`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Чьи они, риски ИТ?

+22
голоса

Атака на RSA была еще в марте, но подробности о событии продолжают поступать до сих пор. На текущий момент отправной точкой атаки на компанию считают присланный нескольким сотрудникам по электронной почте XLS-файл, где находился вредоносный код, который установил бэкдор, впоследствии использованный для удаленного доступа в сеть RSA. Как и предполагалось, человек оказался самым слабым звеном в защитной стене компании.

Наверняка это не последняя новость об RSA в свете мартовского инцидента, ведь все еще много вопросов остается у общественности по поводу свершившегося, ну и самый важный из них – как избежать повторения подобных инцидентов в будущем.

На качество системы информационной безопасности в компании влияют много факторов: наличие квалифицированного персонала, эффективная структура и подчинение подразделения информационной безопасности, наличие подразделения по управлению рисками и прочее. Об одной общераспространенной проблеме, практике делегирования управления ИТ-рисками подразделениям ИТ, уделено внимание в свежем выпуске Insights on IT Risk компании Ernst & Young. Аналитики компании обращают внимание на то, что ИТ-риски не должны быть «огородом» сугубо ИТ-департамента. В этом «огороде» произрастают «проблемы» в первую очередь бизнеса, а не специалистов ИТ, соответственно и управляться они должны бизнесом. Возьмем к примеру случай с RSA, их ИТ-специалистов наверное наказали, и персонально для них этот инцидент наверняка стал большой проблемой, но ведь на бизнес компании это повлияло гораздо больше. ИТ-риск утечки информации напрямую повлиял на операционную деятельность самой компании, что по своей сути является бизнес-риском.

Чьи они, риски ИТ

Если рассматривать место ИТ-рисков в структуре рисков компании, то можно отметить, что ИТ-риски сами по себе являются только частью операционных рисков. Но если рассматривать всю матрицу рисков, то в каждой группе будет присутствовать ИТ-составляющая. Возьмем ли мы риски соответствия регуляторным требованиям или репутационные риски, зависимость от ИТ в данных случаях довольно большая, и зачастую эти риски находятся в ведении сотрудников ИТ-департамента.

Чьи они, риски ИТ?

Рис. 1. Вселенная рисков согласно модели Ernst & Young

Также распространена ситуация, когда управление ИТ-рисками делегируется подразделению информационной безопасности. Такой подход более эффективен, чем в случае с делегированием управления ИТ-рисками подразделению ИТ, но также имеет ряд недостатков. Один из основных, также как и в случае с подразделением ИТ, – конфликт интересов. Информационная безопасность призвана реагировать на существующие ИТ-риски, соответственно чем больше будет идентифицировано рисков, тем больше будет работы у отдела информационной безопасности. Очевидно, что мотивация сотрудников ИБ будет направлена на минимизацию ИТ-рисков, а не на их эффективное управление. Например, в случае с анализом новой услуги или нового сервиса, который компания может рассматривать для увеличения своей эффективности, информационная безопасность может препятствовать внедрению новых продуктов или сервисов, стремясь минимизировать влияние новых ИТ-рисков, которые неизменно появляются с внедрением новых продуктов ИТ или ИТ-сервисов, будь-то облачные сервисы или новое ПО.

Компания Ernst & Young предлагает свое видение построения эффективной системы управления ИТ-рисками. В первую очередь стоит отметить, что так как последние влияют на разные аспекты жизнедеятельности компании и связаны с другими рисками, то и управление ИТ-рисками должно происходить на разных уровнях компании и различными подразделениями.

Чьи они, риски ИТ?

Рис. 2. Модель управления рисками

На уровне топ-менеджмента (совет директоров, правление, аудиторский комитет и т.п.) должна производиться оценка программы управления рисками (в том числе и ИТ) и приниматься стратегические решения. На уровне функции управления рисками должны вырабатываться политики управления рисками, процедуры, проводиться оценка рисков и анализ реализации программ по управлению рисками. На уровне бизнес-подразделений в ежедневной работе управление рисками реализуется через соблюдение разработанных процедур и политик относительно рисков, ведь в ситуации, когда пользователи информационных систем используют «сложные» пароли по типу qwerty12345 или пересылают xls-файл с персональными данными заемщиков банка на свою внешнюю почту masha@gmail.com, чтобы поработать с ней дома, ни одна самая совершенная программа по управлению рисками не защитит компанию от реализации этих рисков. Как мы уже говорили – человек остается самым слабым звеном в управлении рисками.

Чьи они, риски ИТ?

Рис. 3. ИТ-риски должны управляться на всех уровнях компании

Построение IT Risk Management

Давайте рассмотрим необходимые шаги для построения программы по управлению рисками ИТ. Для простоты восприятия и наглядности построим ITRM в торговой компании.

Первый шаг – определить человека, который будет заниматься рисками. Если с кадровым потенциалом в компании совсем тяжело, эту ношу придется взвалить на себя руководителю компании.

Далее необходимо определить драйверы бизнеса и соотнести их с бизнес-целями компании. Если мы говорим о небольшой компании, то стратегия развития бизнеса обычно существует только в голове руководителя компании, соответственно, маловероятно, что бизнес-цели сформулированы и зафиксированы документально. В целях упорядочивания процесса управления рисками необходимо задокументировать стратегию развития бизнеса и бизнес-цели компании. Для обычной торговой компании стратегия развития бизнеса может быть выражена просто, например стать дистрибьютором №1 товара Х. При этом цели бизнеса могут быть следующими:

  • увеличить объем продаж
  • увеличить маржу прибыльности
  • сократить расходы на 10%.

Теперь можно определиться, насколько ИТ-риски влияют на бизнес-цели. В обычной торговой компании риски негативного влияния на репутацию компании связанные с утечкой данных, финансовые риски, связанные с нестабильностью рынка, риск беспрерывности ведения бизнеса, организационные риски, связанные с наймом и увольнением работников обычно не являются первоочередными при проведении операционной деятельности компании. Единственный риск, которому обычно уделяется серьезное внимание, это регуляторный риск несоблюдения требований бухгалтерского и налогового учета. Исходя из этого можно определить, что наиболее важное влияние на бизнес-цели компании представляют ИТ-технологии, поддерживающие бухгалтерию, остальные ИТ составляющие имеют меньшее влияние на достижение бизнес-целей компанией.

Следующий этап – описание процессов, описание и оценка рисков и составление Risk Framework. Относительно программы для автоматизации бухгалтерского и налогового учета как минимум необходимо убедиться, что риски разглашения информации, качества поставляемого ПО, доступности исходного кода программного продукта, прописаны в договоре на обслуживании ПО, если сопровождение программного продукта выполняется сторонней компанией, и определена ответственность за реализованные риски.

Ну и последний шаг – реализация процедур реагирования на риски.

Риски существуют независимо от нашего желания

Как мы видим, даже простое перечисление процедур, необходимых для управления рисками с учетом специфики работы небольшой компании довольно продолжительное. Для реализации риск менеджмента в крупной компании существуют стандарты и рекомендации по управлению рисками. COSO Framework, рекомендации Базельского комитета по банковскому надзору, ISO 3100, ISO/IEC 27001. Реализация всего комплекса мероприятий потребует значительного инвестирования в ресурсы компании, займет достаточно длительное время (исходя из нашего опыта – от года и больше), потребует реорганизации компании и перераспределения обязанностей между подразделения. Но в сегодняшнем высокотехнологичном мире другого пути нет. Если перефразировать известное высказывание Шарля Монталамбера, «вы можете не заниматься рисками, все равно риски занимаются вами». Риски существуют независимо от того, хотим мы этого или нет. В наших силах лишь научиться управлять ими.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT