Cam aşa stăm cu managementul riscurilor în IT?

Ceva concluzii din practica românească în urma unor discuţii cu un amic pe marginea subiectului:. 1. Cele mai multe companii nu folosesc deloc sau folosesc metode greşite de evaluare a riscurilor: check list-uri, dashboard-uri/scoruri, eventual template-uri în Excell cu ceva calcule complexe. 2. Multă birocraţie. Template-uri completate mai mult sau mai puţin corect, rapoarte pe…

Managementul riscurilor. Din perspectiva practică….

E unul din subiectele mele preferate. Şi teoretic şi practic. Din punct de vedere teoretic, atît Risk IT Practioner Guide cît şi MoR: Guidance for Practitioners sînt aliniate cu ISO 31000. Doar mici particularităţi specifice providerilor. Dincolo de teoria legată de partea de organizare a procesului (managementului riscurilor este PROCES şi prin urmare trebuie tratat ca atare) se ajunge la alegerea unei metode de estimare: calitativă sau cantitativă. În practica autohtonă puţine sînt firmele ce au aderat la o metodologie de management al riscurilor chiar dacă riscurile IT sînt încadrate în categoria riscuri opferaţionale (vezi BASEL II, de ex). În lipsa unei metodologii se ajunge în situaţia de a nu avea date actuariale pe care să te bazezi în analiza riscurilor. Sau dacă există, aceste date…

Audit şi estimarea riscurilor (risk assessment)

Atît manualul de audit cît şi alte scrieri din zona standarde/frameworks/best practice descriu estimarea riscurilor ca parte a treburilor pe care ar trebui să le execute un auditor. Doar că există două situaţii practice, diametral opuse.  Şi le discut pentru că atît standardele cît şi frameworkurile sînt dezvoltate pentru a asigura calitatea şi consistenţa misiunilor…

Risk IT Practioner Guide

  Nu s-a răcit bine anunţul cu publicarea în limba română a standardului ISO 31000 că pe situl ISACA a apărut şi Ghidul practic pentru managementul riscurilor IT. Risk IT Practioner Guide Ghidul se bazează pe nucleul COSO ERM dar în acelaşi timp corespunde şi cerinţelor ISO 27005. Este în acelaşi timp completare excelentă a…

Managementul riscurilor: evaluarea activelor

  Indiferent ce se referenţiază (ISO 31000, COBIT, ITIL..) metodologia de evaluare a riscurilor adoptată de o organizaţie trebui să includă una din cele două metode de evaluare: calitativă sau cantitativă. Evaluarea calitativă este cea mai simplă. Sînt de acord că ceva simplu este mai bun decît „nimic”. Cu toate acestea, evaluarea calitativă nu va…