Szacowanie ryzyka IT stawia przed nami wyzwanie poziomu szczegółowości analizy. Wysokopoziomowa analiza daje szansę na szybsze i mniej kosztowne przejście przez proces szacowania ryzyka IT, ale jest obarczone potencjalną możliwością pominięcia wielu ryzyk. Co więcej, analiza wysokopoziomowa nie daje mechanizmów na przyjrzenie się szczegółom ryzyka. Z drugiej strony, patrząc na ryzyko IT w sposób szczegółowy będziemy mogli rozważyć każde zagadnienie precyzyjnie, ale będzie to okupione znaczną ilością czasu oraz kosztami szczegółowej analizy. Nie ma z tym problemu, jeżeli będziemy szczegółowo analizowali ryzyka istotne, ale szczegółowa analiza ryzyk nieznaczących będzie stratą czasu i pieniędzy.

Wdrażając proces szacowania ryzyka IT, proponuję podejście dochodzenia do ryzyk istotnych, zaczynając od wysokopoziomowej analizy ryzyka.

Podejście to można traktować jako stopniowe zwiększanie szczegółowości analizy ryzyka, przy czym szczegółowa analiza ryzyka jest stosowana tylko do tych ryzyk IT, które są realnie istotne. Oznacza to również, że ryzyka o mniejszym stopniu istotności są poddawane analizie, ale praca włożona w ich analizę jest odpowiednio mniejsza. Zależności te pokazane są na poniższym schematycznym wykresie.

Realizując wysokopoziomową analizę ryzyka IT, kluczowe jest wzięcie pod uwagę możliwie szerokiego obszaru i najważniejszych aspektów funkcjonowania firmy. Wysokopoziomowa analiza ryzyka IT oznacza uwzględnienie:

• aktywów wysokiego poziomu: główne procesy, świadczone usługi, kluczowe informacje;
• wysokopoziomowe scenariusze analizy ryzyka IT.

Na tym etapie kluczowe jest przede wszystkim zidentyfikowanie aktywów, które wymagają głębszego przyjrzenia się im oraz zidentyfikowanie tych obszarów ryzyka, które należy skierować do właściwej analizy ryzyka.

Właściwa analiza ryzyka ma umożliwić ocenę ryzyka IT i wskazanie ryzyk, dla których wymagane jest wprowadzenie sposobu postępowania z ryzykiem. Tu też pojawią się ryzyka, dla których podjęcie decyzji nie będzie możliwe i konieczne stanie się przeprowadzenie szczegółowej analizy ryzyka.

Szczegółowa analiza ryzyka oznacza zastosowanie precyzyjnych metod szacowania ryzyka, najczęściej ilościowych, dających wyniki pozwalające na podejmowanie trudnych decyzji.

Podsumowanie

Przystępując do szacowania ryzyka IT musimy przyjąć metodę szacowania ryzyka oraz poziom szczegółowości szacowania. Dobranie metod szacowania ryzyka powinno umożliwić jednolite i porównywalne wyniki, nie może jednak powodować, że koszt realizacji samego szacowania tak obciąża firmę, że zrezygnuje ona z procesu szacowania ryzyka, a może nawet z zarządzania ryzykiem.