Róbmy to, co trzeba

Miejsce histerii i epatowania statystykami incydentów zastępuje zdrowy rozsądek oraz wezwanie do profesjonalnego zarządzania IT - to wnioski z konferencji Semafor.

Miejsce histerii i epatowania statystykami incydentów zastępuje zdrowy rozsądek oraz wezwanie do profesjonalnego zarządzania IT - to wnioski z konferencji Semafor.

Bezpieczeństwo teleinformatyczne zależy od wielu czynników - m.in. technologii, ludzi, prawa. Wpływ pojedynczych podmiotów na realia rynkowe jest ograniczony, tak więc ryzyka - zwłaszcza w obszarze IT - nie da się wyeliminować. Trzeba nauczyć się nim zarządzać, takie opinie przedstawili prelegenci na konferencji Semafor, zorganizowanej przez Computerworld oraz stowarzyszenia ISACA i ISSA. Praktyka pokazuje jednak, że w ferworze dostosowywania się przedsiębiorstw do określonych wymogów prawnych, wdrażania zasad ładu korporacyjnego i metodologii ITIL, COBIT itp., czasem umykają uwadze rzeczy bardzo przyziemne i prozaiczne.

"Można mówić o niewłaściwie egzekwowanej polityce bezpieczeństwa, nieroztropnych pracownikach, słabych narzędziach. Spójrzmy jednak prawdzie w oczy. Nadal jednym z największych zagrożeń dla infrastruktury IT jest zwykłe, systematyczne instalowanie aktualizacji oprogramowania. Wiele firm o tym zapomina, albo stara się automatyzować te zadania niedoskonałymi narzędziami" - przekonuje Wojciech Świątek, specjalista ds. IT Security w Motoroli.

Ład korporacyjny i stanowiący jego integralną część ład informatyczny to pojęcia, za którymi kryją się wyrzeczenia, ale i konkretne obietnice. Nie chodzi już tylko o nadzór uniemożliwiający lub utrudniający dokonywanie "rachunkowych przekrętów", chociaż pamiętamy, że idea nadzoru korporacyjnego zyskała popularność po fali słynnych skandali księgowych w Stanach Zjednoczonych (w tym w Enronie). Wpisujący się w te zadania IT Governance to pomysł na uporządkowanie i wspieranie celów organizacji przez technologie. Droga do ładu informatycznego wiedzie m.in. poprzez metodologię COBIT czy ITIL. Rynek dojrzał już na tyle, aby koncepcji wdrożenia zasad ładu IT nie kwitować stwierdzeniem - "Bo tak trzeba". Są przykłady, że tego typu praktyki przynoszą konkretne efekty. Uzyskanie oszczędności na kosztach operacyjnych i osobowych - rzędu kilkuset milionów dolarów - swego czasu reklamował m.in. koncern Procter & Gamble, który kilka lat temu zdecydował się na wdrożenie metodologii ITIL.

Rynek coraz częściej domaga się przykładania do IT wymiernych wskaźników różnego typu. "Jeśli nie potrafimy bezpieczeństwa IT zmierzyć, to zapewne również nie potrafimy nim dobrze zarządzać" - twierdzi Mary Ann Davidson, CSO w Oracle. Jak bumerang powraca kwestia mierzenia zwrotu z inwestycji w IT. W przypadku bezpieczeństwa jest to szczególnie trudne, a niektórzy twierdzą, że niemożliwe. Zysk z tego typu wydatków stosunkowo łatwo można zobrazować, zakładając wydarzenia, które da się przewidzieć z pewnym prawdopodobieństwem, np. policzyć koszty awarii sklepu internetowego, zestawiając je z kosztami budowy zapasowej platformy. Znacznie trudniej jest policzyć zwrot z inwestycji absolutnie koniecznych - zapór, systemów IDS itp. "Na szczęście" czasem można się oprzeć na szacunkach innych organizacji, których infrastruktura IT okazała się niedostatecznie szczelna. Tak było m.in. z amerykańską siecią handlową TJX, której nazwa pojawiła się niedawno w mediach w towarzystwie nagłówka "Najdroższe włamanie w historii".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200