Managementul Riscurilor

1. Introducere

Astăzi este aproape imposibil să nu auzim sau să nu citim despre riscurile utilizării tehnologiilor informaţionale. Managementul de vârf este din ce în ce mai interesat de sensul noţiunilor de management al riscurilor şi analiză a riscurilor, aplicate tehnologiilor informaţionale utilizate în cadrul organizaţiei.

Managementul riscurilor reprezinta procesul de implementare si actualizare a unor metode si instrumente de minimizare a riscurilor asociate sistemului informational al unui organizatii, precum politicile de securitate informationala, procedurile si practicile formalizate asociate acesteia, precum si alte mijloace adoptate cu scopul aducerii acestor riscuri la niveluriacceptabile. Acest proces implica identificarea, analiza, evaluarea, tratarea si monitorizarea riscurilor asociate securitatii informationale la nivel organizational.

Fie ca este vorba despre companii private sau publice, organizaţiile moderneau început să înţeleagă beneficiul tehnologiilor informaţionale puse în slujba activităţilor lor de business, dar numai organizaţiile de succes realizează adevăratul potenţial al alinierii obiectivelor departamentului IT la obiectivele generale ale companiei, pentru ca management-ul serviciilor IT nu se referă la tehnologie, ci la atingerea obiectivelor organizaţionale prin intermediul initiaţivelor în domeniul IT.

Riscurile pot fi reduse, prin implementarea sau îmbunatatirea metodelor şi instrumentelor de minimizare a riscurilor, luânduse însa tot timpul în considerare atât beneficiile, cât si costurile asociate acestor metode şi instrumente. Astfel, în cazul în care costul acestor controale depăşeste beneficiile de care se va bucura organizaţia, atunci se poate decide acceptarea riscurilor în dauna securizarii suplimentare a sistemului informational al organizatiei.

În momentul actual există numeroase metodologii care pot fi aplicate în cadrul unei organizaţii. Există în lume instituţii şi asociaţii specializate care se ocupă cu realizarea de standarde şi recomandări de bună practică.

Cunoaşterea acestor standarde este un prim pas în procesul de organizare a activităţilor informatice şi a securităţii, de îmbunatatire a calităţii serviciilor informatice şi de administrare a riscurilor, în final de atingere a unui nivel superior de calitate în executarea şi livrarea acestor servicii. Adoptarea acestor standarde internaţionale oferă o serie de avantaje clare: abordarea securităţii informaţiei în contextul general al afacerii, al strategiei, tehnologiei şi comportamentului uman, cu efectul adoptării unor decizii mai bune privind politica şi implementarea soluţiilor de securitate.

În această lucrare sunt prezentate şi analizate următoarele metodologii:

- COBIT

- OCTAVE

- MOF

- ITIL

2. Prezentarea metodologiilor

2.1 Control Objectives for Information and related Technology(COBIT)

Standardul COBIT a fost elaborat de ISACA((Information Systems Audit and Control Association – Asociaţia Internaţională a Auditorilor de Sisteme Informatice) şi de ITGI (IT Governance Institute) în 1992. Prin intermediul acestui standard se poate realiza dezvoltarea şi creşterea securităţii sistemelor informatice.

COBIT a fost publicat pentru prima dată în 1996. Misiunea lui a fost "să cerceteze, să dezvolte, să publice şi să promoveze obiective de control actuale ale tehnologiei informaţiei pentru a fi folosite zilnic de către manageri şi auditori. Standardul oferă managerilor, auditorilor şi celor ce lucrează în domeniul IT un set de măsuri, indicatori, procese şi cele mai bune practici pe care aceştia să le folosească pentru a controla şi gestiona sistemele informatice din cadrul unei companii.

COBIT reprezintă o colecţie de documente care pot fi clasificate drept practici general acceptate pentru controlul, asigurarea şi conducerea IT. Potrivit COBIT „extrem de important pentru supravieţuirea şi succesul unei organizaţii este managementul eficient al informaţiei şi al tehnologiilor informaţiei ”.

În cursul procesului de elaborare a standardului COBIT, s-au luat în calcul mai ales considerente din trei grupuri profesionale diferite :

- Pentru persoanele de conducere la nivel înalt oferă asistenţă în privinţa managementului de risc al mediului informatic aflat în mişcare continuă, respectiv în deciziile cu privire la investiţiile necesare pentru crearea controalelor.

- Pentru utilizatori asigură controlul şi securitatea serviciilor informatice.

- Pentru controlorii sistemului de informaţii creează o bază uniformă pentru evaluarea controalelor interne, respectiv pentru activităţile de estimare şi consultare pentru management.

COBIT permite dezvoltarea de politici şi bune practici pentru controlul informaţiei în cadrul unei organizaţii, pornind de la premiza că tehnologia informaţiei trebuie să livreze informaţia de care organizaţia are nevoie pentru a-şi atinge obiectivele. COBIT tratează de asemenea cerinţele de securitate şi de calitate ale organizaţiei, furnizând şapte criterii care pot fi folosite pentru a defini generic cerinţele afacerii faţă de tehnologia informaţiei:

1. eficienţă

2. eficacitate

3. disponibilitate

4. integritate

5. confidenţialitate

6. credibilitate