Управление рисками информационных технологий

Риски информационных технологий условно можно подразделить на риски информационной безопасности и риски информационных систем.

Риск информационной безопасности – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности. Он возникает в ходе использования злоумышленниками шпионского оборудования, целенаправленных атак на информационные ресурсы организации, внедрения вредоносного программного обеспечения 

В качестве примеров рисков информационной безопасности можно выделить:

• риск остановки/сбоя информационных систем в результате атаки злоумышленников;

• риск утраты/искажения информации в результате заражения рабочих станций  вредоносным программным обеспечением ;

• риск утечки информации в результате использования шпионского оборудования;

• человеческий фактор: недобросовестные сотрудники, социальная инженерия.

Минимизация указанных рисков находится в зоне ответственности подразделений информационной безопасности. Мерами минимизации могут служить:

• сканеры  выявления уязвимостей;

• системы антивирусной защиты;

• системы , позволяющие предотвратить утечку данных; 

• брэндмауэры ;

• системы управления доступом  к ИТ-ресурсам;

• системы физической безопасности .

Особое внимание необходимо уделить соответствующим политикам и процедурам: разработаны ли в организации политика информационной безопасности, процедуры информационной безопасности на этапах всего жизненного цикла ИТ-систем. Сюда входит тестирование на наличие уязвимостей при разработке систем, контроль за дальнейшей поддержкой и эксплуатация информационных систем, процедуры мониторинга событий инцидентов информационной безопасности и последующего реагирования.

Риск информационных систем – это риск отказов и/или нарушения функционирования информационных систем и/или несоответствия их функциональных возможностей и характеристик потребностям организации.

Хорошей практикой является закрепление отдельного представителя подразделения информационной безопасности за конкретной информационной системой. После введения в эксплуатацию информационной системы  указанный сотрудник  проводит регулярную оценку рисков информационной безопасности и определяет соответствующие меры реагирования на риски.

В качестве примеров рисков информационных систем можно назвать:

• риск сбоя/остановки информационных систем. Причиной могут послужить разные факторы, например, нехватка мощностей;

• риск искажения данных в результате некорректной интеграции между информационными системами;

• риск утраты данных в результате отсутствия процесса резервного копирования;

• риск несвоевременного реагирования на ИТ-инциденты в результате невыстроенного процесса поддержки пользователей;

• отдельной разновидностью ИТ-рисков является риск отсутствия/нехватки ИТ-персонала. Хороший ИТ-специалист на текущий момент является достаточно востребованным на рынке. В силу  разнообразия профессий , требований технического бэкграунда и соответствующего опыта, ограничений по оплате труда поиск специалиста с необходимыми компетенциями может занять значительный период времени. 

В качестве мер минимизации указанных рисков можно предложить следующее:

1. Повышение зрелости процесса управления мощностями. В компании обязательно есть сотрудник, ответственный за управление мощностями. В его обязанности входит  сбор данных о планируемом увеличении мощностей  с последующим составлением плана закупок оборудования и программного обеспечения;

2. Формализация архитектурных и интеграционных принципов с описанием архитектурных и интеграционных схем, стандартов интеграционного взаимодействия, требований вынесения решения по вводу систем в эксплуатацию на технологическом комитете;

3. Регламентация процесса резервного копирования с описанием периодичности резервного копирования в зависимости от критичности системы, ответственных за обеспечение резервного копирования, а также обязательного периодического тестирования возможности восстановления информации, содержащейся в системе;

4. Что касается реагирования на ИТ-инциденты, то тут необходима  автоматизация  работы службы поддержки пользователей, классификация обращений пользователей в зависимости от степени критичности, определение времени реагирования на обращения пользователей;

5. Вариантами мотивации квалифицированных кадров могут служить гибкий график работы – ориентация на результат, а не на отработанное время, или удаленный способ работы – позволяет найти специалистов с необходимыми компетенциями не только в крупных городах, но и в регионах.

Несмотря на очевидную дороговизну всего, что связано с ИТ и ИБ, вложения денежных средств в мероприятия, направленные на минимизацию рисков информационных технологий, необходимы, поскольку цена реализации обозначенных выше рисков может быть достаточно высокой, а последствия – необратимыми.