Zarządzanie infrastrukturą IT to element zarządzania ryzykiem

Wyzwaniem dla każdej firmy jest podstawowa inwentaryzacja majątku. Jednakże codzienna działalność szybko powoduje, że jego wielkość równie szybko rośnie: dokupywane są programy, spływają informacje itp. Powstaje problem z niedokładnością danych o posiadanych zasobach informatycznych. - Różnice między informacją a stanem rzeczywistym wynikają ze złożoności infrastruktury IT oraz braku uporządkowania bieżących zadań osób zajmujących się obsługą w tym zakresie - tłumaczy Krzysztof Bączkiewicz, członek międzynarodowej grupy WG21, która opracowała normę zarządzania zasobami w informatyce ISO/IEC 19770-1. - Przykładowo nabywanie zasobów cyfrowych najczęściej odbywa się ad hoc i nie jest poprzedzane analizą rzeczywistych potrzeb organizacji. Powoduje to, że osoby odpowiedzialne za zakupy w innych działach nie wiedzą o tym, że zasoby firmy zostały już powiększone. Postępują więc tak, jakby ich w ogóle nie było.

Ale problemem bywają także, a może przede wszystkim, różnego rodzaju dowody licencyjne, dokumentacje gwarancyjne, instrukcje, umowy wraz z czasem ich obowiązywania, regulaminy, dane osobowe zatrudnionych w firmie lub współpracujących z nią osób. - Przedsiębiorstwo, które ma braki w zakresie właściwego zarządzania tego rodzaju dokumentacją, naraża się na łamanie obowiązujących przepisów - mówi Krzysztof Bączkiewicz. - Może się bowiem okazać na przykład, że po jakimś czasie będzie korzystać z oprogramowania, na które nie ma już licencji. Jeśli natomiast nie przestrzega zasad bezpiecznego usuwania sprzętu, pojawia się zagrożenie, że na przykład wraz z przekazanym organizacji charytatywnej komputerem wyciekną z firmy cenne, wrażliwe dane, takie jak informacje o zatrudnionych. Zgodnie zaś z ustawą o ochronie danych osobowych nie powinny one opuszczać murów przedsiębiorstwa.

We właściwym postępowaniu z infrastrukturą informatyczną pomaga wdrożenie w przedsiębiorstwie systemu zarządzania oprogramowaniem SAM (z ang. Software Assets Management). Każda decyzja zarządcza opiera się na zgromadzonych danych o aktualnej sytuacji. Zarządzanie zasobami dostarcza wiedzy nie tylko o stanie majątku, ale też o jego wykorzystywaniu, generowanej wartości oraz wielu powiązanych z tym informacji, jak na przykład opis relacji z dostawcami. Poszczególne procesy jego budowy określa norma ISO/IEC 19770-1. Zawiera ona sześć kluczowych obszarów procesowych. Dwa pierwsze wspierają samo zarządzanie: są odpowiedzialne za organizację innych procesów i tworzenie środowiska, w którym system będzie działał poprawnie. Kolejne trzy to centralne procesy zarządzania zasobami. Należy do nich inwentaryzacja, weryfikacja oraz bieżąca obsługa posiadanych przez firmę zasobów. Ostatnim obszarem są działania związane z cyklem życia wykorzystywanych przez przedsiębiorstwo zasobów: od pozyskiwania (w tym samodzielnej budowy i wdrażania do infrastruktury, zmiany), incydentów i problemów, po zarządzanie końcem eksploatacji. - Wdrożenie normy przynosi firmie realne korzyści - mówi Bączkiewicz. - Dotyczą one przede wszystkim ograniczenia zakresu ponoszonego w związku z eksploatacją infrastruktury informatycznej ryzyka przez podniesienie zakresu posiadanej wiedzy. Umożliwiają również optymalizację kosztów związanych z prowadzoną przez przedsiębiorstwo działalnością.

Wdrożenie normy nie jest jednak zadaniem łatwym. Obecnie jedyną zintegrowaną metodą wspierającą ten proces jest zainicjowany przez BSA The Software Alliance program Verafirm. Jednym z filarów tej inicjatywy jest certyfikacja (Verafirm Certified) potwierdzająca zgodność zarządzania zasobami IT w danej organizacji z normą ISO/IEC 19770-1.

- Verafirm to bardzo ciekawa inicjatywa. Według mojej wiedzy to obecnie jedyne na świecie przedsięwzięcie w skali międzynarodowej, które pozwala przedsiębiorstwom wdrożyć i certyfikować system zarządzania pod kątem zgodności z normą ISO/IEC 19770-1. A takie działanie pozwala, mówiąc przewrotnie, nie tylko zminimalizować apetyt na ryzyko, ale i zoptymalizować infrastrukturę IT pod każdym względem - twierdzi Krzysztof Bączkiewicz.

W firmach tyka bomba z opóźnionym zapłonem

@RY1@i02/2014/169/i02.2014.169.13000020a.802.jpg@RY2@

Sławomir Pijanowski prezes zarządu, Stowarzyszenie Zarządzania Ryzykiem Polrisk

Kierowane przeze mnie stowarzyszenie przyłącza się do propagowania programu Verafirm. Odgrywa on istotną rolę w   budowaniu kultury i   świadomości zarządzania ryzykiem w   obszarze własności intelektualnej związanej z   oprogramowaniem, w   szczególności zarządzaniem licencjami i   monitorowaniem legalności posiadanego oprogramowania przez przedsiębiorstwa.

Skutki zaniedbań w   tym zakresie mogą prowadzić do przerwania działalności firmy w   przypadku wykrycia nielegalnego oprogramowania lub dotkliwych kar od dostawców softu i   obniżenia reputacji. W   wielu obszarach podejmowane są zupełnie nieświadomie różne ryzyka, również ze względu na to, że nikt nie informuje, iż należy o   dany obszar firmy zadbać zgodnie z   pewnymi praktykami.

Stowarzyszenie Zarządzania Ryzykiem Polrisk w   ramach Akademii Polrisk kształci nowo kształtującą się społeczność certyfikowanych menedżerów ryzyka. Teraz do eliminacji białej plamy w   zakresie zarządzania zasobami IT przyczynia się uchwalenie normy 19770-1. Pozwoli ona menedżerom ryzyka szybko zorientować się, czy w   przedsiębiorstwie tyka bomba z   opóźnionym zapłonem dotyczącym legalności oprogramowania i   potencjalnego naruszenia własności intelektualnej konkretnego dostawcy oraz generalnie czy firma panuje nad posiadanym softem.

Zadaniem menedżera ryzyka POLRISK jest przedstawienie zarządowi kluczowych ryzyk wpływających na cele całego przedsiębiorstwa i określenie stopnia, w jakim podejmowanie dodatkowego ryzyka zwiększa przewagę konkurencyjną i czy ma ono zastosowanie w danej sytuacji. Jeżeli okaże się, że firma może osiągać zyski przy podjęciu niższego ryzyka niż konkurencja lub że można podjąć wyższe ryzyko z uwagi na wyższe kompetencje i w związku z   tym osiągnąć więcej, to o   ten stan docelowo nam chodzi.

Antoni Jan Krępski

mf_dgp@infor.pl