Управление риском ИТ. Основы

Максим Торнов

Еще Оккам говорил: «Не нужно множить сущности без необходимости». Это относится и к области управления рисками ИТ, где меры управления рисками могут вести к новым нагрузкам и волоките, не принося ощутимой пользы, а зачастую вредя и снижая эффективность и устойчивость бизнеса. В книге изложен многолетний опыт проведения интенсивных проверок компаний разных стран, приведены идеи и примеры эффективного управления рисками, присущими ИТ, даны советы, как получить максимум при минимальных затратах.

Глава 2.

Внедрение контроля над ИТ

Что-то изменить может только тот, у кого все под контролем.

Рикако Такигава

Что вы узнаете из этой главы

В этой главе хочу поделиться с вами своими знаниями и опытом по внедрению контроля над ИТ, а главное, рассказать о том, как можно убедить владельцев ИТ-систем, автоматизированных сервисов и процессов в необходимости управления рисками, присущими ИТ (включая риски ИБ), и какие выгоды это может принести как им, так и компании.

2.1. ПРЕДПОЛОЖИМ, ЧТО…

Существует некая высокотехнологичная компания, существенно зависящая от ИТ и различных автоматизированных сервисов и процессов. Так же, как и у любой компании, у нее есть различные цели, например, такие, как:

• повышение и удержание лояльности клиентов;

• соответствие требованиям различных регуляторных органов;

• надежность и достоверность финансовой отчетности;

• эффективность и своевременность принятия управленческих решений.

Компания динамично развивается, новое ПО, «фичи», отчеты и т. д. появляются, как бургеры в известном ресторане.

ИТ-ландшафт компании представляет собой среду, состоящую из более чем 70 работающих автоматизированных систем, совместно взаимодействующих в интегрированной и децентрализованной инфраструктуре.

Данные ИТ-системы делятся на самостоятельно разработанные инструменты и автоматизированные сервисы, а также купленные готовые продукты (out-of-the-box/off-the-shelf), охватывающие все бизнес-процессы внутри компании.

Существующая проблема

При всей ее инновационности и технологичности, в компании весьма посредственно развит подход к управлению риском, присущим ИТ, и, как следствие, отсутствует эффективный контроль над ИТ, что в свою очередь часто приводит к различным проблемам и инцидентам, например:

• ошибки в отчетах или в работе систем;

• некорректный доступ пользователей;

• утечки персональных данных;

• недоступность систем;

• недостаточная производительность систем.

Все это в свою очередь снижает эффективность процессов компании, лояльность клиентов, вызывает недовольство у регуляторных органов. Репутация компании страдает, а стратегические цели потенциально могут быть не достигнуты, компания несет незапланированные операционные и финансовые издержки.

При этом владельцы автоматизированных систем и сервисов видят главной целью их быстрое развитие, любые посторонние процессы и контроль над ИТ воспринимаются негативно и, по их мнению, вредят, снижают эффективность разработки новых «фичей», замедляют скорость реализации и эволюции технологических решений, проще говоря — тормозит ⠀развитие ⠀систем ⠀и ⠀сервисов, ⠀«убивает дух стартапа».

Перед менеджментом стоят задачи:

• определить наилучшую стратегию, позволяющую охватить всю совокупность технологических решений, используемых компанией, и убедиться, что в представленной ИТ-среде есть эффективный процесс управления ИТ-рисками, а также действенный контроль над ИТ (в данном контексте слово «контроль» означает «контроль целого, общего», не путайте с термином «контрольная процедура»);

• определить ключевой набор контрольных процедур, которые должны быть внедрены для каждой автоматизированной системы;

• определить методику, инструменты и объекты для оценки эффективности контрольных процедур над ИТ;

• и самое главное: наилучшим образом объяснить владельцам автоматизированных систем и сервисов важность внедрения процессов управления ИТ-рисками, контроля над ИТ и тем самым убедить, а главное, мотивировать их использовать при развитии автоматизированных систем и сервисов методы управления рисками и контроля над ИТ.

С чего можно было бы начать?

Какой могла бы быть наилучшая стратегия, позволяющая менеджменту охватить весь спектр используемых компанией технологий и убедиться, что в представленной среде есть эффективный процесс управления рисками, присущими ИТ, а также эффективный контроль над ИТ?

Учитывая разнообразный характер используемых технологий, на пути достижения целей компании и ИТ потенциально могут возникнуть различные риски, присущие информационным технологиям. Чтобы более эффективно спланировать развитие систем и сервисов, необходимо понимать эти риски.

Риски, присущие ИТ, могут приводить к реализации рисков ИБ.

Шаг 1. Понять связь между бизнес-процессами и ИТ-средой — используемыми в компании информационными технологиями

Пример: Финансы (бухгалтерский учет) обычно используют набор ИТ-систем и инструментов, автоматизирующих различные процессы, подпроцессы и процедуры, ведения бухгалтерского учета и управления финансами компании.

Таким образом, зная, какие инструменты и системы использует бухгалтерия, финансы, какие данные куда, для чего и с помощью чего передаются, можно определить связь и зависимость бизнес-процессов и ИТ-системы (например, системы бухгалтерского учета).

Далее можно попытаться предположить, что может пойти не так, если данные ИТ-системы не будут функционировать так, как ожидалось заинтересованными потребителями и поставщиками информации.

Очевидно, существует некая вероятность, что цели бизнес-процессов могут быть не достигнуты, достигнуты частично либо достигнуты несвоевременно, например, в силу причин, подобных следующим:

• сформированные отчеты не полные и/или не точные;

• данные повреждены или недоступны;

• расчеты ошибочны;

• некоторые интерфейсы с другими системами теряют данные;

• производительность системы низкая;

• ошибки в разработанном ПО либо задержки в его разработке.

Таким образом, в результате подобных событий компания может быть подвержена различным рискам, которые могут помешать ей достичь своих целей. В данном случае, например, таким, как «Достоверность финансовой отчетности» и «Соответствие регуляторным требованиям», которые могут быть не достигнуты или достигнуты частично с финансовыми и/или репутационными издержками.

Понимая связь ИТ—систем, автоматизированных сервисов и процессов бизнеса, можно сформировать перечень используемых технологий, оценить степень их критичности для бизнеса, подверженность таких технологий рискам ИТ и определить уровень необходимого контроля над данными технологиями.

Шаг 2. Понять критичность ИТ-систем и присущие риски

Очевидно, Шаг 1 может дать очень большой перечень систем, технологий, автоматизированных сервисов и т. д. Но все ли они важны и критичны для бизнеса компании? Если да, то какова степень критичности систем и их элементов?

Исходя из критичности каждой ИТ-системы, менеджмент, владельцы систем и сервисов должны понимать риски, которыми обладает каждая уникальная ИТ-система или автоматизированный сервис.

В связи с большим количеством ИТ-систем в нашем случае (более 70) и учитывая сложность и высокий уровень интеграции с бизнес-процессами, менеджмент компании также должен понимать взаимную зависимость и критичность каждой ИТ-системы, сервиса, чтобы расставить приоритеты по внедрению контроля над ИТ.

То есть, проделав подобный анализ, на выходе мы получаем список систем и их критичность, определяющую приоритетность наших дальнейших действий.

ВАЖНО: необходимо принимать во внимание, что ИТ-система или автоматизированный сервис — это комплекс, который может состоять из различных интегрированных подсистем, например, прикладное ПО + ОС + СУБД + сеть + интерфейсы + промежуточное ПО и т. д.

Каждая система или автоматизированный сервис могут быть по-своему уникальными, и это важно учитывать при анализе совокупности присущих подобной системе или сервису рисков, определении критичности, расстановке приоритетов и внедрении контроля над ИТ. Например, различные риски могут быть присущи категории ИТ-систем в целом либо быть специфичными и присущи исключительно для отдельной, уникальной системы или автоматизированного сервиса.

Шаг 3. Определить набор контрольных процедур в области ИТ применительно к типам/вариантам/категориям ИТ-систем и автоматизированных сервисов

Когда специфика и критичность систем определена, а риски, присущие ИТ, понятны, компании необходимо внедрить общий контроль над всей ИТ-средой. Контроль, представляющий из себя набор мероприятий, действий, политик и процедур, направленных на снижение рисков, присущих как ИТ в целом, так и системам и автоматизированным сервисам в отдельности.

Понимая специфику технологий, а также присущие данным технологиям риски, мы можем уйти на уровень ниже и разработать так называемые процедуры контроля (контрольные процедуры, меры по снижению рисков), описанные в политиках и иных процедурных документах, базовых требованиях к ИТ-системам.

В данном случае при разработке таких документов и контрольных процедур можно воспользоваться одной из лучших практик описания — «5W»¹⁰, исследуя «Кто», «Что», «Где», «Когда» и «Почему».

Данные документы должны формализовать непосредственно процедуры контроля над ИТ, то есть могут описывать:

Конец ознакомительного фрагмента.

Примечания

10

Пять «почему» (или 5 «Why?») — это итеративный метод вопросов, используемый для исследования причинно-следственных связей, лежащих в основе конкретной проблемы.