IT-риск
Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.
Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:
• выбора неоптимального решения по автоматизации;
• ошибок при проектировании;
• нарушения расчетных сроков и бюджета проекта;
• несоответствия между инфраструктурой и решениями по автоматизации;
• технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:
• неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;
• неиспользование всего потенциала технологий;
• невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;
• неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;
• ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.
Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)
Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:
• выбора неоптимального решения по автоматизации;
• ошибок при проектировании;
• нарушения расчетных сроков и бюджета проекта;
• несоответствия между инфраструктурой и решениями по автоматизации;
• технических и организационных ошибок при инсталляции систем. На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:
• неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;
• неиспользование всего потенциала технологий;
• невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;
• неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;
• ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал.
Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть IT-систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень IT-рисков и тем больше эффективность использования информационных технологий. При формирования IT-системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)