1asig.ro
1asig.ro
federatia roaman de bowling

Importanta organizarii pe procese in scopul prevenirii riscurilor operationale generate de IT

Calin M. RANGU
Director Adjunct
Supraveghere Integrata

Desfasurarea oricarei activitati trebuie sa respecte niste principii manageriale, generale si specifice. Pentru ca o organizatie sa isi gestioneze riscurile specifice, generate de managementul impropriu al tehnologiei informatiei, se impune o organizare pe procese. In acest sens, entitatea ar trebui sa isi organizeze managementul sistemelor informatice pe procese, utilizand cele mai bune practici, plecand de la referentialul ITIL/ISO 20.000-2, in functie de profilul si apetitul la risc, de dimensiunea entitatii si de categoria de risc.

Din standarde trebuie extrase, in primul rand, elementele care prezinta relevanta in managementul riscurilor operationale si nu din dorinta de a respecta formal un standard. Probabil cel mai important proces care trebuie implementat intr-o organizatie, atat in domeniul IT, dar si in general, este procesul de management al schimbarii.

Managementul schimbarii este un proces documentat in vederea asigurarii controlului asupra implementarii modificarilor/ schimbarilor solicitate de strategia si planurile de afaceri si operationale, la nivelul organizatiei, al personalului, al proceselor, al sistemelor si al operarii cu furnizorii externi. Entitatile implementeaza procesul de management al schimbarii pentru asigurarea trasabilitatii, transparentei, documentarii si evidentei, a minimizarii dependentelor si reducerea erorilor, a intarzierilor si a fraudelor.

Schimbarile se implementeaza prin intermediul principiilor managementului proiectelor.

Probabil zona cu cel mai mare impact, pe termen lung, este managementul ciclului de viata al programelor informatice. In acest sens, se implementeaza un proces documentat de colectare a cerintelor de afaceri, de analizare a lor, de redactare a specificatiilor de afaceri si tehnice, de alocarea resurselor, de dezvoltare software a programului informatic, de testare, promovare, de suport dupa implementare si de primire de noi cerinte pentru modificarea celor initiale dupa ce acestea opereaza deja in productie.

Se iau in considerare:
  • Identificarea/ documentarea schimbarilor;
  • Proceduri de clasificare, prioritizare si urgenta;
  • Evaluarea impactului;
  • Autorizarea schimbarii;
  • Managementul versiunilor;
  • Distributia de software;
  • Managementul configuratiilor;
  • Scenarii de returnare la situatia anterioara;
  • Conectarea procedurala cu managementul incidentelor si alproblemelor.
Parte a procesului de management al schimbarilor avem:
  • Managementul versiunilor;
  • Managementul testarii si asigurarii calitatii programelor informatice.
Managementul versiunilor este important in vederea managementului promovarilor (punerii in functiune operationala) a noilor programe informatice, sau a versiunilor acestora in urma unor modificari. In acest sens:
  • Fiecare versiune a unui program informatic va primi un cod unic;
  • Problemele de nefunctionare sunt rezolvate in faza de testare;
  • Testele de acceptanta sunt finalizate si semnate de utilizatorii de test si responsabilii de activitate de afaceri;
  • Toate versiunile trebuie aprobate inaintea implementarii.
Referitor la managementul testarii, aceasta se va efectua in baza unei proceduri scrise si a unui scenariu formalizat de testare, prin care sa se asigure ca testarea raspunde cerintelor impuse de cele mai bune practici si de managementul securitatii.

Managementul securitatii
ar trebui sa sustina implementarea unor cerinte generale, care sa asigure cel putin:
  • integritatea, confidentialitatea, securitatea, disponibilitatea datelor;
  • respectarea continutului de informatii necesare sistemului de raportare si luare a deciziilor;
  • reconstituirea in orice moment a rapoartelor si informatiilor supuse verificarii;
  • stocarea si pastrarea datelor inregistrate si jurnalizate intr-un sistem de tip baza de date pentru o perioada de timp in conformitate cu legislatia aplicabila in vigoare;
  • posibilitatea de reintegrare in sistem a datelor arhivate;
  • elemente de identificare a datelor supuse prelucrarii sau verificarii. Pentru operatiuni cu specific de risc operational major, sistemele informatice ar trebui sa asigure identificarea exacta a timpului conform unei marci temporale, la care inregistrarile au fost efectuate si identificarea utilizatorilor sistemului la acel moment;
  • mecanisme de securitate si control al sistemelor informatice, pentru asigurarea pastrarii in siguranta a datelor si informatiilor stocate, a fisierelor si bazelor de date, inclusiv in situatia unor evenimente de risc.
Vulnerabilitatile sistemelor tranzactionale ar putea fi minimizate prin:
  • folosirea unei scheme de criptare, atat asupra datelor trimise, cat si asupra datelor receptionate in vedere asigurarii securitatii si integritatii datelor procesate;
  • mecanisme care sa garanteze nerepudierea tranzactiilor. Nerepudierea poate fi asigurata utilizand tehnici de semnatura electronica (nerepudierea originii mesajelor) si de marcare temporala (asigurarea existentei datei la un moment de timp);
  • jurnalizarea in timp real a informatiei, a starii, a modificarilor; 
  • mecanisme de nerepudiere a integritatii inregistrarii operatiunilor (logurilor) de sistem informatic.