Riscurile tehnologiei informatiei - Securitatea Informatica

Riscurile tehnologiei informatiei

Abstract: Successful organizations recognize the benefits of information technology and understand and manage the associated risks. This article is about IT risks and the way they could influence the capability of an organization to achieve its objectives.

Orice organizaţie are o misiune şi un set de obiective corelate la misiunea sa. Pe măsură ce importanţa tehnologiei informaţiei (TI) creşte pentru organizaţii, determinând modul în care îşi desfăşoară activitatea şi influenţând direct succesul sau eşecul în atingerea obiectivelor stabilite, creşte şi importanţa procesului de management al tehnologiei informaţiei în cadrul organizaţiei. Pentru multe organizaţii, informaţia şi tehnologia informaţiei ce o susţin sunt cele mai valoroase, însă deseori şi cele mai puţin înţelese bunuri. Organizaţiile de succes vor înţelege atât avantajele oferite de noile tehnologii, cât şi riscurile aferente lor. Conform COBIT, unul din cele cinci domenii de bază pentru guvernarea TI în cadrul organizaţiei este managementul riscurilor aferente tehnologiei informaţiei. Acest domeniu ţine de conştientizarea riscurilor TI, stabilirea clară a nivelului riscului acceptabil, a responsabilităţilor pentru gestiunea acestor riscuri la toate nivelurile, definirea unui proces transparent de management. Primele trei elemente sunt necesare pentru a permite derularea adecvată a celui de al patrulea element – procesul de management al riscurilor TI.

Obiectivul procesului de management al riscurilor TI este gestionarea riscurilor generate de utilizarea tehnologiei informaţiei într-o manieră eficace şi cost-eficientă. Eficacitatea procesului aici constă în diminuarea impactului riscurilor TI asupra capacităţii organizaţiei de aşi atinge obiectivele de activitate până la nivelul acceptabil stabilit. Managementul riscurilor TI este procesul continuu, în cadrul căruia acestea sunt identificate, impactul de realizare a lor – evaluat şi măsurile adecvate de control al riscurilor – implementate.

Riscul poate fi definit ca fiind combinaţia dintre probabilitatea de realizare a unui anumit eveniment şi consecinţele sale. Riscul obişnuia să fie interpretat ca un eveniment nedorit cu efect negativ. Mai nou, însă, capătă popularitate conceptul conform căruia realizarea riscului poate oferi şi anumite oportunităţi. În această abordare creşte importanţa evaluării riscurilor, deoarece doar în baza unui proces adecvat de evaluare a riscurilor vom putea identifica eventualele oportunităţi ce pot apărea pentru organizaţie ca rezultat al realizării unui anumit risc.

Totuşi, tendinţa generală este de a considera riscul un eveniment nedorit şi atunci obiectivul procesului de management al riscurilor este de a identifica care sunt aceste evenimente, căile de prevenire a lui şi cum vom asigura revenirea la starea iniţială în cazul realizării lor.

După cum menţionam mai sus, riscurile TI pot afecta capacitatea organizaţiei de a-şi atinge obiectivele de activitate. Respectiv, riscurile TI sunt riscuri la nivelul organizaţiei. Orice organizaţie cu o viziune contemporană în domeniul managementului riscurilor de activitate are definit şi implementat un Sistem de Control Intern (SCI) aferent proceselor sale de activitate. În cadrul SCI, de obicei, sunt definite riscurile generice pe care organizaţia le consideră în raport cu obiectivele sale de activitate. Acestea pot fi: riscul financiar, riscul operaţional, riscul reputaţional, riscul strategic, riscul legal etc. Riscurile TI se pot manifesta prin generarea oricăror din riscurile generice menţionate. De exemplu, căderea unui sistem aplicativ critic va afecta procesele de activitate ce utilizează sistemul respectiv, prin urmare riscul TI se va manifesta în cazul acesta prin riscul operaţional la nivelul proceselor de activitate ce utilizează sistemul aplicativ. Compromiterea confidenţialităţii informaţiei cu privire la baza de clienţi ai organizaţiei poate genera riscuri financiare, reputaţionale sau chiar legale.

La rândul său, riscurile TI pot fi generic identificate. Conform COBIT, pentru a corespunde necesităţilor de business, informaţia trebuie să satisfacă anumite criterii. Aceste criterii sunt: eficienţa, eficacitatea, confidenţialitatea, integritatea, disponibilitatea, credibilitatea, conformarea. Respectiv, orice implică utilizarea resurselor TI ale organizaţiei şi poate ameninţa corespunderea informaţiei oferite businessului acestor criterii, constituie un risc TI. În funcţie de criteriul ce poate fi afectat, riscurile TI generice pot fi: riscul de ineficienţă, riscul de ineficacitate, riscul de compromitere a confidenţialităţii, riscul de compromitere a integrităţii, riscul de compromitere a disponibilităţii, riscul de compromitere a credibilităţii, riscul de neconformare.

Menţionam că riscurile TI implică resurse TI. Conform COBIT, resursele TI ale organizaţiei sunt următoarele: informaţia, aplicaţii-program, infrastructura informaţională, oamenii. Riscurile generice, la rândul lor, se manifestă prin riscuri concrete, detaliate, aferente nemijlocit resurselor TI şi proceselor TI ce implică utilizarea resurselor respective. De exemplu, o eroare în cadrul unui sistem aplicativ poate duce la blocarea sistemului, în felul acesta informaţia necesară businessului nu va mai fi disponibilă. Astfel, este afectat criteriul disponibilităţii informaţiei, iar riscul de erori la nivelul softului aplicativ constituie un risc de compromitere a disponibilităţii informaţiei. Conceptual, modelul relaţional discutat poate fi prezentat precum în figura 1.

Figura 1. Modelul relaţional: obiective de business – riscuri TI

În concluzie, orice organizaţie care intenţionează să implementeze un Sistem de Control Intern, eficient la nivelul activităţii sale, nu va avea altă cale decât să conştientizeze şi să gestioneze la fel de eficiente riscurile aferent tehnologiei informaţiei utilizate în activitatea sa. Orice altă abordare nu va fi suficient de complexă pentru a-i permite să obţină certitudine rezonabilă că riscurile aferente activităţii sale sunt gestionate adecvat.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro