Blog

Jak analizować ryzyko w środowisku informatycznym?

Poziom skomplikowania w środowisku IT nieustannie rośnie. Realizacja procesów biznesowych, poziom sprawozdawczości i zarządzanie przedsiębiorstwami są coraz bardziej uzależnione od sfery informatycznej. Wobec takiego obrotu sprawy zaleca się przeprowadzanie programów zarządzania ryzykiem, których celem jest zbudowanie świadomości dotyczącej stanu bezpieczeństwa systemu IT, a w następnym kroku podjęcie działań zaradczych. Powinny one trwać prze cały czas i mieć na uwadze główny cel organizacji tj. maksymalizacja profitów i niwelowanie strat.

 

Ryzyko ITObszary najbardziej narażone na ryzyko potrzebują szczególnej analizy. Jednym z nich są problemy związane z procesem i rozwiązaniami do tworzenia kopii zapasowych. Przyczyną ryzyka mogą być także problemy z uwierzytelnianiem np. słabe hasła i współdzielenie kont. Przy autoryzacji i zarządzaniu dostępem najczęstszym błędem jest brak systemu zarządzania uprawnieniami w oparciu o role oraz brak przeglądu uprawnień. Także źle dobrana ochrona antywirusowa może mieć niekorzystny wpływ na bezpieczeństwo serwerów,w tym samym również prowadzić do ryzyka.

 

Aby efektywnie zarządzać ryzykiem w IT, należy odpowiednio zanalizować możliwości jego powstania. Takie rozpoznanie najlepiej przeprowadzić na dwóch obszarach. Pierwszy z nich dotyczy poświadczenia prawidłowości wdrożenia systemów informatycznych, a co za tym idzie: kontrola jakości projektu, wspieranie jego planowania, a także przeglądy i audyty przebiegu, oparte na ocenie ryzyka.

 

Optymalizacja ryzyka ITDrugim obszarem wymagającym analizy jest zbadanie ryzyka związanego z systemami biznesowymi i informacyjnymi. W tej sferze znajduje się konfiguracja zabezpieczeń, rozdział ról i obowiązków, a także ograniczenia w dostępie do najważniejszych funkcji systemu. Ocena automatyzacji procesów i optymalizacja kontroli również będzie konieczna. Nie należy także zapomnieć  o odpowiednim zarządzaniu danymi i ich analizie.

 

Obszary te zwracają szczególną uwagę na zidentyfikowanie obiektów w IT. Jest to niezwykle skomplikowane, gdyż uwzględnia wszelkie możliwe komponenty: każdy komputer, każdą aplikację, każdy zasób danych, wiadomości poczty elektronicznej, dokumenty we wszystkich wersjach oraz całą komunikację z VolP. Aby ułatwić zadanie warto zastosować do tego technologię DLP (data loss prevention). Dzięki niej można dokonać rozpoznania miejsc, w których składowane i przetwarzane są m. in. dane osobowe, kluczowe badania, czy plany rozwoju. Na tym etapie pomocne mogą być także checklisty dla konkretnych komponentów. Zagrożenia zasobów mogą mieć wymiar ludzki (ataki hakerskie), naturalny (powódź, pożar, wichury), techniczny (elektryczność, wilgotność powietrza), administracyjne (naruszenie przepisów prawnych).

 

Redukcja ryzyka ITTakie rozpoznanie pozwoli ocenić podatność zasobów na ryzyko, a później określić i podjąć decyzję. Istnieją cztery podejścia dotyczące sytuacji kryzysowych: redukcja ryzyka, akceptacja ryzyka, przekazanie ryzyka i uniknięcie ryzyka. Pierwsze z nich to np. wykonanie aktualizacji nieaktualnego oprogramowania, czyli implementacja odpowiednich korekt w systemie. Na akceptację ryzyka można pozwolić sobie wtedy, gdy jest ono małe, a potencjalna jego redukcja jest zbyt kosztowna. Przekazanie ryzyka polega na ubezpieczeniu od ryzyka, jak również na outsourcingu. Jeśli ryzyko jest zbyt duże, a system nie przynosi odpowiednich korzyści, może się okazać, że najlepszych rozwiązaniem będzie zrezygnowanie z eksploatacji danego systemu, a tym samym uniknięcie ryzyka.

 

Ufając statystykom, aż jedna czwarta wszystkich dużych programów zmian zawodzi, a aż 70% daje wyniki poniżej oczekiwań. Jest to najczęściej spowodowane tym, że wdrażanie nowych przedsięwzięć prowadzi do konfliktu z dotychczasowymi projektami. Dlatego do każdego z nich należy przypisać odpowiednie rozwiązania i zasoby, które uwarunkują ich prawidłowy przebieg.