Managementul riscurilor IT - Securitatea Informatica

Managementul riscurilor IT

Managementul riscului este procesul care permite managerilor IT să echilibreze costurile operaţionale şi economice ale măsurilor de protecţie şi să asigure capacitatea de protejare a sistemelor informatice şi a datelor menite să sprijine operațiunile organizaţiilor lor. Acest proces nu este unic pentru mediul IT, făcând parte din procesul decizional din toate domeniile vieţii noastre de zi cu zi.

Orice conducător al unei structuri organizaţionale trebuie să se asigure că entitatea pe care o conduce dispune de capacităţile necesare pentru îndeplinirea misiunii sale. Acești lideri trebuie să determine capacităţile de securitate pe care sistemele IT trebuie să le aibă pentru a fi capabile să ofere nivelul dorit de suport operațional, chiar și atunci când se află în faţa unor ameninţări reale. Cele mai multe organizaţii alocă bugete mici pentru securitatea IT, prin urmare, cheltuielile ITde securitate trebuie să fie revizuite la fel de bine ca alte decizii de management. O metodologie de gestionare a riscurilor bine structurată, atunci când este folosităîn mod eficient, poateajuta echipa de management săidentifice mijloacele de control adecvatpentru asigurareacapacităţilor de securitate esențiale obiectivelor unei organizații.

Cei patru piloni ai riscurilor IT

Anul trecut de compania Oliver Wyman și National Association of Corporate Directors (SUA) au realizat un studiu în rândul a 204 membri ai consiliilor de administrație ale unor companii importante din Statele Unite. Rezultatele arată că aproape jumătate dintre aceștia (47%) sunt nemulțumiți de capacitatea echipelor de management de a supraveghea riscurile IT. Luând în calcul cât de mult se pune accent pe capacitatea companiilor de a folosi în mod eficient tehnologia informației, acest indicator este mai mult decât alarmant. De asemenea, o altă analiză a specialiștilor Oliver Wyman arată că pierderile înregistrate de cele mai importante 500 de companii la nivel mondial din cauza proiectelor IT eșuate se ridică anual la peste 14 miliarde USD. De aici derivă o oportunitate importantă: companiile care primesc informații referitoare la riscurile IT și la posibilitățile de gestionare a lor vor avea un avantaj competitiv semnificativ în fața celor care nu fac acest lucru.
Având învedere că IT-ul este o componentă importantă pentru multe dintre zonele de activitate ale unei afaceri, riscul IT nu ar trebui să fie privit ca o problemă unitară. Mai degrabă, ar trebui să fie luat în considerare în contextul unei game largi de probleme de afaceri. În viziunea analiștilor Oliver Wyman, cadrul este format din patru piloni de risc și oferă membrilor echipei de management un limbaj comun pentru a aborda riscurile legate de IT. Cele patru zone de risc la care firma ar putea fi expusă datorită gestionării ineficiente a componentei IT sunt:
Risc competițional – Ameninţarea concurenţilor de a ajunge primii pe piaţă, de a câștiga cotă de piaţă sau de a obține un avantaj insurmontabil prin utilizarea tehnologiei.
Risc de portofoliu – Pericolul ca o companie să folosească pentru componenta IT bani și resurse prețioase pentru a finanța operațiuni de bază în locul unor investiţii care pot aduce transformări importante, cu efect asupra afacerii.
Risc de execuție – Incapacitatea de a executa eficient proiecte IT sau de a oferi companiei, la timp şi în bugetul alocat, capabilităţi critice de afaceri.

Risc de serviciu și de securitate – Riscul ca sistemele să nu fie capabile să ofere suportul şi/sau serviciile necesare pentru angajaţi sau partenerii de afaceri, precum şi riscul ca datele critice ale firmei să nu fie protejate în mod corespunzător.

Cadrul operational

Elaborarea unui cadru de management al riscurilor IT este o activitate complexă, însă rezultatele pe care le poate aduce un program conceput în mod corespunzător oferă organizaţiei o viziune clară asupra zonelor funcţionale.
În studiile elaborate de compania de consultanță Ernst & Young întâlnim o structurare piramidală a componentelor ce alcătuiesc cadrul de management al riscurilor informatice sub forma unei piramide. La baza acesteia se află conformitatea cu standardele, monitorizarea și raportarea incidentelor, elemente critice pentru managementul riscului de tehnologie a informaţiei. La proiectarea de metrici pentru monitorizare şi raportare, multe organizaţii pornesc de la produsul final – tabloul de bord pentru managementul riscurilor IT – pentru a se asigura că măsurătorile lor vor fi aliniate cu cerinţele conducerii companiei. Obţinerea şi raportarea indicatorilor cheie (KI) sunt critice pentru organizaţii pentru a demonstra valoarea cadrului de lucru şi pentru a verifica dacă procesele de management al riscului au fost puse în aplicare. Efectuarea corectă a acțiunilor de proiectare, implementare și măsurare a indicatorilor cheie poate fi dificilă şi consumatoare de timp, însă constituie fundația unui cadru bine pus la punct.
Pe nivelul următor identificăm procesele și procedurile operaționale, elementul central al fazei de execuție a programului, în strânsă corelație cu standardele adoptate pe primul nivel. Între procesele de risc trebuie să se afle măsurătorile şi metricile de risc; evaluarea riscurilor și a controlului riscurilor; analize detaliate de risc, inclusiv scenarii sau analiza amenințărilor de vulnerabilitate; raportarea riscurilor; planuri de diminuare a riscurilor. În paralel cu aceste procese și proceduri se situează instrumentele și tehnologiile utilizate, precum și managementul organizațional și al oamenilor. Tehnologiile și instrumentele folosite pentru managementul riscurilor pot varia ca maturitate și performanțe. Este recomandat ca organizațiile să le reevalueze periodic în funcție de modificările apărute în ceea ce privește monitorizarea și măsurarea riscurilor și să le sincronizeze cu cerințele evidențiate.

Următorul nivel este identificarea şi profilarea riscurilor. Organizaţia trebuie să definească un proces consistent pentru identificarea şi clasificarea riscurilor. Aceasta include definirea unei taxonomii pentru controale de risc, evaluări de risc şi stabilirea priorităţilor, precum şi parametrii de frecvenţă şi rigurozitate ai evaluărilor de risc IT şi control intern.
În următorul nivel trebuiesc definite guvernanța, politicile şi standardele referitoare la riscurile IT, cu participarea a reprezentanților departamentelor de afaceri și ai celui IT. Procesul decizional trebuie să fie echitabil pentru toate părţile interesate, asigurând în acelaşi timp că executarea politicilor şi a standardelor este gestionată în mod eficient, şi că acestea reflectă în mod fidel apetitul de risc al organizaţiei.
La acestea se adaugă strategia de risc, un plan concis, de nivel înalt, care articulează viziunea şi direcţia de management al riscului în cadrul organizaţiei. Planul ar trebui să definească toleranţa la risc, procesele de risc, aşteptările pentru funcţia de management al riscurilor, precum şi integrarea proceselor de risc în operaţiunile IT.

În vârful piramidei se află factorii de business. Aceste condiţii determină de ce este important sau necesar, dintr-o perspectivă de afaceri, să existe un program de gestionare a riscurilor IT. Ele reflectă scopul, misiunea şi viziunea programului din perspectiva obiectivelor de afaceri, a cerinţelor impuse de reglementările în vigoare, precum și a directivelor conducerii companiei.
Un cadru eficient de management al riscurilor IT transmite consiliului de administraţie, directorilor şi acționarilor încrederea că IT-ul poate susține și adăuga valoare afacerii, asigurând în acelaşi timp integritatea, disponibilitatea, şi confidenţialitatea datelor companiei.

Cele sase intrebari pe care membrii consiliului de administratie al unei companii ar trebui sa le puna in legatura cu riscurile IT

Deoarece IT-ul este implicat în toate operaţiunile unei companii, numărul de întrebări pe acest subiect este aproape nelimitat. Aceste şase întrebări ar trebui să se afle pe agenda consiliului pe fiecare ordine de zi:

  • Cum se determină importanţa strategicăaIT-ului pentru afaceri?
  • Cum aţi evalua evoluţia capacităţilorIT ale concurenţilor, care ar putea ameninţa poziţia noastră pe piață?
  • Cum alocați sumele pentru portofoliul de investiţii IT astfel încât să asigurați o acoperire eficientă a riscurilor?
  • Ce compromisuri se fac în gestionarea portofoliului IT?
  • Cât de eficient sunt puse în practică principalele programe de dezvoltare IT?
  • Cum vă asiguraţi că folosiți cele mai bune practici şi procese pentru a proteja compania în fața riscurilor operaţionale şi de securitate, în prezent şi în viitor?

Sursa: clubitc.ro

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro