2.5.13

“Hype Cycle” procesa upravljanja informacijskim rizicima

Je li proces upravljanja informacijskim rizicima ispunio očekivanja koja su pred ovu disciplinu postavljena prije desetak godina, kada je sazrijevala svijest o tome da se odluka o pokretanju sigurnosnih inicijativa mora usklađivati s potencijalnim poslovnim gubicima, pri čemu zadnju riječ ima uprava organizacije? Posebno me zanima odgovor na ovo pitanje u našem domaćem okruženju.

S obzirom da se u vlastitom profesionalnom radu direktno ili indirektno referiram na proces upravljanja informacijskim rizicima (što je u značajnom razdoblju ovog rada popraćeno i tekstovima na ovom blogu), odgovor na ovo pitanje odrediti ću primjenom krivulje poznate kao “Hype Cycle” na prihvaćenost procesa upravljanja informacijskim rizicima u našem okruženju.

“Hype Cycle” je osobito poznat iz analiza tvrtke Gartner i jedan je od najutjecajnijih alata kada se govori o trendovima u informacijskim tehnologijama (dijeli prvo mjesto s poznatim kvadrantom iste tvrtke). Hype Cycle je krivulja kojom se opisuje status određenog područja informacijskih tehnologija na tržištu kroz procjenu prihvaćenosti i zrelosti korištenja ovih tehnologija. Gartner primjenjuje ovu procjenu na gotovo sve trendove u informacijskim tehnologijama, bilo da se radi o obećavajućim tehnologijama u nastanku ili već etabliranim i dokazanim trendovima.

“Hype Cycle” je prikazan na slici  koja se nalazi nekoliko poglavlja niže, a možemo ga protumačiti prema opisu iz nastavka teksta.

Trenutak uvođenja nove tehnologije i generiranja/izazivanja inicijalne potrebe za ovom tehnologijom naziva se “Technology Trigger”. Djelovanjem niza faktora (od poslovnih zahtjeva, medijske promidžbe pa do regulatornog inzistiranja) te uspješnim stvaranjem svijesti o potrebi, očekivanja od novih tehnologija će dosegnuti svoj zvjezdani trenutak (“Peak of Inflated Expectations”). Ubrzo potom, balon očekivanja se ispuhuje i status novih tehnologija pada u suprotnu točku (“Trough of Disillusionment”). Mnoge tehnologije neće dosegnuti ni inicijalni vrhunac, a naročito će se teško izvući i iz suprotne faze. Ipak, odlika stabilnih i opravdanih tehnologija je postupni prelazak u fazu zrele upotrebe. Faza “Slope of Elightenment” označava razdoblje u kojem se naknadno potvrđuju nove inačice neke tehnologije ili u kojem se percepcija tržišta mijenja pozitivno u odnosu na tehnologiju. Na koncu, imamo i fazu "Plateau of Productivity"  u kojoj se u potpunosti etablira upotreba određene tehnologije.

Naravno, proces upravljanja informacijskim rizicima nije tehnologija pa se može donekle osporiti primjena “Hypy Cycle” krivulje u ovom slučaju, no smatram da se ovim modelom može djelotvorno opisati percepcija informacijskih rizika u našem okruženju.

“Hype Cycle” upravljanja informacijskim rizicima (u hrvatskom okruženju i osobito u bankarskom sektoru) prikazan je na sljedećoj slici:





Na našoj krivulji vidimo tri glavne točke, pomoću kojih sam proces upravljana informacijskim rizicima smjestio u određena vremenska razdoblja.

Točka 1. (“Technology Trigger”) seže u 2007. i označava razdoblje u kojem tema informacijskih rizika postaje redovita tema mnogih diskusija o informacijskoj sigurnosti. Nekoliko je momenata bilo zaslužno za takvu promociju - praktične aktivnosti na provedbi procesa primjene normi ISO 27001, te osobito aktivnosti HNB-a na uvođenju mjera informacijske sigurnosti u hrvatskim bankama (prema dokumentima Smjernice za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. i Odluka o primjerenom upravljanju informacijskim sustavom iz 2007.).

Početni entuzijazama rezultirao je svojevrsnim vrhuncem ove problematike koju vidimo u točki 2. (“Peak of Inflated Expectations”) a smjestili smo je u 2011. godinu. Ova je faza označena ili barem najavljena novom verzijom Odluka HNB-a o primjerenom upravljanju informacijskim sustavom iz 2010. te sve većom agilnošću regulatora, unutarnjih i vanjskih revizora, ali i pojačanom svijesti osoba zaduženih za informacijsku sigurnost u našim bankama.

Ipak, dvije godine kasnije možemo reći da je proces upravljanja informacijskim rizicima dosegao ili ubrzano dosiže suprotnu fazu prikazanu točkom 3. ("Trough of Disillusionment"). Nadam se da mi kolege neće zamjeriti na negativnoj percepciji ove discipline, no moj se zaključak temelji na uočenoj činjenici da upravljanje rizicima informacijskog sustava nije nikad postao dio mainstream aktivnosti poslovnog rukovodstva, već isključivo specifična zadaća stručnih informatičkih službi.

Zanimljiva je uloga i regulatornih akata (mislim prije svega na dokument HNB-a Odluka o primjerenom upravljanju informacijskim sustavom). Dvije verzije ovog dokumenta (iz 2006. i 2010.) imale su najznačajnije promjene upravo u poglavlju koji opisuje upravljanje informacijskim rizicima. Dok je u prvoj verziji upravljanje rizicima bilo opisano na tragu prethodno donesenih Smjernica za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. a disciplina upravljanja rizicima je definirana sukladno standardnoj profesionalnoj praksi (npr. prema normi ISO 27001), druga verzija Odluke o primjerenom upravljanju informacijskim sustavom iz 2010. integrira upravljanje rizicima informacijskog sustava sa sveobuhvatnim procesom upravljanja rizicima kojima je izloženo bankarsko poslovanje i sa sustavom unutarnjih kontrola (dakle, bliže “Enterpirse Risk Management” okviru). Smatram da je ovaj pomak izuzetno važan i da na pravi način repozicionira upravljanje informacijskim rizicima. Na žalost, praksa za sada ne slijedi ove trendove pa je upravljanje informacijskim rizicima još uvijek proces izdvojen od ukupnog upravljanja rizicima poslovanja. Rezultati procjene informacijskih rizika za sada još uvijek ne koriste jezik managementa za plastični prikaz mogućih rizika, a management ionako ove rezultate ne vidi kao vlastito štivo.

Određenu krivnju za ovakav status ima i tek formalno prihvaćanje “kulture usklađenosti” kojom se kao glavni cilj postavlja prihvaćenost od strane regulatora, a ne napredak stanja sigurnosti i redukcije rizika informacijskih tehnologija.

Postoje i drugi razlozi za takvu percepciju upravljanja informacijskim rizicima, koji pojedinačno možda nemaju kritičan utjecaj, ali njihovo kumulirano djelovanje je veoma vidljivo: nemogućnost i nesposobnost prave procjene vrijednosti informacijske imovine, nemogućnost ili nesposobnost procjene stvarne visine prijetnji kojima je izložena informacijska imovina (naročito onih prijetnji koje sadrže određenu razinu dodijeljenog povjerenja), neprepoznavanje stvarnih događaja ugrožavanja informacijske imovine...

Stručnjaci u čijoj je nadležnosti upravljanje rizicima morali bi svakako približiti opis informacijskih rizika svakodnevnom jeziku managementa, a argumentaciju potkrijepiti stvarnim i dubinskim podacima o stanju informacijskog sustava, te odgovarajućom metrikom.

“Enterprise risk management” koji predstavlja suštinu sveobuhvatnih upravljanja rizicima u bankarskom poslovanju i kojemu se mora prilagoditi upravljanje informacijskim rizicima je posebna tema i zahtijeva puno više mjesta za analizu, a vjerujem i da managementu treba vremena za uhodavanje svih procesa. Ipak, ako se vratimo na “Hype Cycle”, smatram da upravljanje informacijskim rizicima može i mora krenuti prema fazi “Plateau of Productivity".

Nema komentara: