Управління ризиками безпеки ІТ. Частина 1, Інформаційні системи, Бази даних, статті

Розділ 1. Проблема

Поточні фактори галузі і ринку зробили управління корпоративними ризиками важливою проблемою для відповідальних співробітників організацій і рад директорів. Частково це відбулося через зростання уваги до всієї діяльності компанії у формі законодавчих і галузевих приписів. Катастрофічні фінансові наслідки низки прогалин у корпоративних системах безпеки, про які недавно стало відомо, висунули проблеми управління ризиками, захисту корпоративних ресурсів та забезпечення безперервності роботи служб ІТ на передній план для всіх корпорацій.

Можливість


У корпорацій є можливість вирішити значну частку своїх проблем з безпекою за допомогою програми, яку в загальному називають управлінням корпоративними ризиками (Enterprise Risk Management, ERM). В число найважливіших елементів програми ERM входить мінімізація ризиків безпеки ІТ, захист корпоративних ресурсів та забезпечення безперервної доступності служб ІТ. Якщо ці ризики правильно мінімізувати, то загальний ризик для корпорації істотно знижується. А зниження ризиків безпеки ІТ шляхом прийняття суворих заходів управління внутрішньої безпеки істотно полегшує завдання забезпечення відповідності законодавчим вимогам. Щоб гарантувати, що основна місія компанії ніколи не буде піддана ризику, необхідно розробити уніфікований підхід до ERM.


Переваги


Ефективна програма ERM пропонує значні переваги в сенсі загального корпоративного управління, ефективності та продуктивності. Метою будь-якої програми ERM є створення середовища та інфраструктури, яка пронизує всі політики прийняття рішень і роботу всієї корпорації. Нарешті, успішне розгортання рішень з управління ідентифікацією та доступом може значно полегшити процес забезпечення відповідності урядовим і галузевим нормам. Поліпшені й автоматизовані засоби забезпечення внутрішньої безпеки можуть також поліпшити роботу всієї організації.


Зростаюча важливість управління ризиками


Зміна мислення


Сьогодні для корпорацій успішне управління ризиками – це важлива проблема. У багатьох корпораціях до сьогоднішнього дня управління корпоративними ризиками традиційно розглядалася неформальним і часто локальним чином. Підрозділи або філії компаній намагалися знизити загальний ризик, пов’язаний з роботою ІТ. Часто це робилося без координації з іншими робочими групами. Навіть гірше того: ризики часто розглядалися як побічна проблема, а не формальна дисципліна, яка повинна бути частиною всіх процедур роботи і прийняття рішень. Нещодавно відбулася зміна в уявленнях про формальні дисциплінах управління ризиками. Така зміна викликана кількома чинниками.


Складність і взаємопов’язаність корпоративних ризиків. Сучасний світ бізнесу складніше, ніж коли б то не було. Доступність додатків і даних в режимі онлайн, розширення складних зв’язків з партнерами та постачальниками, а також швидкість сучасних економічних змін означають, що є набагато більше ризиків, які компанії повинні враховувати. Ризики рідко бувають окремими. Часто вони пов’язані один з одним складним і важкокерованими чином. Невдача в одній області бізнесу може мати драматичні наслідки для інших сфер.


Законодавчі приписи. За останні роки популярною темою стало відповідність законодавчим нормам. Компанії повинні відповідати набору складних і часто незрозумілих вимог, висунутих і законодавчими, і галузевими приписами. До того ж відповідальність за це відповідність – персональна. Тобто директора тепер можуть залучатися до відповідальності за невідповідність компанії вимогам. Це створює серйозний стимул слідувати духу і букві закону.


Зростання глобалізації. Географічні межі багатьох корпорацій і складність міжнародного законодавства означає, що ризиками тепер потрібно керувати на всесвітньому рівні. Занадто прості дії, начебто надання клієнтам інформації через закордонний філіал компанії, можуть привести до значних ризиків, пов’язаних з недотриманням законодавства. Крім того, необхідність розширення бізнесу компанії в нових областях при одночасному скороченні витрат створює ризики, які також потрібно враховувати.


Зростання доступності інформації про катастрофічні втрати. Новини повні історіями про компанії, які понесли катастрофічні втрати. Багато такі випадки призвели до краху компанії. Barings PLC, WorldCom, Enron та інші фірми – ось приклади невдач і ризиків, з якими треба справлятися на всіх рівнях. Ніяка компанія не захоче опинитися в цьому списку. Отже, багато переймають нові й строгі методики і засоби для управління корпоративними ризиками.


Що таке управління корпоративними ризиками (ERM)?


Gartner Group визначає ризик як “можливість втрати або незахищеність від втрати”. Систематичне і формальне управління ризиками служить для скорочення реальних і потенційних втрат, а також для збільшення можливостей бізнесу.


Мета програми ERM – створення централізованої, обгрунтованої і ефективної методології управління всіма формами ризиків у всій компанії. Цього можна досягти лише в тому випадку, якщо процес управління ризиками пронизує всі процедури прийняття рішень, якщо він охоплює всіх співробітників на всіх рівнях організації. Справді, ефективна програма управління ризиками може забезпечити компаніям значні переваги в сенсі загального корпоративного управління, ефективності та продуктивності.



Незважаючи на широке розуміння значення програм такого роду, їх використання залишається досить обмеженим. За результатами опитування керівників організацій інформаційна служба Compliance Week повідомляє, що 91% компаній “позитивно відноситься” до значення ERM, але лише 11% з цих компаній повністю запровадили цю програму. Потенціал для зростання використання цього типу методології дуже високий.


Обмеженість використання недивна, оскільки управління складними (і іноді невідомими) ризиками у всіх бізнес-підрозділах викликає серйозні організаційні проблеми. Також через складну і іноді суперечливою природи міжнародних правил дуже утруднено управління ризиками, що мають відношення до відповідності встановленим нормам. Нарешті, не вистачає досвіду і знань, а також кращих методик, яким могли б слідувати компанії.


У результаті багато компаній розуміють потребу у формальній програмі ERM, але не знають, як це здійснити, або які технології використовувати для цього процесу.


Розподіл ризиків на категорії


ERM включає в себе будь-який ризик, можливий вплив якого на корпорацію відмінно від нуля. Ось основні типи ризиків, з якими стикається більшість корпорацій.


Випадкові ризики: Пожежа, повінь, крадіжка і т.д.


Фінансові ризики: Ціна, кредит, інфляція і т.д.


Стратегічні ризики: Конкуренція, технологічні інновації, зміни в законодавстві, падіння престижу торгової марки і т.д.


Виробничі ризики Можливості ІТ, бізнес-операції, проблеми безпеки і т.д. Виробничі ризики за своєю природою можуть бути внутрішніми і зовнішніми. Ось деякі приклади внутрішніх виробничих ризиків.



Цікаво, що при будь-яких витратах ризиків уникнути неможливо. Організації ростуть тільки тоді, коли вони приймають розумний рівень ризиків. Деякі ризики можна і потрібно приймати як частина звичайного ходу бізнесу. Є чотири загальні підходи, яким можна слідувати при роботі з кожним типом ризику.


Ухилення Зміна діяльності таким чином, щоб уникнути цього певного ризику.


Передача Передача деяких (або всіх) ризиків іншим організаціям (страхування, партнерство і т.д.).


Зменшення Створення достатніх засобів управління і метрик для зниження ризиків і тяжкості втрат.


Прийняття Прийняття ризику і пов’язаних з ним витрат.


Доречний підхід залежить від типу ризиків і тяжкості наслідків. На наведеній далі діаграмі показані деякі загальні корисні принципи того, як працювати з різними типами корпоративних ризиків.



Матриця управління ризиками



Малюнок А

Ця діаграма з допомогою зрозумілих блоків показує розподіл різних ризиків на категорії. По суті, це всього лише концептуальна структура. Вона не охоплює всю складність багатьох сучасних бізнес-ризиків.


Давайте коротко поглянемо на ці дії. Уникнути ризиків важко. До того ж це іноді значно обмежує можливості бізнесу. Тобто абсолютне виключення ризику може мати навіть ще більші негативні наслідки для зростання компанії, ніж спроба його просто знизити. Передача ризику може дати деякі фінансові переваги. Але часто цієї компенсації недостатньо, щоб задовольнити бізнес-вимоги компанії. Наприклад, фінансове покриття втрати заводу-виробника може мати катастрофічні негативні наслідки.


Як можна бачити, найчастішим підходом є зменшення ризику. Воно включає в себе створення засобів для зниження ризиків або втрат, а також можливостей контролю. Ці можливості дозволяють гарантувати, що поточні ризики завжди правильно проаналізовані. Кількість і рівень засобів управління сильно залежить від ступеня впливу ризику на весь бізнес. Деякі ризики вимагають безперервного і завчасного контролю та аналізу.


Найкращі можливості для зниження ризиків певними способами (і до певного рівня, який організація вважатиме найбільш прийнятним) пропонують кошти на базі технологій. Подальший розділ цієї статті буде присвячений технологічним підходам до забезпечення ефективної платформи для зниження ризиків.



Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*