Читать онлайн Максим Торнов - Управление риском ИТ. Основы

Главный редактор Юрий Иванов

Редактор Алина Тимофеева

Корректор Юрий Иванов

⠀

Недоступность ИТ-сервисов и систем, ошибки и медленная работа отдельных алгоритмов и систем в целом, потеря важных данных и информации, нарушение целостности отчетов и многие другие проблемы, присущие ИТ, влияют на эффективность, устойчивость и репутацию организации, ведут организацию к непредвиденным, а иногда и чувствительным финансовым издержкам. Очень часто, пренебрегая вопросами управления рисками, присущими ИТ, организации могут столкнуться с одной или несколькими из перечисленных выше проблем.

Однако, пытаясь предотвратить подобные проблемы, большинство руководителей вводят все новые и новые меры, принуждая сотрудников их выполнять, что зачастую превращается в хаотичные мероприятия и малоэффективные действия с созданием большого количества трудночитаемых документов.

Неконсистентный и нерегулярный подход в применении таких мер, недооценка или непонимание различных рисков, присущих ИТ, приводит к невозможности предусмотреть скрытые угрозы, и, как следствие, многие организации нерационально, зачастую напрасно расходуют ресурсы, при этом не снижая сами риски ИТ, что в свою очередь может нанести серьезный и в отдельных случаях непоправимый ущерб бизнесу.

Книга знакомит читателя с основами в области управления рисками и непосредственно рисками, присущими информационным технологиям, влияющими на достижение различных целей организаций.

Прочитав эту книгу, читатель узнает, что такое риск информационных технологий, какие категории и группы ИТ-рисков существуют, как они взаимосвязаны с бизнес-процессами, какие процессы и процедуры необходимо внедрить для эффективного управления подобными рисками, тем самым повысив надежность и эффективность ИТ-систем, процессов и процедур организации. Читатель сможет более осознанно принимать решения или выполнять поставленные задачи, связанные или зависимые от ИТ, сможет избежать распространенных ошибок и негативных сценариев при управлении ИТ или непосредственно при использовании ИТ в бизнес-процессах организации.

Книга состоит из четырех глав. В первой главе излагаются основы управления рисками и описаны наиболее часто встречающиеся риски ИТ. Вторая глава дает рекомендации по внедрению контроля над ИТ, управлению рисками ИТ. В третье главе на примере разработки программного обеспечения предлагается подход, учитывающий рекомендации из первых двух глав применительно к выпуску или внедрению программного обеспечения, закладывая механизмы, позволяющие снизить вероятность негативных для бизнеса ситуаций, связанных с ИТ. Четвертая глава помогает задуматься о будущем развитии ИТ и подтолкнуть читателя к попытке управления рисками, присущими искусственному интеллекту.

Меня зовут Максим Торнов, и я работаю в области управления рисками, внутреннего контроля и аудита, специализируясь на рисках, присущих информационным технологиям. Продолжительное время работал в различных областях информационных технологий (далее ИТ), занимался проектами по оценке рисков, эффективности и внедрению систем внутреннего контроля работая в одной из консалтинговых компаний «Большой четверки»1 и в различных организациях из разных индустрий.

Уверен, в настоящее время тема управления рисками, присущими информационным технологиям, не перестает быть актуальной. От того, насколько организация эффективно управляет рисками, присущими именно ИТ, зависит достижение многих целей организации, например, таких как надежность и эффективность работы бизнес-процессов, соответствие организации требованиям регуляторных органов, достоверность финансовой отчетности и многие другие цели.

Прочитав эту книгу, читатель узнает, что такое риск информационных технологий, какие категории и группы ИТ рисков существуют, как они взаимосвязаны с бизнес-процессами, какие процессы и процедуры необходимо внедрить для эффективного управления подобными рисками, тем самым повышая надежность и эффективность ИТ систем, процессов и процедур организации. Читатель сможет более осознанно принимать решения или выполнять поставленные задачи связанные или зависимые от ИТ, сможет избежать распространенных ошибок и негативных сценариев при управлении ИТ или непосредственно использовании ИТ в бизнес-процессах организации.

В этой книге мне хотелось бы рассказать вам о собственном видении основ управления риском ИТ. Я искренне надеюсь, что книга станет вам полезна и, возможно, натолкнет вас на новые идеи, которые вы сможете направить на благо вашего личного развития и развития вашей организации. Но для начала давайте вспомним, что такое ИТ и информационная безопасность (далее ИБ)2.

Википедия дает такое определение: Информацио́нные техноло́гии (ИТ, также – информационно-коммуникационные технологии) – процессы, использующие совокупность средств и методов сбора, обработки, накопления и передачи данных (первичной информации) для получения информации нового качества о состоянии объекта, процесса, явления, информационного продукта, а также распространения информации и способы осуществления таких процессов и методов (ФЗ №149-ФЗ). Этого нам хватит для понимания, что такое ИТ.

В отношении ИБ Википедия дает следующее определение: Информационная безопасность (англ. Information Security, а также – англ. InfoSec) – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Теперь мы готовы к погружению в область управления риском ИТ.

Все, что может пойти не так, пойдет не так.

Если есть вероятность того, что несколько вещей пойдут не так, то пойдет не так та, которая нанесет наибольший ущерб. Следствие: если есть худшее время для того, чтобы что-то пошло не так, это произойдет именно тогда.

Если что-то просто не может пойти не так, оно все равно произойдет.

Эдвард Мерфи «Законы Мерфи»

1.1. РИСК – ЧТО МОЖЕТ ПОЙТИ НЕ ТАК?

Определение риска

У риска есть множество определений, на мой взгляд, наиболее точное определение риска – это «Risk is defined by COSO as the possibility that events will occur and affect the achievement of strategy and business objectives». Это определение дано Комитетом организаций-спонсоров Комиссии Тредвея3. Для себя я сформулировал такое: «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Ниже мы более детально разберем виды рисков/рисковых событий.

Риск можно рассматривать с качественной и/или количественной точек зрения, при этом определение риска может различаться в зависимости от используемого источника информации. Однако фундаментальная суть риска состоит в том, что риск определяет вероятность или возможность того, что некое событие произойдет и какие в этом будут последствия для организации.

Категории рисков

Существует множество категорий и типов рисков. Для наглядности следует отметить наиболее, на мой взгляд, важные и привести примеры того, что может пойти не так.

Финансовый – ошибки в бухгалтерском учете, финансовая отчетность организации содержит ошибки, неточности либо не содержит важной информации для заинтересованных сторон.

Кредитный – невозврат кредита заемщиком.

Рыночный – цена инвестиционного инструмента упала ниже, чем ожидалось.

Операционный – отклонения, неэффективность в операционной деятельности организации. При этом, например, в категорию операционных рисков можно отнести внутреннее и/или внешнее мошенничество, риск подрядчика/контрактный/санкционный – подрядчик выполнил проект ниже качеством либо не выполнил вовсе, отказался от поддержки ИТ системы, отозвал лицензию и другие подобные варианты. Также очень часто к категории операционных рисков относят риск ИТ/ИБ – ключевая ИТ-система работает с ошибками, произошла утечка персональных данных и т. д. Как правило, риск ИТ – это подгруппа рисков бизнеса.

⠀

Взаимосвязь ИТ и бизнес-функций организации

Основная цель ИТ – помощь бизнесу в достижении миссии и целей организации. Каждое направление бизнеса создает ИТ-систему, поддерживающую его бизнес-функцию. Тем самым чем выше автоматизация процессов организации, тем выше вероятность того, что что-то пойдет не так в средствах автоматизации, то есть информационных технологиях.

⠀

1.2. ЧТО ТАКОЕ РИСК ИТ?

EBA – Европейский Банковский регулятор4 дает, на мой взгляд, наиболее точное определение:

Риск ИТ – это риск потерь организации, вызванный:

• нарушением конфиденциальности;

• сбоем целостности систем и данных;

• некорректной работой либо недоступностью систем и данных;

• невозможностью изменить ИТ-систему за разумное время и стоимость, в то время как среда функционирования и/или требования бизнеса меняются (то есть быстрота изменений).

Риск ИТ включает еще и риск безопасности (ИБ), проистекающий от:

• неадекватных либо некорректных внутренних процессов, организации, либо внешних событий, включая кибератаки, либо неадекватную систему физической безопасности.

Взаимосвязь риска ИТ и других категорий рисков

В случае реализации риска ИТ, рискового события, связанного с ИТ, потенциально, подобно карточному домику, такое событие запускает реализацию рисков из других категорий рисков бизнеса. Более наглядный пример приведен на изображении ниже.

О том, что можно сделать в каждом конкретном случае, мы более подробно поговорим и разберем в нескольких примерах, размещенных ниже, в Приложении 1.1. к первой главе.

Допустимая величина риска, риск-аппетит

и уровень терпимости к риску

Риск можно измерить, риском можно управлять. Для этого существуют различные инструменты. На мой взгляд, наиболее важные – это:

• допустимая величина риска (RISK CAPACITY), то есть целевая сумма потерь, которую организация может выдержать до того, как под угрозой окажется возможность ее дальнейшего успешного функционирования, с учетом допустимой величины риска владельцы или совет директоров организации устанавливают риск-аппетит (RISK APPETITE). Риск-аппетит определяется как величина риска, которую организация готова принять с целью достижения своей миссии;

• уровень терпимости к риску (RISK TOLERANCE), это отклонение от риск-аппетита, подобные отклонения не желательны, но известно, что они достаточно ниже допустимой величины риска.

Для наглядности приведу примеры:

• допустимая величина риска (RISK CAPACITY): вследствие сбоя ИТ-системы часть сервисов организации недоступна для клиентов. Организация сможет выдержать убытки, понесенные в результате данного сбоя ИТ-системы и недоступности ИТ-системы на протяжении семи дней при сумме финансовых потерь до 10 млн рублей в совокупности за одну неделю.

• риск-аппетит (RISK APPETITE):

допустимое количество времени простоя ИТ-системы в год – общее количество времени недоступности ИТ-системы не превышает 100 минут в год. ИТ-система доступна 99,99% времени в год, допустимая сумма денежных потерь от простоя/сбоя ИТ-системы в год – не более 0,00001% от генерируемого данной системой потока выручки, допустимое количество установленного типа сбоев/ошибок ИТ-системы в год – не более двух сбоев/ошибок в неделю при работе ИТ-системы/отчетов.

Риск ИТ можно измерить

Риск можно измерить как в количественном эквиваленте, так и в качественном. Для этого используют различные метрики. Приведу для примера несколько метрик, рекомендуемых организацией ISC