Managing risk in information technology

As   information   technology   increasingly   falls   within   the   scope   of   corporate 

governance, so management must increasingly focus on the management of risk to the 
achievement of its business objectives.
There   are   two   fundamental   components   of   effective   management   of   risk   in 
information and information technology: the first relates to an organization’s strategic 
deployment of   information  technology  in  order to achieve  its  corporate  goals, the 
second   relates   to   risks   to   those   assets   themselves.   IT   systems   usually   represent 
significant investments of financial and executive resources. The way in which they 
are   planned,   managed   and   measured   should   therefore   be   a   key   management 
accountability, as should the way in which risks associated with information assets 
themselves are managed
Clearly,   well   managed   information   technology   is   a   business   enabler.  Every 
deployment   of   information   technology   brings   with   it   immediate   risks   to   the 
organization and, therefore, every director or executive who deploys, or manager who 
makes any use of, information technology needs to understand these risks and the 
steps that should be taken to counter them. 
ITIL,   the   Information   Technology   Infrastructure   Library,   has   long   provided   an 
extensive collection of best practice IT management processes and guidance. In spite 
of   an   extensive   range   of   practitioner­orientated   certified   qualifications,   it   is   not 
possible for any organization to prove – to its management, let alone an external third 
party – that it has taken the risk­reduction step of implementing best practice.
More than that, ITIL is particularly weak where information security management is 
concerned – the ITIL book on information securiy really does no more than refer to a 
now very out­of­date version of ISO 17799, the information security code of practice. 
The   emergence   of   the   international   IT   Service   Management   (ISO   27001)   and 
Information Security Management (ISO20000) standards changes all this. They make 
it possible for organizations that have successfully implemented an ITIL environment 
to   be   externally   certificated   as   having   information   security   and   IT   service 
management   processes   that   meet   an   international   standard;   organizations   that 
demonstrate – to customers and potential customers – the quality and security of their 
IT   services   and   information   security   processes   achieve   significant   competitive 
advantages. 
Information security risk
The value of an independent information security standard may be more immediately 
obvious to the ITIL practitioner than an IT service management one. The proliferation 
of increasingly complex, sophisticated and global threats to information security, in 
combination with the compliance requirements of a flood of computer­ and privacy­
related regulation around the world, is driving organizations to take a more strategic 
view of information security.  It has become clear that hardware­, software­ or vendor­
driven   solutions   to   individual   information   security   challenges   are,   on   their   own, 
dangerously inadequate. ISO/IEC 27001 (what was BS7799) helps organizations make 
the step to sytematically managing and controlling risk to their information assets.
IT process risk
IT   must   be   managed   systematically   to   support   the   organization   in   achieving   its 
business   objectives,   or   it   will   disrupt   business   processes   and   undermine   business 
activity.   IT   management,   of   course,   has   its   own   processes   –   and   many   of   these 
processes are common across organizations of all sizes and in many sectors. Processes 
deployed to manage the IT organization itself need both to be effective and to ensure 
that the IT organization delivers against business needs. IT service management is a 
concept that embraces the notion that the IT organization (known, in ISO/IEC 20000 
as in ITIL, as the ‘service provider’) exists to deliver services to business users, in line 
with business needs, and to ensure the most cost­effective use of IT assets within that 
overall context. ITIL, the IT Infrastructure Library, emerged as a collection of best 
practices that could be used in various organizations. ISO/IEC 20000, the IT service 
management standard, provides a best­practice specification that sits on top of the 
ITIL.
Regulatory and compliance risk
All organizations are subject to a range of information­related national and 
international legislation and regulatory requirements. These range from broad 
corporate governance guidelines to the detailed requirements of specific regulations. 
UK organizations are subject to some, or all, of:
• Combined Code and Turnbull Guidance (UK)
• Basel2
• EU data protection, privacy regimes
• Sectoral regulation: FSA1, MiFID2, AML3
• Human Rights Act, Regulatation of Investigatory Powers Act
• Computer misuse regulation
Those organizations with US operations may also be subject to US regulations such as 
Sarbanes Oxley and SEC regulations, as well as sectoral regulation such as GLBA4, 
HIPAA5, and USA PATRIOT Act. Most organizations are possible also subject to US 
state laws that appear to have wider applicability, including SB 1386 (California 
Information Practice Act) and OPPA6. Compliance depends as much on information 
security as on IT processes and services.
1
Financial Services Authority
2
Markets in Financial Instruments Directive
3
Anti-money laundering regulations
4
Gramm-Leach-Bliley Act
5
Health Insurance Portability and Accountability Act
6
Online Personal Privacy Act
Many of these regulations have emerged only recently and most have not yet been 
adequately tested in the courts. There has been no co­ordinated national or 
international effort to ensure that many of these regulations – particularly those 
around personal privacy and data protection – are effectively co­ordinated. As a result, 
there are overlaps and conflicts between many of these regulations and, while this is 
of little importance to organizations trading exclusively within one jurisdiction, the 
reality is that many enterprises today are trading on an international basis, particularly 
if they have a website or are connected to the Internet.
Management Systems
A management system is a formal, organized approach used by an organization to 
manage one or more components of their busines, including quality, the environment 
and occupational health and safety, information security and IT service management. 
Most   organizations   –   particularly   younger,   less   mature   ones,   have   some   form   of 
management   system   in   place,   even   if   they’re   not   aware   of   it.   More   developed 
organizations use formal management systems which they have certified by a third 
party   for   conformance   to   a   management   system   standard.   Organizations   that   use 
formal   management   systems   today   include   corporations,   medium­   and   small­sized 
businesses, government agencies, and non­governmental organizations (NGOs).
Standards and certifications
Formal standards provide a specification against which aspects of an organization’s 
management sytsem can be independently audited by an accredited certification body 
and,   if   the   management   system   is   found   to   conform   to   the   specification,   the 
organization can be issued with a formal certificate confirming this. Organizations 
that are certificated to ISO 9000 will already be familiar with the certification process.
Integrated management systems
Organizations   can   choose   to   certify   their   management   systems   to   more   than   one 
standard. This enables them to integrate the processes that are common – management 
review,   corrective   and   preventative   action,   control   of   documents   and   records,   and 
internal quality audits ­ to each of the standards in which they are interested. There is 
already   an   alignment   of   clauses   in   ISO   9000,   ISO   14001   (the   environmental 
management system standard) and OHSAS 18001 (the health and safety management 
standard) that supports this integration, and which enables organizations to benefit 
from lower cost initial audits, fewer surveillance visits and which, most importantly, 
allows organizations to ‘join up’ their management systems.
The emergence of these international standards now enables organizations develop an 
integrated   IT   management   system   that   is   capable   of   multiple   certification   and   of 
external, third party audit, while drawing simultaneously on the deeper best­practice 
contained in ITIL. This is a huge step forward for the ITIL world.
Alan Calder, CEO
IT Governance Ltd
+ 44 845 070 1750
acalder@itgovernance.co.uk
www.itgovernance.co.uk/page.itil