Максим Торнов - Управление риском ИТ. Основы

Главный редактор Юрий Иванов

Редактор Алина Тимофеева

Корректор Юрий Иванов

⠀

Недоступность ИТ-сервисов и систем, ошибки и медленная работа отдельных алгоритмов и систем в целом, потеря важных данных и информации, нарушение целостности отчетов и многие другие проблемы, присущие ИТ, влияют на эффективность, устойчивость и репутацию организации, ведут организацию к непредвиденным, а иногда и чувствительным финансовым издержкам. Очень часто, пренебрегая вопросами управления рисками, присущими ИТ, организации могут столкнуться с одной или несколькими из перечисленных выше проблем.

Однако, пытаясь предотвратить подобные проблемы, большинство руководителей вводят все новые и новые меры, принуждая сотрудников их выполнять, что зачастую превращается в хаотичные мероприятия и малоэффективные действия с созданием большого количества трудночитаемых документов.

Неконсистентный и нерегулярный подход в применении таких мер, недооценка или непонимание различных рисков, присущих ИТ, приводит к невозможности предусмотреть скрытые угрозы, и, как следствие, многие организации нерационально, зачастую напрасно расходуют ресурсы, при этом не снижая сами риски ИТ, что в свою очередь может нанести серьезный и в отдельных случаях непоправимый ущерб бизнесу.

Книга знакомит читателя с основами в области управления рисками и непосредственно рисками, присущими информационным технологиям, влияющими на достижение различных целей организаций.

Прочитав эту книгу, читатель узнает, что такое риск информационных технологий, какие категории и группы ИТ-рисков существуют, как они взаимосвязаны с бизнес-процессами, какие процессы и процедуры необходимо внедрить для эффективного управления подобными рисками, тем самым повысив надежность и эффективность ИТ-систем, процессов и процедур организации. Читатель сможет более осознанно принимать решения или выполнять поставленные задачи, связанные или зависимые от ИТ, сможет избежать распространенных ошибок и негативных сценариев при управлении ИТ или непосредственно при использовании ИТ в бизнес-процессах организации.

Книга состоит из четырех глав. В первой главе излагаются основы управления рисками и описаны наиболее часто встречающиеся риски ИТ. Вторая глава дает рекомендации по внедрению контроля над ИТ, управлению рисками ИТ. В третье главе на примере разработки программного обеспечения предлагается подход, учитывающий рекомендации из первых двух глав применительно к выпуску или внедрению программного обеспечения, закладывая механизмы, позволяющие снизить вероятность негативных для бизнеса ситуаций, связанных с ИТ. Четвертая глава помогает задуматься о будущем развитии ИТ и подтолкнуть читателя к попытке управления рисками, присущими искусственному интеллекту.

Меня зовут Максим Торнов, и я работаю в области управления рисками, внутреннего контроля и аудита, специализируясь на рисках, присущих информационным технологиям. Продолжительное время работал в различных областях информационных технологий (далее ИТ), занимался проектами по оценке рисков, эффективности и внедрению систем внутреннего контроля работая в одной из консалтинговых компаний «Большой четверки»1 и в различных организациях из разных индустрий.

Уверен, в настоящее время тема управления рисками, присущими информационным технологиям, не перестает быть актуальной. От того, насколько организация эффективно управляет рисками, присущими именно ИТ, зависит достижение многих целей организации, например, таких как надежность и эффективность работы бизнес-процессов, соответствие организации требованиям регуляторных органов, достоверность финансовой отчетности и многие другие цели.

Прочитав эту книгу, читатель узнает, что такое риск информационных технологий, какие категории и группы ИТ рисков существуют, как они взаимосвязаны с бизнес-процессами, какие процессы и процедуры необходимо внедрить для эффективного управления подобными рисками, тем самым повышая надежность и эффективность ИТ систем, процессов и процедур организации. Читатель сможет более осознанно принимать решения или выполнять поставленные задачи связанные или зависимые от ИТ, сможет избежать распространенных ошибок и негативных сценариев при управлении ИТ или непосредственно использовании ИТ в бизнес-процессах организации.

В этой книге мне хотелось бы рассказать вам о собственном видении основ управления риском ИТ. Я искренне надеюсь, что книга станет вам полезна и, возможно, натолкнет вас на новые идеи, которые вы сможете направить на благо вашего личного развития и развития вашей организации. Но для начала давайте вспомним, что такое ИТ и информационная безопасность (далее ИБ)2.

Википедия дает такое определение: Информацио́нные техноло́гии (ИТ, также – информационно-коммуникационные технологии) – процессы, использующие совокупность средств и методов сбора, обработки, накопления и передачи данных (первичной информации) для получения информации нового качества о состоянии объекта, процесса, явления, информационного продукта, а также распространения информации и способы осуществления таких процессов и методов (ФЗ №149-ФЗ). Этого нам хватит для понимания, что такое ИТ.

В отношении ИБ Википедия дает следующее определение: Информационная безопасность (англ. Information Security, а также – англ. InfoSec) – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Теперь мы готовы к погружению в область управления риском ИТ.

Все, что может пойти не так, пойдет не так.

Если есть вероятность того, что несколько вещей пойдут не так, то пойдет не так та, которая нанесет наибольший ущерб. Следствие: если есть худшее время для того, чтобы что-то пошло не так, это произойдет именно тогда.

Если что-то просто не может пойти не так, оно все равно произойдет.

Эдвард Мерфи «Законы Мерфи»

1.1. РИСК – ЧТО МОЖЕТ ПОЙТИ НЕ ТАК?

Определение риска

У риска есть множество определений, на мой взгляд, наиболее точное определение риска – это «Risk is defined by COSO as the possibility that events will occur and affect the achievement of strategy and business objectives». Это определение дано Комитетом организаций-спонсоров Комиссии Тредвея3. Для себя я сформулировал такое: «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Ниже мы более детально разберем виды рисков/рисковых событий.

Риск можно рассматривать с качественной и/или количественной точек зрения, при этом определение риска может различаться в зависимости от используемого источника информации. Однако фундаментальная суть риска состоит в том, что риск определяет вероятность или возможность того, что некое событие произойдет и какие в этом будут последствия для организации.