ISM

Po co się robi audyty?

Każda organizacja ma swoje cele które może realizować na różne sposoby, różniące się stopniem efektywności.  Cele organizacji można wstępnie podzielić na cele strategiczne (długoterminowe) i cele taktyczne (krótkoterminowe). Z różnych względów efektywne organizacje posiadają misję, którą można przyrównać do flagi w wojsku która wskazuje kierunek marszu zaciężnych.  Cele organizacji są zawsze realizowane na poziomie operacyjnym, który jest znany wszystkim pracownikom.

Zarządzanie IT

Cele każdej komórki w organizacji powinny być skorelowane z celami organizacji jako całości. Komórki IT niemal w każdej organizacji wykonują prace usługowe dla pozostałych działów, co przez wielu pracowników jest odbierane jako oczywista oczywistość.  Rzeczywistość rzadko bywa czarno-biała, zwykle ma wiele odcieni, dlatego warto mieć świadomość, że w efektywnych organizacjach dział IT często jest stymulatorem zmian mających na celu poprawę efektywności. Świadomość ciągłych zmian, ciągłego doskonalenia to jeden z przymiotów dobrych menedżerów. To również jeden z powodów dla których organizacje przeprowadzają okresowe audyty wybranych odcinków operacyjnych.  Jednym z takich odcinków jest obszar IT.

Rola audytu

Badanie efektywności IT w firmie jest powiązane z szeregiem różnych zagadnień. Początek ma miejsce w strategii organizacji, które definiuje polityki i procesy zachodzące w organizacji. Ciąg dalszy obejmuje uwarunkowania prawne (compliance) i  najlepsze standardy branżowe. W dalszej kolejności audyt może obejmować procesy, procedury, instrukcje którymi posługuje się organizacja. Technologie i rozwój IT może mieć duży wpływ na realizację strategicznych celów organizacji, dlatego również powinien podlegać audytowaniu. Na marginesie – wielu pracowników błędnie utożsamia audyt z kontrolą, która to konotacja ma w uszach ludzkich  często pejoratywny wydźwięk. Audyt ma na celu wskazanie ewentualnych luk, słabych punktów w organizacji, które można poprawić na różne sposoby. Audyt udziela informacji i wskazówek co można poprawić aby podnieść jakość i bezpieczeństwo informacji wewnątrz firmy. Dlatego warto go traktować jako pomocne narzędzie w firmie.

Audyt IT

Odpowiednie zarządzanie ryzykiem w biznesie ma wpływ na wyniki firmy. Obszar IT ma duży wpływ na ciągłość działania biznesu. Zarządzanie ryzykiem w IT pozwala częściej unikać katastrof lub zminimalizować straty związane z ewentualną katastrofą. Wymaga to odpowiedniego przygotowania organizacji na wszelkie możliwe scenariusze realizacji zagrożeń, czyli oszacowania ryzyk. Wymaga to ścisłej współpracy z pracownikami w celu opisania aktualnego stanu IT. Audyt przyniesie odpowiedzi na pytania związane z operacjami w IT, czy są zgodne z wcześniej przyjętymi politykami i procedurami. W dalszej kolejności, audyt może obejmować efektywność wykorzystania zasobów i ich alokacji wewnątrz organizacji.

Przeprowadzenie audytu wykorzystania  źródeł zewnętrznych, dostawców pomaga w identyfikacji ich przydatności dla potrzeb organizacji. Audyt obejmuje wdrożone i stosowane praktyki zarządzania ryzykiem, jego wyniki wskażą ewentualne pola do usprawnień mających na celu efektywną realizację celów organizacji. Z kolei, ciągły monitoring zagrożeń i ryzyk oraz sposobów ich niwelowania zapewnia kierownictwu otrzymywać informację o efektywności IT. W efekcie, w przypadku katastrofy kierownictwo może szybko podejmować decyzje związane z realizacją planów utrzymania ciągłości biznesu (BCP).

Jak zagrożenia stanowią zagrożenie dla biznesu?

Zagrożenia dla organizacji najczęściej są tożsame z zagrożeniem dla ludzi. Utrzymanie ciągłości działania biznesu wymaga otwartej głowy, perspektywicznego myślenia i odpowiedniego przygotowania. Wielu ludzi w Polsce słyszało o zagrożeniach typu: atak biologiczny, atak chemiczny, trzęsienie ziemi, eksplozja materiałów wybuchowych, skażenie promieniotwórcze, wybuch wulkanu czy awaria elektrowni atomowej. Jednak niewielu ludzi ma wiedzę – jak zachować się w takich sytuacjach. Znacznie bliższe zagrożenia: ataki terrorystyczne, pioruny, pożar, huragan, ostra zima czy gorące lato, powódź, susza potrafią się zmaterializować w Polsce. Czy ludzie i organizacje mają odpowiednie przygotowanie na wypadek takich sytuacji?

Cyberprzestępczość

Zagrożenie częściowo oswojone przez przez tzw. opinię publiczną to cyberprzestępczość, czyli wszelkie działania mające na celu manipulowaniem informacją za pomocą technologii teleinformatycznych. Powszechne rozumienie cyberprzestępczości ma związek z tradycyjnymi zagrożeniami w technologiach IT (hacking, wirusy, malware). Obecna rzeczywistość jest znacznie bardziej skomplikowana. Manipulowanie informacją nie zawsze znajduje odzwierciedlenie w uregulowaniach prawnych, dzięki czemu wielu przestępców wykorzystuje luki i granice prawa w celu osiągnięcia swoich celów. Przykład – manipulacja informacjami może mieć wpływ na notowania giełdowe spółek, dzięki czemu manipulatorzy mogą zarobić duże pieniądze.

Cyberprzestępczość ma wiele obliczy, organizacje poznają jej oblicze z reguły po fakcie (incydencie). Regularne audyty wspomagają kierownictwo firm w minimalizacji zagrożeń i zapewniają wsparcie w dokładnej identyfikacji ryzyk. Zarządzanie IT w sposób uporządkowany, zgodny z przyjętymi w firmie procesami i procedurami pozwala na wypracowanie systemu wczesnego ostrzegania o działaniach  tzw. cyberprzestępców. Audyt IT może w efekcie przynieść optymalizację procesów IT dzięki której organizacja odnosi pożytki adekwatne do swoich celów biznesowych. Piszę „może”, ponieważ klucz do sukcesu leży w rękach kierownictwa, które może korzystać z usług audytorów, którzy wspierają organizację w wypracowaniu odpowiednich wniosków. Jaka jest Twoja opinia?

Notka o 
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

ISM