Jak ustalić przejrzyste zasady ładu korporacyjnego IT?

Każda technologia wnosi do organizacji nowe szanse i zagrożenia. Te pierwsze należy maksymalnie wykorzystać, te drugie – poznać i odpowiednio nimi zarządzać

Zarządzanie ryzykiem zaczyna się od poznania swojej sytuacji, zrozumienia, co nam zagraża, gdzie mamy krytyczne zasoby, które musimy chronić i jaki wpływ będzie miała niedostępność różnych elementów środowiska IT. Tego typu analiza powinna objąć wszystkie zasoby, zaczynając od ogólnodostępnych systemów a kończąc na wąskich gardłach dostępnych tylko dla administratorów czy programistów, którzy mogą posiadać wiedzę niespisaną, krytyczną dla możliwości utrzymania i rozwoju systemów informatycznych. 

Nawet wśród organizacji działających w branżach takich jak telekomunikacja, e-Commerce, czy banki, całkowicie zależnych od technologii i posiadających formalne zarządzanie ryzykiem oraz ciągłością działania, pełna analiza i zrozumienie tych zależności jest rzadkością. Również w nich zdarzają się regularnie awarie i incydenty, których nikt się nie spodziewał i których wpływ na biznes był niespodzianką.

 

Zasady ładu korporacyjnego IT


Jak w 5 krokach ustalić stopień zależności biznesu od technologii i określić elementy wymagające największej ochrony?

Zabezpieczenie w równym stopniu wszelkich zasobów IT przerasta możliwości praktycznie wszystkich przedsiębiorstw. Priorytetyzacja i dobra ocena ryzyka zwiększają skuteczność podejmowanych działań.

 

1. Analiza procesów biznesowych

Należy zidentyfikować jak wygląda łańcuch wartości procesów biznesowych, które z nich są krytyczne dla kontynuacji działalności. Następnie należy określić precyzyjnie zależność tych procesów od konkretnych ludzi, technologii i infrastruktury, aby ustalić, czy w przypadku awarii lub incydentu, ataku, odejścia kluczowych pracowników, wprowadzenia na system produkcyjny źle działającej funkcjonalności lub zatrzymania systemu, biznes będzie w stanie funkcjonować? jak długo, czy wie w ogóle jak?

View more

2. Analiza ryzyk IT

Jakie są kluczowe ryzyka IT, które mogą istotnie wpłynąć na działanie biznesu: ciągłość, zgodność z wymaganiami i regulacjami, reputację, pozycję konkurencyjną, uzyskanie oczekiwanego zwrotu z inwestycji oraz realizowanych zmian biznesowych.

View more

3. Określenie zaangażowania biznesu

W większości przypadków nadzór biznesu sprowadza się do budżetu, raportów statusu projektów, czasem podstawowych wskaźników dostępności, informacji o incydentach czy czasie naprawy. IT jest „czarnym pudełkiem”, do którego podłącza się klawiaturę i monitor. Niezrozumiałe i komunikujące się w dziwnym języku, nie jest właściwie nadzorowane z perspektywy wartości i ryzyka, jakie niesie. Zazwyczaj również nie otrzymuje odpowiednich priorytetów działań i środków, pozwalających na faktyczne zabezpieczenie kluczowych biznesowo danych, systemów, zasobów. Należy więc przede wszystkim określić, czy biznes nadzoruje technologię odpowiednio do jej kompleksowości, wpływu i wnoszonego ryzyka. Czy biznes jest świadom, co się w tym obszarze rzeczywiście dzieje. Bezpieczeństwo i stabilność obszaru technologii może być zapewnione jedynie dzięki faktycznie działającym kontrolom i zabezpieczeniom. 

View more

4. Analiza bezpieczeństwa i jakości danych

Niemal w 100% przypadków oczekiwania wobec zabezpieczeń systemowych i rzeczywistość różnią się znacznie od siebie, zaś kierownictwo żyje w nieświadomości. Tymczasem niezwykle istotne jest, aby systemy, na których polegają zarządy, rzeczywiście dawały możliwość rzeczywistej kontroli i dostarczały pewne, bezpieczne dane służące jako baza do podejmowania decyzji dla zarządzających organizacją. Szczególnie ważne jest to wtedy, gdy podpisuje się na ich podstawie sprawozdania na giełdę lub plany dużych inwestycji w nowe produkty.

View more

5. Compliance

Rekomendacje KNF, JPK, regulacje takie jak RODO / GDPR nie mogą być w praktyce zaimplementowane bez odpowiedniego wdrożenia ich w środowisku IT i procedurach administracyjnych, procesach przebiegających przez wiele powiązanych systemów. Dlatego audyt weryfikujący zgodność z regulacjami, czy zaleceniami korporacyjnymi powinien w dużej mierze sprawdzać właśnie systemy, dane i procesy IT, aby przekonać się, czy ta zgodność sprowadza się tylko do procedur, czy jest również przestrzegana w rzeczywistości.

View more

Skontaktuj się z nami

Jacek Masny
Starszy menedżer
Tel.: +48 22 746 4640
Email

Obserwuj nas