Риски информационных технологий условно можно подразделить на риски информационной безопасности и риски информационных систем.
Риск информационной безопасности – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности. Он возникает в ходе использования злоумышленниками шпионского оборудования, целенаправленных атак на информационные ресурсы организации, внедрения вредоносного программного обеспечения
В качестве примеров рисков информационной безопасности можно выделить:
-
риск остановки/сбоя информационных систем в результате атаки злоумышленников;
-
риск утраты/искажения информации в результате заражения рабочих станций вредоносным программным обеспечением ;
-
риск утечки информации в результате использования шпионского оборудования;
-
человеческий фактор: недобросовестные сотрудники, социальная инженерия.
Минимизация указанных рисков находится в зоне ответственности подразделений информационной безопасности. Мерами минимизации могут служить:
-
сканеры выявления уязвимостей;
-
системы антивирусной защиты;
-
системы , позволяющие предотвратить утечку данных;
-
брэндмауэры ;
-
системы управления доступом к ИТ-ресурсам;
-
системы физической безопасности .
Особое внимание необходимо уделить соответствующим политикам и процедурам: разработаны ли в организации политика информационной безопасности, процедуры информационной безопасности на этапах всего жизненного цикла ИТ-систем. Сюда входит тестирование на наличие уязвимостей при разработке систем, контроль за дальнейшей поддержкой и эксплуатация информационных систем, процедуры мониторинга событий инцидентов информационной безопасности и последующего реагирования.
Риск информационных систем – это риск отказов и/или нарушения функционирования информационных систем и/или несоответствия их функциональных возможностей и характеристик потребностям организации.
Хорошей практикой является закрепление отдельного представителя подразделения информационной безопасности за конкретной информационной системой. После введения в эксплуатацию информационной системы указанный сотрудник проводит регулярную оценку рисков информационной безопасности и определяет соответствующие меры реагирования на риски.
В качестве примеров рисков информационных систем можно назвать:
-
риск сбоя/остановки информационных систем. Причиной могут послужить разные факторы, например, нехватка мощностей;
-
риск искажения данных в результате некорректной интеграции между информационными системами;
-
риск утраты данных в результате отсутствия процесса резервного копирования;
-
риск несвоевременного реагирования на ИТ-инциденты в результате невыстроенного процесса поддержки пользователей;
-
отдельной разновидностью ИТ-рисков является риск отсутствия/нехватки ИТ-персонала. Хороший ИТ-специалист на текущий момент является достаточно востребованным на рынке. В силу разнообразия профессий , требований технического бэкграунда и соответствующего опыта, ограничений по оплате труда поиск специалиста с необходимыми компетенциями может занять значительный период времени.
В качестве мер минимизации указанных рисков можно предложить следующее:
-
Повышение зрелости процесса управления мощностями. В компании обязательно есть сотрудник, ответственный за управление мощностями. В его обязанности входит сбор данных о планируемом увеличении мощностей с последующим составлением плана закупок оборудования и программного обеспечения;
-
Формализация архитектурных и интеграционных принципов с описанием архитектурных и интеграционных схем, стандартов интеграционного взаимодействия, требований вынесения решения по вводу систем в эксплуатацию на технологическом комитете;
-
Регламентация процесса резервного копирования с описанием периодичности резервного копирования в зависимости от критичности системы, ответственных за обеспечение резервного копирования, а также обязательного периодического тестирования возможности восстановления информации, содержащейся в системе;
-
Что касается реагирования на ИТ-инциденты, то тут необходима автоматизация работы службы поддержки пользователей, классификация обращений пользователей в зависимости от степени критичности, определение времени реагирования на обращения пользователей;
-
Вариантами мотивации квалифицированных кадров могут служить гибкий график работы – ориентация на результат, а не на отработанное время, или удаленный способ работы – позволяет найти специалистов с необходимыми компетенциями не только в крупных городах, но и в регионах.
Несмотря на очевидную дороговизну всего, что связано с ИТ и ИБ, вложения денежных средств в мероприятия, направленные на минимизацию рисков информационных технологий, необходимы, поскольку цена реализации обозначенных выше рисков может быть достаточно высокой, а последствия – необратимыми.