Ryzyko IT
Ryzyko IT – jeden z elementów hierarchii ryzyka firmy, zwanego też ryzykiem korporacyjnym (Enterprise Risk Management, ERM). Ryzyko IT jest obszarem ryzyka firmy związanym z wszelkimi aspektami wykorzystania IT. Uwzględniając cyfrową transformację, postępującą automatyzację i wkraczającą robotyzację – dziedziny, które intensywnie wykorzystują szeroko rozumiane IT, konieczne staje się rozumienie i stosowanie adekwatnych narzędzi zarządzania ryzykiem IT[1].
Do obszarów ryzyka IT zalicza się:
- Ryzyko utraconych korzyści – czyli ryzyka związanego z niewykorzystaniem szans wynikających z używania IT, które mogłyby poprawić efektywność i wydajność procesów biznesowych lub wspierać nowe inicjatywy.
- Ryzyko programów i projektów IT – ryzyko powiązane z realizacją programów i projektów, których produkty poprawiają lub tworzą nowe rozwiązania biznesowe wspierane przez rozwiązania IT.
- Ryzyko operacji IT i świadczenia usług – ryzyko powiązane z wszelkimi aspektami utrzymania i eksploatacji IT oraz świadczenia usług wspieranych przez IT, co może mieć wpływ na funkcjonowanie firmy[1].
Ryzyko jest kombinacją prawdopodobieństwa wystąpienia zdarzenia i powiązanych z nim konsekwencji (skutkami).
szansa → pozytywny wpływ na cele
negatywny wpływ na cele ← ryzyko[1]
Ryzyko, a konkretnie konieczność zarządzanie nim wywodzi się z potrzeby zarządzania firmą poprzez optymalne wykorzystanie zasobów, bazując na ryzyku. W dobie cyfrowej transformacji istotną częścią zasobów firmy są zasoby IT, czyli powiązane z nimi ryzyko IT.
Aspekty ryzyka IT
[edytuj | edytuj kod]- Ryzyko związane z bezpieczeństwem informacji – aspekt ten obejmuje zagadnienia podatności i zagrożeń związanych z zapewnieniem bezpieczeństwa informacji. Jego głównym celem jest zapewnienie adekwatnych do poziomu ryzyka mechanizmów kontrolnych i zabezpieczeń.
- Ryzyko cyberbezpieczeństwa – aspekt obejmuje podatności i zagrożenia cyberprzestrzeni, w szczególności ryzyko ataków i uszkodzenia rozwiązań teleinformatycznych budujących cyberprzestrzeń.
- Ryzyko związane z bezpieczeństwem fizycznym – ten aspekt często oddzielany od cyberbezpieczeństwa, obejmuje ryzyka związane z zapewnieniem bezpieczeństwa fizycznego infrastruktury IT.
- Ryzyko związane z ciągłością działania – aspekt ryzyka IT zajmujący się ryzykiem ciągłości biznesowej, gdzie kluczowym elementem jest ryzyko w ramach BIA (Business Impact Analysis) oraz ryzyka w ramach planów ciągłości działania.
- Ryzyko dostawców – aspekt związany z ryzykiem jaki wnoszą dostawcy i poddostawcy usług IT (tzw. outsourcing). Ryzyko to obejmuje zagadnienia SLA, ale również bezpieczeństwa czy zapewnienia prywatności.
- Ryzyko chmury obliczeniowej – aspekt ryzyka IT związanego z wykorzystaniem chmury obliczeniowej. W tym kontekście szczególnie istotne jest ryzyko, jak i szanse używania chmury.
- Ryzyko oprogramowania – aspekt ryzyka związany zarówno z bezpieczeństwem oprogramowania, ale również np. ryzyko własności intelektualnej.
- Ryzyko związane z realizacją programów i projektów – aspekt ryzyka IT w ramach realizowanych programów i projektów, których produkty dotyczą IT lub wykorzystują IT.
- Ryzyko związane z utrzymaniem i eksploatacją IT – aspekt obejmujący cały szereg ryzyka związanego z zarządzaniem IT w zakresie utrzymania, eksploatacji i świadczenia usług IT.
- Ryzyko związane z zapewnieniem zgodności – aspekt obejmujący ryzyko zapewnienia zgodności na poziomie rozwiązań IT.
- Ryzyko związane z finansami IT – aspekt ryzyka IT obejmujący zagadnienia finansowe IT, m.in. koszty, zwrot z inwestycji, zdolność do finansowania. Znaczna część zarządzania ryzykiem IT tworzy podstawy do podejmowania decyzji o inwestycjach, a więc związanych z finansami IT[1].
Zarządzanie ryzykiem w cyberbezpieczeństwie
[edytuj | edytuj kod]Firmy muszą być przygotowane do reagowania na nieuniknione incydenty związane z naruszeniem bezpieczeństwa informatycznego, przywrócenia normalnych operacji oraz do zapewnienia ochrony zasobów firmy oraz reputacji przedsiębiorstwa. Bardzo ważne jest, aby organizacja przygotowała ocenę ryzyka IT, która pozwala określić, jakie zakresy, dane lub informacje są szczególnie ważne do prowadzenia działalności.
Przy przeprowadzaniu oceny ryzyka IT organizacje powinny skupić się na trzech obszarach:
- określeniu, jakie dane lub informacje są najcenniejsze dla przedsiębiorstwa,
- identyfikacji zagrożeń związanych z tymi informacjami lub danymi,
- nakreśleniu szkód, które poniosłaby firma, gdyby dane te zostały utracone lub wykradzione[2].
Zarządzanie ryzykiem IT
[edytuj | edytuj kod]Do głównych elementów definicji zarządzania ryzykiem IT zalicza się przede wszystkim:
- przeprowadzanie analizy ryzyka IT,
- opracowywanie dokumentacji związanej z bezpieczeństwem,
- wybór stosownych metod chroniących przed zagrożeniami,
- identyfikowanie nowych pojawiających się ryzyk[3].
Analiza ryzyka IT
[edytuj | edytuj kod]Analiza ryzyka IT wchodzi w skład narzędzi wykorzystywanych i stosowanych przez zarządzanie ryzykiem IT. Celem takiej analizy jest między innymi:
- identyfikowanie pojawiających się zagrożeń,
- szacowanie strat będących wynikiem zagrożeń dla bezpieczeństwa.
Bardzo ważnym aspektem jest budowanie świadomości odnośnie do stanu bezpieczeństwa IT.[3]
Przypisy
[edytuj | edytuj kod]- ↑ a b c d Definicja ryzyka IT – ryzykoIT.pl [online] [dostęp 2020-04-02] (pol.).
- ↑ Czym jest cyberbezpieczeństwo? – SafeBIT [online], safebit.pl [dostęp 2020-04-13] (pol.).
- ↑ a b Czym jest analiza ryzyka IT – wprowadzenie [online], sekurak.pl [dostęp 2020-04-13] (pol.).