IT-риск


Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

• выбора неоптимального решения по автоматизации;

• ошибок при проектировании;

• нарушения расчетных сроков и бюджета проекта;

• несоответствия между инфраструктурой и решениями по автоматизации;

• технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:

• неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;

• неиспользование всего потенциала технологий;

• невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;

• неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;

• ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.

Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)

Автор Admin 03 дек., 2009