9.5.07

"Top-down" načelo kod upravljanja informacijskim rizicima (3)

Ovo je treći i završni nastavak zapisa (ovdje pogledajte prvi i drugi nastavak) koji obrazlaže potrebu da se procesu upravljanja informacijskim rizicima, pa onda i informacijskoj sigurnosti, pristupi "odozgo", pogledom managementa. Važno je još jednom naglasiti da smo do visinu rizika mogli utvrditi samo na temelju suradnje rukovodstva (jer samo osobe odgovorne za pojedine poslovne procese mogu točno odrediti moguće posljedice) i informatičkog osoblja (koje je, najčešće, najbolje poznaje informatičku infrastrukturu).

Ovdje dolazimo do treće važne točke u "top-down" konceptu: najviši management mora biti upoznato ne samo s visinom rizika nego i s popisom kontrolnih mjera i mora dati nalog za njihovu primjenu. Samo na taj način će ove mjere dobiti potrebnu težinu a u praksi će se prevladati primjedbe korisnika i rukovodstva organizacijskih cjelina o svoijevoljnom nametanju ovih mjera od strane informatičkog osoblja.

Četvrta važna točka u primjeni "top-down" koncepta odnosi se na proširenja poslovnih procesa s novim tehnološkim sustavima (što se danas najčešće povezuje s otvaranjem novih poslovnih mogućnosti ili s ponudom novog proizvoda). Današnje tržišne inovacije su uglavnom neraskidivo vezane s primjenom novih informacijskih tehnologija i aplikativnih sustava, a svaki nova aplikativni sustav mora proći kroz proces upravljanja rizcima. Nova aplikacija može u sebi sadržavati značajne sigurnosne rizike, no s druge strane i otvarati značajne poslovne mogućnosti. Odluka o prihvaćanju ili izbjegavanju ovih rizika mora biti ostavljena rukovodstvu organizacije s obzirom da se radi o strateškoj poslovnoj odluci.

Peta važna točka "top-down" koncepta je održavanje odnosa unutar organizacije prema kojemu informatičke službe moraju biti svojevrsni davatelji informatičkih usluga a stvarni "vlasnici" podataka, odnosno korisnici s nadležnošću za sve značajne odluke o korištenju i obradi mora imati rukovodstvo pojedinih poslovnih procesa. Na taj način će se postići i kvalitetnija primjena pojedinih komponenti sustava a rukovodstva poslovnih cjelina preuzeti značajni dio odgovornosti.

Šesta točka "top-down" koncepta obuhvaća obvezu stalne provjere rada informacijskog sustava, praćenje stupnja ostvarivanja poslovnih ciljeva organizacije kroz korištenje informacijskog sustava te utvrđivanje svih događaja koji ukazuju na povredu predviđene razine sigurnosti. Rukovodstvo organizacije mora biti izvještavano o rezultatima provjere, ali i niže razine rukovodstva moraju biti upoznate s rezulttaima provjere za dijelove informacijskog sustava iz svoje nadležnosti. To se posebno odnosi na rukovodstvo informatičke službe, koje mora provoditi detaljnije praćenje rada na dnevno-operativnoj razini.

Nema komentara: