.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Riscurile tehnologiei informației, de la operațional la sistemic
Criminalitatea informatică ține de sistemele informatice? Majoritatea ar răspunde că da. Dar este un răspuns complet? În nici un caz. În industria financiară, riscurile generate de utilizarea sistemelor informatice sunt generate de oameni care nu au sau nu respectă procesele de lucru, utilizând într-adevăr sisteme informatice.
La acestea se adaugă contribuția mediului extern, interconectarea din ce în ce mai puternică cu exteriorul, utilizarea canalelor alternative de tranzacționare, dematerializarea, externalizările informatice masive, de la dezvoltarea de software până la cloud computing. Și astfel avem de-a face cu riscurile operaționale generate de IT în interiorul companiilor. O parte de riscuri sunt inerente, altele reziduale, o parte sunt generate de erori, altele de rea voință.
La o întrebare generală despre riscurile generate de IT, multe firme se opresc în aspectele popularizate de presă, viruși sau atacuri externe, din interior nefiind amenințăr. Iar dacă sunt, sunt acoperite de contractele de confidențialitate, deoarece nu li s-a întâmplat niciodată sau poate că nu știu că li s-a întâmplat, eludând statisticile care prezintă că 80% din evenimentele de criminalitate informatică sunt generate de factori interni. Dacă întrebi cum se realizează segregarea atribuțiilor la nivelul administratorilor de baze de date, dacă cei din IT au acces la datele clienților, dacă ar putea să le modifice, răspunsul este da, ca un lucru normal - cei din IT trebuie să știe tot deoarece ei fac totul. Iar dacă întrebi dacă același personal IT (în general unu-doi oameni) poate avea acces și la logurile care înregistrează modificările realizate chiar de aceștia, după răspunsul primar că nu e posibil, la o discuție mai detaliată este foarte posibil. Când li se prezintă că doar cei din business ar trebui să aibă acces la informațiile clienților, pentru cei din IT aceste informații trebuind să le fie inaccesibile, IT-ul ocupându-se cu parametrizarea şi administrarea sistemelor informatice, nu cu administrarea produselor de business și nici a clienților, lucrurile încep să se contureze. Managementul începe să-și pună întrebări. Iar când sistemele IT sunt administrate de personal extern, atât în zona de dezvoltare, cât și în cea de administrare, lucrurile capătă o conotație periculoasă.
Astfel, datele, informațiile, circulă, ies în afară și, la un moment, apar atacurile externe. Se ajunge în domeniul riscurilor potențial sistemice, capabile să creeze riscuri reputaționale și legale majore, să destabilizeze încrederea oamenilor în sistemul financiar, să ducă la afectarea unui sector sau prin contagiune la implicații asupra mai multor sectoare financiare. Dacă sunt afectate instituții esențiale, infrastructuri financiare critice, no-duri esențiale în funcţionarea pie-țelor, cum sunt sistemele de plăți, bursele de valori, depozitarii etc., riscurile devin cu adevărat sistemice.
Cum se poate preveni și nu doar reacționa post-factum? Destul de simplu, dacă ai o abordare bazată pe bune practici. În primul rând trebuie stabilite și documentate procesele de lucru esențiale pentru a asigura un cadru de lucru care să controleze riscurile, să identifice vulnerabilitățile și să susțină luarea de măsuri. Nimic nu e mai simplu decât o evaluare proprie, răspunsul la ce riscuri te expui și ce procese trebuie să documentezi, pentru a le diminua. Dezvoltarea unui plan de creștere a maturității companiei durează ani, riscurile nu se diminuează brusc, dar îmbunătățirile trebuie să fie continue și controlate. Pentru a le controla ai nevoie de obiective de control, puncte de control, măsurarea punctelor de control, indicatori de performanță și, în final, indicatorii de risc care să te atenționeze dacă ai ieșit din apetitul de risc pe care ți l-ai stabilit pentru propria afacere.
Balanța între riscuri și măsuri și-o stabilește fiecare companie, dar în mod conștient şi voit, pe baze continue, iar indicatorii de risc sunt ca un sistem de avertizare timpurie că ceva nu mai funcționează bine.
Lucrând cu mediul extern, managementul serviciilor externe trebuie să respecte cel puțin aceleași criterii ca cele interne, cu un plus major dat de profesionismul furnizorului extern specializat, care trebuie să fie certificat în ce face conform practicilor internaționale. Dacă intern este complicat să ai un departamant IT super organizat, deoarece nu este activitatea de bază a companiei și nu ai nevoie de certificări interne, furnizorilor externi trebuie să le fie cerute garanțiile minime ca să asigure suportul IT necesar mai bine și mai ieftin. De ce mai ieftin? La prima vedere aplicarea de standarde implică costuri. În realitate, aplicarea reală de standarde și bune practici, simplifică, susține economiile de scară, reducerea costurilor pe unitatea de serviciu sau produs oferit. Dacă un furnizor nu poate fi mai ieftin ca tine, în interiorul companiei, problema este la furnizor și nu la client, iar riscul intern operațional se multiplică în exterior, plecând de la ideea că externalizarea unei probleme interne nu rezolvă problema ci o multiplică dacă furnizorul nu este pregătit, putând genera riscuri sistemice neașteptate.
Parerea ta conteaza: 
Evolutia antreprenoriatului romanesc pe baza a 15 indicatori macro-economici
