Managementul riscului și continuitatea în business sunt esențiale

Rangu Călin | 20 Jun 2014

Călin Rangu, Director Executiv, CIO Council Romania, a avut amabilitatea să ne vorbească despre managementul riscului, continuitatea în business, despre necesitatea unui CERT financiar și despre provocările cu care se confruntă directorii de IT.

Rep.: Cum vedeți rolul CIO în contextul actual și cum credeți că se va schimba, în special în relația cu celelate poziții de management din companii?

Călin Rangu: În ultima vreme putem observa o integrare a poziției CIO cu cea de CFO, în anumite companii. CIO-ul trebuie să se situeze de partea business-ului și trebuie să își eficientizeze operațiunile companiei. Poziția CIO-ului se consolidează din perspectiva trecerii spre partea de business, având în vedere că trecerea la tehnologii cum ar fi cloud computing, virtualizare, SaaS, zona operațională de IT, zona de infrastructură, încep a fi externalizate iar serviciile au devenit destul de ieftine pentru a fi externalizate și din această perspectivă CIO-ul nu mai trebuie să se concentreze decât asupra lucrurilor care aduc o valoare adăugată companiei și pe comunicarea dintre business și IT, pentru a acoperi gap-ul comunicațional dintre cele două.

Rep.: Vom vedea o tranziție către o poziție strategică, decizională? Cum se va situa CIO-ul în raport cu CMO-ul (Chief Marketing Officer)? Va apărea o nouă poziție de CDO (Chief Digital Officer)?

C.R.: Și engleza și româna sunt limbi versatile care permit combinarea cuvintelor într-un mod inovativ, iar în IT inovația este la ea acasă, așa că putem să ne jucăm și cu diferite acronime. Până la urmă ceea ce contează este leadership-ul companiei, ce misiune are compania și cum vrea să promoveze anumite aspecte. Dacă compania este una de vânzări, cu accent pe retail, atunci inovația trebuie să vină dinspre marketing și este firesc ca și CIO-ul să își asume atribuții de marketing.

Rep.: Se trece deci de la Chief Information Officer la Chief Innovation Officer?

C.R.: Este obligatoriu să își asume și inovația din moment ce partea operațională este externalizată și nu mai trebuie să administreze sisteme sau servere. CIO-ului nu-i mai rămâne altceva de făcut decât să se concentreze pe dezvoltarea business-ului, și pentru aceasta inovația este obligatorie.

Rep.: În ultima vreme vă ocupați de riscurile operaționale legate de IT. Cum ați defini această zonă?

C.R.: Din perspectiva riscurilor operaționale zona de IT trebuie privită din perspectivă de business. Dacă explici cuiva că trebuie să investească în securitate informatică, probabil că oamenii se vor gândi la antiviruși, se gândesc la faptul că dacă nu au pățit nimic până acum, probabil că nu vor avea probleme nici în viitor. Probabil că nici nu știu ce li s-ar putea întâmpla. Dacă însă pui problema din perspectiva riscurilor la nivelul companiei, dar dintr-o perspectivă de business și nu dintr-o perspectivă tehnologică, atunci comunicarea este mult mai clară și oamenii își dau seama mult mai bine despre ce vorbești. În același timp putem constata că tot ceea ce ține de securitate, de cybersecurity, de criminalitate informatică, de funcționarea defectuoasă a tehnologiei, până la urmă sunt niște probleme de proces, niște probleme de oameni, care sunt acoperite de zona de riscuri operaționale în companii. Riscul operațional se referă la oameni, procese și mediu extern. O fraudă într-o companie este realizată de un om, care folosește un proces, care nu este bine pus la punct, utilizând un sistem și eventual interconectat și cu mediul extern dinafara companiei. Toate aceste componente trebuie gestionate la nivelul de analiză al vulnerabilităților și a expunerilor și a probabilităților de a se întâmpla și a măsurilor de a preveni, prin metodele de risc operațional. Din această perspectivă atât CIO Council, încercăm să creștem nivelul de maturitate al companiilor, să înțeleagă riscurile, să și le evalueze, și în primul rând punem accent pe autoevaluare, nu trebuie neapărat să vină cineva din afară ca să le spună ce probleme au. Creșterea nivelului de maturiate implică de fapt urmărirea anumitor procese, care în mare parte sunt procesele recunoscute și generate de best practice-uri. Procesele pot fi implementate mai mult sau mai puțin și aici depinde de complexitatea, de dimensiunea, de natura companiei. Nu poți pretinde să se aplice niște metodologii complexe într-o companie cu 10 oameni. Dar să-și pună întrebări referitoare la nivelul serviciilor, ce contracte semnează cu terții și dacă acestea precizează ce anumite se întîmplă în cazul externalizării și cu managementul serviciilor, ce disponibiltate asigură IT-ul tău pentru clienți. Le promiți clienților că le oferi un anumit serviciu, de o anumită calitate, dar tu nici măcar nu știi dacă poți asigura respectiva calitate, pentru că nu ai pus la punct un proces de monitorizare. Deci sunt niște lucruri care până la urmă sunt de bun simț, care trebuie implementate și puse într-o formă de proces și niște proceduri pentru a putea fi monitorizate mai ușor. În cadrul Autorității de Supraveghere încercăm să creștem acest nivel de maturitate al companiilor prin a implementa procese care să aibă puncte de control, care să fie monitorizate prin niște criterii de performanță. Din acești indicatori de performanță și din categoria de risc a unei companii se pot defini niște indicatori de risc (key risk indicators) care să te poziționeze pe o hartă a riscurilor unde trebuie sau nu să iei măsuri suplimentare, pentru a evita riscuri suplimentare pe care nu ți le asumi. Multe firme își asumă anumite riscuri. Când îți pui întrebări, îți asumi și riscuri și ai un profil de risc. Totul este să te încadrezi în profilul de risc asumat, să îți dai seama când ieși din el și să iei măsuri suplimentare de prevenire.

Rep.: Puțină lume se așteaptă ca IMM-urile să aibă un plan de management al riscurilor sau de business continuity. Situația nu stă însă mult mai bine nici în cazul companiilor mari, foarte puține dintre acestea având un plan de management al riscurilor. Cine și cum poate influența schimbarea situației?

C.R.: Depinde de tipul și categoria companiilor. În zona financiar-bancară există niște reglementări. Altele urmează să apară. Tocmai ca să poată proteja și asigura o stabilitate a pieței. În alte domenii, dacă firma respectivă nu înțelege că poate să dispară de pe piață dacă nu își ia măsuri de asigurare a continuității și dacă nu realizează că odată informatizată o companie, nefuncționarea sistemului informatic poate duce la faliment, atunci în mod clar are o problemă.

Noi încercăm să determinăm companiile să conștientizeze pericolele înainte de a se întâmpla ceva dramatic și să renunțe la a lua măsuri doar după ce se întâmplă ceva. Încercăm să convingem lumea că trebuie să ia măsuri înainte ca ceva rău să se întâmple. Business continuity este un element pe care fiecare companie trebuie să-l analizeze și să-l implementeze. De multe ori managerii nici nu realizează că au anumite probleme pentru că au alte priorități. Dar dacă cineva are un dialog cu ei și le pune niște întrebări, încep să-și pună și ei întrebări și încet, încet, lumea începe să aibă o abordare corespunzătoare.

Rep.: Este necesar un fel de CERT și în zona financiar bancară?

C.R.: Este chiar obligatoriu, din perspectiva expunerilor spre exterior care sunt din ce în ce mai numeroase. Organismele internaționale și cel puțin la statele din Europa Occidentală sunt din ce în ce mai îngrijorate din cauza criminalității informatice, care a depăși deja traficul de droguri, atât la nivelul profitabilității, cât și la nivelul cifrelor vehiculate. România nu este exclusă din acest circuit “economic”.  Din acest motiv trebuie luate măsuri iar în zona financiar-bancară expunerile sunt majore, pentru că vorbim despre bani și despre încredere. În momentul în care cineva își pierde încrederea în sistem, datorită lipsei unor măsuri de protejare, încrederea este foarte greu de recâștigat ulterior. CERT-RO a început să deruleze o serie de măsuri pozitive pe piață, dar acestea se referă doar la o anumită zonă. Ar trebui să existe și în zona financiar-bancară o structură profesională, cu o bază de date de soluții, care să poată oferi consultanță în momentul în care apar anumite atacuri la nivel național. Dacă astăzi este atacată o entitate, probabil că mâine va fi atacată următoarea. Dacă ar exista un sistem de avertizare timpurie, s-ar cunoaște în piață că a apărut un risc, s-ar cunoaște și măsurile de a-l preveni și atunci nu mai stai pasiv să vezi dacă vei fi atacat și tu. Un CERT financiar ar trebui să aibă o componentă de prevenire, de monitorizare și de suport în momentul în care ceva se întâmplă și sunt depășite competențele băncilor, firmelor de asigurări, firmelor de brokeraj. Unele au resurse proprii, altele nu au și cele care nu au trebuie ajutate.

Rep.: Unele dintre cele mai importante tendințe ale momentului sunt mobilitatea, cloud computing, BYOD. Pe de altă parte acestea aduc provocări suplimentare legate de securitate. Cât de pregătite sunt companiile românești să îmbrățișeze BYOD?

C.R.: În momentul în care externalizezi serviciile, externalizezi și riscurile. Din acest motiv trebuie să știi cu cine lucrezi. Cei cu care lucrezi trebuie să își asume niște responsabilități, inclusiv contractuale. Dacă vorbim însă despre o instituție financiar-bancară chiar dacă externalizezi, nu înseamnă că ai externalizat și responsabilitățile. Prin urmare BYOD poate suna bine în companiile flexibile, mobile, cu echipe mari de vânzări, în care riscurile nu au repercursiuni directe. În companiile financiare și în companiile mari, lucrurile trebuie făcute cu atenție. Din acest punct de vedere în situațiile în care infrastructura trebuie să fie destul de standardizată și de securizată, cu reguli stricte BYOD s-ar putea să nu fie cea mai bună opțiune. Prin urmare depinde foarte mult de profil și de domeniul de activitate.

Rep.: O altă tendință importantă este Big Data. Sunt pregătite companiile românești să treacă la Big Data, sau ar trebui să-și facă mai întâi temele în ceea ce privește BI?

C.R.: Probabil că și în acest domeniu România se află pe unul dintre ultimile locuri. În BI suntem cu mult în urmă, deoarece un BI adevărat costă. Pentru a putea implementa un BI trebuie să ai date reale și corecte. Dacă ne uităm numai la zona de pensii, numărul de asigurați din sectorul privat diferă de numărul de asigurați din domeniul public. Diferența este de ordinul milioanelor și toată lumea se întreabă unde sunt acele milioane. Ca să ai un BI trebuie să știi pe ce îl aplici, trebuie să ai date, datele trebuie să fie curate, să fie unice etc. Aici intervine iar maturitatea. Să știi care este valorea datelor respective. Pentru că tu ai date, dar acele date trebuie să le duci spre knowledge. Dacă nu știi ce să faci cu acele date, din perspectiva cunoașterii, a valorii adăugate, le ai degeaba.

Rep.: Care credeți că sunt principalele confruntări cu care se vor confrunta directorii de IT în perioada următoare?

C.R.: Cred că va urma o perioadă în care directorii de IT vor fi mai liniștiți puțin, pentru că și criza s-a mai liniștit. Lucrurile s-au mai clarificat, restructurările s-au cam terminat. Au început să se deruleze anumite proiecte. Criza a mai așezat puțin lucrurile pentru ca acum să poată fi demarate niște proiecte noi. Aceste proiecte vor avea însă un altfel de tipar decât cele de dinainte de criză. Acum pentru a lansa un proiect de IT trebuie să fie o justificare foarte clară, trebuie să poți construi un business case, să arăți potențialul de business și să faci și follow-up după ce ai investit ca să vezi că ceea ce ai promis se și întâmplă. Provocarea majoră va fi gândirea de business a directorilor de IT.

Cursurile Agora

Alege conferintaAlege conferintaAlege conferintaAlege conferintaAlege conferintaAlege conferintaAlege conferintaAlege conferintaAlege conferintaAlege conferinta
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 2 day course
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 2 day course
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 1 day course
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 2 day course
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 1 day course
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 2 day course
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 2 day course
Participa la curs
Cursul Agora
  • Unde: București
  • Când: în curând
  • Info: 2 zile
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 2 day course
Participa la curs
Cursul Agora
  • Unde: Bucharest, Romania
  • Când: în curând
  • Info: 2 day course
Participa la curs
Cursul Agora

Cea mai recentă conferinţă Agora

12 decembrie 2017

Data Centers & IT Infrastructure Management

Data Centers & IT Infrastructure Management

Viitorul este în cloud, mobil și social. Fenomenul Internet of Things devine și el realitate. În 2020 pe glob vor exista 50 de miliarde de dispozitive, care vor produce 35 zettabytes de [...]

 
Fii la curent cu ultimele noutati agora.ro!