Analiza ryzyka wdrażania outsourcingowych usług IT

Głównymi celami przedstawionej pracy, było stworzenie skalowalnej metodyki analizy ryzyka podczas outsourcingu usług informacyjnych i informatycznych oraz przedstawienie praktycznego wymiaru analizy dostawców. Praca ta składa się z trzech części. W pierwszej części została przedstawiona charakterystyka outsourcingu jako metody dostarczania usług IT z naciskiem na ryzyko wprowadzania usługodawców. Zostały przedstawione dwie dominujące metodyki analizy ryzyka oraz poddane zostały analizie trendy i zagrożenia dla organizacji.Druga cześć pracy została poświęcona autorskiej metodyce analizy ryzyka podczas procesu outsourcingu usług IT. Przedstawione zostały najważniejsze elementy i główne zagadnienia łatwo skalowalnego procesu analizy dostawców zawierającego klasyfikację informacji, metodykę analizy ryzyka, rodzaje analiz – nowe usługi, przegląd cykliczny, minimalne wymagania, ścieżkę doboru kwestionariusza.Trzecia i ostatnia część pracy zawiera praktyczny wymiar i próbę zastosowania przedstawionej metodyki analizy ryzyka dostawców usług informacyjnych i informatycznych. Przeanalizowane zostały cztery usługi, system płatności mobilnych, usługę rejestrowania problemów do zarządcy budynku oraz platformę zewnętrzną przetwarzającą informacje organizacji poza jej wewnętrznymi systemami informacyjnymi.

Main goal of the presented thesis was to create the scalable easy to use vendor risk assessment program. The thesis was divided in three logical parts.First part is short analysis of the outsourcing of information technology services, qualitative and quantitative risk analysis, review of current threat landscape and pre-dominant issues when outsourcing IT.Second part is a proposed methodology of vendor risk assessment, including risk analysis method, types of the vendor risk assessment, questionnaire tree and information classification levels.Last part is test of the methodology based on four different types of exercises. That includes new vendor analysis, cyclical review of the already performed review and extension of existing non-information specific service with the external information management system.