Kontrola IT - wyzwanie XXI wieku

Coraz większa liczba menedżerów zdaje sobie sprawę z potrzeby kontrolowania systemów informatycznych. Nie zawsze jednak uświadamiają sobie oni, jakie mechanizmy kontrolne powinny być zastosowane i jakim poziomem dojrzałości powinny charakteryzować się procesy informatyczne, aby można było uznać je za efektywne i bezpieczne.

Coraz większa liczba menedżerów zdaje sobie sprawę z potrzeby kontrolowania systemów informatycznych. Nie zawsze jednak uświadamiają sobie oni, jakie mechanizmy kontrolne powinny być zastosowane i jakim poziomem dojrzałości powinny charakteryzować się procesy informatyczne, aby można było uznać je za efektywne i bezpieczne.

W pewnym systemie informatycznym wystąpiły błędy w trakcie przetwarzania. Użytkownik, zgodnie z procedurą ustaloną w umowie, zgłosił incydent firmie zapewniającej obsługę, określając wszystkie niezbędne informacje. W odpowiedzi otrzymano skrypt SQL usuwający błędy. Administrator przejrzał skrypt i ocenił, że jego wykonanie zajmie dużo czasu, ponieważ obejmuje tabele zawierające wiele milionów rekordów. Chcąc przyspieszyć wyjście z pracy, wyłączył mechanizm rejestrowania zmian w dzienniku. Skrypt wykonał się pomyślnie, ale administrator zapomniał ponownie włączyć rejestrowanie zmian. Wprawdzie przy pierwszym przeładowaniu systemu poprawna konfiguracja odtworzyłaby się automatycznie, ale pech chciał, że po kilkudziesięciu godzinach nieprzerwanej pracy systemu wystąpiła kolejna awaria - tym razem bazy danych. Po odtworzeniu bazy na podstawie dziennika zarejestrowanych zmian i wykonaniu kontroli przez administratora i użytkowników okazało się - jak łatwo się domyśleć - że w bazie występują braki. Konieczne stało się skorzystanie z kopii zapasowej i ponowne wprowadzenie do systemu dokumentów źródłowych. Ponadto informacje na wydrukach były niekompletne, a ich uzupełnienie bardzo czasochłonne.

Pewnie każdy z nas zna taki przypadek - z doświadczenia lub ze słyszenia... W ankiecie CBOS Polacy uznali, że komputer jest najważniejszym wynalazkiem XX wieku. Towarzyszy nam coraz częściej wśród przedmiotów powszechnego użytku i jest podstawowym narzędziem każdej działalności gospodarczej. Niestety, komputer to nie tylko wynalazek wieku, ale także źródło wielu problemów, zwłaszcza w organizacjach gospodarczych. Jednym z istotnych sposobów ich ograniczania jest budowanie odpowiednich systemów kontrolnych, czego wciąż wielu menedżerów nie uświadamia sobie lub nie do końca wie jak proces ten realizować.

Wspomniane na wstępie zdarzenie mogło i może się wydarzyć w każdej z firm. Gdyby administrator był zobowiązany do przeprowadzenia kontroli zmian parametrów bazy danych po każdej nietypowej czynności, to z pewnością udałoby się uniknąć tej przykrej i kosztownej niespodzianki. Jednakże, komu z nas nie brakowało kopii zapasowych danych, bo nie zostały zrobione na czas lub nośniki z nimi okazywały się uszkodzone?

Kopie zapasowe, kontrola zmian - to przykłady banalne. Problem jest znacznie szerszy: kontrolą we właściwym zakresie należy objąć każdy proces realizowany w ramach systemów informatycznych. Od planowania strategicznego tych systemów, poprzez zarządzanie inwestycjami, projektami, jakością, zmianami, bezpieczeństwem i infrastrukturą, aż do monitorowania samych procesów.

Jak często pojawiają się awarie i w jakim stopniu można im zapobiec? Ile można zaoszczędzić ograniczając nietrafione pomysły i inwestycje? Jak weryfikować prawdziwość twierdzeń informatyków? Takie pytania to chleb powszedni chyba wszystkich osób odpowiedzialnych za działanie lub użytkowanie systemów informatycznych.

Z teoretycznego punktu widzenia zbudowanie systemu kontroli z zakresu techniki informatycznej jest proste. Po wykonaniu analizy ryzyka dla procesów informatycznych trzeba wprowadzić do nich mechanizm sprzężenia zwrotnego, obejmujący przynajmniej te procesy, które zostały uznane za najważniejsze. Problemem okazuje się zazwyczaj określenie, co i jak mierzyć oraz z czym mierzone wartości porównywać. Należy także określić, które ze stosowanych mechanizmów kontrolnych są efektywne pod względem kosztów i jak wygląda organizacja i działanie procesów zachodzących w ramach informatyki na tle konkurencji, pod względem jakości, bezpieczeństwa, wiarygodności itp.


TOP 200