Nawet w przypadku prostego biznesu, np. jednoosobowej firmy – ulicznego sprzedawcy warzyw wyposażonego w turystyczny stolik – mamy do czynienia z pewnym zestawem zdarzeń mających wpływ na powodzenie przedsięwzięcia. Wynika to z faktu, że żaden proces nie dzieje się w idealnym systemie odizolowanym od czynników zewnętrznych.
Wypada się zastanowić, dlaczego w branży IT zarządzanie ryzykiem staje się coraz bardziej pożądane. Jest to dziedzina, która szybko się rozwija, ale trudno uznać to za kluczowy powód, bo nie tylko w tym sektorze występują innowacje.
Postawmy więc pomocnicze pytanie: czy temu przykładowemu handlarzowi potrzebna jest wiedza na temat sposobów postępowania z ryzykiem? Oczywiście, jednak z racji stosunkowo małej liczby zagrożeń i nieskomplikowanych czynników wpływających na pomyślność inicjatywy jest on w stanie samodzielnie zadbać o scenariusze awaryjne. Widzimy, że w tym przypadku zagrożenia są łatwe do zauważenia, a czynniki kształtujące biznes nie tworzą trudnych do przeanalizowania kaskad przyczyn i skutków.
Inaczej wygląda to w IT – nawet zadanie, które ma kilka prostych celów biznesowych, okazuje się tu skomplikowaną maszynerią, a zagrożenia wyrastają jak grzyby po deszczu. Mamy tu strategów, projektantów, analityków, programistów, administratorów, a wreszcie komputerowe systemy przetwarzania, na które składają się sprzętowe i software'owe komponenty. Pomysł przechodzi przez kolejne etapy realizacji, by na końcu zmaterializować się w postaci działających aplikacji i systemów. Przedsięwzięcia IT cechuje wysoka operacyjna i funkcjonalna złożoność procesów zachodzących w trakcie realizowania ich celów i właśnie to jest powodem, dla którego zarządzanie ryzykiem jest w nich potrzebne.

Statystyki i procesy
Zarządzanie ryzykiem to nieliniowy proces, na który składają się: planowanie, identyfikacja, ocena (jakościowa i ilościowa analiza), reagowanie i sporządzanie wniosków. Każdy z nich rozpatrywany jest w specyficznym dla projektu kontekście i w związku z tym w realizacji każdego użyteczne są inne kombinacje metod i narzędzi.
Według przeprowadzonej przez Symanteca ankiety „Symantec IT Risk Management Report” aż 60% badanych pracowników branży IT przyznaje, że przynajmniej raz do roku spodziewa się poważnego incydentu mającego wpływ na działanie całej firmy. Studiując wyniki ankiety, zauważymy, że mechanizmy kontroli technologii są częściej wdrażane niż mechanizmy kontroli procesów. Tylko 38% respondentów przyznało, że skutecznie posługuje się narzędziami służącymi do zarządzania zasobami informatycznymi. Widać tu nieco naiwną wiarę w to, że wystarczy wyposażyć organizację w systemy monitorujące i sterujące technologiami, aby zapobiec kłopotom. Jednak to właśnie zarządzanie konfiguracjami czy prowadzenie aktualnego i przejrzystego inwentarza zasobów wydają się bardziej priorytetowe. Firma, której pracownicy są na bieżąco informowani o incydentach, zasługuje na pochwałę, lecz na sukces zasługuje takie przedsięwzięcie, w którym poprawne zarządzanie procesami technologicznymi i zasobami ludzkimi sprawia, że do tych incydentów nie dochodzi.
Rezultatem takich a nie innych wyników badania jest traktowanie zarządzania ryzykiem jako dodatkowego projektu, a nie ciągłego procesu. Poza tym, kojarzone jest ono przede wszystkim z zapewnianiem bezpieczeństwa i ochroną danych. To potoczne rozumienie wynika z niewiedzy i braku odpowiedniej komunikacji – tylko 8% kierowników IT przyznało, że ryzyko związane z procesami biznesowymi jest ważne z punktu widzenia operacji informatycznych, gdy wśród dyrektorów odsetek ten był już ponaddwukrotnie większy.
Równie istotne jak organizacja zasobów są kontrola jakości i zarządzanie bezpieczeństwem. Dzięki informacjom pochodzącym z tych procesów, analizując ryzyko, wiemy, jakie są priorytety zagrożeń oraz jak przyjąć problemy i obsłużyć incydenty. W przypadku kontroli jakości lepiej przyznać, że się jej nie ma, niż realizować ją niedbale. Nieprzetestowana ścieżka dojścia do błędu może dawać złudne wrażenie panowania nad ryzykiem IT. W wypadku pojawienia się niebezpiecznego incydentu, który nie ma pokrycia w scenariuszach wypracowanych w toku prac nad jakością, powstaje organizacyjny chaos i nasze działania przestają mieścić się w zaplanowanych procedurach. Jeden poważny błąd jest w stanie ograniczyć jakość zarządzania problemem tak, że znajdziemy się w pozycji hipotetycznego sprzedawcy warzyw i nasze działania będą po prostu improwizacją. Im częściej organizacja musi korzystać z powoływania zespołu kryzysowego, tym wyraźniejszy sygnał, że kontrola jakości jest prowadzona niepoprawnie albo słabo zintegrowana z innymi procesami produkcji i utrzymania.

Cena ryzyka
Wprowadzenie kompletnego zarządzania ryzykiem IT w firmie może okazać się kosztowne, ponieważ dobrze przeprowadzona analiza ujawni wszystkie niezagospodarowane obszary, w których mogą wystąpić zagrożenia. Dla jednych przedsiębiorstw będzie to oznaczało konieczność przeszkolenia pewnej liczby pracowników, dla innych zakup odpowiednich narzędzi, a dla jeszcze innych potrzebę zatrudnienia specjalistów. W każdym przedsięwzięciu dochodzimy do momentu, w którym musimy wybierać między odpowiedzialnością a swoistą ignorancją. Ta ignorancja kosztuje i warto obliczyć ile.
Załóżmy, że zarządzamy bazą danych, z której mogą korzystać tysiące klientów, ale niewielka część z nich używa przestarzałych, niebezpiecznych aplikacji dostępu. Gdybyśmy rozważyli tylko ryzyko operacyjne i uruchomili procedury określone przez przyjętą politykę bezpieczeństwa, to naturalną koleją rzeczy będzie zablokowanie dostępu wadliwym programom. Jednak decyzja ta obarczona jest ryzykiem związanym z procesem biznesowym, ponieważ część naszych klientów zrezygnuje z usługi. W tym momencie warto obliczyć, ile kosztuje nas ewentualny atak wymierzony w dane któregoś z klientów. Może się bowiem okazać, że incydentalne finansowanie odszkodowań z tytułu naruszonego dostępu opłaca się bardziej niż utrata kilku strategicznych klientów przynoszących zysk. Widać więc, jak ważne jest kompleksowe podejście do ryzyka i dobra komunikacja.

W Polsce
Zarządzanie ryzykiem IT w Polsce rozwija się, choć występuje tu duża segmentacja w zależności od branży. Głównymi czynnikami wpływającymi na taką tendencję są: informatyzacja sektorów, w których zarządzanie ryzykiem jest konieczne, inwestycje dużych i zorganizowanych korporacji, a także coraz częstsze ryzyko związane z wymogami prawnymi (np. w zakresie ochrony danych czy konieczności spełnienia standardów produkcyjnych określonych normami jakości).
W przestrzeni związanej z ryzykiem trudno porównywać różne branże inaczej niż posługując się anonimowymi ankietami lub danymi uzyskanymi od pracowników wewnętrznych. Wynika to z faktu, że z obawy przed reakcjami klientów i inwestorów firmy wolą nie ujawniać danych związanych z budżetem przeznaczonym na obsługę zagrożeń. Wyjątek stanowią organizacje zobligowane do tego prawem.
Patrząc na przypadki z ostatnich lat, zauważymy, że liderami rynku pod względem wydatków na zarządzanie ryzykiem są w Polsce te same branże co na całym świecie. Pierwszymi przedsiębiorstwami, które w miarę informatyzacji zaczęły inwestować w procesy związane z ryzykiem, były banki (z racji wymogów prawnych i konieczności dostępności), dostawcy energii (z racji rygorów związanych z bezpieczeństwem), duże firmy consultingowe (ponieważ jest to wpisane w ich działalność) i międzynarodowe korporacje (gdzie już wcześniej zaplanowano skuteczne sposoby zarządzania procesami i ryzykiem). W przypadku średnich podmiotów czynnikiem sprzyjającym wprowadzaniu tych procesów są coraz bardziej restrykcyjne wymogi jakościowe związane na przykład z integracją z Unią Europejską.
Warto wspomnieć również o niższej niż w krajach wysoko rozwiniętych konkurencyjności w branży integratorów. Często zdarzają się więc przypadki braku łagodnego przejścia od wdrożenia do fazy obsługi bieżącej. Oczywiście, integratora bardziej interesuje ryzyko projektowe i związane z procesem wdrożenia, a bieżące ryzyko IT pozostaje w gestii zamawiającego. W wielu instytucjach było to i nadal jest problemem. Dlatego coraz częściej firmy razem z jednorazową usługą chcą uzyskać też aktywną pomoc outsourcera w późniejszej obsłudze procesów zarządzania problemami i incydentami IT. Unika się wtedy kosztów związanych z zamawianiem poprawek od niezobligowanego umową i nieobecnego na miejscu dostawcy.

Paweł Wilk
heise Security
http://heise-security.pl/