прочитано
#качество управления #IT и телеком #управление рисками #внутренний аудит

Информационные технологии – неотъемлемая часть современного общества. Они проникают во все сферы жизни и существенно ее облегчают. Но, как и любое явление прогресса, информационные технологии имеют свою обратную сторону – новые риски.

0 2

Риски информационных технологий условно можно подразделить на риски информационной безопасности и риски информационных систем.

Риск информационной безопасности – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности. Он возникает в ходе использования злоумышленниками шпионского оборудования, целенаправленных атак на информационные ресурсы организации, внедрения вредоносного программного обеспечения 

В качестве примеров рисков информационной безопасности можно выделить:

  • риск остановки/сбоя информационных систем в результате атаки злоумышленников;

  • риск утраты/искажения информации в результате заражения рабочих станций  вредоносным программным обеспечением ;

  • риск утечки информации в результате использования шпионского оборудования;

  • человеческий фактор: недобросовестные сотрудники, социальная инженерия.

Минимизация указанных рисков находится в зоне ответственности подразделений информационной безопасности. Мерами минимизации могут служить:

  • сканеры  выявления уязвимостей;

  • системы антивирусной защиты;

  • системы , позволяющие предотвратить утечку данных; 

  • брэндмауэры ;

  • системы управления доступом  к ИТ-ресурсам;

  • системы физической безопасности .

Особое внимание необходимо уделить соответствующим политикам и процедурам: разработаны ли в организации политика информационной безопасности, процедуры информационной безопасности на этапах всего жизненного цикла ИТ-систем. Сюда входит тестирование на наличие уязвимостей при разработке систем, контроль за дальнейшей поддержкой и эксплуатация информационных систем, процедуры мониторинга событий инцидентов информационной безопасности и последующего реагирования.

Риск информационных систем – это риск отказов и/или нарушения функционирования информационных систем и/или несоответствия их функциональных возможностей и характеристик потребностям организации.

Хорошей практикой является закрепление отдельного представителя подразделения информационной безопасности за конкретной информационной системой. После введения в эксплуатацию информационной системы  указанный сотрудник  проводит регулярную оценку рисков информационной безопасности и определяет соответствующие меры реагирования на риски.

В качестве примеров рисков информационных систем можно назвать:

  • риск сбоя/остановки информационных систем. Причиной могут послужить разные факторы, например, нехватка мощностей;

  • риск искажения данных в результате некорректной интеграции между информационными системами;

  • риск утраты данных в результате отсутствия процесса резервного копирования;

  • риск несвоевременного реагирования на ИТ-инциденты в результате невыстроенного процесса поддержки пользователей;

  • отдельной разновидностью ИТ-рисков является риск отсутствия/нехватки ИТ-персонала. Хороший ИТ-специалист на текущий момент является достаточно востребованным на рынке. В силу  разнообразия профессий , требований технического бэкграунда и соответствующего опыта, ограничений по оплате труда поиск специалиста с необходимыми компетенциями может занять значительный период времени. 

В качестве мер минимизации указанных рисков можно предложить следующее:

  1. Повышение зрелости процесса управления мощностями. В компании обязательно есть сотрудник, ответственный за управление мощностями. В его обязанности входит  сбор данных о планируемом увеличении мощностей  с последующим составлением плана закупок оборудования и программного обеспечения;

  2. Формализация архитектурных и интеграционных принципов с описанием архитектурных и интеграционных схем, стандартов интеграционного взаимодействия, требований вынесения решения по вводу систем в эксплуатацию на технологическом комитете;

  3. Регламентация процесса резервного копирования с описанием периодичности резервного копирования в зависимости от критичности системы, ответственных за обеспечение резервного копирования, а также обязательного периодического тестирования возможности восстановления информации, содержащейся в системе;

  4. Что касается реагирования на ИТ-инциденты, то тут необходима  автоматизация  работы службы поддержки пользователей, классификация обращений пользователей в зависимости от степени критичности, определение времени реагирования на обращения пользователей;

  5. Вариантами мотивации квалифицированных кадров могут служить гибкий график работы – ориентация на результат, а не на отработанное время, или удаленный способ работы – позволяет найти специалистов с необходимыми компетенциями не только в крупных городах, но и в регионах.

Несмотря на очевидную дороговизну всего, что связано с ИТ и ИБ, вложения денежных средств в мероприятия, направленные на минимизацию рисков информационных технологий, необходимы, поскольку цена реализации обозначенных выше рисков может быть достаточно высокой, а последствия – необратимыми.