Управление риском ИТ. Основы
Шрифт:
Мониторинг и контроль риска ИТ,
формирование отчетности по риску
Мониторинг риска ИТ – это выработка ключевых индикаторов риска, наблюдение и оценка эффективности процессов и процедур, направленных на снижение риска, актуализация и обновление профиля рисков (перечня рисков, присущих ИТ).
Это
Ценность управления риском ИТ
Что это нам дает? Что именно дает процесс управления риском ИТ организации в обмен на существенные инвестиции? Эффективное и регулярное управление риском ИТ сулит для организации значительные материальные и нематериальные выгоды. Приведу несколько примеров:
• создание риск-ориентированной культуры и среды с меньшей зависимостью от отдельных специалистов повышает вероятность успешного завершения проектов;
• приоретизация усилий по реакции на риск в соответствии с целями и приоритетами организации увеличивает способности организации к достижению целей и созданию ценности;
• проактивная идентификация угроз, уязвимостей и оценка последствий повышает надежность контроля над активами организации, снижает величину потенциальных потерь и систематизирует подход в усилиях по соответствию требованиям регуляторов;
• улучшение производительности систем, процессов инцидент-менеджмента и непрерывности бизнеса повышает предсказуемость и надежность процессов организации, то есть устойчивость и выживаемость организации.;
• улучшение процессов контроля, мониторинга и отчетности, доступ к более точной, полной и своевременной информации, что упрощает процесс принятия решений и, как следствие, повышает уверенность в надежности и эффективности организации всех заинтересованных сторон.
1.6. ПОДВОДЯ ИТОГИ
Надеюсь, прочтя эту главу, вы узнали для себя что-то новое и полезное об управлении риском информационных технологий, а также теперь понимаете необходимость и пользу регулярного и эффективного управления риском ИТ. В следующей главе мы поговорим о методах контроля над риском ИТ.
ПРИЛОЖЕНИЕ 1.1. ПРИМЕРЫ НЕДОСТАТОЧНОГО
ВНИМАНИЯ К УПРАВЛЕНИЮ РИСКОМ ИТ
Обсудив эту главу с коллегами, я решил добавить немного реальных, но по понятным причинам обезличенных и несколько упрощенных примеров из практики, когда риски ИТ реализовались либо могли с достаточной легкостью быть реализованы из-за недостатка контроля и в той или иной мере привели или могли привести к реальным потерям. Надеюсь, примеры буду полезны.
Пример 1
Россия. Компания – разработчик технического и промышленного оборудования. В компании проводился регулярный аудит финансовой отчетности, в рамках которого независимый аудитор должен оценить влияние ряда рисков, присущих ИТ, на надежность процесса формирования финансовой отчетности и на достоверность самой отчетности 8 . В какой-то момент на протяжении финансового года возникла угроза заражения систем компании вирусом-шифровальщиком PETYA (если интересно, в сети Интернет вы можете найти более детальную информацию о «вирусе»). При этом менеджмент компании регулярно игнорировал отчеты аудитора о недостатках в области управления рисками ИТ. Вирус проник в системы компании и заразил (зашифровал) больше половины всех систем компании, в том числе системы резервного копирования и часть ключевых систем, участвующих в процессе
8
ISA 315, PCAOB 2110 – AS 2110: Identifying and Assessing Risks of Material Misstatement.
Компания справилась с ситуацией, однако понесла существенные операционные издержки. Также часть данных бухгалтерского учета за потерянный период восстанавливалась несколько недель различными специалистами вручную, на основе доступной первичной информации. Этого можно было бы избежать при наличии эффективного контроля над риском ИТ, например:
• наличие антивирусного ПО и его своевременное и регулярное обновление;
• наличие своевременного и регулярного процесса установки обновлений и критических «заплаток» для систем компании;
• наличие процесса информирования и обучения пользователей основам информационной безопасности;
• наличие эффективно защищенного хранилища резервных копий с ключевой, значимой для компании информацией.
Пример 2
США. Крупная розничная торговая сеть.
На момент описываемого события компания обладала сетью из порядка 800 магазинов в разных штатах США. В каждом магазине были установлены POS 9– терминалы и два POS-сервера, ежедневно собирающие информацию о продажах магазинов. Так как магазинов много, то система POS как для терминалов, так и для серверов настраивалась централизованно в главном офисе. После того как новая версия системы была готова, специалисты устанавливали ее во все магазины либо удаленно, либо с физического носителя.
9
POS-терминал (от англ. point of sale – точка продажи, и от англ. terminal – окончание) – это электронное программно-техническое устройство для приема оплаты, т. е. «кассы», где осуществляется оплата товара, различными способами и средствами. После оплаты информация поступает на серверы POS-системы, агрегируется и в режиме онлайн или с иной периодичностью передается в головной офис торговой сети для дальнейшего учета деятельности организации. https://ru.wikipedia.org
Потенциальная проблема возникла в момент, когда в результате аудита выяснилось, что в образе (образ – готовая, настроенная для установки POS-система на диске) обнаружились учетные записи администраторов, уволенных либо переведенных на другие должности несколько лет назад, еще до аудита.
Таким образом, на протяжении нескольких лет уволенные либо переведенные администраторы имели полный доступ к POS-терминалам и серверам во всех восьмистах магазинах в разных штатах.
В данном конкретном случае ущерб не был обнаружен, такой задачи просто не стояло, однако в случае, например, обиды со стороны уволенного администратора при наличии доступа к сети компании у уволенных/переведенных на другую должность такого рода сотрудников торговая сеть могла лишиться части или полностью своих ключевых систем в магазинах и, как следствие, понести финансовые и/или репутационные потери, а также пострадать от санкций со стороны регуляторов.
Подобный риск можно было бы снизить при наличии эффективного контроля над риском ИТ, например:
• сократить количество предустановленных учетных записей до необходимого минимума и регулярно проверять их актуальность каждый раз, когда проводилась установка новых или обновление существующих систем;
• внедрить регулярную проверку систем на наличие незаблокированных учетных записей уволенных либо переведенных на другую должность сотрудников.
Пример 3