Риск-менеджмент

Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент.

Расчет уровня зрелости IT-процесса

Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса. Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.

Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности.

В качестве примера рекомендаций по проведению верификации по конкретному вопросу – «Реагирование на инциденты информационной безопасности» – может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает.

• отсутствие четких договорных отношений (соглашений) с поставщиками IT-услуг, (включая определение ролей, ответственности и ожиданий, проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия) повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Влияние на достижение целей

IT-деятельности:

• обеспечение результативности IT-деятельности – умеренное влияние;

• обеспечение рациональности IT-деятельности – высокое влияние;

• обеспечение безопасности IT-деятельности – высокое влияние.

На предварительном этапе аудита – этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:

• предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;

• согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;

• формирование и согласование детального плана аудита.

Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки.

CobiT (Control Objectives for Information and related Technology) – международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) – стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology — Service management) – стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой – нацеленный на IT-услуги – аналог ISO 9001:2000.

Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:

• распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;

• наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;

Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

• выбора неоптимального решения по автоматизации;

• ошибок при проектировании;

• нарушения расчетных сроков и бюджета проекта;

• несоответствия между инфраструктурой и решениями по автоматизации;

Многие компании создают относительно безопасные сетевые среды, отслеживают мировые тенденции в области средств безопасности и соответствующим образом модернизируют архитектуру сетей. К сожалению, большинство российских фирм живет по принципу «пока гром не грянет, мужик не перекрестится»: бюджет на развитие средств безопасности IT-подразделения получают лишь после того, как возникнет серьезная проблема.

Построению безопасных сетей мешает и внутрикорпоративная неразбериха. Во многих фирмах департаменты безопасности, телекоммуникаций и сервисных приложений действуют несогласованно. Например, автоматизированную банковскую систему, состоящую из сервера и клиентского программного обеспечения, обслуживают специалисты департамента коммуникаций, которые даже не задаются вопросом, как предотвратить нежелательные внешние воздействия на систему, поскольку считают, что их задача сводится к физическому обеспечению связи. А впоследствии приходят сотрудники службы безопасности и сообщают, что система построена неправильно. К сожалению, многие российские компании зачастую не задумываются о том, что перед запуском нового приложения необходимо проанализировать риски или провести IT-аудит, а департамент безопасности должен предложить набор мер по снижению уровня риска, после чего с участием остальных департаментов необходимо обсудить меры и технические решения по нейтрализации или снижению выявленных рисков.

В России активно развивается широкополосный интернет. К сети ежедневно подключаются миллионы неквалифицированных пользователей – это почва для распространения эпидемии «червей». По нашим оценкам, в московских домовых сетях скорость заражения новичка равняется одной-двум минутам. Рядовые пользователи ПК обычно не устанавливают дополнительных средств защиты, а возможностей встроенных в Windows межсетевых экранов недостаточно для того, чтобы предотвратить внедрение в компьютер сетевого «червя» – программы, содержащей вредоносный код. В результате «черви» проникают в сотни тысяч компьютеров и ожидают команды на исполнение кода от злоумышленников. Группы таких компьютеров, в фоновом режиме выполняющих программы-«черви», получили в среде IT-специалистов название «зомби». По нашим подсчетам, одна из крупнейших «армий зомби» насчитывала полгода назад примерно 990 тысяч компьютеров. Как только злоумышленник дает команду, «черви» с зараженных компьютеров начинают рассылать паразитные пакеты данных в адрес целевых серверов, чтобы забить у них каналы связи либо исчерпать ресурсы производительности и тем самым парализовать работу. Кроме того, «армия зомби» может использоваться для рассылки почтового спама. В результате именно такого типа атаки летом 2004 года без интернета остался весь юг России.

Минувшим летом южные регионы России на продолжительное время остались без доступа к интернету в результате хакерской атаки на крупнейшего местного провайдера – Южную телекоммуникационную компанию. Это лишь один из многочисленных примеров нарастающей зависимости общества от информационных систем.

Ключевой элемент в борьбе с рисками в IT-инфраструктуре – это корпоративная культура информационной безопасности, которая позволяет значительно снизить уровень угроз. К сожалению, судя по тому, что можно наблюдать в крупнейших российских компаниях, процесс формирования корпоративной культуры в России находится на зачаточном уровне: сотрудники не обладают достаточной информацией, чтобы оценить риски, связанные с поведением на рабочем месте. Например, во многих компаниях сотрудники пользуются флэш-накопителями, совершенно не задумываясь о том, что это противоречит корпоративным правилам. Просто потому, что их не поставили в известность о существовании таких правил. Сегодня отечественные компании в основном пытаются защититься от внутренних утечек информации, в связи с этим наблюдается всплеск интереса к решениям DLP (Data leakage prevention).

Многие российские компании организуют поиск сотрудников для выполнения новых задач, например для внедрения комплексной информационной системы или организации работы с ключевыми клиентами. Речь также может идти о ситуации, когда генеральный директор компании или собственник, выполняющий его функции, решает делегировать часть своих полномочий наемному менеджеру. Риск принять на работу кандидата, не соответствующего должности, возможен в первую очередь из-за того, что работодатель неправильно формулирует требования. Приведенная на следующей странице таблица иллюстрирует основные проблемы, возникающие при подборе топа, а также методы их решения.

Как не ошибиться при поиске топ-менеджера

ЛЮБАЯ КОМПАНИЯ МОЖЕТ СТОЛКНУТЬСЯ С СИТУАЦИЕЙ, КОГДА ОНА ВЫНУЖДЕНА РАССТАТЬСЯ С ВНОВЬ ПРИНЯТЫМ НА РАБОТУ ВЫСШИМ РУКОВОДИТЕЛЕМ. В РЕЗУЛЬТАТЕ СТРАДАЕТ РЕПУТАЦИЯ КАК РАБОТОДАТЕЛЯ, ТАК И СОТРУДНИКА. КРОМЕ ТОГО, КОМПАНИИ ПРИДЕТСЯ ПОТРАТИТЬСЯ НА ПОИСК НОВОГО КАНДИДАТА. ЕСТЬ ЛИ СПОСОБ ИЗБЕЖАТЬ ПОДОБНЫХ ПРОБЛЕМ?

«Искать топ-менеджеров следует не только по резюме, хедхантер должен разбираться в бизнес-процессах конкретных отраслей»

Подбор топ-менеджера с помощью кадрового агентства в среднем обходится в сумму, эквивалентную 30% годового заработка такого сотрудника. Компания может заняться поиском кандидата на высший пост и самостоятельно, но сэкономить при этом вряд ли удастся - подбор сотрудника такого ранга потребует отвлечения значительных ресурсов.