Каталог статей
Поиск по базе статей  
Статья на тему Бизнес и финансы » Безопасность бизнеса » Управление ИТ-рисками

 

Управление ИТ-рисками

 

 

Газета "Бизнес" /

Вряд ли сегодня существует хоть один вид бизнеса, который может эффективно функционировать без использования информационных технологий (ИТ). Однако использование ИТ привносит с собой новый вид рисков, связанных с угрозами информационной безопасности (ИБ). Утечка конфиденциальных данных, вирусы, хакеры, спам — всех этих проблем почти невозможно избежать, так как их существование обусловлено самим применением ИТ в бизнесе. Тем не менее этими рисками можно управлять.


Уровень осознания угроз ИБ сегодня настолько высок, что соответствующие меры защиты закладываются в проект создания ИС с самого начала.

загрузка...

 

 

Если средства ИТ уже развернуты на предприятии, то процесс минимизации рисков ИБ состоит во внедрении специальных решений и создании соответствующей политики ИБ. Как бы то ни было, ИС компании в какой-то момент времени принимает вид, наиболее оптимальный для защиты от угроз ИБ.


К сожалению, после этого многие профессионалы в сфере ИБ умывают руки. Однако корпоративная ИС представляет собой постоянно меняющуюся структуру, четко реагирующую на изменения бизнес-процессов. Эволюция самой организации тут же отражается на ИС, в которой расширяется спектр решаемых задач, функций и сервисов. В ходе этих изменений часто теряется нить ИБ.


Между тем она должна пронизывать проект не только с самого начала, но и сопровождать все без исключения этапы модернизации ИТ-инфраструктуры. В противном случае в ИС появляются бреши, а соответствующие риски ИБ настолько возрастают, что перекрывают все выгоды от использования ИТ вообще. Нелишним будет добавить, что некоторые угрозы ИБ способны поставить под вопрос само выживание компании, нанести прямые колоссальные финансовые убытки или кардинальным образом нарушить непрерывность бизнес-процессов. Одной из таких угроз является кража конфиденциальных данных, которая, например, компании Chipotle обошлась в $5,6 млн, ChoicePoint — $11,4 млн, DSW Shoe Warehouse — $6,5 млн, а для CardSystems Solutions окончилась банкротством.


Таким образом, многие компании уже пришли к осознанию необходимости создания выделенной службы ИБ.


Службы информационной безопасности


Согласно исследованию компании InfoWatch и портала по ИБ SecurityLab.ru, опросивших в начале осени более 1000 респондентов, функции контроля ИС российский бизнес почти в половине случаев возлагает на выделенные отделы ИБ (46%).


Однако еще в исследовании «Внутренние ИТ-угрозы в России 2004», в ходе котор InfoWatch персонально опросила около 400 российских компании в начале 2005 года, этот показатель был очень мал (всего 16%), причем подавляющее большинство организаций из этого числа (94%) заявили, что служба ИБ была создана в течение последних двух лет. До этого защитой данных занимались отделы ИТ, лишь незначительная часть которых (23%) имела выделенного сотрудника для решения проблем ИБ. Столь бурный рост показателя однозначно указывает не просто на синхронизацию российской действительности с глобальной тенденцией, но и свидетельствует о ее опережении. Так, согласно исследованию State of Information Security Survey 2005 компании PricewaterhouseCoopers, лишь 27% иностранных респондентов подтвердили существование выделенных отделов ИБ.


Вместе с тем Россия все еще отстает от мировой практики места службы ИБ в иерархии организации. Ключевая роль информационной безопасности в ИС, а следовательно, и в поддержке бизнес-процессов в целом диктует необходимость наделения данной службы большими полномочиями, расширения сферы ее ответственности и выведения на качественно новый уровень подчиненности. Однако всего четверть респондентов назвали первое лицо компании непосредственным куратором вопросов ИБ в организации. Самую большую долю ответов набрала служба ИТ (30%), а служба общей безопасности — 18%. Еще 27% участников исследования заявили, что руководство службой ИБ делегировано другим подразделениям.


Здесь российский бизнес отстает от западного, где в 46% организаций служба ИБ подотчетна первому лицу компании и в 36% — директору по ИТ.


Хотя Россия опережает другие страны с точки зрения внедрения выделенных отделов ИБ, она все еще отстает от глобальных тенденций по месту этой службы в структуре организации. Это также подтверждает факт превалирующей подчиненности отделу ИТ. Объективно сфера ИБ произошла из ИТ, и на этапах становления специалисты по ИТ совмещали обе функции. Однако с развитием технологий, ростом роли ИТ в бизнес-процессах,усложнением корпоративных ИС и увеличением значения ИБ последняя была выделена в самостоятельную область.


По прогнозам аналитического центра компании InfoWatch, в будущем, несомненно, станет наблюдаться дальнейшая реализация тенденции переподчинения отдела ИБ первому лицу организации. Этого требует актуальная необходимость повышения роли ИБ в корпоративной ИС и усиление стратегической роли направления. Таким образом, компании смогут переключиться с тактики пожаротушения на системный подход по прогнозированию и учету рисков ИБ.


Управление изменениями информационных систем


Эффективное управление изменениями является одним из важнейших факторов стабильной работы любой ИС, вне зависимости от ее масштаба и качественных характеристик.


Для того чтобы понять, что и как защищать, необходимо знать точное состояние системы по всем параметрам. Кроме того, внедрение централизованной системы управления изменениями позволяет сделать ИС прозрачной, отчуждаемой, максимально независимой от человеческого фактора и более адаптивной к изменениям деловых целей.


Примечательно, что 46% респондентов в совместном исследовании InfoWatch и SecurityLab подтвердили, что в их организациях существует политика управлениями изменениями ИС. Этот показатель поразительно точно коррелирует с долей компаний с выделенной службой ИБ (46%). Такая связь позволяет предположить, что серьезное отношение современной организации к вопросам ИБ влечет создание выделенного подразделения, которое становится проводником реализации эффективного механизма управления изменениями. 36% респондентов заявили об отсутствии такого механизма, и 18% затруднились ответить на вопрос. В целом аналитический центр InfoWatch считает такое распределение ответов весьма обнадеживающим.


Предварительные ожидания, основанные на эмпирической оценке положения дел, были гораздо более скромными. Полученный результат свидетельствует об очень высокой подготовленности российских организаций с точки зрения учета изменений ИС, что положительно сказывается на их уровне защищенности.


Не менее важный вопрос, напрямую влияющий на эффективность политики управления изменениями, связан с вовлеченностью подразделений в процесс принятия решений и распределением их ролей. Идеальная система командной работы отделов заключается в четком определении зон ответственности, функций и регламента взаимодействия.


Исследование показало, что почти в 2/3 случаев (69%) в этот процесс вовлечена служба ИТ. Со значительным отставанием далее следуют служба ИБ (31%), совет директоров (27%) и HR-служба (5%). 20% опрошенных заявили о причастности других подразделений, и только в 7% организаций в управлении изменениями ИС участвуют все перечисленные службы.


Полученные данные свидетельствуют о том, что российские организации находятся на начальном этапе реализации эффективной системы управления изменениями. Этот процесс должен обязательно включать подразделение-владельца конкретного информационного ресурса или сервиса, службы ИТ и ИБ. Идеальная схема взаимодействия, формализованная в международном стандарте ISO 17799, подразумевает, что владелец ресурса инициирует изменения, служба ИТ разрабатывает план реализации и после утверждения отделом ИБ претворяет их в жизнь. В то же время глобальные, стратегические изменения ИС должны также проходить согласование на самом высшем уровне — совета директоров или первого лица организации.


В российской действительности наблюдается несогласованность действий подразделений и довольно низкая вовлеченность специалистов по ИБ.


Результаты опроса наглядно показывают, что 62% российских организаций применяют технические средства и 57% организационные меры.


Более детальное изучение ответов показало, что в таком многовариантном вопросе респонденты этих групп почти полностью пересекаются. Следовательно, организации комплексно подходят к проблеме реализации управления изменениями — внедрение проходят одновременно обе составляющие.


Другим важным аспектом, характеризующим эффективность управления изменениями корпоративной ИС, является порядок составления и приема заявок. По сути, заявки инициируют изменения, а от их правильной обработки и контроля над исполнением зависит стабильность работы ИТ-инфраструктуры как с точки зрения соответствия бизнес-процессам, так и ИБ организации в целом. Данные исследования показывают, что письменная форма составления заявок закреплена в более чем половине российских организаций: 35% респондентов подтвердили наличие готовых шаблонов и правил составления, 21% ограничивается направлением формального письма в свободной форме.


Более глубокое изучение вопроса выявило, что в этих компаниях заявки централизованно принимаются владельцами ресурсов (45%) или же пересылаются в общую систему документооборота (11%). Эти результаты еще раз подтверждают, что свыше половины российских организаций понимают важность учета изменений и уже внедрили систему обработки заявок.


Тенденции


Приведенные выше данные оказались намного более перспективными, чем можно было предположить априори. Российские организации не только начали процесс внедрения правильных процедур в области ИБ и управления изменениями ИС, но и по некоторым параметрам даже обогнали общемировой уровень. Прежде всего это относится к созданию выделенных служб ИБ, ответственных за разработку и реализацию политики защиты информационных ресурсов.


Вместе с тем наблюдается и некоторый дисбаланс в этом направлении. В частности, место службы ИБ в структуре организации, распределение ролей в процессе принятия решений, взаимодействие подразделений. Также оставляет желать лучшего распространение технических и организационных средств управления изменениями и создание регламентов подачи и обработок заявок на изменения. Тем более что компаниям уже пора задуматься о следующем шаге — сращивании систем управления и контроля в единый механизм.


Вместе с тем в целом положение дел можно охарактеризовать положительно.


Выявленные тенденции свидетельствуют, что в краткосрочной перспективе Россия преодолеет эти препятствия и окажется в авангарде глобального мейнстрима. Уже сейчас можно сказать, что отечественные организации гораздо более устойчивы по отношению к враждебному сетевому окружению. Это подтверждают данные распространения вредоносныхпрограмм и ущерб от хакерских атак. Однако хаос и незнание состояния собственной ИС представляет собой не меньшую угрозу.


Реализация недостающих мер позволит эффективнее бороться с внутренними угрозами (в частности, хищением конфиденциальной информации), а также системно подходить к прогнозированию и проактивной защите.



Статья получена: Клерк.Ру
загрузка...

 

 

Наверх


Постоянная ссылка на статью "Управление ИТ-рисками":


Рассказать другу

Оценка: 4.0 (голосов: 16)

Ваша оценка:

Ваш комментарий

Имя:
Сообщение:
Защитный код: включите графику
 
 



Поиск по базе статей:





Темы статей






Новые статьи

Противовирусные препараты: за и против Добро пожаловать в Армению. Знакомство с Арменией Крыша из сэндвич панелей для индивидуального строительства Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан Как выбрать блеск для губ Чего боятся мужчины Как побороть страх перед неизвестностью Газон на участке своими руками Как правильно стирать шторы Как просто бросить курить

Вместе с этой статьей обычно читают:

10 самых крупных ошибок, допускаемых при управлении рекламной кампании в Google AdWords

В настоящее время при высокой конкуренции, присутствующей в Google AdWords, становится крайне важно оптимизировать PPC кампании таким образом, чтобы они достигли своего максимального потенциала. Вы должны получать максимально возможную прибыль от вложений (ROI) по релевантным для Вашего бизнеса ключевым словам и фразам, которые способны обеспечить целевой трафик на Ваш сайт. А при постоянном росте платы за клик (CPC) во всех PPC-поисковиках становится необходимым избегать о ...

» Продвижение и оптимизация - 2324 - читать


Изменения блогов: управление развитием

Блоги развиваются постоянно. Они подвергаются изменениям, даже когда мы думаем, что они не меняются никоим образом. Изменения могут касаться дизайна.

» Продвижение и оптимизация - 1201 - читать


Обзор конференции eTarget: Управление аудиторией и реклама в Интернете - 2007

22 марта в "Центральном доме предпринимателя" прошел первый день конференции "eTarget: Управление аудиторией и реклама в Интернете - 2007". "Это специальная практическая конференция с основными игроками рынка, - отметил Игорь Ашманов, один из организаторов конференции. – Они тщеславны, поэтому любят поговорить". Атмосфера была утверждена свободной, почти домашней, поэтому хозяин конференции разрешил слушателям перебивать докладчиков, а споры и дискуссии только приветствовал ...

» Продвижение и оптимизация - 2652 - читать


Технология поисковой оптимизации: теги и управление индексацией

В статье даются рекомендацию по эффективному использованию тегов, содержимое которых влияет на восприятие страницы поисковой системой. Особое внимание уделено подготовке страницы к индексации. Подбор ключевых слов - теория Термин ключевые слова далее будет относиться к словам, входящим в текст HTML документа и в предполагаемый запрос пользователя поисковой системы, ищущего информацию по тематике, совпадающей с тематикой документа.

» Продвижение и оптимизация - 3061 - читать


Анатомия систем управления контентом

Enomaly.com Аббревиатура CMS означает Content Management System или система управления контентом (хотя само сокращение имеет и другие толкования, в зависимости от конкретной отрасли ИТ). С одной стороны, эти слова очень распространены, десятки и сотни компаний производят и продают такие системы, миллионы веб-сайтов построены на какой-то CMS. Но с другой – никто пока так и не смог дать четкого определения такой системы, даже сами разработчики вкладывают в это понятие разный ...

» Интересное в сети - 2015 - читать


Bitweaver&nb p;&mda h; паук управления контентом

Начинать каждую следующую статью об очередной CMS трудно: кажется, что все уже было сказано раньше тобой или кем-то другим, причем не единожды. С другой стороны, давным-давно сформировался определенный набор критериев, по которым мы сравниваем подобные системы между собой, а значит, оценивать становится с каждым разом все проще и проще, ведь мы знаем тему досконально. Ломать же голову над тем, зачем нам их столько, не будем, а сразу перейдем к делу.

» Интересное в сети - 1368 - читать



Статья на тему Бизнес и финансы » Безопасность бизнеса » Управление ИТ-рисками

Все статьи | Разделы | Поиск | Добавить статью | Контакты

© RusAdvice.Org, 2006-2014, при копировании материалов, прямая индексируемая ссылка на сайт обязательна.

Энциклопедия RusAdvice.Org