, hogy „váljon szakértővé a kockázat-haszon kérdésekben” – ez előkészítette a terepet a mai részletesebb megállapításokhoz.
Azok, akik többet szeretnének tudni a Security for Business Innovation Council jelentéseiről, látogassanak el az RSA Thought Leadership webhelyre a következő címen: RSA.com/securityforinnovation/ (itt mindkét tanulmány elolvasható és letölthető).
Módszertan
Az IDC-felmérést úgy állították össze, hogy mérhetővé tegye az IT-biztonság üzleti innovációra gyakorolt hatását. Az eredményeket az IDC ma megjelent „ Innovation and Security: Collaborative or Combative ” címü tájékoztató kiadványa foglalja össze. A válaszokat online módszerrel gyüjtötte össze az IDC, ezt követte az adatgyüjtés és az elemzés 2008 második negyedévében. A résztvevőket kiválasztásánál szempont volt a közvetlen IT-biztonsági érintettség; felsővezetőket és üzletági vezetőket kerestek. Közel 200 személyt választottak ki és minősítettek a felmérés elvégzéséhez.
§ [%TAB%]A válaszadók 80 százalékánál a cég bevétele meghaladja az 1 milliárd dollárt
§ [%TAB%]73 százalékuk alelnöki vagy magasabb szintü vezető
§ [%TAB%]60 százalékuk 5 ezer embernél többet foglalkoztató cégnél dolgozik
§ [%TAB%]73 százalékuk észak-amerikai, 14 százalékuk az Egyesült Királyságból válaszolt, 2 százalék Indiából, 6 százalék Ausztráliából és 5 százalék más országokból.
Az RSA a Security for Business Innovation Council jelentéseket a szervezet összes tagjával folytatott egyenként lefolytatott mélyinterjúk alapján készíti el. Ezek a világ leginnovatívabb és legkiválóbb biztonsági vezetői közül tíznek a kollektív tudásanyagát, követendő eljárásait és világos áttekintéseit tartalmazzák. Nézeteikkel a teljes iparág fejlődését támogatják. Az RSA várhatóan több eredeti tanácsjelentést is közöl majd a következő hónapokban.
