ZARZĄDZANIE RYZYKIEM IT JAKO ELEMENT ŁADU INFORMATYCZNEGO

Transkrypt

1 ZARZĄDZANIE RYZYKIEM IT JAKO ELEMENT ŁADU INFORMATYCZNEGO Artur Rot Wprowadzenie Technologie informatyczne (IT) odgrywają we współczesnych przedsiębiorstwach coraz to większą rolę, pojawiając się juŝ prawie w kaŝdym aspekcie ich działalności. Świadczyć moŝe o tym m.in. wysokość nakładów na inwestycje w te technologie, które pochłaniają często znaczną część wszystkich wydatków inwestycyjnych firm. Jednocześnie w wielu przypadkach nie przynoszą one zakładanych efektów. W takiej sytuacji istnieje potrzeba usystematyzowanego podejścia do efektywnego zastosowania IT w przedsiębiorstwie, na co odpowiedzią jest m.in. koncepcja IT governance, czyli ładu informatycznego (często teŝ nazywana nadzorem IT lub określana bardziej opisowo jako dobre zasady zarządzania). Obejmuje ona obszary takie jak dopasowanie strategiczne IT, dostarczanie wartości przez technologie, efektywne wykorzystanie zasobów informatycznych, zarządzanie ryzykiem IT oraz pomiar wydajności stosowanych rozwiązań w obszarze informatyki [Orze07]. Bardzo istotnym elementem tej koncepcji są takie elementy jak zarządzanie ryzykiem informatycznym, czy powiązana z nim problematyka zarządzania bezpieczeństwem. Bezpieczeństwo, audyt i IT governance stanowią bowiem przenikające się i współzaleŝne obszary, kluczowe dla funkcjonowania IT w nowoczesnych organizacjach. Celem niniejszego artykułu jest prezentacja

2 wybranych zagadnień z dziedziny zarządzania ryzykiem i bezpieczeństwa informatycznego na tle koncepcji ładu informatycznego. Istota koncepcji ładu informatycznego Wsparcie procesów biznesowych systemami informatycznymi wprowadza nowe, dotychczas nieistniejące rodzaje ryzyka, którymi trzeba zarządzać. W tym celu powstała koncepcja określana jako ład informatyczny, stanowiąca integralny komponent ładu korporacyjnego (ang. corporate governance), określającego zasady, dobre praktyki i normy odnoszące się do szeroko rozumianego zarządzania organizacją. Najprościej biorąc, koncepcja ta dotyczy takiej organizacji strategii IT przedsiębiorstwa, która współgra ze strategią biznesową, zapewniając firmie osiągnięcie jej celów oraz wprowadzając dobre praktyki w zarządzaniu ryzykiem, a takŝe w pomiarze wydajności technologii informatycznych. Ład informatyczny koncentruje się na tym, aby procesy biznesowe przynosiły wymierne korzyści oraz aby funkcjonowanie technologii informatycznych, a co za tym idzie, całego przedsiębiorstwa, odbywało się zgodnie z zasadą minimalizowania ryzyka. Dlatego teŝ problematyka zarządzania ryzykiem informatycznym jest tak istotna dla omawianej koncepcji. W literaturze przedmiotu funkcjonuje kilka definicji IT governance, z których najwaŝniejszą wydaje się ta sformułowana przez stowarzyszenie ISACA, mówiąca, iŝ IT governance stanowi odpowiedzialność rady nadzorczej i kierownictwa firmy, jest integralną częścią corporate governance, zawierając w sobie elementy przywództwa, struktur i procesów organizacji [Jesi08] [Boar03]. Druga definicja, często przytaczana w literaturze, autorstwa P. Weilla i J. Ross stwierdza, Ŝe IT governance to

3 określenie ram decyzyjnych i dostępności struktury, gwarantujące poŝądane zachowania w IT. Definicja opracowana przez W. van Grembergena mówi, iŝ jest to koncepcja zarządzania, stosowana przez organizację, ukierunkowana na nadzór nad portfolio IT. IT governance wskazuje zarys dystrybucji decyzji IT, stwarzając prawa i obowiązki dla róŝnych departamentów, zarządza regułami i procedurami dla tworzenia i monitorowania decyzji w kwestiach strategicznych dla IT [Jesi08]. Ład informatyczny jest bardzo często rozumiany jako kodeks dobrych praktyk w zarządzaniu technologią informatyczną. Zatem to nie tylko same technologie, ale przede wszystkim szereg wytycznych, zasad, praktyk związanych z zarządzaniem informacją oraz wiele przedsięwzięć nietechnicznych na poziomie strategicznym. Stosowanie reguł ładu buduje zaufanie i pokazuje, Ŝe technologie nie generują nadmiernego ryzyka biznesowego oraz dają większe prawdopodobieństwo osiągnięcia zamierzeń biznesowych [Dobi08]. Dzięki zastosowaniu mechanizmów nadzoru organizacja jest w stanie wykorzystać w większym stopniu posiadane informacje oraz stosowane technologie i maksymalizować wynikające z nich korzyści biznesowe, ograniczając ryzyko informatyczne. Badania przeprowadzone w przedsiębiorstwach pokazują, Ŝe firmy posiadające zaawansowane rozwiązania w zakresie ładu informatycznego mają o ponad 20% większą rentowność w porównaniu z firmami z tego samego sektora, które jednak mają słabo rozwinięty nadzór IT. Badania dowodzą teŝ, iŝ efektywność inwestycji w obszarze IT w tych pierwszych firmach jest o około 40% wyŝsza [Carr04] [Jesi08]. NaleŜy podkreślić, iŝ IT governance nie powinien być kojarzony jedynie z działalnością działów IT, nie jest teŝ koncepcją ich zarządzania. Nie

4 moŝe być takŝe utoŝsamiany z standardami, jak ITIL czy COBIT, które są jednakŝe metodykami przydatnymi przy wdraŝaniu tej koncepcji [Jesi08]. Główne obszary IT governance Omawiana koncepcja obejmuje szereg sfer funkcjonowania przedsiębiorstwa i wykorzystywanych technologii. Istotnym obszarem ładu informatycznego są zasady i praktyki w zakresie zarządzania bezpieczeństwem, czy powiązanej z nim problematyką zarządzania ryzykiem informatycznym. Do głównych obszarów ładu zaliczyć moŝna [Jesi08]: Dopasowanie strategiczne biznesu i IT koncentracja na tym, aby oba obszary wspólnie i w harmonii realizowały strategię organizacji; Zwiększanie wartości główną miarą wartości IT są m.in. odpowiednio realizowane dostawy produktów lub świadczenie usług na czas, w załoŝonym budŝecie, w odpowiedniej jakości oraz z osiągnięciem korzyści takich jak satysfakcja klientów, szybsze wejście na rynek, skrócony czasu realizacji zamówień, zwiększona produktywność; Zarządzanie zasobami kluczem do wysokiej efektywności IT są optymalne inwestycje oraz jak najlepsze wykorzystanie posiadanych zasobów informatycznych w procesie świadczenia usług dla biznesu; Zarządzanie ryzykiem IT obszar ten obejmuje róŝne rodzaje ryzyka związane z zastosowaniem technologii w przedsiębiorstwie, m.in. zabezpieczenie zasobów informatycznych, odzyskiwanie danych po awariach czy teŝ zapewnienie ciągłości działania. Aby skutecznie zarządzać ryzykiem, menedŝerowie muszą rozumieć, jakie jest nastawienie przedsiębiorstwa do ryzyka, muszą mieć świadomość istnienia szerokiego spektrum zagroŝeń oraz znać wymagania prawne i regula-

5 cyjne, powinni być równieŝ świadomi głównych rodzajów ryzyka oraz swojej odpowiedzialności za nie; Pomiar efektywności IT polega na śledzeniu realizacji przedsięwzięć informatycznych oraz monitorowaniu procesu świadczenia usług IT. Podsumowując, moŝna stwierdzić, iŝ główne zasady ładu to analiza, w jaki sposób informatyka dostarcza wartości w uruchamianiu nowych procesów biznesowych, usprawnia efektywność istniejących procesów i całej organizacji oraz jak wspiera zarządzanie ryzykiem, zarządzanie bezpieczeństwem IT i zapewnienie zgodności z przepisami prawa. Jak zaznaczono we wstępie, bezpieczeństwo, zarządzanie ryzykiem i IT governance stanowią bowiem przenikające się i mocno współzaleŝne obszary, kluczowe dla funkcjonowania technologii informatycznych w nowoczesnych przedsiębiorstwach, a zatem i dla samych organizacji. Zarządzanie ryzykiem informatycznym Ryzyko związane z szerokim wykorzystywaniem systemów informatycznych w biznesie rośnie wraz ze zwiększaniem się współzaleŝności od klientów, partnerów biznesowych i operacji zlecanych na zewnątrz. Przy niedostatecznych inwestycjach w bezpieczeństwo znaczenia nabiera zarządzanie ryzykiem, ustanawiające właściwe relacje pomiędzy stopniem zagroŝenia a kosztem ochrony oraz uwzględniające coraz bardziej złoŝone, wzajemne zaleŝności, obejmujące partnerów biznesowych, działalność outsourcingową, a takŝe konsultantów i partnerów [Musz07]. Przy projektowaniu i wdraŝaniu strategii zarządzania ryzykiem IT w firmie konieczne jest zintegrowane postrzeganie zagroŝeń. NaleŜy pamię-

6 tać, iŝ w miarę postępu technologicznego, a w szczególności gwałtownego rozwoju Internetu, jak i wzrostu znaczenia informacji dla funkcjonowania przedsiębiorstw, zagroŝenia w obszarze biznesu i IT stają się coraz bardziej powszechne i przybierają róŝnorodne formy. Współczesne systemy informatyczne wykreowały nowe rodzaje ryzyka, a ich bezpieczeństwo nabrało wymiaru globalnego wraz z coraz szerszym zakresem technologii informatycznych. Celem zabezpieczeń jest minimalizacja ryzyka utraty zdolności działania. Zarządzanie ryzykiem obejmuje swym zakresem ocenę ryzyka, ustalanie priorytetów, wdraŝania środków łagodzących ryzyko i konsekwentne powtarzanie tego cyklu. Zarządzanie ryzykiem IT jest dyscypliną integrującą wiele róŝnorodnych technologii słuŝących identyfikacji, analizie, ocenie incydentów i zagroŝeń, a takŝe wdraŝania środków zwiększających bezpieczeństwo [Musz07]. Jest złoŝoną i interdyscyplinarną dziedziną z pogranicza informatyki, organizacji i prawa. Zarządzanie ryzykiem jest procesem osiągania i utrzymania stanu równowagi między zidentyfikowanymi zagroŝeniami a działaniami podjętymi w celu zabezpieczenia zasobów informatycznych. Obejmuje ono ryzyka związane z zastosowaniem technologii informacyjnych w przedsiębiorstwie, dotyczy m.in. zabezpieczenia zasobów IT, odzyskiwania danych po awarii, zapewnienia ciągłości działania, uwzględniając zgodność rozwiązań z obowiązującymi regulacjami [Orze07]. Organizacje podlegają bowiem licznym przepisom, dotyczącym np. przechowywania danych, informacji poufnych oraz zasad zarządzania ciągłością firmy. Mimo Ŝe nie wymagają one opracowania struktury IT governance, moŝe się okazać, Ŝe jest to sposób na zapewnienie zgodności z prawem.

7 WdraŜając zasady ładu informatycznego w obszarze zarządzania ryzykiem IT, naleŝy dokonać identyfikacji rodzajów ryzyka, co pozwoli następnie określić czynniki, które mogą utrudnić realizację załoŝonych celów biznesowych. W ramach tego procesu naleŝy skoncentrować się na takich aspektach, jak [Kacz08]: określenie skłonności do ryzyka i analiza dotychczasowych zdarzeń, identyfikacja rodzajów ryzyka związanych z usługami IT, korekta zakresu wdroŝenia na podstawie zidentyfikowanych ryzyk. Wprowadzając IT governance naleŝy równieŝ odpowiedzieć na następujące pytania, wiąŝące się z problematyką bezpieczeństwa informacji i zarządzania ryzykiem informatycznym [Dobi08]: Jak bezpieczne są zaimplementowane systemy informatyczne? Czy organizacja jest przygotowana na odtworzenie działania biznesu w przypadku np. katastrofy? Czy firma przetrwa w przypadku załamania się kluczowych systemów informatycznych? W jakim stopniu stosowane technologie są wydajne? Czy działalność biznesowa odbywa się w zgodzie z wymaganiami prawa, (np. ustawa o ochronie danych osobowych) oraz innych regulacji i wymogów prawnych dotyczących bezpieczeństwa informacji? Brak odpowiedniego zarządzania ryzykiem informatycznym moŝe mieć powaŝne konsekwencje dla przedsiębiorstwa, gdyŝ prowadzić moŝe do utraty klientów, osłabienia pozycji rynkowej, utraty prestiŝu, zakłócenia współpracy z partnerami i kontrahentami, a takŝe moŝe generować znaczące koszty. WaŜnym czynnikiem wpływającym na podwyŝszenie ryzyka są zmiany: instalacje nowych wersji aplikacji, migracje aplikacji, aktualizacje, nowy sprzęt, nowi uŝytkownicy i zmiany w aplikacjach. Według badań firmy IDC, jednej z największych firm zajmujących się

8 badaniem rynku teleinformatycznego, opracowującej wiele analiz sektorowych, ponad 80% krytycznych dla biznesu przerw w świadczeniu usług powstaje w wyniku właśnie złej kontroli nad procesami zmian [Musz07]. Naczelne zasady ładu to dopasowanie strategiczne biznesu i IT oraz wspieranie procesów zarządzania ryzykiem informatycznym. W praktyce jednak występują często sytuacje zgoła odmienne, gdyŝ jak wynika z przeprowadzonych na zlecenie firmy CA badań, wykonanych w Europie i na Bliskim Wschodzie przez firmę Freeform Dynamics, prowadzenie konsultacji z menedŝerami i specjalistami IT często jest pomijane w procesie planowania zarządzania ryzykiem biznesowym. Ponadto, w przeprowadzonych badaniach 61% respondentów stwierdziło, Ŝe ryzyko jest powaŝnie brane pod uwagę w ich firmach, ale jednocześnie menedŝerowie działów informatycznych wyŝszego szczebla jedynie 30% swojego czasu poświęcają na przeciwdziałanie ryzyku biznesowemu [Jaku07]. Wyniki badań zaakcentowały takŝe potrzebę ciągłego doskonalenia zarządzania informacją oraz jej bezpieczeństwem w większości ankietowanych firm. W 55% badanych organizacji nie ma ogólnego budŝetu przeznaczonego na procesy zarządzania ryzykiem dla biznesu lub działu informatycznego, a tylko w około 30% przedsiębiorstw angaŝuje się menedŝerów IT w dyskusje o ryzyku biznesowym. DuŜym problemem są takŝe pewne niezgodności z regulacjami prawnymi odnoszącymi się do wymagań odpowiedniego przechowywania, przetwarzania i udostępniania informacji. 45% respondentów uwaŝa, Ŝe napotkałoby problemy podczas odnalezienia informacji w odpowiednim czasie, natomiast 40% twierdzi, iŝ ma niekompletne dane lub zapisy kontrolne, które mogłyby doprowadzić do naruszenia przepisów [Jaku07].

9 Podsumowanie Przedstawiona w artykule koncepcja IT governance jest taką organizacją i realizacją strategii IT przedsiębiorstwa, która harmonizuje ze strategią biznesową, zapewniając firmie osiągnięcie jej celów oraz wprowadzając szereg dobrych praktyk i standardów w sferze technologii informacyjnych. Koncepcja ta obejmuje obszary takie jak dopasowanie strategiczne IT, dostarczanie przez nie wartości, efektywne wykorzystanie zasobów, zarządzanie ryzykiem oraz pomiar wydajności IT. Szczególnie istotne są takie elementy jak zarządzanie bezpieczeństwem, czy powiązana z nim problematyka zarządzania ryzykiem informatycznym. Ryzyko, bezpieczeństwo informatyczne oraz koncepcja ładu IT są ze sobą powiązane i stanowią współzaleŝne obszary, newralgiczne dla organizacji i zastosowania nowoczesnych technologii we współczesnych przedsiębiorstwach. Organizacje są przecieŝ naraŝone na róŝnego typu zagroŝenia, nie tylko natury finansowej. W ramach poprawnego zarządzania infrastrukturą informatyczną naleŝy stale śledzić zagroŝenia, na jakie jest naraŝone przedsiębiorstwo, oraz negatywny wpływ, jaki mogą one na nie wywrzeć. Na tej podstawie powinny być podejmowane decyzje co do dalszego działania, które mogą koncentrować się na zastosowaniu dodatkowych mechanizmów zabezpieczających, przeniesieniu ryzyka na partnera lub dalszym monitoringu ryzyka [Tele05]. Odpowiednie podejście do problematyki zarządzania ryzykiem IT, wdroŝenie właściwych funkcji i mechanizmów zabezpieczających oraz kontrolnych moŝe zmniejszyć znacząco prawdopodobieństwo wystąpienia incydentów, które mogłyby negatywnie wpłynąć na organizację, a takŝe moŝe doprowadzić do obniŝenia kosztów i przyczynić się do uzyskania przewagi nad konkurencją.

10 Literatura [Boar03] Board Briefing on IT Governance, 2nd Edition, IT Governance Institute, 2003 [Carr04] Carr N., Does IT Matter? IT and The Corrosion of Competitive Advantage, Harvard Business School, Boston 2004 [Tele05] IT Governance Jak zarządzać infrastrukturą IT, Teleinfo24 nr 42/2005 [Jaku07] Jakubik K. IT stwarza ryzyko w biznesie, Computerworld z dn [Jesi08] Jesionek R. Wprowadzenie do IT governance, CEO Magazyn Top MenedŜerów z dn [Kacz08] Kaczorek R. Przewodnik wdroŝeniowy IT governance, CIO Magazyn Dyrektorów IT z dn a [Dobi08] Ład korporacyjny w IT [Musz07] Muszyński J. Kalkulowanie ryzyka, NetWorld z dn [Orze07] Orzechowski R. Efektywne zastosowanie IT w przedsiębiorstwie, E-mentor nr 3(20)/2007 z dn Informacje o autorze Dr Artur Rot Katedra InŜynierii Systemów Informatycznych Zarządzania Uniwersytet Ekonomiczny we Wrocławiu ul. Komandorska 118/ Wrocław Polska tel artur.rot@ae.wroc.pl