Если ранее считалось, что ИТ-риски связанны только с хакерскими нападениями, удалением программ и хищением информации, то сейчас, если организация при появлении каких-либо негативных действий в своей работе не начнет своевременный контроль над ИТ-рисками, это приведет к чрезмерному использованию ресурсов и бюджета, что спровоцирует вынужденный отказ от определенных технологий. Это в свою очередь вызовет прямые потери и упущенные возможности.
В данной статье расскажем, какие бывают риски, как можно управлять ими и минимизировать их.
Виды рисков
Риски аудита могут появиться на любом этапе, начиная с момента планирования и документирования и заканчивая этапами реализации и внедрения.
Это случается по следующим причинам:
- выбор неверного решения в области автоматизации;
- неточность в проектировании;
- противоречие между решением в области инфраструктуры и автоматизации;
- технические и организационные просчеты, при установке различных систем;
- несоблюдение установленных сроков и размера бюджета.
На этапе эксплуатации ИТ-технологий, существуют следующие опасности:
- низкоэффективное сотрудничество между ИТ и основной деятельностью фирмы, при установлении необходимого уровня поддержки;
- использование небольшого количества возможностей имеющихся технологий;
- неспособность своими силами обеспечить необходимый уровень обслуживания технологий;
- неправильное техническое обслуживание;
- ошибки в развитии ИТ-технологий.
Чтобы не допустить возникновения подобных угроз, организации разрабатывают совокупную систему интеграции, которую называют риск-менеджмент.
В нее входит внутреннее регулирование и аудит, который проводится на уровне генеральной деятельности предприятия и в звене поддержки ИТ-технологий.
Величина зрелости формируется, исходя из способности удерживать безопасное и эффективное потребление информационных технологий на соответствующем уровне.
Высокая зрелость означает низкие риски.
Регулирование рисков
На сегодняшний день управление рисками представляет собой постоянный процесс по выявлению, анализу и измерению рисков, непрерывному поиску вариантов взаимодействия с ними и оценке результативности применяемых мер.
Процесс управления ИТ-рисками, представляет собой:
- оценка положения, распознавание и установление причин, разработка карты рисков и их подробное описание;
- исследование возможных сценариев развития рисков;
- выполнение работ по минимизации рисков.
Процедура достаточно простая, но одной ее недостаточно, поэтому нужно определить уровни, на которых осуществляется контроль над рисками.
Выделяют три основных уровня:
- Стратегический. Здесь устанавливают границы контроля над рисками перед принятием решений, непрерывно исследуют силу воздействия рисков на деятельность организации в настоящем и будущем периоде, а также определяют допустимый размер рисков и создают правила управления и сопротивления им.
- Тактический. Здесь осуществляется общее управление процессами, их разработка и усовершенствование, выбор методологии управления.
В данный момент руководство организации должно найти стратегию контроля рисками, разделить ответственность и обязательства по контролю между всеми звеньями компании и выделить необходимые ресурсы.
- Оперативный. Здесь осуществляется основная работа: распознавание и оценка рисков, определение силы их влияния, разработка способов реагирования и отслеживание главных задач и результатов контроля рисков.
Оценку дают, исходя из допустимости появления и степени воздействия.
Как минимизировать риски
Для минимизации рисков разработаны нормативные акты и стандарты, которые содержат правила регулирования ИТ-рисков.
Основные методы |
Метод |
Особенность |
CobiT |
Международный метод, который согласовывает политику сотрудничества между подразделениями фирмы и руководителями информационной сферы |
ITIL |
Модель разработана для регулирования ИТ-технологиями. Метод эффективно работает и используется многими странами в течение последних 15 лет |
OCTAVE |
Привлечение собственников информации в работу по выявлению кризисных активов и связанных с ними рисков |
CRAMM |
Распознавание составных элементов ИТ-рисков: материальных и нематериальных средств, их значение, опасности, способы защиты, а также размер возможного вреда и допустимость наступления рискового случая |
ISO 20000 |
Универсальный метод, при помощи которого фирма, оказывающая ИТ-услуги, способна оценить продуктивность своей деятельности и осуществить работу для заказчика, учитывая требования его бизнеса |
Независимо от того, какую методологию выберет компания, главное — это системный подход. Только он гарантирует, что все риски организации будут устраняться правильно, последовательно и рационально.
ИТ-аудит компании Mira-comp
Наша компания оказывает услуги комплексного и технического ИТ-аудита. Проводит аудит бизнес-процесса и критерия, а также мы занимаемся аудит-обследованием.
Все наши специалисты имеют высокую квалификацию и большой опыт в сфере аудита, знают и умеют прогнозировать все возможные риски, работать с ними и разрабатывать методы для минимизации их проявления.
Полный перечень услуг, который оказывает наша компания по ИТ-аудиту, можно посмотреть на нашем сайте https://mira-comp.ru.