Ryzyko, szanse, podejście oparte na ryzyku, wreszcie ryzyko IT – ciągle słyszymy o konieczności zarządzania ryzykiem, ograniczania ryzyka czy unikania ryzyka. Potocznie, ryzyko rozumiemy jako coś niosącego przykre konsekwencje, coś co może się zdarzyć (często prawie na pewno). Spoglądając na ryzyko bardziej formalnie, dowiadujemy się, że ryzyko jest kombinacją prawdopodobieństwa wystąpienia zdarzenia i powiązanych z nim konsekwencji (skutkami). Uświadamiamy sobie również, że konsekwencje wcale nie muszą być negatywne, równie dobrze mogą to być konsekwencje pozytywne, potocznie nazywane szansą.

To spojrzenie jest bliskie definicji ryzyka z perspektywy biznesowej, w której ryzyko to niepewność osiągnięcia celów biznesowych. W jednym z kolejnych wpisów zgłębię kwestie ryzyka i szans, w niniejszym wpisie przejdziemy do rozważania definicji ryzyka IT. Czym zatem jest ryzyko IT, w najprostszych słowach:

Ryzyko IT to ryzyko związane z szeroko rozumianym IT

Definicja nie jest zbyt precyzyjna, zajrzyjmy zatem we wnętrza stwierdzenia „ryzyko związane z szeroko rozumianym IT”.

Ryzyko, a konkretnie konieczność zarządzanie ryzykiem wywodzi się z potrzeby zarządzania firmą poprzez optymalne wykorzystanie zasobów, bazując na ryzyku. W dobie cyfrowej transformacji istotną częścią zasobów firmy są zasoby IT, a zatem również powiązane z nimi ryzyko IT.

Ryzyko IT jest elementem hierarchii ryzyka firmy, tu nazywanego ryzykiem korporacyjnym (ERM, Enterprise Risk Management). Widzimy również podejście do określenia obszarów ryzyka IT:

• Ryzyko utraconych korzyści – czyli ryzyka związanego z niewykorzystaniem szans wynikających z używania IT, które mogłyby poprawić efektywność i wydajność procesów biznesowych lub wspierać nowe inicjatywy.
• Ryzyko programów i projektów IT – ryzyko powiązane z realizacją programów i projektów, których produkty poprawiają lub tworzą nowe rozwiązania biznesowe wspierane przez rozwiązania IT.
• Ryzyko operacji IT i świadczenia usług – ryzyko powiązane z wszelkimi aspektami utrzymania i eksploatacji IT oraz świadczenia usług wspieranych przez IT, co może mieć wpływ na funkcjonowanie firmy.

Przedstawiony podział pomaga w zrozumieniu ryzyka IT, niemniej dalej jest wysokopoziomowy – przeanalizujmy zatem bardziej dokładnie wybrane aspekty ryzyka IT:

1. Ryzyko związane z bezpieczeństwem informacji – ten aspekt jest najczęściej kojarzony z ryzykiem IT. Obejmuje zagadnienia podatności i zagrożeń związanych z zapewnieniem bezpieczeństwa informacji, a jego głównym celem jest zapewnienie adekwatnych do poziomu ryzyka mechanizmów kontrolnych i zabezpieczeń.
2. Ryzyko cyberbezpieczeństwa – aspekt obejmuje podatności i zagrożenia cyberprzestrzeni, w szczególności ryzyko ataków i uszkodzenia rozwiązań teleinformatycznych budujących cyberprzestrzeń.
3. Ryzyko związane z bezpieczeństwem fizycznym – ten aspekt często oddzielany od cyberbezpieczeństwa, obejmuje ryzyka związane z zapewnieniem bezpieczeństwa fizycznego infrastruktury IT.
4. Ryzyko związane z ciągłością działania – aspekt ryzyka IT zajmujący się ryzykiem ciągłości biznesowej, gdzie kluczowym elementem jest ryzyko w ramach BIA (Business Impact Analysis) oraz ryzyka w ramach planów ciągłości działania.
5. Ryzyko dostawców – aspekt związany z ryzykiem jaki wnoszą dostawcy i poddostawcy usług IT (tzw. outsourcing). Ryzyko to obejmuje zagadnienia SLA, ale również bezpieczeństwa czy zapewnienia prywatności.
6. Ryzyko chmury obliczeniowej – aspekt ryzyka IT związanego z wykorzystaniem chmury obliczeniowej. W tym kontekście szczególnie istotne jest ryzyko jak i szanse używania chmury.
7. Ryzyko oprogramowania – aspekt ryzyka związany zarówno z bezpieczeństwem oprogramowania, ale również np. ryzyko własności intelektualnej.
8. Ryzyko związane z realizacją programów i projektów – aspekt ryzyka IT w ramach realizowanych programów i projektów, których produkty dotyczą IT lub wykorzystują IT.
9. Ryzyko związane z utrzymaniem i eksploatacją IT – aspekt obejmujący cały szereg ryzyka związanego z zarządzaniem IT w zakresie utrzymania, eksploatacji i świadczenia usług IT.
10. Ryzyko związane z zapewnieniem zgodności – aspekt obejmujący ryzyko zapewnienia zgodności na poziomie rozwiązań IT.
11. Ryzyko związane z finansami IT – aspekt ryzyka IT obejmujący zagadnienia finansowe IT, m.in. koszty, zwrot z inwestycji, zdolność do finansowania. Znaczna część zarządzania ryzykiem IT tworzy podstawy do podejmowania decyzji o inwestycjach, a więc związanych z finansami IT.

Powyżej znajdują się tylko wybrane aspekty, ryzyko IT tak jak IT jest dziedziną niezmiernie szeroką i głęboką, a prawie każdy z elementów IT może mieć powiązane ryzyka. Wielość aspektów ryzyka IT stwarza wyzwania odnośnie podejścia do szacowania ryzyka i osiągania miarodajnych wyników wspierających podejmowanie decyzji. Szacowanie ryzyka musi uwzględnić odpowiednią agregację wyników, ocenę i wskazanie ryzyk, które będą zarządzane w tym dla których należy opracować postępowanie z ryzykiem. Zagadnienia te będą omawiane w kolejnych wpisach na ryzykoit.pl.

Podsumowując – ryzyko IT jest obszarem ryzyka firmy związanym z wszelkimi aspektami wykorzystania IT. Biorąc pod uwagę cyfrową transformację, postępującą automatyzację i wkraczającą robotyzację – dziedziny, które intensywnie wykorzystują szeroko rozumiane IT, konieczne staje się rozumienie i stosowanie adekwatnych narzędzi zarządzania ryzykiem IT.