автордың кітабынан сөз тіркестері  Управление риском ИТ. Основы

Максим Торнов

Почему важно управлять ИТ-рисками? Почему необходим контроль над ИТ? Как убедить в этом владельцев ИТ-систем, автоматизированных сервисов и процессов?

Для того чтобы лучше подготовиться к общению с владельцами ИТ-систем и сервисов, нужно сделать шаг назад и вспомнить, а кто вообще и за что отвечает в организации.

И снова о концепции трех линий защиты, которой стоит поделиться с владельцами ИТ-систем, автоматизированных сервисов и процессов. Идеальный случай, если она уже реализована в компании на уровне политик и процедур, определяющих, кто и за что отвечает в организации.

как же понять, эффективен ли процесс управления ИТ-риском и контроль над ИТ?

В рамках управления ИТ-рисками компания с определенной периодичностью проводит оценку эффективности контроля над ИТ. Частью оценки является сбор свидетельств, которые могут подтвердить эффективность общего контроля над ИТ и отдельных контрольных процедур (может иногда называться «контрольным мероприятием»), исходя из их дизайна и цели (помните — «Кто делает? Что делает? Как часто? Каков результат?) и результата внедрения, то есть реализации.

Для примера можно вспомнить, что случилось в недалеком прошлом с компаниями Enron Corp. и Arthur Andersen L LP[13]. В частности, подобные события, связанные с этими зарубежными компаниями, послужили первопричиной создания и принятия закона Сарбейнса-Оксли[14], известного еще как «Закон о реформе бухгалтерского учета публичных компаний и защите инвесторов».

Важно предусмотреть, что будет соблюден принцип разграничения полномочий между тем, кто разрабатывает контрольные процедуры, и тем, кто проверяет эффективность внедренных контрольных процедур.

Обычно внедрением занимается команда по управлению внутренним контролем организации и непосредственно команда сервиса или ИТ системы, а проверкой эффективности — команда по внутреннему аудиту либо внешний независимый аудитор.

Управление административным доступом

Полномочия на внесение изменений в параметры безопасности ИТ-систем, управление учетными записями, управление изменениями должны быть ограничены и предоставлены исключительно соответствующим сотрудникам из ограниченного набора департаментов/отделов.

в результате чего, возможно, потребуется внести коррективы в процессы и процедуры контроля, контрольную среду.

Например, причинами корректив могут послужить частично изменившийся сам бизнес-процесс, новые изменения в функционале системы или автоматизированного сервиса, внедрение или переход на новую систему и т. д.

Следует использовать различные варианты коммуникации (проведение тренингов, meet-up сессии и т. д.), объяснять владельцам ИТ-систем, автоматизированных сервисов и процессов необходимость внесения изменений в процессы и процедуры, подчеркивать причины, важность и приоритеты в отношении управления ИТ-рисками и внедрения контроля над ИТ. Таким образом можно заручиться их лояльностью.

Внедрение контроля над ИТ должно применяться в первую очередь к наиболее важным ИТ-системам, а затем к системам и сервисам с более низким приоритетом/критичностью для достижения целей организации.

при разработке таких документов и контрольных процедур можно воспользоваться одной из лучших практик описания — «5W»[10], исследуя «Кто», «Что», «Где», «Когда» и «Почему».

Данные документы должны формализовать непосредственно процедуры контроля над ИТ, то есть могут описывать:

1. Кто делает?

2. Что делает?

3. Как часто делает?

4. Каков результат?

5. Зачем и какова цель?

Шаг 3. Определить набор контрольных процедур в области ИТ применительно к типам/вариантам/категориям ИТ-систем и автоматизированных сервисов

Когда специфика и критичность систем определена, а риски, присущие ИТ, понятны, компании необходимо внедрить общий контроль над всей ИТ-средой. Контроль, представляющий из себя набор мероприятий, действий, политик и процедур, направленных на снижение рисков, присущих как ИТ в целом, так и системам и автоматизированным сервисам в отдельности.