Na łamach witryny Sekurak ukazał się ciekawy artykuł dotyczący identyfikacji ryzyka IT.

Warto zwrócić uwagę, że skuteczne zarządzanie ryzykiem w obszarze IT w dziejszych czasach może w dużej mierze przekładać się na poprawne funkcjonowanie usług, które znacznym stopniu opierają sie na zasobach IT.  Zarzadzanie ryzykiem w IT koncentruje się na identyfikacji oraz kontroli zdarzeń, które mogą mieć negatywny wpływ na funkcjonowanie wyżej wymienionych usług.

Ryzyko w IT

Działania wchodzące w skład zarządzania ryzykiem mają prowadzić do izolowania, zmniejszania oraz eliminowania ryzyka. Ponadto działania w ramach procesu zarządzania ryzkiem prowadzą do przygotowania alternatywnych metod działania oraz środków pieniężnych, które mają za zadanie zabezpieczać przed ryzykiem.

Różne są również progi akceptacji ryzyka w zasobach IT. Jedną z nich jest to, że ryzyko jest częściowe nieznane oraz zmienne w czasie. Inną z kolei cechą jest możliwość jego kształtowania poprzez podejmowanie działań.

Wyższy stopień złożoności technologicznej zasobów IT prowadzi do większego poziomu ryzyka. W zarządzaniu ryzykiem IT konieczna jest identyfikacja ryzyka, klasyfikacja ryzyka,  pomiar ryzyka,  planowanie metod reagowania na ryzyko, nadzorowanie oraz kontrola ryzyka.

Identyfikacja jest pierwszym i kluczowym etapem w zarządzaniu ryzykiem. Celem identyfikacji ryzyka jest znalezienie różnych rodzajów ryzyka, która mają wpływ funkcjonowanie IT.  Identyfikując ryzyko  należy opisać okoliczności wystąpienia zdarzenia oraz symptomy mogące towarzyszyć pojawieniu się niekorzystnych zdarzeń. Przy identyfikacji ryzyka projektu pomocne mogą okazać się dane historyczne.

Portal Sekurak wymienia też takie kwestie jak inwetaryzacja zasobów, określenie zasobów potencjalnych, określenie podatności (luk i słabości). Przy identyfikacji ryzyka IT mogą okazać się pomocne takie narzędzia jak np. burza mózgów, analiza SWOT, technika delficka czy diagram Ishikawy. Klasyfikacja ryzyka jest etapem w którym porządkuje się dane ryzyka pod względem prawdopodobieństwa i skutków. Skutki można wyrazić za pomocą takich parametrów jak koszty, harmonogram, zakres, jakość lub wydajność.

W ramach zarządzania ryzykiem w IT można miedzy innymi realizować następujące strategie:

Unikanie ryzyka polega często na wyborze takiej koncepcji (np. rozwiązań sprzętowych lub tych dotyczących oprogramowania), które charakteryzuje się mniejszym ryzykiem. Motywy działań w tym przypadku  powinny zostać uzasadnione i udokumentowane aby nie wykorzystać rozwiązań, które doprowadzą do tego samego poziomu ryzyka.

Transfer ryzyka to metoda polega bardziej na złagodzeniu lub akceptacji ryzyka poprzez wyznaczenie innej grupy interesu na którą zostaje przeniesiona odpowiedzialność związana z danym rodzajem ryzyka. Może to być  przeniesienie w całości lub w cześci obsługi IT na podmioty zewnętrzne np. w formie opieki technicznej.