Поскольку сегодня информационные системы чрезвычайно важны для любого бизнеса, то и риски данных систем имеют исключительно важное значение практически для любой компании. Однако не все в достаточной мере понимают, что это вообще такое и как себя с ними вести.

Что такое риски информационных систем

Что такое ИТ-риски? По сути дела, это просто сама возможность возникновения различных внештатных ситуаций, связанных с принадлежащей организации информацией. Сегодня многие отрасли экономики (в первую очередь, банковская и страховая сферы) настолько сильно зависят от ИТ-решений, что именно ИТ-риски являются одними из главнейших рисков для бизнеса.

Все ИТ-риски можно разделить на две большие группы: риски, связанные с отказом информационных систем, и риски утечек конфиденциальной корпоративной информации. И те, и другие риски связаны с убытками, которые может понести организация в случае подобного инцидента, однако стратегии минимизации каждого их видов данных рисков существенно отличаются, поэтому ниже мы рассмотрим их по отдельности.

Риски, связанные со сбоями

С этими рисками ежедневно сталкиваются не только организации, но и рядовые домашние пользователи. Каждому хоть раз в жизни попадался сбойный носитель информации, каждый хоть раз страдал из-за потери важного документа, который не успевал сохранить перед программным сбоем. К сожалению, даже самое надежное оборудование и программное обеспечение не гарантированы от различных ошибок. Тем не менее, когда такие ошибки становятся систематическими, бизнес может пострадать особенно серьезно.

А систематическими они могут стать в двух случаях: когда информационная система не соответствуют требованиям к классу надежности, которые предъявляются к подобным системам в данной организации, или когда некоторые её компоненты изначально реализованы неправильно. В редких случаях эти неприятности объединяются.

Очевидно, что в первом случае проблема решается внедрением другой информационной системы, что, конечно, связано с определенными издержками, однако в долгосрочной перспективе убытки от несоответствующей требованиям организации системы будут обычно заметно выше, чем затраты на внедрение новой системы. Во втором случае необходимо искать возможность замены или модификации компонентов с помощью различных патчей, сервис-паков и т.п.

Риски, связанные с утечками информации

Данная группа рисков известна только корпоративным пользователям, поскольку даже если домашний пользователь случайно обнародует какой-либо из собственных конфиденциальных документов, как правило, это не нанесет ему существенного вреда. В корпоративном мире всё иначе: по оценкам экспертов, в шести случаях из десяти достаточно утечки 20% конфиденциальных корпоративных документов для банкротства компании.

Все утечки информации можно по их природе разделить на две группы: преднамеренные и случайные. Первые организуются недобросовестными работниками организации, продающими корпоративные секреты или распространяющими их, например, из мстительных побуждений. Случайные же утечки информации являются следствием невнимательности, неаккуратности, небрежности персонала компании. Как правило, серьезного ущерба случайные утечки не несут.

Стратегия борьбы с утечками информации заключается, с одной стороны, в повышении лояльности сотрудников, а с другой – в организации контроля их действий над информации, проводимых на рабочем месте. Как отмечает аналитик компании SearchInform, специализирующейся на борьбе с утечками информации, Роман Идов, «золотой стандарт борьбы с утечками данных сегодня – это DLP-системы, которые позволяют контролировать входящий и исходящий трафик организации и обнаруживать в нем конфиденциальную информацию. Качественная и грамотно внедренная DLP-система на 100% закрывает потребность организации в технических средствах борьбы с утечками информации».

Управление рисками информационных систем

На первый взгляд, это словосочетание может показаться бессмысленным, однако на самом деле за ним кроется всего лишь процесс принятия управленческих решений, связанных с уменьшением вероятности нежелательных для организации инцидентов. Также сегодня модно применять термин «риск-менеджмент».

Основная задача риск-менеджмента – построение единой системы, которая позволит интегрировать комплексный контроль состояния информационных систем организации, аудит их работы, и обеспечит постоянную готовность информационных систем выполнять задачи для заказчика – то есть, в нашем случае, для самой организации. Конечно, при этом необходимо придерживаться разумных пределов, помня принцип «не бизнес для безопасности, а безопасность для бизнеса». На практике это означает, что, например, система с избыточной отказоустойчивостью может оказаться настолько дорогой, что для компании будет более разумно принять некоторые риски, чем внедрять такую систему.

Консалтинг и аутсорсинг

Зачастую компании при управлении рисками информационных систем прибегают к услугам консалтинговых и аутсорсинговых компаний. Первые могут помочь на этапе проектирования системы управления ИТ в организации, вторые же могут полностью взять на себя все заботы организации, связанные с ИТ, в том числе и управление ИТ-рисками.

Нужно отметить, что к аутсорсингу прибегают только небольшие компании, которые зачастую не имеют собственного ИТ-подразделения и стремятся, таким образом, сократить расходы на персонал. Для крупных компаний на этапе проектирования информационных систем будет разумным обратиться к помощи консалтеров, которые помогут учесть все «скользкие моменты» и составить грамотные требования к информационной системе, чтобы избежать описанной выше ситуации внедрения одной системы после другой.

Что можно сделать самостоятельно

Даже не внедряя никаких специальных систем, компания может самостоятельно разработать политику информационной безопасности, содержащую в себе требования обеспечения резервного копирования важных данных и разграничения доступа к ним. Разграничения доступа можно реализовать с помощью средств, встроенных в сами ИТ-ресурсы (базы данных, файл-серверы и т.п.) предприятия. Конечно, для контроля доступа необходимо внедрить DLP-систему, но это уже следующий шаг.

Но самое главное – это понимать, что управление рисками – это непрерывный процесс, и поэтому нельзя ожидать, что можно один раз минимизировать ИТ-риски, а потом про них забыть.

Р. Идов,

ведущий аналитик компании SearchInform