【TechTarget中国原创】Symantec公司的一份全新报告对广大CIO和首席信息安全官表示了赞扬，认为他们对于IT风险的观察变得更为仔细。但他们同样表示了对一些IT专业人士的担忧，认为他们低估了在一些横跨几大洲、包括多合作伙伴在内的商业环境下发生数据泄露的可能性。

　　此外，尽管说大多数组织和机构已不再将IT安全看作是一种行式项目或一次性项目，但许多IT机构并没有制作必要的资产清单来使自己更加明确在业务领域内可能会遇到的风险范围。

　　该报告是在对来自39个行业部门的405名IT专业人士进行访谈之后才制定出来的。

　　研究发现，与6个月前相比，IT专家们对于IT风险的认识已更为全面，这同时也使IT机构将IT风险和安全性问题等同看待的神话不攻自灭。

　　研究发现，越来越多的IT管理人员已经开始认为“可用性风险”——也就是关键系统的停止运行给业务所带来的损害——与对信息系统的破坏同样严重、甚至更为关键。IT行业也开始认识到他们对于上级授权的违背会严重损害公司的声誉，有时还会引发法律纠纷。最后，随着IT系统对企业业务重要性的不断上升，IT组织和机构已经开始认识到，运作不良的系统和应用程序会对企业的生产率和价值标准构成严重的威胁。

　　Cupertino Symantec公司的咨询服务总经理Samir Kapuria表示，相关数据表明许多组织和机构对于风险管理的观点正在趋于平衡。

　　Kapuria表示：“越来越多的CIO正在逐渐认识到对于IT风险的管理应该是一个持续的计划，而不是一个项目。”

　　虽然IT专业人士对于风险管理的认识已越来越全面，但研究发现相关的IT风险管理项目还不能解决一些明显的威胁。同时他们也不能完全理解这些业务威胁因素的动态性质。

　　例如，研究发现IT专业人士对于数据泄露所带来的危险都有清楚的认识，有63%的受调查者表示这会给企业造成严重的危害。

　　然而，研究同时表明这些IT专业人士都低估了数据泄露的频率：大多数受访者表示他们预计数据泄露在他们公司发生的频率为五年一次；有46%的人预计数据泄露事件会比较频繁，大约每年一次。

　　Enterprise Strategy Group公司高级分析师Jon Oltsik表示，此项研究表明人们对于问题的预计已经远远落后于现实。“数据量在不断增大，使用这些数据的人也在不断增多，日常的风险会变得更加明显，”他说，“相关数据表明，我们必须对目前这些数据破坏的可能性以及其在处理方面的困难有一种现实性的认识，而不是依靠历史性的预测。”

　　然而，总的来说，Oltsik认为这是一条令人鼓舞的消息，因为许多企业正在认识到IT风险不仅仅是IT部门的问题。

　　“IT安全性一直被视为与IT风险问题等同，但如今它只被看作是IT风险问题的一部分，” Olstik说，“我发现越来越多的公司正在审查自己的业务流程，并试图搞清楚究竟有谁有权访问他们的数据并在关注他们核心基础设施和应用程序的性能。因此，可以说许多公司都开始将IT风险视为是一种企业风险，而不是仅仅把重点放在安全性方面。”

　　然而，在调查中发现了一个令人担忧的趋势，那就是企业对员工的培训和相关宣传不够重视。根据该报告，有53%的IT事故是由进程问题导致的。但他们同时表示对于进程的控制问题总是会受到怠慢。仅有43%的受访者认为今年员工培训和宣传等进程控制业务的有效性会超过75%，与一年前相比有所下降，那时的比例达到了50%。

　　风险正夜以继日地向全球化发展

　　目前企业不断受到由IT安全、遵从性问题、系统设备可用性及其性能问题所导致的事故的攻击。根据此项研究，有69%的受访者表示他们预计小型IT事故的发生频率为每月一次，有63%的人预计大型IT事故至少会每年发生一次，而有26%的人表示不服从监管的事件至少也会每年发生一次，另有25%的人预计数据丢失事件至少也会每年发生一次。

　　尽管说在不停地受到威胁，但许多组织和机构还是不愿去执行一些基本的风险管理控制措施，比如或对资产和存货进行分类控制等等手段。

　　例如，只有43%的受访者认为数据生命周期管理的有效性会“超过75%”，与去年同期相比比例下降了17%。Symantec公司的Kapuria这种控制方面的疲软意味着企业资产很容易被“一视同仁”地对待，因此从IT风险的角度来讲，有些系统、进程、以及设备可能会被过度地保护，而其它方面的保护力度却不够。

　　仅有34%的受访者表示他们相信自己对相关的无线和移动设备备有最新库存清单，这在当今的商务世界是必不可少的。另一方面，IT安全议程上的应用程序数量也有所上升：研究表明参与安全应用软件研发的人数增加了10%，目的是使该业务的有效性“超过75%”。

　　该报告还揭示了IT风险管理业务在各特定行业的发展状况：卫生保健领域预计会遭遇最多的IT事故。电信行业在部署IT风险管理控制措施方面排名最高，银行和金融部门紧随其后。Symantec认为应该让公众和政府更多地参与对电信、银行、以及金融部门高级管理控制措施的监督，对个人资料的保护投入更好的管理和遵从性控制措施，投入更多的关注。