Raport specjalny: Zarządzanie ryzykiem IT – synergia pomiędzy techniką a celami biznesu

Raport specjalny: Zarządzanie ryzykiem IT – synergia pomiędzy techniką a celami biznesu
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Zgodnie z zaleceniami sformułowanymi w Rekomendacji D KNF (z 8. stycznia 2013 r.) organizacje znajdujące się pod nadzorem komisji powinny wprowadzić mechanizmy pokrywające następujące obszary związane z r yzykiem (rys. 1).

Patryk Królikowski
szef Działu Bezpieczeństwa, CompFort Meridian Polska

Zagadnienie zarządzania ryzykiem IT jest w dalszym ciągu dość rzadko traktowane z należytą powagą. Nawet duże organizacje w Polsce podchodzą do niego z rezerwą. Zarządzanie ryzykiem IT (w tym ryzykiem związanym z brakiem zgodności) najczęściej adresowane jest w firmach międzynarodowych działających w naszym kraju, w których wykorzystuje się standardy narzucone przez organizacje macierzyste. Wynika to z pewnych barier w naszej mentalności i lat przyzwyczajeń do podejścia „jakoś to będzie”. Nie bez powodu mówi się więc, że jedną z miar dojrzałości organizacji jest sposób podejścia do obszaru compliance i zarządzania ryzykiem związanym z brakiem zgodności. Dotyczy to również obszaru IT, dla którego ukuto termin IT Governance, Risk Management and Compliance (IT GRC).

Implementacja programu zarządzania ryzykiem IT nie jest procesem łatwym. Na drodze pojawiają się przeszkody o r óżnym charakterze. Ich przykłady przedstawiono obok.

Jednym z czynników, na który w szczególności warto zwrócić uwagę, jest dynamika rozwoju środowisk informatycznych działających na potrzeby biznesu. Sprawia ona, że czas od identyfikacji, poprzez badanie wpływu, ograniczenie aż po raportowanie ryzyka ulega znacznemu wydłużeniu. Może zatem dojść do sytuacji, w k tórej ryzyko zmaterializuje się, zanim zostanie obsłużone w ramach istniejących procesów i procedur. Stąd pojawia się konieczność wprowadzenia mechanizmów automatyzujących na każdym etapie. CompFort Meridian wspiera organizacje w podnoszeniu jakości strategii zarządzania zgodnością i ryzykiem w obszarze IT. Bazujemy tutaj na dwóch koncepcjach – podejściu bottom-up oraz cyklu Deminga.

W podejściu bottom-up kluczowe jest przeprowadzenie zautomatyzowanego ewidencjonowania aktywów oraz przypisania im odpowiednich kontroli technicznych przy uwzględnieniu jak zwykle ograniczonych zasobów ludzkich i c zasowych. Dzięki temu budujemy solidną podstawę dla procesów IT ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI