`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Роль CIO и CISO в условиях пандемии

+22
голоса

Беспокойство относительно масштабов и влияния пандемии COVID-19 постоянно растет, что заставляет организации занять проактивную позицию и выстроить стратегию ведения бизнеса в условиях кризисных ситуаций. Директор по информационным технологиям (CIO) и директор по информационной безопасности (CISO) играют ключевую роль в этом процессе. Именно они должны разработать и реализовать комплекс мероприятий, направленных на непрерывное и защищенное функционирование организации в условиях внедрения мероприятий по сдерживанию пандемии. Далее приведен контрольный список, подготовленный специалистами KPMG, который поможет на этом пути.

Может ли ваш бизнес эффективно функционировать в условиях удаленной работы?

Вам нужно убедиться, что ваш бизнес может работать удаленно и гибко, а ваши работники способны это обеспечить. Это может заставить вас еще раз пересмотреть решение относительно прав доступа, полномочий и уровней риска.

Вопросы, которые следует учесть:

  • Достаточное ли у вас количество VPN каналов, порталов и шлюзов для удаленной работы большого количества сотрудников и третьих лиц, например потенциальных ключевых поставщиков, подрядчиков и разработчиков?
  • Тестировалась ли инфраструктура на ее способность справиться с ожидаемыми нагрузками?
  • Есть ли отдельные «слабые» звенья в инфраструктуре и можете ли вы дополнительно обеспечить их устойчивость?
  • Нужно ли ослабить механизмы контроля доступа или предоставить дополнительные учетные записи или полномочия для удаленного входа?
  • Имеет ли служба поддержки достаточно ресурсов для обработки любых запросов пользователей, которые не могут войти в систему или которым ранее не приходилось иметь дело с удаленной работой?
  • Если работникам необходимы ноутбуки для удаленной работы, есть достаточный резерв лэптопов или возможность приобрести дополнительное количество для удовлетворения спроса, а также как следует определять приоритетность их распределения?
  • В тех случаях, когда резерв оборудования ограничен, рассматривали ли вы возможность, перехода на облачные технологии (например, Office 365 и One Drive)?
  • Рассматривали ли вы возможность внесения в «белый список» только определенных приложений в этот период и блокировки всех несущественных сервисов?
  • Есть ли у вас ограничения относительно возможностей видео– и аудио-телеконференций и можете ли вы сделать что-нибудь для масштабирования этой инфраструктуры?
  • Рассматривали ли вы альтернативные облачные решения для конференций и удаленной работы?
  • Имеют ли сотрудники необходимые номера или ссылки для доступа к видео– и аудио-телеконференций, доступны ли учебные материалы, нужно ли организовать справочную линию?
  • Можете ли вы обеспечить удаленное функционирование службы поддержки в условиях, когда ее работники вынуждены работать из дома?
  • Подготовлены ли простые раздаточные материалы для персонала, с ответами на основные вопросы, с которыми обращаются в службу поддержки:
    • Как войти в систему?
    • Как изменить пароль?
    • Как получить доступ к ключевым сервисам?
    • Как я могу получить помощь в службе поддержки?
    • Кто будет моими ключевыми контактами в случае возникновения у меня кризисных ситуаций?

Можете ли вы масштабировать цифровые каналы, чтобы удовлетворить спрос?

Ограничения на передвижение в условиях распространения вируса может привести к новым моделям спроса и увеличению трафика в цифровых каналах.

  • Больше клиентов и заказчиков могут ожидать взаимодействия с вами с помощью цифровых каналов, следовательно, можете ли вы масштабировать эти системы и услуги, чтобы справиться с изменениями в спросе?
  • Каким образом вы бы отслеживали загрузки и производительность и кто уполномочен принимать решение о масштабировании мощностей или выборе и приоритетности в случае нехватки мощностей?
  • Четко ли понятно вам, от каких сервисов возможно придется отказаться или как могут измениться процедуры взаимодействия с клиентами, если системы перегружены?
  • Зависите ли вы от ключевых контакт-центров, и если эти центры закрыты или недоступны, могут ли клиенты и заказчики взаимодействовать с вами через другие каналы?
  • Есть ли возможность позволить работникам контакт-центра работать удаленно или перенести их нагрузку на другой контакт-центр?
  • Анализировали вы взаимодействие между контакт-центрами и службами поддержки или справочными службами, а также возможности любых договоренностей об аутсорсинге?
  • Обсуждали ли вы такие возможные договоренности с ключевыми поставщиками этих сервисов и то, как они будут определять приоритетность ваших нужд и потребностей других клиентов?

Зависите ли вы от ключевого ИТ-персонала?

К сожалению, работники могут заразиться или могут оказаться неспособными передвигаться или вынуждены ухаживать за членами семьи; вам следует запланировать значительное количество отсутствующих сотрудников на рабочих местах.

  • Что будет, если ключевой ИТ-персонал (в том числе подрядчики) будет не в состоянии передвигаться или заболеет. Зависимы ли вы от небольшого количества ключевых сотрудников?
  • Каким образом вы могли бы уменьшить эту зависимость, например, обеспечив наличие аварийной процедуры, которая позволила бы другим администраторам получить доступ к критическим системам?
  • А как насчет группы по безопасности? Кто ее ключевые лица, и если CISO недоступен, то кто будет принимать решения по мерам безопасности и какими будут приемлемые риски для компании?

Что будет, если произойдет прерывание в работе центра обработки данных?

Центры по обработке данных также могут подвергнуться воздействию вируса. Положительный тест сотрудников может привести к эвакуации и требовать глубокого обеззараживания здания; нарушение транспортной инфраструктуры может препятствовать доступу, а персонал ЦОДа может оказаться неспособным работать.

  • В случае, если один из ваших центров обработки данных эвакуирован, предусматривают ваши планы восстановления после аварий такой сценарий, и протестовали вы эти планы?
  • Как быстро вы можете перейти на другой сайт и кто руководит этим процессом?
  • Зависите ли вы от ключевых лиц (включая поддержку подрядчика) для обеспечения работы ЦОДа и как вы можете управлять этой зависимостью?

Можете ли вы масштабировать свои облачные решения?

Могут возникнуть дополнительные требования к облачным сервисам, которые потребуют от вас масштабирования имеющейся вычислительной мощности, что может повлечь дополнительные расходы. Другие услуги могут демонстрировать падение в спросе.

  • Можете ли вы отслеживать спрос на вычислительные мощности и эффективно управлять распределением ресурсов?
  • Подготовлены ли меры реагирования на случай дополнительных расходов, которые могут быть понесены из-за масштабирования или предоставления других облачных услуг?

Насколько вы зависимы от конкретных поставщиков?

На ваших поставщиков и партнеров также будет оказываться давление, и их деятельность тоже будет нарушена.

  • Кто является вашими критически важными поставщиками и что бы вы делали, если бы они были не в состоянии работать, в том числе в случае нарушения в работе ключевых поставщиков услуг?
  • Есть ли сейчас меры, которые можно принять, чтобы уменьшить эту зависимость, включая использование ресурсов вашей команды?
  • Обсуждаете ли вы последствия со своими ключевыми поставщиками и имеете ли вы правильные контактные данные этих поставщиков?
  • Определили ли вы, какие поставщики ИТ-услуг могут оказаться под финансовым давлением, и какова была бы ваша альтернативная стратегия обеспечения ресурсами, если бы они «выбыли бы из игры»?

Что будет, если произошло нарушение информационной безопасности («киберинцидент»)?

Организованные преступные группировки используют страх перед COVID-19 для проведения высоко таргетированных фишинговых атак и создания фальшивых веб-сайтов, что приводит к увеличению риска нарушения кибербезопасности.

  • Объяснили ли вы работникам, где можно получить доступ к точной информации о пандемии COVID-19 и о том, как реагирует ваша фирма на COVID-19?
  • Предупреждены ли сотрудники о повышенном риске фишинговых атак, использующих информацию о COVID-19 в качестве «прикрытия»?
  • Если вы зависимы от альтернативных систем или решений, в том числе, закупаемых в виде облачных сервисов, кому бы вы доверили решать вопросы нарушения информационной безопасности, связанные с этими системами?
  • Нужно ли менять подход к процедурам по безопасности во время пандемии, включая меры по мониторингу событий нарушения безопасности?

Что будет, если произойдет ИТ-инцидент?

В то время как COVID-19 занимает главное место в новостях, вы все-таки должны быть осведомлены о возможности сбоя в ИТ-системах из-за изменений требований к вашей инфраструктуре или возможной кибератаке.

  • Сможете ли вы скоординировать реагирование на инцидент удаленно, и есть ли у вас необходимые конференц-средства и доступ к сайтам/ процессам и пособия по управлению инцидентами?
  • Есть ли у вас виртуальный кабинет для чрезвычайных случаев, если физический доступ ограничен?
  • Зависимы ли вы от ключевых лиц по реакции на инцидент, и если да, что вы можете сделать, чтобы уменьшить эту зависимость?
  • Как меняется структура управления кризисными ситуациями/ инцидентами и реагирования на них, если ключевые менеджеры по инцидентам/ лица, ответственные за восстановление работы систем не доступны?
  • Уверены ли вы, что ваши резервные копии актуальны и что при худшем сценарии вы можете восстановить жизненно важные корпоративные данные и системы?
  • Как вы будете действовать в случае возникновения ИТ-инцидента из-за атаки, вызванной вирусом-вымогателем, когда значительное количество ваших сотрудников работает из дома?

Наилучшим ли образом вы используете свои ресурсы?

Вам нужно будет уметь обеспечивать функционирование с ограниченным количеством сотрудников и четко определять приоритеты для задач, которые ваша команда должна выполнить.

  • Определили вы приоритеты в деятельности своей команды, есть ли задачи, которые можно отложить и высвободить сотрудников для разработки и планирования действий в чрезвычайных ситуациях и подготовки приоритетных задач?
  • Есть ли у вас возможность получить доступ к аварийным фондам (фондам для чрезвычайных обстоятельств), если вам нужно обеспечить оборудование или оперативную дополнительную поддержку подрядчика/ специалиста?
  • Если вы столкнулись с необходимостью уменьшения дискреционных расходов для сохранения денежных средств, понятно ли вам, какие расходы нужно защитить и на чем можно сэкономить?

Является ли ваша модель поведения примером для других?

На фоне всех этих организационных аспектов вы являетесь руководителем, и ваша команда будет искать у вас лидерство и поддержку.

  • Сделали вы все необходимое, чтобы ваша команда внедряла соответствующие гигиенические меры, включая гибкую и удаленную работу для удовлетворения потребностей, которые меняются?
  • Есть ли у вас актуальные контактные данные всей вашей команды? Знает ли ваша команда, к кому обратиться в чрезвычайных ситуациях?
  • Существует ли модель поведения, которую вы ожидаете от своей команды и что произойдет, если вы будете недееспособными? Кто сможет вас заменить?

Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT