Rizika skrytá v informačních technologiích - 3.část

Provoz informačních systémů v současné době zdaleka přesahuje vybavení a zdroje uvnitř společnosti a zahrnuje připojení to mezinárodních sítí, komunikaci s finančními institucemi, úřady, on-line objednávky či nabídky prostřednictvím internetu. To je na jedné straně úžasný nástroj moderní komunikace, na straně druhé nekonečný zdroj ohrožení informačních systémů různými viry nebo osobami.

Společnost musí bezpodmínečně čelit těmto novým prvkům virtuální kriminální činnosti a chránit se před těmito riziky. K tomu slouží jednak celá řada nástrojů, jako jsou antivirové programy, firewalls a další, jednak nastavení vysoké discipliny všech uživatelů informačních systémů ve společnosti.

Shrnutí

Tento příspěvek není komplexním návodem k řešení problematiky ERM v oblasti informačních technologií, jen upozorňuje na nejdůležitější oblasti.

Stejně tak jako i celý proces ERM, oblast IT je vždy velmi specifická pro jednotlivou organizaci a proto ani není možné připravit komplexní „vzor“ nebo návod pro kvalitní implementaci. Ta vždy vychází o obecně platných pravidel risk managementu a opírá se o konkrétní podmínky dané organizace, její firemní kulturu a organizační uspořádání, strategické zaměření a řadu dalších parametrů, které je možné nastavit pouze individuálně.

Závěr:

Závěrem přikládáme vzor otázek, které je vhodné promyslet si před nákupem software.

Kroky pro snížení rizika při nákupu informačních technologií a SW aplikací

1. Studie vhodnosti / komptability softwarového produktu

   • Splňuje navrhovaný produkt požadavky studie vhodnosti alespoň z větší části?

   • Je navrhovaný produkt kompatibilní se stávajícími systémy a provozním prostředím?

   • Jsou zřejmá nějaká omezení (kapacita), která by vyžadovala komplikovaná řešení při instalaci?

   • Bude nutné při instalaci využít zvláštních parametrů na míru, v jakém rozsahu a jaké dodatečné náklady to může přinést?

2. Historie produktu

   • Jakou dobu je navrhovaný software na trhu?

   • Byl software vyvinut pro účely, které jsou uvedeny ve studii vhodnosti?

   • Je aplikace postavena na uznávaném prostředí a nástroji, například použitá databáze?

3. Dodavatel

   • Je dodavatel na trhu již přiměřenou dobu a má potřebné zkušenosti?

   • Má dodavatel dostatečnou finanční sílu?

   • Existuje nějaký právní spor z důvodu chybné dodávky software, vedený proti dodavateli?

   • Má dodavatel uzavřeno pojištění profesní odpovědnosti?

4. Obchodní reference

   • Může dodavatel předložit seznam stávajících zákazníků, kteří mohou být kontaktování pro získání referencí?

   • Byl dodavatel nebo software pozitivně hodnoceni v odborných článcích, publikacích?

5. Aktualizace

   • Zavazuje se dodavatel k pravidelným aktualizacím, zlepšujících výkon software?

   • Byl v poslední době produkt aktualizován, zlepšen?

   • Existuje formální proces na aktualizace / zlepšení, iniciovaná odběratelem?

6. Dokumentace produktu a školení

   • Je k dispozici dostatečná dokumentace k produktu?

   • Je tato dokumentace pravidelně aktualizována?

   • Existují možnosti školení pracovníků odběratele na použití produktu?

7. zákaznická podpora produktu

   • provozuje dodavatel zákaznickou podporu 24/7 nebo alespoň v běžných pracovních hodinách?

   • účtuje dodavatel podporu při požadavcích nad rámec běžných smluvních ujednání?

   • je v případě zásadního problému s aplikací schopen dodavatel rychle software přeinstalovat nebo rychle opravit?

Vladimír Pulchart

London Direct Underwriters