Obsáhlá zpráva, vypracovaná na základě analýzy více než 400 podrobných strukturovaných dotazníků vyplněných odbornými pracovníky v oboru IT z celého světa, identifikuje nejdůležitější problémy a trendy a dále analyzuje a rozkrývá následující čtyři mýty obvykle spojované s riziky IT:

• Řízení rizik IT se zaměřuje na zabezpečení IT
• Řízení rizik IT je projekt
• Ke zmírnění rizik IT stačí samotná technologie
• Řízení rizik IT je vědecká disciplína

První mýtus: rizika IT jsou rizika zabezpečení

Výsledky průzkumu ukazují, že vedle tradičního vnímání, které spojuje rizika IT zejména s bezpečnostními riziky, se mezi odbornými pracovníky v oboru IT objevuje také širší pohled. 78 % respondentů hodnotilo rizika spojená s dostupností jako „kritická“ nebo „závažná“, zatímco rizika spojená se zabezpečením, výkonem a souladem takto hodnotilo 70, 68, respektive 63 % respondentů. Zjištění publikovaná ve zprávě potvrzují, že rizika spojená se zabezpečením a souladem často přitahují pozornost kvůli své značné viditelnosti a dopadům – 63 % respondentů uvedlo, že úniky dat mají vážné důsledky pro jejich organizaci. Zvýšený důraz je však kladen na rizika spojená s dostupností, která, jak vyplývá ze zprávy, mohou ovlivňovat hodnotový řetězec a jejich důsledky se mohou měřit v milionech dolarů dokonce i při menších potížích s výkonem.

Druhý mýtus: řízení rizik IT je projekt

Mýtus, že rizika IT lze vyřešit v jediném projektu, nebo dokonce jako řadu časově omezených úkonů v průběhu rozpočtových období nebo let, ignoruje dynamickou povahu interního a externího prostředí rizik IT. Incidenty v oblasti zabezpečení, souladu, dostupnosti a výkonu IT mohou mít alarmující dopad na moderní organizaci. Zpráva odhalila následující skutečnosti ve vztahu k četnosti různých typů incidentů v oblasti IT:

• 69 % respondentů očekává menší incident v oblasti IT jednou za měsíc
• 63 % respondentů očekává nejméně jednou ročně větší selhání IT
• 26 % respondentů očekává nejméně jednou ročně incident týkající se nesouladu s předpisy
• 25 % respondentů očekává nejméně jednou ročně únik dat

Ze zprávy vyplývá, že nejlépe fungující organizace pojímají celou problematiku nejkomplexněji. Zdá se však, že mnoha organizacím se nedaří zavádět některé základní mechanismy řízení rizik, například klasifikaci a správu prostředků. Pouze 40 % účastníků hodnotí v tomto bodu svoji činnost jako úspěšnou ze 75 % nebo lepší. Pouze 34 % účastníků se navíc domnívá, že mají aktuální soupis svých bezdrátových a mobilních zařízení, která jsou v současném obchodním světě nepostradatelná.

Třetí mýtus: ke zmírnění rizik IT stačí samotná technologie

Technologie má sice nejdůležitější roli ve zmírňování rizik, ale účinnost programu řízení rizik IT určují také lidé a procesy, které technologie podporuje. 53 % incidentů ve oblasti IT je podle zprávy způsobeno potížemi v oblasti procesů. U několika kontrolních mechanismů bylo také patrné nižší hodnocení oproti 1. vydání zprávy, což vzbuzuje rostoucí obavy. Například u řízení zabezpečení prostřednictvím školení a informovanosti kleslo procento respondentů, kteří své programy hodnotili jako účinné z více než 75 %. V 1. vydání zprávy takto hodnotilo své programy téměř 50 % respondentů, zatímco nyní pouhých 43 %. Nová zpráva podobně jako její 1. vydání ukazuje také pouze velice malé zlepšení nízkého hodnocení inventarizace a klasifikace prostředků. A konečně pouze 43 % účastníků hodnotí správu životního cyklu dat jako účinnou „z více než 75 %“, což je pokles o 17 procentních bodů oproti 1. vydání. 2. vydání zprávy upozornilo také na 10% zvýšení počtu účastníků, kteří hodnotili vývoj bezpečných aplikací jako „úspěšný z více než 75 %“. Zpráva také signalizuje, že bude věnována zvýšená pozornost správě problémů.

Čtvrtý mýtus: řízení rizik IT je vědecká disciplina

Zpráva dává jasně najevo, že řízení rizik IT je rozvíjející se obchodní disciplína a nikoli předmět vědeckého studia, protože se opírá o zkušenosti nashromážděné jednotlivci a organizacemi ve snaze udržet krok s měnícím se obchodním a technologickým prostředím. Vzrůstá povědomí o tom, že řízení rizik IT zahrnuje prvky řízení provozních rizik, kontroly jakosti a řízení podniku a IT. Ale je doplněno také o procesní a technologické kontrolní mechanismy, které se objevují pouze ve světě IT.