Zero Riscuri In Managementul Proiectelor It

INTRODUCERE

În prezent, sfera lumii digitale a devenit din ce în ce mai abordabilă reușind să pătrundă în toate domeniile ca parte din rutina zilnică a diverselor firme, instituții, locații private. Au fost lansate limbaje și mijloace specifice de manipulare și totodată sunt întreținute cât mai multe date cu caracter general și privat. Dar, datorită structurii sale duale, gestionarea cât mai eficientă a acestor valori virtuale impune totodată o rigoare specifică, un control clar, o evaluare a riscurilor pe care le-ar aduce abuzul de informații aflate la îndemâna oricui.

Se dărâmă orice barieră de timp și spațiu, se câștigă prin eficiență și amploare, prin rapiditate și prin acuratețe, dar tot în aceeași manieră se pot pierde informații, care produc daune imense.

În acest context se ajunge la inevitabilul risc. Ce parte dintr-o informație este mai puțin dăunătoare în defavoarea alteia? Cât se poate câștiga și cât se poarte pierde? Sunt răspunsuri la care încă se căută definiții și rezolvări. O delimitare a riscurilor ajută la partajarea mai eficientă a informațiilor și implicit la accesul la acestea prin parole complexe, prin abilitatea de a le schimba des, și de marja prudențială pe care o impune contextul dat.

Riscul devine astfel, elementul central la care ar trebui să se raporteze celelalte componente ale sistemului informatic. Încă se lucrează pentru a se depăși în totalitate stadiul de incertitudine a complexului de date aflate sub amenințare sau care sunt depășite de teribilism și poate de neatenție. Se caută posibilitatea eliminării totale a acestor riscuri. O implicare responsabilă racordată cu un plan strategic de respectat poate conduce spre o reducere masivă a riscurilor și o utilizare eficientă a sistemelor informatice.

În funcție de mediul în care se desfășoară, riscul are diverse manifestări. În domeniul informatic, riscul este cedat celor care părăsesc o firmă cu anumite date stricte despre aceasta, sau se poate afișa ca rezultat al indiferenței sau indisciplinei celor care plasează parolele în medii accesibile multor persoane, sau diverse aplicații lăsate deschise din neatenție, grabă, lipsă de concentrare asupra implicațiilor complexe pe care le implică “contaminarea” acelor date.

Și nu în ultimul rând, cedarea prin naivitate și lipsa de atenție în fața instrumentelor de hacking devenite din ce în ce mai agresive și nocive sistemului informatic. Gradul de vulnerabilitate este discreditat prin neatenție, grabă, iresponsabilitate, proastă gestiune a datelor.

Gravitatea gradului de compromis al informațiilor determină aplicarea motivată a unor reguli stricte de urmat. Este timpul să intervină factori de ajutor din afară: se poate apela la firme care se ocupă strict de managemenul eficient al proiectelor IT.

Evidențierea riscurilor Scenarii de risc

Analiza raportului cost-beneficii Costurile prevenirii, refacerii după dezastru etc.

Stabilirea politicilor de securitate Politică generală (națională, organizațională)

Politici separate pentru diverse domenii protejate

Standarde & reglementări (recomandări)

Managementul Proiectelor este disciplina de planificare, organizare și coordonare a resurselor care duc la îndeplinirea scopului și obiectivelor specifice ale proiectelor. Asigură un cadru care permite organizațiilor să planifice și să ofere noi produse într-o manieră controlată și sigură, produse care la rândul lor vor conduce la realizarea de beneficii și rezultate.

Prin aplicarea principiilor și practicilor de management al proiectelor, organizațiile sunt mult mai abile:

Să implementeze proiecte la timp, încadrându-se în buget;

Să realizeze un produs sau serviciu de calitate prin care să-și încânte clienții și utilizatorii finali;

Să se asigure că la sfârșitul proiectelelor, membrii echipei de proiect își vor fi îmbunătățit abilitățile și au sentimente de satisfacție și realizare personală;

Să asigure sprijin în formarea proiectelor proiect (start-up);

Să realizeze adaptarea și implementarea metodologiei de management al proiectelor;

Să conducă evaluarea post-implementare.

I RISCURI ÎN EXPLOATAREA APLICAȚIILOR INFORMATICE

I.1. Securizarea sistemelor informatice

Conducătorul de proiect este responsabil atât cu securitatea cât și cu implementarea acestuia și este constrâns să ofere garanții în vederea acoperirii riscului proiectului.

Pentru a ajunge la o infrastructură IT care să se caracterizeze prin stabilitate, securitate și integritate este nevoie de aplicarea unor reguli bine definite. Asfel,

Gradul de acces la informații trebuie gestionat cu mare responsabilitate și implicare motivată. În acest context membrii unei companii vor deține un nivel minim de informații, iar alții nu vor avea deloc acces la bazele de date configurate.

Dacă persoanele informate pe deplin părăsesc compania, este ideal a se modifica în urma lor toate parolele de acces către bazele de date predefinite.

Trebuie stabilite condiții foarte clare și cât mai limitate cu furnizorul extern de soluții de securitate pentru a preveni posibilele pierderi ce pot surveni.

De asemenea, trebuie anticipate reacțiile negative ale angajaților care pot abuza de caracterul confidențial al informațiilor cheie pe care le administrează.

Este ideal ca gestionarea datelor senzitive să fie realizată de două persoane în locul uneia.

Trebuie restricționate programele de instant messaging, prin intermediul cărora s-ar putea transmite date cu caracter privat de către cei din interiorul companiei.

În cazul concret de fraudă pe computer este ideal să se apeleze la persoane competente cu experiență în depistarea unor astfel de cauze.

Performanța bazelor de date, și implicit a gestionării lor crește și se dezvoltă din ce în ce mai mult dar în aceeași măsură se intensifică și gradul de expunere la risc, datorită celor care dezvoltă astfel de practici malware. Trebuie anticipate cât mai bine posibilitățile de compromitere și gradul de contaminare a informației cu caracter strict: datele private ale companiei.

Trebuie de asemenea, relaționate datele referitoare la accesul în biroul firmei cu cele referitoare la accesul în rețea pentru a se evita cazurile în care are loc sincronizarea accesului unor persoane la ore târzii, cu folosirea abuzivă a securității rețelei.

Vulnerabilitatea informațiilor private este bine conturată în următoarele situații:

Sistemele de securitate: firewall, antivirus, au o configurație greșită, propice derulării ofensive a elementelor malware ce pot pătrunde mai ușor în acest context.

Ignorarea participării utilizatorilor în favoarea monopolului programelor de securitate, în vederea rezolvării problemelor tehnice

Nu toți utilizatorii sunt informați în legătură cu regulile pe care trebuie să le respecte. Ignorarea lor duce la probleme în sfera securizării datelor.

O alegere nu prea inspirată a firmei colaboratoare în domeniul de securitate a datelor

Solicitările minime nu sunt suficiente pentru a proteja și a anticipa eventualele nereguli ce pot apărea.

Absența unei structuri de distribuție a patch-urilor și a actualizărilor de securitate

Periodic trebuie făcute update-uri deoarece gradul de perisabilitate este foarte ridicat și devin ineficiente dacă nu se modelează la schimbările cât mai actuale.

În ultimul timp, din ce în ce mai multe date se convertesc în date digitale, devenind parte integrată din sistemele specifice informatice. Gestiunea lor trebuie să fie cât mai riguroasă datorită caracterului amplu care suportă modificări zilnice. Se poate vorbi de o dependență de surse de date digitale care provoacă imense daune în scenariile în care câștigă proasta manipulare a lor. Organizațiile care le folosesc sunt din ce în ce mai numeroase și impactul negativ în cazurile de eșec este foarte mare.

Măsurile de securitate trebuie să aibă aplicabilitate pe mai multe niveluri, astfel:

La nivelul fizic prin inhibarea ascultării mediilor de transmisie, interzicerea accesului fizic la server;

La nivelul specific legăturii de date, prin criptarea legăturii;

La nivelul de rețea, prin ziduri de protecție (firewall-uri);

La nivelul de transport, prin criptarea conexiunilor (SSL – Secure Socket Layer, TLS – Transport Layer Security);

La nivelul de aplicație prin monitorizarea și actualizarea software-ului, jurnalizarea, educarea utilizatorilor, politicile generale adoptate.

Este necesară: elaborarea de politici de securitate, planificarea cerințelor de securitate, de confidențialitate, de integritate, disponibilitate, control.

Dacă deja există o politică de securitate, acesta poate fi îmbunătățită prin parcurgerea următoarelor etape:

“creerea unei echipe care să răspundă de funcționarea unui program de politici de securitate;

Stabilirea unei agende de securitate clară și concisă;

Realizarea regulată de investigări și verificări;

Dispersarea informațiilor din organizație în funcție de necesitățile reale”.

Prevenirea are un rol major deoarece, acel intrus poate alege cel mai slab punct al sistemului. Rezultă astfel că siguranța sistemului depinde de cea mai vulnerabilă componentă a acestuia.

Ne putem apăra doar contra atacurilor cunoscute, dar atacatorul poate exploata vulnerabilități misterioase. Cracker-ii pot ataca oricând și de oriunde, vigilența trebuie să fie permanentă deoarece atacatorul nu ține cont de legi, reguli, recomandări!

Se impune elaborarea unor politici de securitate cum ar fi:

Gestionarea accesului (nume de cont, alegerea și modul de schimbare a parolelor, blocarea terminalului, politica de acces din exterior;

Clasificarea utilizatorilor (grupuri, permisiuni, utilizatori speciali, utilizatori administratori: constituirea ACL (Access Control List);

Accesul la resurse (drepturi de acces la fișiere, directoare, criptarea fișierelor importante);

Monitorizarea activității (fișiere de jurnalizare);

Administrarea copiilor de siguranță (tipuri de salvări, medii de stocare, durata păstrării).

Principiile de bază în vederea stimulării gradului de securizare a mediului informațional sunt: Simplificarea – configurarea sistemului astfel încât să acorde vizitatorilor cele mai scăzute privilegii;

Reducerea – minimizarea ariei de acțiune

Întărirea securizării accesului la fișiere sau la aplicațiile externe –“never trust user input”;

Diversificarea – utilizarea mai multor niveluri de protecție (“don’t rely on security by obscurity”);

Documentarea – memorarea setărilor, strategiilor și măsurilor adoptate pentru securitate.

Sistemul trebuie să-și ducă până la capăt misiunea chiar dacă unele componente sau părți din sistem sunt afectate ori scoase din uz. La această situație s-ar putea ajunge prin oferirea unei copii read-only a datelor.

Sistemul trebuie să susțină măcar îndeplinirea funcțiilor vitale cum ar fi identificarea serviciilor esențiale, identificarea perimetrelor de securitate majoră mission-critical.

Se poate recurge la strategii de respingere a atacului (autentificarea utilizatorilor, firewall-uri, validarea obligatorie a datelor de intrare) și la strategii pentru restaurarea informațiilor, limitarea efectelor, menținerea/restaurarea serviciilor compromise RAID (Redundant Array of Independent Disks), SAN (Storage Area Network, backup-uri, cluster-e).

Dar se poate apela cu succes și la strategii pentru îmbunătățirea nivelului de supraviețuire – învățarea din greșeli. Aceste greșeli pot proveni din planificarea mai puțin riguroasă în privința infrastructurii IT a firmei; din încrederea securității totale asigurată doar de un program antivirus sau a unui firewall (dar acestea singure, devin stinghere și ineficiente), și din lipsa unei politici bine definite de management care să dețină puterea centrală în scopul monitorizării cât mai eficiente a securității firmei.

Dependența din ce în ce mai acută de computere atrage un risc din ce în ce mai mare și are un impact negativ datorită căderilor de rețea, virușilor, integrării slabe a sistemelor, lipsa resurselor.

I.2. Managementul riscului IT

Managem strategii pentru restaurarea informațiilor, limitarea efectelor, menținerea/restaurarea serviciilor compromise RAID (Redundant Array of Independent Disks), SAN (Storage Area Network, backup-uri, cluster-e).

Dar se poate apela cu succes și la strategii pentru îmbunătățirea nivelului de supraviețuire – învățarea din greșeli. Aceste greșeli pot proveni din planificarea mai puțin riguroasă în privința infrastructurii IT a firmei; din încrederea securității totale asigurată doar de un program antivirus sau a unui firewall (dar acestea singure, devin stinghere și ineficiente), și din lipsa unei politici bine definite de management care să dețină puterea centrală în scopul monitorizării cât mai eficiente a securității firmei.

Dependența din ce în ce mai acută de computere atrage un risc din ce în ce mai mare și are un impact negativ datorită căderilor de rețea, virușilor, integrării slabe a sistemelor, lipsa resurselor.

I.2. Managementul riscului IT

Managementul riscului IT are rolul de a obține mijloacele specifice de analiză și integrare a modalităților de micșorare a efectelor negative ce apar în urma compromiterii informației. Managementul riscului a fost privit și ca un “instrument de evaluare” utilizat în procesul de asistare avizată a proiectului – “Missouri IT Risk Management Manual” conceput de departamentul Missouri State Government. Identificarea si evaluarea riscului determină obținerea unor efecte negative limitate si conferă posibilitatea de gestionare și manipulare a lor.

Avantajele din domeniul IT sunt însoțite de riscuri complexe. Cu atât este mai important managementul riscurilor, cu cât activitatea firmei este mai dependentă de domeniul IT.

Managementul riscului determină un stadiu decizional complex și continuu prin intermediul căruia rezultatele deciziilor vor conduce la un grad de expunere minim ce vor fi mai ușor de suportat și de depășit.

În planul IT, managementul riscului se derulează în analizarea riscului informațional utilizând instrumentele necesare de analiză și de utilizare a soluțiilor care minimalizează efectele negative ale perturbării informației.

Managementul riscului implică atitudinea de precauție pe care o adoptă conducătorul de proiect în stadiul de materializare a riscului și în căutarea unor soluții pentru a evita pericolele pe care le aduce riscul analizat.

Riscul reprezintă probabilitatea de a întâmpina o pierdere. Nu este o surpriză, trebuie tratat și gestionat după un plan strict de combatere și de evitare a lui.

Reacția la risc este faza de acțiune din cadrul ciclului managementului riscului, în care se încearcă: să se elimine riscurile; să se reducă riscurile sau să se repartizeze riscurile.

Aceste acțiuni se derulează pe baza unui plan de management al riscurilor care include acțiunile care se vor utiliza pentru conducerea și stăpânirea riscurilor, persoanelor care sunt răspunzătoare pentru anumite acțiuni în diverse domenii de risc, resursele alocate în acest scop, modul de apreciere a rezultatelor obținute în managementul riscurilor.

Eliminarea riscurilor are scopul de a îndepărta riscul din proiect. Se poate realiza prin parcurgerea următoarelor trepte

– să nu liciteze pentru proiect;

– să stabilească un preț foarte mare, care să acopere riscurile,

– să condiționeze oferta;

– să nu liciteze asupra porțiunii din proiect cu riscuri mari.

Diminuarea riscurilor se poate realiza printr-o serie de instrumente cum sunt:

programarea. Dacă riscurile sunt legate de termenul de execuție, programarea științifică a

lucrărilor proiectului cu ajutorul graficelor de rețea poate diminua riscurile în limite rezonabile.

instruirea. Aceasta poate influența productivitatea și calitatea lucrărilor. Prin programe de instruire și conștientizare se poate reduce probabilitatea producerii incidentelor care ar putea conduce la reducerea eficienței proiectului.

reproiectarea. Riscurile pot fi de multe ori diminuate printr-o reproiectare judicioasă.

Programarea activităților membrilor echipei, fluxurile informaționale, folosirea echipamentelor și a membrilor echipei pot fi adesea optimizate printr-o reproiectare eficace.

Repartizarea riscurilor este, de asemenea, un instrument performant de management al riscului.

Aceasta se referă la părțile care vor accepta o parte sau întreaga responsabilitate pentru consecințele riscului.

Este evaluat riscul potențial de proiect pentru a determina care strategie de administrare a riscului (Risk Management Strategy) trebuie abordată.

Riscurile de proiect sunt identificate și analizate, iar apoi este pregătit un Plan de management al riscului (Risk Management Plan), ilustrând cum vor fi reduse sau evitate aceste riscuri. În cazul în care riscurile sunt inevitabile și impactul lor este semnificativ, se vor dezvolta Planuri speciale pentru acestea.

Managementul riscului a devit rapid o disciplină în sine, fiind un aspect de luat în calcul de oricine – corporații, organizații publice și orice altă activitate pe termen scurt sau lung.

Nu există activități fără riscuri colaterale. Iar managementul riscului este un domeniu atât de vast încât nu există persoană care să îl cunoască pe deplin.
Nevoia de risk management diferă de la o companie la alta, iar procesul de risk management este unul continuu.

Fiind un proces vulnerabil la factorul uman, managementul de risc se bazează în cea mai mare parte pe precedente.

Odată identificate, managerul de risc trebuie să își asume strategia și rezultatele aferente.

Este ideal a se obține un profit maxim cu riscuri minime. În realitate, însă, trebuie să fie acceptate riscuri mai mari pentru un profit mai mare. Un risc minim prespune profit minim sau chiar pierdere.

La nivel intern, există riscuri de continuitate a activității (fenomene naturale, de exemplu), riscuri operaționale (precum spargerea rețelei IT sau furtul de date), riscul legat de forța de muncă (accidente, protecția muncii, greve), riscul de credit, riscul financiar și de curs valutar, riscul reputațional / de imagine sau riscul de lichiditate.
Prețul pe care o companie îl plătește în lipsa unui management eficient al riscului poate fi foarte mare, ducând chiar la faliment.

La companiile mari, riscurile sunt administrate de consultanți specializați.

Societățile mai mici, care nu-și permit să angajeze profesioniști, își pot dezvolta intern un departament în acest scop.

Exemplul cel mai întâlnit este crearea unei echipe de proiect formată din directorul general, directorul de operațiuni, managerul de producție, un reprezentant din departamentul de HR.

Este necesar ca această echipă să aloce timp suficient activității de risk management. Ea stabilește obiectivele și cerințele proiectului; în fazele incipiente se reunește regulat, face brainstorming, estimează costuri; în faza finală, supune proiectul spre aprobarea conducerii.

În consecință, strategia de risk management trebuie să fie extrem de bine structurată. Provocarea, stă în a lua decizia privind viitorul instituției și a asigura un echilibru sănătos între diversele segmente de activitate.

Eficiența depinde de calitatea și adecvarea instrumentelor folosite (modele, software, circuite informaționale) și de persoanele care le utilizează. Cele mai semnificative investiții vizează sistemele informatice (hard și soft).

Totodată, administrarea riscurilor devine dificilă acolo unde intervine subiectivismul factorului uman, în special în 'veriga' cuantificării riscurilor. Administrarea riscurilor este mai ușor de realizat în domeniile în care intervenția umană subiectivă este redusă.

Pentru o mai mare siguranță, procedurile se bazează în special pe analize obiective.
Conform axiomei 'comportamentul din trecut se va menține și în viitor': segmentând portofoliul și activitățile, se pot lua în calcul probabilitățile riscului pe un anumit segment și se poate estima comportamentul pe viitor. Dar, ca și în statistică, este nevoie de un eșantion reprezentativ pentru a realiza această analiză, altfel concluziile pot fi eronate.

Pe de altă parte, nu există o știință solidă de cuantificare, de estimare a unei activități. Deciziile strategice se bazează pe analiza pe termen scurt și mediu.
Pentru o companie mică, managementul riscului începe mai greu, iar greșelile sunt inevitabile.

Managementul riscurilor este ansamblul de strategii, politici, cunoștințe, principii, practici de afaceri, proceduri, circuite informaționale, instrumente, modele, indicatori și aplicații.

Este folosit pentru definirea, identificarea, evaluarea, raportarea și prelucrarea informațiilor privind expunerile la risc și evenimentele de risc. Este foarte important în scopul realizării unui proces decizional adecvat.

Etapele semnificative pentru managementul riscurilor
 – Definirea cadru de administrare a riscurilor (riscuri, procese, modele, strategii)

 – Identificarea, evaluarea și raportarea riscurilor
 – Prelucrarea informațiilor
 – Decizia
 – Follow-up / monitorizare.

Fig.nr. I.2.1. redă etapele interdependente pentru un management eficient al riscurilor

Apartenența la JIT. O strategie care s-a dezvoltat în ultimii ani în managementul materialelor se numește JIT (Just-In-Time) și are un rol important în creșterea eficienței. Această strategie este simplă, dar presupune existența unui sistem computerizat de gestiune a materialelor și un sistem de aprovizionare fiabil și eficient.

Scopul pentru care există este de a reduce stocurile de materiale necesare producției și de a le programa să sosească de la furnizori la timpul necesar pentru introducerea lor în procesul de producție.

Dezavantajul strategiei este că orice întârziere a primirii materialelor de la furnizori produce întârzieri în procesul de producție și deci creșteri nejustificate ale costurilor. De aceea, strategia JIT trebuie combinată cu crearea unor stocuri tampon, mult mai reduse decât clasicele stocuri de materiale.

În ceea ce privește riscurile în sfera proiectelor IT, această abordare de tip just in time în managementul riscului, se adoptă atunci când, spre exemplu, apare un mesaj primit pe email de la un expeditor necunoscut. Gândul că ar putea fi virusat determină ștergerea lui fără a-l deschide sau fără a analiza gradul de periculozitate vis-a-vis de performanțele sistemului antivirus.
În modelul static, se poate apela la instrumentul „system restore” oferit de sistemul de operare, se poate actualiza aplicația antivirus și apoi se va deschide mesajul.

Dar modelul poate fi extins. Se poate aplica și un alt scenariu: luând în calcul factorul uman, dacă în urma unei testări psihologice realizate în timpul procesului de angajare se identifică persoane cu temperament coleric, se va avea grijă ca ulterior acesta să nu fie implicate în activități care presupun multă concentrare de exemplu, lucrul cu anumite baze de date. Modelul dinamic al managementul riscului presupune o serie de particularități.

În încercarea de a dezvolta un nou model de managementul riscului, se consideră că acest proces diferă în funcție de etapa din ciclul de viață în care se află proiectul/ organizația. Altfel se poate evalua riscul și întreg procesul de control în prima zi din viață organizației (etapa 0) și altfel după ce a trecut o bună perioadă, timp în care s-au acumulat destul de multe date istorice.

Dacă modelul static, cel de nivel 0, este destul de simplu de dedus și de aplicat, pentru că în orice situație (ciclul de viață al unui proiect, sistem sau a unei organizații) este derulat în primul moment al acestui ciclu, se consideră că modelul dinamic necesită câteva explicații suplimentare, deoarece în mare parte se bazează pe un raport de tip acțiune – reacțiune.

Este vorba de reacția imediată în fața unui risc materializat.
Totodată se face alegerea unei strategii de răspuns pe măsura atacului. S-a afirmat că securitatea însăși înseamnă de fapt managementul riscurilor.

Specialiștii de la Microsoft considerând că este ideal a se apela la o strategie panoramică care să abordeze ariile de securitate atât la nivel macro pe platforma serverelor, a stațiilor de lucru, a comunicațiilor în rețea, a perimetrelor dar și la nivel micro pe platforma aplicațiilor, a datelor și managementul patch-urilor.

I.3.Analiza riscului

Analiza de risc își propune să identifice toți acei factori care pot împiedica respectarea constrângerilor funcționale sau nefuncționale, de resurse alocate. O identificare și gestionare corectă a riscurilor evită apariția efectelor acestora în fazele târzii ale dezvoltării (sau chiar la implementare) și astfel asigură o dezvoltare controlată și previzibilă a sistemului informatic.

Sursele de risc pot fi:
Externe
Riscuri financiare – dobânzi, cursul de schimb, credite;
Riscuri strategice – competiție, schimbări în regimul vamal, schimbări în industrie, cererea consumatorilor;
Riscuri operaționale  – reglementări, cultura, structura boardului director;
Riscurile "hazardului" – contracte, evenimente naturale, furnizori, mediu.

Interne
Riscuri financiare – lichiditate și cash flow;
Riscuri strategice – integrarea fuziunilor și achizițiilor, cercetare și dezvoltare, capitalul intelectual;
Riscuri operaționale – controale contabile, sisteme informaționale, recrutare, sistem de distribuție;
Riscurile "hazardului" – accesul public, angajați, proprietăți, produse și servicii.
Identificarea riscurilor poate cădea în sarcina unor consultanți externi, dar controlul intern al procesului de risk management este esențial. 

Managementul cunoașterii – controlul asupra resurselor de cunoaștere, producție, protecție sau comunicare. Factori externi pot include utilizarea neautorizată sau abuzul de proprietate intelectuală, tehnologie competitivă sau eșecuri în domenii cheie.

La nivel intern contează căderi de sistem sau pierderea unor angajați cheie.

Aspecte pentru descrierea riscului:
– Descriere calitativă (amploare, tip, număr, implicații);
– Natura riscului (operațional, financiar, strategic, de cunoaștere sau de reglementare);
– Cuantificarea riscului (importanță și probabilitate);
– Toleranța / apetitul pentru risc – probabilitatea și amploarea impactului;
– Soluții și mecanisme de control;
– Potențiale acțiuni pentru îmbunătățirea situației;
– Identificarea funcțiilor responsabile cu dezvoltarea strategiilor și a politicii companiei.

Până la un anumit nivel, riscul este întotdeauna prezent în sistemele informaționale. Acesta crește atunci când au loc anumite schimbări în cadrul organizației sau organizațiile prezintă anumite caracteristici. Factorii de risc pot include:

Implementarea unor noi soluții pentru rețea, unor noi aplicații integrate sau altor tehnologii emergente;

Apartenența la o industrie puternic dependentă de informații datorită cerințelor legale, contractuale, ale consumatorilor sau alte cerințe;

Creșterea rapidă a afacerii determinând dificultăți în menținerea controalelor la nivelul cerințelor de business;

Intrarea organizației pe piața comerțului electronic.

Riscurile se împart în cateva categorii principale: riscuri interne – decizii greșite, greșeala umană, personal nemulțumit, riscuri externe – atacuri informatice, viruși, riscuri independente – întreruperi de curent, defecțiuni hardware, cădere de rețea.

Riscurile de securitate aparțin unei sfere aparte prin compromiterea voluntară sau involuntară a unor informații cu caracter confidențial. Ele pot aduce prejudicii majore pentru firmă dar și pentru terți. În acest context este foarte important managementul riscurilor și deciziile care conduc la măsurile de prevenire și de restricționare a efectelor negative ale acestora.

Fig.nr.I.3.1. reprezintă factorii cheie în administrarea eficientă a riscurilor de securitate

II MANAGEMENTUL PROIECTELOR IT

II.1. Considerații privind managementul proiectelor IT

Managementul de proiect IT reprezintă modalitatea de a reda finisarea unui proiect printr-un efort susținut de management structural atât al firmei cât și a celor care participă la proiect. Un proiect finalizat este rezultatul unor acte deliberate predeterminate. Rolul proiectelor este de a îndeplini obiectivele specifice pentru care au fost concepute. În acest context se consumă atât resurse umane cât și resurse materiale. Sunt bine poziționate pe axa timpului, având specificată data de debut și data limită a proiectului. Proiectele sunt unice și multifuncționale. Proiectele de succes întâmpină și depășesc cerințele și așteptările bazei de participanți.

“Managementul proiectului se definește ca un proces de planificare, organizare și conducere a activităților și resurselor unui proiect cu scopul de a îndeplini obiective bine definite care au în mod uzual restricții de timp, resurse și cost”.

Managementul de proiect determină planificarea și monitorizarea: Planificarea de proiect se desfășoară după următoarele rigori:

definirea cerințelor de efort/activitate (define work requirements);

definirea cantității și calității de efort care trebuie întreprins;

definirea resurselor necesare

Monitorizarea proiectului are ca obiective:

urmărirea evoluției proiectului (Tracking progress);

comparea rezultatelor efortului de proiect întreprins,

compararea rezultatului efortului de proiect realizat cu cel planificat.

realizarea corecțiilor, ajustărilor, elementelelor și operațiunilor de reglaj.

Managementul de proiect de succes implică îndeplinirea obiectivelor:

îndeplinirea obiectivelor prin încadrarea în timp

îndeplinirea obiectivelor prin încadrarea în costurile planificate

îndeplinirea obiectivelor prin încadrarea în nivelul planificat de performanța urmărită.

acceptarea rezultatelor de către client; beneficiile potențiale de pe urma folosirii managementului de proiect.

identificarea responsabilităților funcționale care vor asigura tuturor activităților finalizate

minimizarea nevoii de a se întocmi rapoarte aproape continuu, referitor la activitățile derulate.

identificarea necesarului de timp pentru buna planificare a agendei de proiect

identificarea metodologiei prin care se va finaliza proiectul și prin care va fi predată lucrarea clientului.

măsurarea succesului prin comparația realizărilor cu elementele trecute în plan

dezvoltarea capacității de planificare pentru viitoarele activități întreprinse

cunoașterea performantă a obiectivelor nu va fi îndeplinită sau va fi evitată.

Obiectivele pot fi perturbate prin nedepășirea unor obstacole:

complexitatea proiectului

cerințele speciale ale clientului (configurarea rezultatului final al proiectului conform specificațiilor de proiect-customizarea) cât și ajustarea obiectivului final

restructurarea organizațională

riscurile aferente derulării proiectului

planurile viitoare și dimensionarea lor financiară (pricing).

Fig. II.1.1.

“PM este o persoană care angajează procesele de management ale proiectului”. Deși aceasta este o definiție simplificată, ea prezintă esența a ceea ce trebuie să fie Project Managerul.

Există trei grupe de abilități pe care un PM trebuie să le aibă pentru a fi eficace:
1.un grup de abilități tehnice (să știe totul despre task-urile din proiect din punct de vedere tehnic)

2.un grup de abilități de Project Management (abilitatea de a crea planificări, și bugete, abilitatea de a implementa și a face managementul sistemului de control al schimbărilor, abilitatea de a implementa și de a face administrarea sistemului de management al riscurilor și abilitatea de a implementa și conduce multe etape din cadrul proiectului și

3.un grup de abilități pentru lucrul cu oamenii (denumite uneori “soft skills” sau “people skills” – printre cele mai importante fiind : abilități de leadership, abilitatea de a anticipa problemele, flexibilitate operațională, abilitatea de a duce lucrurile la bun sfârșit , abilitatea de a negocia, de a convinge și a determina, abilitatea de a înțelege “mediul proiectului”, abilitatea de a revizui, monitoriza și controla, abilitatea de a face management într-un mediu în continuă schimbare (volatil).
Proiectele și Programele ale căror valori sunt mari au nevoie de un project manager cu abilități administrative dezvoltate (planificare și bugetare) dar care să se implice și în celelalte puncte cheie. Proiectele cu un conținut tehnic ridicat, necesită un PM care înțelege toate disciplinele incluse în proiect și care să se poată implica și în proiectarea tehnică sau rezolvarea problemelor tehnice pe care ceilalți le ignoră

Toate proiectele și Programele necesită un PM care trebuie să aibă una dintre cele mai importante abilități: leadership. Calea către succes ar putea fi exprimată foarte simplu prin formula :
Cunoștințe + Experiență + Performanță Personală = Succes

Orice proiect are de parcurs etape constructive și conforme cu normele impuse prin Standardele Naționale și Internaționale Autorizate care sunt menționate în documentația de referință a fiecărui proiect. Deoarece aceste standarde afectează aspectele tehnice ale proiectelor, și este responsabilitatea managerilor de proiect să se asigure că aceste standarde sunt ușor accesibile oamenilor tehnici atunci când aceștia își realizează taskurile.

Variantele organizatorice cu care lucrează managementul prin proiect depind de o serie de parametri: volumul proiectului, originalitatea proiectului, intervalul de timp în care se înscrie a proiectul, numărul și potențialul personalului societății sau structurii organizatorice, distribuția specialiștilor în subdiviziunile organizatorice, caracteristicile climatului de muncă, personalitatea managerului de proiect.

Etapele managementului prin proiecte IT

Fig. II.1.2.

În final se evaluează rezultatele obținute, se compară cu obiectivele proiectului, iar managerul de proiect adoptă conduita motivațională ce se impune, în sensul stimulării sau sancționării celor implicați în derularea proiectului. Se trag concluzii pentru desfășurarea unor activități viitoare în cadrul societății și în cadrul altor proiecte.

După aceasta, colectivul de proiect se dizolvă, specialiștii acestuia reluându-și locul în structura organizatorică a societății.

Avantajele utilizării managementului prin proiecte

Sistemul de management pe bază de proiecte prezintă multiple avantaje, în special raportate la problemele cu un caracter complex și inovațional cu care organizațiile contemporane se confruntă. Experiența a demonstrat că managementul pe bază de proiecte reprezintă cel mai adecvat cadru pentru rezolvarea problemelor de acest tip, dificil de abordat cu ajutorul abordărilor de management de tip clasic

Se pun în evidență următoarele avantaje:

– posibilitatea rezolvării unor probleme complexe, în intervale de timp mult mai reduse comparativ cu versiunea clasică și cu rezultate economice superioare;

– promovarea unei structuri organizatorice de tip matriceal, favorizante schimbării și eficienței organizaționale;

– facilitarea contactelor de specialitate (tehnice, științifice, manageriale) între componenții

echipei de proiect și între aceștia și ceilalți specialiști ai societății respective și ale altor societăți;

– crearea unor premize favorabile pentru formarea de manageri profesioniști.

Managementul prin proiecte reprezintă un cadru dintre cele mai propice pentru descoperirea și

formarea de manageri dinamici, competenți și adaptabili cerințelor unei piețe concurențiale

dinamice și globalizate.

Dezavantajele utilizării managementului prin proiecte

Se pun în evidență următoarele:

– dificultatea selecției managerilor de proiect buni și a convingerii lor să-și asume riscurile impuse de proiect, cât și a riscurilor profesionale pe care acest sistem le impune;

– apariția și manifestarea unor duble subordonări ale specialiștilor implicați în realizarea proiectului, aceasta fiind, de altfel, o limită a organizării de tip matriceal;

– apariția unor fenomene de nesincronizare a componentelor organizatorice specifice managementului prin proiecte;

– apariția de situații conflictuale între compartimentele implicate în realizarea proiectului și componenții colectivului de proiect sau managerul de proiect.

Aceste situații conflictuale se manifestă în legătură cu calitatea specialiștilor și a informațiilor puse la dispoziția colectivului de proiect, precum și cu raporturile derulate pe parcursul realizării proiectului între structura organizatorică formală și structura organizatorică a societății virtuale care utilizează managementul prin proiecte.

II.2. Evaluarea riscurilor proiectelor IT

Securitatea sistemului informatic a crescut în paralel cu dezvoltarea rețelelor. Gradul de expunere la risc are două dimensiuni: una ce provine din surse interne și cealaltă care provine din surse externe. Ambele amenințări pot perturba acuratețea datelor si constituie factori de risc. Administratorii de sistem apără principiile de bază ale securizării sistemului informatic: integritatea, confidențialitatea și disponibilitatea și luptă împotriva furtului și a distrugerii informațiilor. Scopul general al securizării sistemului informatic este de a oferi disponibilitate, integritate și confidențialitate .

Disponibilitatea relevă că informațiile și serviciile sunt accesibile și funcționale.

Integritatea relevă că informațiile sunt complete, corecte și autentice.

Confidențialitatea reprezintă protejarea informației de accesul neautorizat sau de orice interceptare.

Pentru îndeplinirea acestui obiectiv trebuie urmată o tactică profundă de securizare și menținere în stadiu intact a sistemului informatic. Etapele care se întrepătrund în acest context de apărare a sistemului expus la risc se desfășoară astfel:

fig. II.2.1
        Sistemul de fișiere trebuie ales pentru atingerea nivelului maxim de securizare și performanțe.

Din punct de vedere a gradului de rezistență și de vulnerabilitate la “atacurile” virusate trebuie luate în considerare următoarele:

Protecția împotriva virușilor

Virusul este un program, conceput sa călătorească de la un computer la altul, infectând mediul informatic în drumul său. De obicei, infecția se manifestă prin atacarea anumitor clase de fișiere (pe platforma DOS/Windows țintele virușilor sunt de obicei fișierele cu extensia exe sau com). Odată ce virusul a atacat un astfel de fișier, victima devine un risc de securitate. Acel fișier, transportat pe un alt calculator, va infecta alte fișiere. Majoritatea virușilor sunt scriși în limbajul de asamblare, un limbaj low-level, ceea ce explică dimensiunile lor reduse și viteza mare de execuție.
            Protecția împotriva troienilor

 Caii troieni sunt entități statice față de viruși, adică nu călătoresc din calculator în calculator decât în cazul în care fișierul infectat este mutat. Sunt programe plasate în spatele unei aplicații de încredere. Caii troieni realizează funcții neautorizate și ascunse.

Rolul lor este de a trimite e-mail-uri atacatorilor cu parole de pe calculatorul infectat sau de a deschide portițe prin care atacatorul poate controla calculatorul victimă.

Configurarea firewall
           Principalele tipuri de firewall-uri sunt formate din firewall-urile de filtrare și cele de tip intermediar (proxy).
Codificarea datelor
        Principalele două categorii de codificări sunt criptografia simetrică și criptografia cu cheie publică. Criptografia simetrică, denumită și criptografie cu cheie privată, folosește o cheie unică pentru codificarea și decodificarea mesajelor.

Criptografia cu cheie publică utilizează două chei: una pentru codificarea mesajului (cheie publică) și o alta pentru decodificare.

Realizarea copiilor de siguranță
        Copiile de siguranță au un rol foarte important în situațiile de cedare totală a sistemului; atunci când acesta cade și datele devin inaccesibile. Metode pentru realizarea copiilor de siguranță: salvare de siguranță completă; salvare de siguranță incrementală și salvare de siguranță diferențială.

Plan de refacere
        Identificarea datelor sursă pentru funcționarea optimă a unui sector din cadrul unei organizații.

Există o contradicție între tendința naturală de a comunica și conectivitate, pe de o parte, și necesitatea garantării confidențialității, integrității și autenticității informațiilor, pe de altă parte.

Din stabilirea standardelor specifice unui proiectul din domeniul IT de către managerul responsabil cu acestă acțiune, trebuie să rezulte atât obiectivele (deopotrivă cele generale cât și cele particulare ale proiectului), cât și limitele acestuia, toate acestea fiind apoi incluse într-un sistem elaborat de reguli ale proiectului, al cărui grad de respectare va conduce către finalizarea cu succes proiectului.

Analiza rezultatelor finale prevăzute, a cadrului și a acțiunilor proiectului din perspectiva critică a managementului de risc se face, în scopul identificării punctelor vulnerabile ale proiectului.

Fundamentarea strategiilor de management ale riscului și a planului de acține reprezintă repere importante în ceea ce privește implementarea activităților managerului.

Responsabilitățile din cadrul proiectului, se deruleaza conform planului referitor la comunicare sau asupra noilor sarcini introduse în cadrul desfășurării activităților componente ale pachetelor de lucru.

Efectuarea structurii procesului managementului de risc, va fi reluată în metodic la toate nivelurile proiectului de către managerul de proiect. În cadrul acestei ultime faze (care de fapt este și cea mai importantă etapă), managerul de proiect va identifica de la început riscurile majore, urmând apoi ca prin aplicarea și metodei iterațiilor să poată determina riscurile majore ce vor apărea mai târziu în cadrul derulării proiectului.

Indiferent de genul investiției, de calitate sau de sfera de utilizare, planificarea unui proiect respectă aceeași structură de bază.

Analizând esența procesului managerial al riscului, se poate concluziona că pentru orice tip de proiect, aceasta se spijină pe cele trei componenete fundamentale: identificarea riscului, dezvoltarea unei strategii de răspuns la factorii de risc și controlul riscurilor.

Identificare – Căutarea sistematică a factorilor de risc în interiorul proiectului

Dezvoltarea unei strategii de răspuns la factorii de risc – Constă în identificarea fiecărui risc în funcție de tipul și gradul său de gravitate pentru proiect și de a găsi o strategie adecvată de răspuns pentru fiecare caz în parte.

Strategiile de răspuns ar putea suferi modificări în domeniul responsabilităților în cadrul proiectului, a modalităților de comunicare între parteneri, a schimbării obiectivelor proiectului sau a prevederilor ce intervin asupra rezultatelor finale determinate.

Controlul riscurilor – constă în implementarea strategiilor de răspuns și monitorizarea efectelor pe care aceste schimbări le pot aduce în cadrul proiectului.

Strategiile de control ale riscului trebuie însă modificate în raport cu rezultatele pe care le obțin, urmărind uniformizarea tuturor părților implicate în derularea proiectului IT.

Identificarea riscurilor

Reprezintă stadiul de debut din cadrul managementului riscului, fiind, suportul principal al întregului proces. Pentru un manager de profil, identificarea riscurilor reprezintă practic rezultatul unui complex de factori: aptitudini deosebite, experiență relevantă în domeniu a persoanei implicate în astfel de activități și nu în ultimul rând arta acestuia de a putea utiliza cu succes tehnicile specifice de management.

În cadrul identificării riscurilor IT sunt cunoscute în cadrul teoriei moderne, patru categorii distincte:

1.Realizarea unei liste a riscurilor posibile.

2.Realizarea unui profil de risc

3.Stabilirea riscurilor pe baza experiențelor precedente

4.Compararea riscurilor cu cele survenite în cadrul proiectelor similare

Tehnici de identificare a riscurilor

Vor fi identificate modalitățile prin care fiecare dintre cele patru categorii distincte contribuie la procesul de identificare al riscurilor:

Realizarea unei liste a riscurilor posibile are la bază ideea consultării tuturor persoanelor implicate în derularea unui proiect, asupra factorilor care ar putea contribui într-un mod direct sau indirect la influențarea negativă a activităților sau rezultatelor proiectului analizat.

Modalitățile principale prin care un manager intră în contact cu ideile partenerilor din Consorțiu asupra posibilelor riscuri ce pot plana asupra proiectului sunt: sesiunile de brainstorming și interviurile.

Sesiunile de brainstorming reprezintă metodele cele mai uzuale și prin care se fructifică tot mai multe idei originale de combatere a riscurilor posibile ce pot perturba securitatea derulării optime a unui proiect IT. În acest sens se folosesc două metode complementare, distincte.

Prima tehnică se referă la creearea unui liste care să cuprindă idei cât mai reprezentative în privința riscurilor ce pot apărea în proiect, cea de-a doua tehnică abordează un mix al riscurilor asemănătoare și distribuirea lor în funcție de amploare și șansele de a se produce. Urmează îndepărtarea riscurilor ce presupun o posibilitate măruntă de a se produce și care influențează în mod nesemnificativ desfășurarea proiectului IT.

Interviurile individuale cu persoanele implicate în cadrul proiectului IT analizat, presupun existența unei sistematizări precise în comparație cu sesiunile de brainstorming, deoarece în cadrul unei astfel de tehnici sunt în general utilizate seturi de întrebări speciale menite să vină în ajutorul cristalizării unei opinii a persoanei intervievate.

În abordarea acestor metode de bază în recunoașterea riscurilor de către managerii de proiect, un rol important îl are înregistrarea tuturor opiniilor persoanelor implicate în mod direct în cadrul proiectului.

În vederea dobândirii unei viziuni panoramice asupra acestei probleme, vor participa la sesiunile de brainstorming și interviuri: personalul implicat în conducerea operativă a proiectului, sponsorii, partenerii din cadrul Consorțiului, subcontractorii, beneficiarii direcți ai produselor finale ale proiectului, persoane care au mai participat în cadrul unor programe similare.

Utilizarea profilului de risc – este utilă în general atunci când managerii pot folosi experiența acumulată în cadrul unor proiecte precedente, pentru a identifica factorii de risc specifici ce se regăsesc și în structura proiectului în care sunt sunt implicați. În esență profilul de risc se identifică pe baza utilizării unui chestionar care se adresează principalelor zone de incertitudine existente în cadrul unui proiect de investiții: echipa de proiect, clienții și tehnologia utilizată.

Stabilirea riscurilor ce pot surveni în derularea activităților și a bugetului proiectului

Managementul riscului contribuie prin structura sa la detalierea activităților planificate, funcționând însă și reciproca acestei situații, adică detalierea activităților reprezintă o oportunitate de a identifica riscurile.

Pentru realizarea unui analize în detaliu pentru fiecare activitate componentă a unui pachet de lucru, este necesară realizarea unei planificări și estimari a bugetului, de cele mai multe ori acestea fiind dificil de realizat datorită existenței factorilor de incertitudine.

Diminuarea riscurilor pe întregul proiect este de fapt o sumă de reduceri ale riscurilor pentru fiecare activitate independentă cuprinsă în cadrul unui pachet de lucru, prin identificarea unei strategii adecvate pentru fiecare nivel de desfășurare al proiectului.

În general riscurile identificate la nivelul activităților și prognozei bugetare, afectează în general părți mici ale proiectului de investiții, acesta neconstituind însă un motiv pentru a nu acorda o importanță deosebită acestui capitol, deoarece, riscurile mici în condiții speciale devin critice conducând către efecte catrastofale.

Dezvoltarea unei strategii de răspuns în condiții de risc

În funcție de tipul riscurilor, precum și a intensității de manifestare a acestora, pot conduce către efecte devastatoare în cadrul unui proiect (în general în cazul omiterii lor sau datorită abordării unei strategii manageriale inadecvate), sau a căror prezență poate fi pur și simplu neglijată.

Identificarea tipului precum și a magnitudinii unui risc, în scopul evidențierii celor două tipuri de categorii mai sus prezentate, cade în sarcina managerilor de proiect. Aceștia trebuie să găsesească în funcție de situație și o strategie de gestionare a riscurilor, numită în terminologia de specialitate – dezvoltarea unei strategii de răspuns, care indiferent de structura acesteia conține trei componente distincte:

Definirea riscurilor, incluzând și identificarea gravității acestora în condițiile unui impact

negativ – Experiența în derularea unor activități de manageriale demonstrează că descrierea în mod riguros a unor factori de risc presupune o înțelegere foarte bună a naturii acestora.

Asimilarea factorilor probabilistici adecvați în evaluarea riscurilor

Dezvoltarea unei strategii adecvate bazate pe analiza primelor două componente, în scopul reducerii la minim a efectelor negative asupra proiectului.

Strategii de reducere a riscurilor După definirea riscurilor și estimarea lor probabilistică, principala problemă a managerilor a fost de a găsi strategiile optime de răspuns pentru reducerea riscurilor în cadrul proiectelor IT.

Riscul ca factor de analiză al proiectului. A controla riscul înseamnă a-l înțelege, a-l putea cuantifica și a-i conștientiza consecințele. Având în vedere aceste trei aspecte majore de-a lungul timpului s-au format și diversificat teorii din ce în ce mai sofisticate legate de identificarea riscurilor, măsurarea lor și elemente de teorie ale deciziei.

Schema actului decizional de asumare a riscurilor, poate prezenta la nivel general următoarea formă:

Fig. II.2.2

Indiferent de aptitudinile sau cunoștințele profesionale ale unui manager, acesta nu va putea identifica absolut toți facorii de risc existenți pentru un proiect, cu atât mai mult rezultând imposibilitatea de a-i gestiona. Este necesar a cunoaște și gestiona principalii factori de risc capabili să conducă într-un final la nerealizarea obiectivelor proiectului, deci la eșecul său.

Pentru a putea separa factorii în funcție gradul de expunere la risc: mai mare sau mai mic, este necesară o cunoaștere profundă a acestora și a pericolului consecințelor pe care le-ar avea producerea efectelor lor.

Principalele 10 riscuri majore:

1) Cerințe incomplete asupra proiectului

2) Insuficienta implicare a partenerilor în cadrul derulării proiectului

3) Resurse insuficiente

4) Estimări nerealiste aupra rezultatelor proiectului

5) Insuficiența suportului executiv

6) Schimbarea cerințelor și specificațiilor în timpul derulării proiectului

7) Insuficienta planificare a activităților

8) Eliminarea elementelor esențiale pentru proiect

9) Management defectuos

10) Suport tehnologic precar, pentru optima desfășurare a proiectului

Astfel, principalul set de măsuri întreprinse de către manager trebuie să se focalizeze pe următoarele aspecte:

1) Identificarea zonelor de risc și a componentelor factorilor de risc pentru fiecare zonă

2) Structurarea factorilor de risc identificați și definirea probabilității de apariție a unui pericol

potențial

3) Gestionarea optimă a resurselor proprii în scopul reducerii factorilor de risc

4) Identificarea și analiza alternativelor posibile pentru reducerea factorilor de risc

5) Selectarea celor mai bune alternative pentru fiecare factor de risc

6) Implementarea în cadrul unui plan de acține a alternativelor selectate pentru fiecare categorie de factori.

7) Obținerea unui feedback în scopul identificării acțiunilor de succes de reducere a riscului pentru fiecare factor de risc

Unul dintre cele mai importante aspecte pentru managerii de proiect îl constituie, delimitarea foarte bună a zonelor de risc în elaborarea unui proiect de investiții, în scopul de a măsura, controla și prevedea consecințele riscurilor asumate în scopul realizării optime a tuturor obiectivelor proiectului de investiții.

II.3. Planul de implementare tehnologică a rezultatelor proiectelor IT

Supravegherea atentă a realizării unui proiect IT determină analiza în paralel a valorilor realizate cu cele planificate. Managerul de proiect trebuie să înțeleagă și cauza abaterilor constatate, pentru a putea lua măsurile benefice.

Pot exista mai multe cauze:

utilizarea unor mijloace nefavorabile,

relevarea subită a unor medii neprielnice,

acceptarea necontrolată a modificărilor.

Una dintre cele mai frecvente cauze este însă estimarea defectuoasă a efortului, duratelor și costurilor activităților.  

Procesul de estimare este o artă și-n același timp o știință. Din momentul în care se pot desprinde tehnici de estimare corecte, va fi posibilă orientarea spre latura științifică a procesului de estimare și apelarea minimă la cea artistică.

Un manager de proiect își poate îmbunătăți continuu abilitățile de estimator, dar niciodată nu va putea fi perfect. De fapt, prima oară când se poate cunoaște cu certitudine costul și durata unui proiect este imediat ce proiectul este finalizat. Există multe aspecte ale estimării care trebuie analizate.  

Cele mai frecvente erori apărute în procesul de estimare: 

Ignorarea unor activități.

Aceasta reprezintă o temă comună, ce are un grad mare de aplicabilitate în special în estimările preliminare, de ordin general. Se pot neglija activități importante, care nu au fost considerate ca făcând parte din proiect, cum ar fi cercetarea si formarea utilizatorilor. Se pot omite activități necesare pentru finalizarea proiectelor IT.  

Excesul de optimism.

Poate exista o constrângere din partea clientului pentru a obține o estimare cât mai favorabilă. În cele din urmă, clientul va vrea să obțină tot ce-și dorește cu un efort (și cost) minim. În multe cazuri, există o tendință din partea estimatorului de a se lăsa prins în această capcană. Estimatorul sfârșește prin a-și dori ca activitatea să se finalizeze în limita așteptărilor clientului și reflectă această tendință în aprecierile pe care le realizează.  

Cel mai optimist scenariu.

Clientul dorește totul într-un timp foarte restrâns. Sponsorul, de asemenea, vrea ca totul să se finalizeze cât mai curând. Managerul de proiect poate împărtăși această dorință. Aici încep însă problemele, pentru ca managerul de proiect realizează estimările presupunând că toate activitățile se vor derula conform planului. Deși de multe ori se pornește de la un domeniu de valori pentru estimarea activității, în final se alege valoarea cea mai mică, presupunând că totul se va derula conform celui mai optimist scenariu.  

Tendințele optimiste vor rezulta în subestimarea activităților și pot include:

Tendința de a crede că activitatea este simplă. 

Tendința de a supraevalua capacitatea echipei. 

Ignorarea riscurilor proiectului, problemelor, lipsei de comunicare

Estimările optimiste vor duce la supraestimarea activității și pot include: 

– Supraestimarea activităților datorită unor experiențe nefavorabile cu un proiect similar în trecut.

– Supraestimare datorită lipsei de angajament pentru finalizarea proiectului.

– Înclinația către un pesimism exagerat.

Exploatarea cu succes a rezultatelor proiectului sunt în interesul tuturor participanților la proiect și servesc la obținerea de beneficii economice, tehnologice și sociale ale consorțiului proiectului și structurii socio-politice din care fac parte partenerii proiectului. Realizarea cu succes a unui proiect reprezintă primul pas spre o posibilă comercializare, drept pentru care este necesară o planificare detaliată a posibilităților de exploatare a rezultatelor.

De aceea, unele organisme finanțatoare obligă partenerii proiectului să întocmească Planul de Implementare Tehnologică (TECHNOLOGICAL IMPLEMENTATION PLAN) la începutul sau la sfârșitul proiectului.

Acesta reprezintă specificația de exploatare (exploatation) a rezultatelor proiectului, așa cum propunerea de proiect și contractul de finanțare au reprezentat specificația pentru activitatea de cercetare-dezvoltare. El nu se referă doar la aspectele tehnice ale rezultatelor ci și la potențialul de exploatare a rezultatelor (deliverables, project outputs) generate de proiect și modalitățile de exploatare a acestui potențial (dezvoltare industrială, standarde, norme și reglementări, implicații asupra mediului, sănătății, condițiilor de muncă, șomaj, beneficii economice prin proiecte noi, contracte de licență, contracte de producție, contracte de marketing, de franciză, joint venture).

Un Plan de Implementare Tehnologică bine întocmit este cea mai bună cale de a demonstra finanțatorului și partenerilor valoarea rezultatelor proiectului. El reprezintă un instrument standard care descrie și detaliază activitățile planificate și rezultatele așteptate, precum și legăturile dintre acestea și obiectivele selectate.

Dacă o altă organizație, din afara parteneriatului, va exploata rezultatele, publicitatea este un factor cheie în diseminarea acestora (ofertă tehnologică multi-media, publicații scrise). Planul de Implementare Tehnologică nu este un raport static, el este un document activ, care trebuie completat încă de la inițierea proiectului și actualizat permanent.

Crearea condițiilor pentru o dezvoltare socio-economică durabilă și pentru îmbunătățirea permanentă a calității vieții reprezintă adevărata valoare a rezultatelor unui proiect. Exploatarea acestora, fie direct de către partenerii proiectului, fie de către alte organizații, prin diseminare (dissemination) și publicare, este cea mai importantă obligație a contractorilor. Planul de Implementare Tehnologică, într-o formă clară, permite contractorilor să arate cum își onorează această obligație și permite finanțatorului (Autorității Contractante) să obțină informațiile necesare pentru a realiza evaluările și comparațiile interne.

Planul de Implementare Tehnologică conține patru părți:

Partea 1: un rezumat al rezultatelor proiectului, rezumat întocmit de către conducătorul de proiect (category of results);

Partea 2: un rezumat confidențial, întocmit de fiecare partener, în care sunt descrise

modalitățile de exploatare a rezultatelor proiectului în interiorul organizației lor (planuri de afaceri, patente, proiecte tehnice). Rezumatul este păstrat de către finanțator.

Partea 3: o descriere întocmită de fiecare partener, asupra rezultatelor proiectului disponibile terților (rezultate ce pot fi “văzute”, “atinse”, “utilizate”, “experimentate”, “înțelese”). Informațiile sunt diseminate de către finanțator.

Partea 4: un rezumat al efectelor obținute (valoarea adăugată) prin proiect (impacts), ca întreg, întocmit de conducătorul de proiect (contribuțiile proiectului la rezolvarea problemelor

impuse de finanțator, la dezvoltarea cooperării internaționale, la utilizarea resurselor disponibile ale colectivității).

Părțile 1 și 4 sunt întocmite și centralizate de către conducătorul de proiect. Partea 3 este întocmită, individual, de către fiecare partener și centralizată de către conducătorul de proiect.

Partea 2 este, de asemenea, întocmită de fiecare partener, dar, fiind confidențială, este centralizată de conducătorul de proiect sau trimisă direct de fiecare partener finanțatorului.

Părțile 1 și 4 reprezintă, imperativ, rezumatul proiectului. Părțile 2 și 3 sunt în concordanță cu rezultatele exploatabile generate de proiect și cu modalitățile de exploatare ale acestora de către toți partenerii implicați în exploatarea acestor rezultate.

Toate proiectele sunt obligate, prin contract, fie să exploateze rezultatele proiectului

(deliverables, RTD results), fie să publice rezultatele disponibile cu respectarea dreptului de

proprietate intelectuală pentru a fi exploatate de alții.

Pentru părțile 2 și 3, pentru publicarea fiecărui rezultat, trebuie încheiată o minimă formă contractuală.

Momentul în care se întocmește Planul de Implementare Tehnologică este determinat de fiecare Autoritate Contractantă care finanțează proiectul. Unii finanțatori pot cere întocmirea planului chiar de la începutul proiectului și, apoi, o revizuire la jumătatea derulării lui și la finalizarea acestuia. Altele pot cere planul, conform obligațiilor contractuale, la 2 luni de la finalizarea proiectului.

III METODOLOGII DE PROJECT MANAGEMENT

III.1 Considerații privind metodologiile de project management

Managementul Proiectelor ca știință și profesie se caracterizează printr-o dezvoltare cum puține domenii beneficiază. În condițiile în care mediul economic devine tot mai stabil și mai competitiv, din ce în ce mai orientat pe proiecte, aplicarea celor mai noi metodologii de managementul proiectelor și a celor mai bune practici devine vitală pentru orice organizație.

Planificarea și controlul eficient al proiectelor IT impun ca informațiile privind scopul, desfășurarea în timp, resursele, finanțarea și riscurile asociate să fie integrate.

Metodele și instrumentele de măsurare a performanțelor proiectului trebuie să:

Furnizeze managerilor informații de încredere privind stadiul proiectului luând în considerare nu doar performanțele ci și riscurile și incertitudinile acestuia;

Motiveze managerii de proiect să realizeze cel mai devreme acele activități care au cel mai mare risc, conducând prin aceasta la minimizarea costurilor.

Success Driven Project Management este o metodologie de planificare, de management a costurilor și de control a proiectelor ce se bazează pe un set de indicatori de măsurare a performanțelor proiectelor și de previzionare a succesului acestora și care integrează scopul, timpul, costul, resursele și managementul riscului.

Spre deosebire de metodologia consacrată deja de Project Management Institute – PMBoK Guide, Success Driven Project Management include un grup suplimentar de procese, care are ca obiectiv Analiza Proiectului și se bazează pe un set de instrumente și proceduri care se focalizează pe managementul resurselor, managementul financiar, managementul riscurilor și managementul de portofoliu.

SDPM este singura metodologie care a introdus conceptul de Volum de Activitate care împreună cu productivitatea resurselor se corelează cu planificarea resurselor, estimarea costurilor, planificarea achizițiilor, desfășurarea în timp, bugetarea costurilor și elaborarea planului proiectului.

Aplicarea teoriei clasice a Analizei Drumului Critic în stabilirea desfășurării în timp a proiectului și a Drumului Critic este valabilă doar în condițiile în care se consideră că resursele acestuia sunt nelimitate.

Mediul în care se desfășoară proiectele este însă presărat de constrângeri: resursele umane sunt limitate, resursele financiare sunt planificate. Aceasta face necesară reevaluarea analizelor prin prisma constrângerilor de resurse, în care conceptul de rezervă de timp a activităților trebuie legat de rezerva de timp a resurselor, conducând la adevăratul drum critic, numit Drumul Critic al Resurselor și reprezentând o generalizare a Teoriei Lanțului Critic.

Simularea riscurilor se poate baza pe simularea Monte Carlo sau pe utilizarea abordării celor trei scenarii. Aceasta conduce la definirea și utilizarea unui nou concept, Probabilitatea la Succes a Proiectului. Starea de “sănătate” a proiectului nu se mai urmărește doar prin parametrii Analizei Earned Value, care în multe situații poate să conducă la decizii eronate.

Cel mai bun mijloc de măsurare a performanțelor proiectului îl reprezintă estimarea probabilității la succes a parametrilor țintă aprobați ai proiectului.

fig. III.1.1.

Probabilitatea de a obține succes în derularea proiectului se poate modifica datorită rezultatelor performanțelor, modificării scopului proiectului, modificării costurilor, modificării riscurilor sau modificării resurselor. Astfel, tendința probabilității de atingere a succesului reflectă nu doar rezultatele performanțelor proiectului, dar și efectele ambientale produse.

Toate aceste concepte și tehnici sunt incluse într-unul din cele mai cuprinzătoare și performante instrumente integrate de managementul proiectelor, Spider Project, care determină gestionarea mai eficientă, mai repidă și cu costuri cât mai reduse a proiectelor IT.

Factorii care determină eșecul unui proiect sunt mai degrabă legați de aspecte de management, decât de probleme tehnice. Abilitățile manageriale sunt astfel decisive, iar alegerea managerului de proiect poate deveni factorul determinant al reușitei unui proiect.

Pentru înțelegerea rolului unei metodologii de management de proiect, este suficientă trecerea în revistă a câtorva din motivele cele mai citate de autori, atunci când se analizează eșecul proiectelor: planificare deficitară, resurse inadecvate, lipsa susținerii managementului, obiective neclare, comunicare deficitară, definire deficitară a rolurilor și a responsabilităților, conflicte între membrii echipei de proiect, schimbări în sfera de cuprindere a proiectului, ignorarea riscurilor, așteptări  nerealiste.

O definiție plastică a unei metodologii de project management este următoarea: "Project Management-ul este precum Codul Rutier. Toată lumea ar putea circula fără el, dar ar fi o aventură să ajungi de la punctul de plecare la cel de destinație”.
Este important de sesizat faptul că nici unul dintre aceste motive nu este de ordin tehnic, ci mai degrabă organizatoric și metodologic. Aceste observații au stat la baza creării metodologiilor de project management moderne. 

Componentele unei metodologii standardizate de management de proiect sunt:

Business Case – reprezintă justificarea proiectului;

Organizare – rolurile din cadrul echipei de proiect, modalități de comunicare și de raportare;

Planuri – descriu livrabilele care trebuie obținute, activitățile necesare pentru a crea aceste livrabile, identifică resursele și timpul necesar pentru toate aceste activități (inclusiv controlul de calitate), precum și caracteristicile acestor resurse; identifică dependențele între activități, precum și dependențele externe;  stabilesc punctele de monitorizare și de control al progresului, momentele de început și de sfârșit ale tuturor activităților;

Mijloacele de control – definirea toleranțelor (timp, cost); descrierea proceselor; autorizarea pachetelor de lucru; controlul de calitate; managementul problemelor proiectului; controlul schimbării; întreținerea registrului de riscuri; planificarea și replanificarea activităților; evaluarea la sfârșit de etapă.

Managementul riscului – identificarea și definirea riscurilor, evaluarea probabilității de apariție și a impactului probabil;

Managementul calității – identificarea caracteristicilor produselor sau serviciilor și a acțiunilor ce trebuie întreprinse pentru ca acestea să satisfacă nevoile clientului și standardele de calitate;

– Managementul configurației proiectului – asigură urmărirea și menținerea controlului livrabilelor proiectului; oferă un sistem pentru înregistrarea, urmărirea și gestionarea problemelor;
– Managementul schimbării – evaluarea impactului pe care o schimbare potențială îl poate produce, importanța, costul și decizia de implementare a schimbării.

Avantajele utilizării unei metodologii

Abordarea metodologică a proiectelor este fundamentală, deoarece metodologia:
– este construită pe baza experiențelor anterioare din proiecte;
– ajută la evitarea repetării greșelilor trecutului;
– îmbunătățește performanța, productivitatea și calitatea serviciilor de management de proiect;
– crește încrederea clientului în finalizarea cu succes a proiectului;
– poate fi folosită ca avantaj competitiv, în scopul diferențierii de concurență;
– ajută la standardizarea abordării proiectelor și este catalizatorul acumulării de experiență în cadrul organizației.

Este fundamental să se înțeleagă faptul că abilitățile pe care trebuie să le aibă un Project Manager sunt diferite de cunoștințele tehnice necesare proiectului, iar aceste abilități se dobândesc prin cărți și studiu (în mică măsură), experiență, imitare și talent.

Câteva din zonele în care un Project Manager trebuie să fie competent, sunt:

1. Comunicare:
– deoarece aprox. 90 % din timpul unui Project Manager este dedicat comunicării prin întâlniri și ședințe, documente, exprimarea cerințelor;
– arta comunicării vine din experiență și prin practică.

2. Management financiar (buget)
– bugetul aprobat trebuie controlat;
– munca depusă trebuie cuantificată și plătită corect;
– resursele financiare trebuie planificate;
– responsabilitatea este împărțită cu Directorul Financiar al firmei.

3. Organizarea proiectului IT
– este o abordare sistematică de stocare și de configurare a informației atunci când este nevoie de aceasta, evitând astfel timpul și resursele pierdute datorită lipsei informației.

4. Abilități de negociere
– Project Managerul trebuie să aibă abilitatea și prestanța de a negocia cu Furnizorii, cu Clientul și cu Propriul management.

5. Conducerea echipei (leadership)
– reprezintă abilitatea de a crea o conexiune între Project Manager și restul echipei care să le insufle dorința de a reuși în atingerea scopului proiectului IT.

III.2. Metodologia SCRUM

Necesitatea apariției acestei metodologii a fost evidențiată de următoarele aspecte: sporirea complexității activității firmelor, extinderea managementului proiectelor, necesitatea gestionării optime a unui proiect, modul perimat de analiză bazat doar pe paradigma comandă-control, cerințele neînțelese la începutul proiectului, modificările apărute pe parcurs, adăugarea de noi instrumente și tehnologii.

Metodologia SCRUM este un model agil de management al proiectelor dar poate fi considerată și un produs finit bine delimitat în timp și totodată, poate fi un proces de lucru deschis către client și dispune de:

experiență, formare, spirit și inteligență;

gestionarea naturală a proiectului

evitarea practicilor tradiționale greoaie în proiectele complexe

scurtarea buclei de feedback

necesitatea descentralizării în cadrul proiectelor medii și mari.

Necesitatea proiectelor este remarcabilă datorită creșterii masive a gradului de inovare, amplorii managementului proiectelor ce susține competiția economică, a integrării proiectelor în cultura organizațională a întreprinderilor.

Proiectele reprezintă instrumente pentru dezvoltarea a proceselor complexe

Procesul clasic se desfășoară astfel:

Fig.III.2.1

Structura și cultura organizațională se referă la:

Înlocuirea departamentelor funcționale cu echipa de proiect și o structură matricială;

Unitatea centrală a abordărilor și metodologiilor;

Managerul de proiect

Cultura explicit orientată spre procese complexe;

Cultura bazată pe entități temporare;

Valorile organizației, normele, procedurile legate de proiect

Dezvoltarea proiectelor complexe implică intelectul, cerințele, interconexiunile și oamenii. Se caracterizează astfel:

Se comportă imprevizibil;

Gradul de precizie este peste medie;

Necesită aplicarea unui control empiric al procesului (vizibilitate, control, adaptare);

Interacțiunea între lucruri și procese complexe care duc la nivel foarte înalt de complexitate.

Stadiul multilateral indică trei dimensiuni: cerințe, tehnologie și oameni. Oamenii reprezintă latura cea mai riscantă.

Scheletul și inima Scrum

fig. III.2.2

Iterația relevă repetarea activității de dezvoltare.

Inspecția zilnică se desfășoară atunci când membrii echipei se întâlnesc zilnic pentru a inspecta activitățile și pentru a face corecturile necesare.

Cei care au Roluri Scrum

Proprietarul Produsului (Product Owner)

Reprezintă interesele stakeholderilor;

Asigură finanțarea;

Dezvoltă lista de cerințe (Product Backlog) și prioritățile

Echipa

Dezvoltă funcționalități;

Auto-condusă, auto-organizată și interfuncționlă

Scrum Master-ul reprezintă managerul de proiect a unui proces Scrum și este responsabil pentru înțelegerea procesului și a practicilor Scrum.

Stakeholderi sunt cei care au legătură cu proiectul

Procesul de lucru se referă la următoarele etape:

Dezvoltarea proiectului se face în iterații

Proprietarul produsului dezvoltă Product Backlog

La începutul sprintului are loc ședința de planificare a Sprintului

Ședința zilnică de 15 minute (Daily Scrum)

La finalul sprintului are loc întâlnirea de revizuire a Sprintului

Întâlnirea retrospectivă a echipei

Artefactele Scrum

Caracteristicile unui Product Backlog

Este dezvoltat de Proprietarul Produsului

Se află în continuă dezvoltare

Diagrama Burndown face referire la

Volumul de muncă rămas în funcție de timp

Coliziunea realității cu planificarea

Sprint Backlog

Cerințele transformate în sarcini în cadrul unui Sprint

Gestionare unităților de timp

Incrementarea potențialului de funcționalitate

Crearea unui produs la finalul sprintului care poate fi utilizat

Responsabilitățile managerilor

Scrum Master-ul

Ocupă poziția managerului de proiect

Responsabil cu gestionarea procesului Scrum

Definește practicile, întâlnirile și terminologia

Proprietarul produsului

Se concentrează pe ROI

Gestionează Product Backlog

Echipa

Echipa se auto-gestionează

Selectează cerințele ce vor fi implementare și le duce la bun sfârșit

Motivele pentru care se poate opta pentru metodologia Scrum în cadrul proiectelor:

Rareori proiectele nu depind de condițiile externe

Proiectele sunt adaptate pentru fiecare client în parte

Abordarea agilă permite o reacție rapidă la schimbări

Adaptare vizibil crescută fără pierderi de timp și resurse

Rezultate vizibile periodic (în fiecare iterație)

Produs iterativ de o calitate înaltă

Membrii echipei beneficiază de apropierea naturală a echipei, lucru care stimulează motivația

Lărgirea domeniului de expertiză a membrilor echipei

Provocările apărute

În acest context procesele și uneltele sunt înlocuite de individ și de interacțiunile specifice, software-ul funcțional și colaborarea cu clientul vor înlocui documentația amplă și contractul fix negociat. Planul neschimbat va suporta modificările de rigoare devenind maleabil.

Prin metodologia și prin valorile Scrum, managerul de proiect are un rol redefinit și modelat la dinamica specifică proiectului.

Caracterizarea Metodei Scrum:

Scrum este un model agil dual de gestionare a proiectelor

Practicarea, normele și artefactele sunt ușor de manipulat și de gestionat

Simplitate înșelătoare

Necesită schimbarea gândirii clasice

Proiectele nu sunt descrise în detaliu la începutul lor dar Scrum poate ghida proiectul spre rezultat

Ajustările sunt foarte ușor de implementat

Membrii echipei sunt mai implicați

Rezultatele vizibile: productivitate, stres diminuat, feedback rapid, reduce perioadele de așteptare

O echipă bine organizată prezintă o garanție a eficienței pe termen lung si primează în fața uneia care se bazează pe vechea metodologie ce răspunde cu acuratețe în medii de comandă si control.

CONCLUZII

Sistemele informatice sunt amenințate atât din interior cât și din exterior. Pot fi persoane bine intenționate care fac diferite erori de operare sau persoane rău intenționate, care sacrifică timp și bani pentru perturbarea sistemelor informatice. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare dar și anumite defecte ale echipamentelor de calcul sau de comunicație. De asemenea, lipsa unei pregătiri adecvate a administratorului, operatorilor și utilizatorilor de sisteme amplifică probabilitatea unor fisurări de securitate.

Utilizarea arbitrară, necontrolată, a unor sisteme (piraterie informatică) reprezintă, de asemenea, unul din factorii importanți de risc privind securitatea sistemelor informatice.

În țările dezvoltate, hârtia s-a transformat într-un un intermediar de expunere a informațiilor dar nu și de stocare sau de transmitere a lor. Aceste ultime două funcții au fost preluate de calculatoare și de rețele de interconectare a acestora. De aceea au trebuit să fie găsite soluții pentru înlocuirea sigiliilor, ștampilelor și semnăturilor olografe din documentele clasice cu variantele lor digitale, bazate pe criptografia clasică și cu chei publice. Criptografia în domeniul computerelor este tot mai folosită pentru contracararea problemelor de securitate informatică. Utilizată multă vreme doar pentru asigurarea confidențialității comunicațiilor militare și diplomatice, criptografia a cunoscut în ultimii 20 de ani progrese spectaculoase, datorate aplicațiilor sale în securitatea datelor la calculatoare și rețele.

Ameliorarea securității sistemelor informatice trebuie să fie un obiectiv important al oricărei organizații.Trebuie însă avută în vedere asigurarea unui bun echilibru între costurile aferente și avantajele concrete obținute. Măsurile trebuie să descurajeze tentativele de pătrundere neautorizată, să le facă mai costisitoare decât obținerea legală a accesului la aceste programe și date.

OCED (Organization of Economic Cooperation and Development) este unul din organismele internationale preocupate de domeniul protecției datelor cu caracter personal, securității sistemelor informatice, politicii de cifrare și al protecției proprietății intelectuale.
În ceea ce privește protecția datelor cu caracter personal, OECD a elaborat în anul 1985 Declarația cu privire la fluxul transfrontarier al datelor.

Ideea fundamentală era de a se realiza, prin măsuri juridice și tehnice, controlul direct individual asupra datelor cu caracter personal și asupra utilizării acestora.

Eforturile actuale sunt dirijate către realizarea unui cadru internațional în ceea ce privește viața personală și autonomia individuală a persoanelor (libertatea de mișcare, libertatea de asociere și drepturile fundamentale ale omului).

În vederea diminuării riscurilor de securitate în utilizarea și administrarea sistemelor IT, strategia pe ansamblu (security in depth), s-a dovedit a fi cea mai eficientă. Aceasta presupune evaluarea pe ansamblu a infrastructurii IT și clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de măsuri, fie pentru reducerea expunerii la acele riscuri (mitigation), fie pentru reducerea impactului odată ce riscul s-a produs (contingency).

La polul opus se află abordarea strategică, a implementării unui sistem tipic de securitate, de exemplu antivirus sau intrusion detection. Deși aceste sisteme sunt foarte utile în cadrul ariei specifice de aplicabilitate, această abordare lasă descoperite alte zone cu posibile breșe de securitate. Foarte multe companii cad în greșeala de a investi mult în astfel de sisteme, fără însă a avea o strategie de securitate cap-coadă.

Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizată, menținerea la zi a sistemelor din punct de vedere al patch-urilor și fix-urilor, aplicarea unor configurări standard de securitate pe toate serverele și stațiile de lucru, în funcție de rolul funcțional al acestora, proceduri standard de utilizare și administrare.

Securitatea privită doar prin prisma problemelor tehnologice conferă un spectru limitat si ușor de depășit al riscurilor din ce în ce mai evoluate. Un sistem care nu a fost instalat și configurat corespunzător, care nu e menținut la zi cu patch-urile sau pentru care nu se respectă niște proceduri simple de utilizare și administrare, nu poate fi un sistem sigur.

Securitatea trebuie să fie o premisă constitutivă a sistemului. Un sistem sigur este unul bine conturat, implementat, aplicat și condus. Investind în securitate se vor putea dobândi sisteme IT eficiente și greu de manipulat în scop negativ, în care riscurile vor fi la nivel minim.

BIBLIOGRAFIE