Управление рисками безопасности ИТ. Часть 1Источник: ca Самнер Блаунт (Sumner Blount), Управление безопасностью CA
Раздел 1. Проблема Текущие факторы отрасли и рынка сделали управление корпоративными рисками важной проблемой для ответственных сотрудников организаций и советов директоров. Частично это произошло из-за роста внимания ко всей деятельности компании в форме законодательных и отраслевых предписаний. Катастрофические финансовые последствия ряда брешей в корпоративных системах безопасности, о которых недавно стало известно, выдвинули проблемы управления рисками, защиты корпоративных ресурсов и обеспечения непрерывности работы служб ИТ на передний план для всех корпораций. Возможность У корпораций есть возможность решить значительную долю своих проблем с безопасностью с помощью программы, которую в общем называют управлением корпоративными рисками (Enterprise Risk Management, ERM). В число самых важных элементов программы ERM входит минимизация рисков безопасности ИТ, защита корпоративных ресурсов и обеспечение непрерывной доступности служб ИТ. Если эти риски правильно минимизировать, то общий риск для корпорации существенно снижается. А снижение рисков безопасности ИТ путем принятия строгих мер управления внутренней безопасностью существенно облегчает задачу обеспечения соответствия законодательным требованиям. Чтобы гарантировать, что основная миссия компании никогда не будет подвергнута риску, необходимо разработать унифицированный подход к ERM. Преимущества Эффективная программа ERM предлагает значительные преимущества в смысле общего корпоративного управления, эффективности и производительности. Целью любой программы ERM является создание среды и инфраструктуры, которая пронизывает все политики принятия решений и работу всей корпорации. Наконец, успешное развертывание решений по управлению идентификацией и доступом может значительно облегчить процесс обеспечения соответствия правительственным и отраслевым нормам. Улучшенные и автоматизированные средства обеспечения внутренней безопасности могут также улучшить работу всей организации. Растущая важность управления рисками Изменение мышления Сегодня для корпораций успешное управление рисками - это важная проблема. Во многих корпорациях до сегодняшнего дня управление корпоративными рисками традиционно рассматривалось неформальным и часто локальным образом. Подразделения или филиалы компаний пытались снизить общий риск, связанный с работой ИТ. Часто это делалось без координации с другими рабочими группами. Даже хуже того: риски часто рассматривались как побочная проблема, а не формальная дисциплина, которая должна быть частью всех процедур работы и принятия решений. Недавно произошло изменение в представлениях о формальных дисциплинах управления рисками. Такое изменение вызвано несколькими факторами. Сложность и взаимосвязанность корпоративных рисков. Современный мир бизнеса сложнее, чем когда бы то ни было. Доступность приложений и данных в режиме онлайн, расширение сложных связей с партнерами и поставщиками, а также скорость современных экономических изменений означают, что есть гораздо больше рисков, которые компании должны учитывать. Риски редко бывают отдельными. Часто они связаны друг с другом сложным и трудноуправляемым образом. Неудача в одной области бизнеса может иметь драматические последствия для других сфер. Законодательные предписания. За последние годы популярной темой стало соответствие законодательным нормам. Компании должны соответствовать набору сложных и часто непонятных требований, выдвигаемых и законодательными, и отраслевыми предписаниями. К тому же ответственность за это соответствие - персональная. Т.е. директора теперь могут привлекаться к ответственности за несоответствие компании требованиям. Это создает серьезный стимул следовать духу и букве закона. Рост глобализации. Географические границы многих корпораций и сложность международного законодательства означает, что рисками теперь нужно управлять на всемирном уровне. Слишком простые действия, вроде предоставления клиентам информации через заграничный филиал компании, могут привести к значительным рискам, связанным с несоблюдением законодательства. Кроме того, необходимость расширения бизнеса компании в новых областях при одновременном сокращении затрат создает риски, которые также нужно учитывать. Рост доступности информации о катастрофических потерях. Новости полны историями о компаниях, которые понесли катастрофические потери. Многие такие случаи привели к краху компании. Barings PLC, WorldCom, Enron и другие фирмы - вот примеры неудач и рисков, с которыми надо справляться на всех уровнях. Никакая компания не захочет оказаться в этом списке. Следовательно, многие перенимают новые и строгие методики и средства для управления корпоративными рисками. Что такое управление корпоративными рисками (ERM)? Gartner Group определяет риск как "возможность потери или незащищенность от потери". Систематическое и формальное управление рисками служит для сокращения реальных и потенциальных потерь, а также для увеличения возможностей бизнеса. Цель программы ERM - создание централизованной, обоснованной и эффективной методологии управления всеми формами рисков во всей компании. Этого можно добиться лишь в том случае, если процесс управления рисками пронизывает все процедуры принятия решений, если он охватывает всех сотрудников на всех уровнях организации. В самом деле, эффективная программа управления рисками может обеспечить компаниям значительные преимущества в смысле общего корпоративного управления, эффективности и производительности.
Несмотря на широкое понимание значения программ такого рода, их использование остается довольно ограниченным. По результатам опроса руководителей организаций информационная служба Compliance Week сообщает, что 91% компаний "положительно относится" к значению ERM, но лишь 11% из этих компаний полностью внедрили эту программу. Потенциал для роста использования этого типа методологии очень высок. Ограниченность использования неудивительна, поскольку управление сложными (и иногда неизвестными) рисками во всех бизнес-подразделениях вызывает серьезные организационные проблемы. Также из-за сложной и иногда противоречивой природы международных правил очень затруднено управление рисками, имеющими отношение к соответствию установленным нормам. Наконец, не хватает опыта и знаний, а также лучших методик, которым могли бы следовать компании. В результате многие компании понимают потребность в формальной программе ERM, но не знают, как это осуществить, или какие технологии использовать для этого процесса. Деление рисков на категории ERM включает в себя любой риск, возможное влияние которого на корпорацию отлично от нуля. Вот основные типы рисков, с которыми сталкивается большинство корпораций. Случайные риски: Пожар, наводнение, кража и т.д. Финансовые риски: Цена, кредит, инфляция и т.д. Стратегические риски: Конкуренция, технологические инновации, изменения в законодательстве, падение престижа торговой марки и т.д. Производственные риски Возможности ИТ, бизнес-операции, проблемы безопасности и т.д. Производственные риски по своей природе могут быть внутренними и внешними. Вот некоторые примеры внутренних производственных рисков.
Интересно, что при любых затратах рисков избежать невозможно. Организации растут только тогда, когда они принимают разумный уровень рисков. Некоторые риски можно и нужно принимать как часть обычного хода бизнеса. Есть четыре общих подхода, которым можно следовать при работе с каждым типом риска. Уклонение Изменение деятельности таким образом, чтобы избежать этого определенного риска. Передача Передача некоторых (или всех) рисков другим организациям (страхование, партнерство и т.д.). Уменьшение Создание достаточных средств управления и метрик для снижения рисков и тяжести потерь. Принятие Принятие риска и связанных с ним затрат. Уместный подход зависит от типа рисков и тяжести последствий. На приведенной далее диаграмме показаны некоторые общие полезные принципы того, как работать с различными типами корпоративных рисков.
Матрица управления рисками Рисунок А
Эта диаграмма с помощью понятных блоков показывает деление различных рисков на категории. По существу, это всего лишь концептуальная структура. Она не охватывает всю сложность многих современных бизнес-рисков. Давайте коротко взглянем на эти действия. Избежать рисков трудно. К тому же это иногда значительно ограничивает возможности бизнеса. Т.е. абсолютное исключение риска может иметь даже еще большие негативные последствия для роста компании, чем попытка его просто снизить. Передача риска может дать некоторые финансовые преимущества. Но часто этой компенсации недостаточно, чтобы удовлетворить бизнес-требования компании. Например, финансовое покрытие потери завода-изготовителя может иметь катастрофические негативные последствия. Как можно видеть, самым частым подходом является уменьшение риска. Оно включает в себя создание средств для снижения рисков или потерь, а также возможностей контроля. Эти возможности позволяют гарантировать, что текущие риски всегда правильно проанализированы. Количество и уровень средств управления сильно зависит от степени влияния риска на весь бизнес. Некоторые риски требуют непрерывного и заблаговременного контроля и анализа. Наилучшие возможности для снижения рисков определенными способами (и до определенного уровня, который организация сочтет наиболее приемлемым) предлагают средства на базе технологий. Последующий раздел этой статьи будет посвящен технологическим подходам к обеспечению эффективной платформы для снижения рисков. |