Nu ştiu cum percep alţii diferența dintre teorie și practică, dar pentru mine prăpastia este cît Groapa Marianelor. Nu au trecut prea mulţi ani de cînd cochetez cu practica auditului SI, guvernare IT, SMSI/ISO 27001 şi managementul riscurilor. Am observat încă că:
• În multe firme, fiecare vorbeşte pe limba lui. Unii de pe poziții superioare cred că se pricep la toate. Acesta ar fi un prim motiv pentru care pot spune că adoptarea COBIT+ITIL poate rezolva o astfel de problemă.
• „Cultura informaţională” la nivel organizaţional este diferită. Chiar şi în cadrul domeniului financiar-bancar.
• Managementul riscurilor nu este integrat. Foarte rar există un limbaj comun pe acest subiect între cei din zona economică şi cei din zona tehnică (Risk& Compliance)
• Rar am întîlnit o analiză minimală a dependenţelor riscurilor economice cu cele IT sau viceversa.
• Foarte rar am întîlnit agregarea riscurilor la nivelul întregii organizaţii
• Pe unde am găsit exprimări numerice ale riscurilor, probabilităţile sunt ameţite.
• Fiind un adept al proceselor, managementul calităţii descoperit prin firmele certificate ISO 9001 nu are nici o legătură cu managementul riscurilor. De multe ori este doar „paper”
• De foarte puţine ori impactul este exprimat în termeni economici. Nu este un lucru uşor dar, este esenţial dacă se doresc estimări reale! Scalele calitative de evaluare nu au nici o semnificaţie!

Cu ce mă ajută, ce informaţie suplimentară voi obţine dacă voi calcula 3*5 (probabilitate*impact)? Şi dacă ar fi fost 3*4, care ar fi semnificaţia?
Am spus (după vreo 6-7 ani de frămîntări) că impactul, dacă mă refer la un activ din IT, este asupra CIA, adică asupra unor calităţi ale activului. Dacă extind discuţia şi doresc agregarea riscurilor la nivelul întregii organizaţii, impactul poate fi asupra productivităţii, costurilor cu refacerea serviciului, cerinţelor legale/contractuale…Adică BANI! Sau PEOPLE?

În economie nu prea există „mediu de test” separat de „mediul de producţie”. …