logo
Основы бизнеса_УП_2008

Управление информационными рисками

К информационным рискам относят все те риски, связанные с опасностью возникновения убытков или ущерба в результате применения компанией информационных технологий. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных системах, а также неограниченный доступ сотрудников к информации. Таким образом, информационные риски связаны с созданием, передачей, хранением и использованием информации на электронных носителях и иных средствах связи.

Риски этой категории можно разделить на две группы:

  1. риски, связанные с утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

  2. риски, связанные с техническими сбоями работы каналов передачи информации.

Работа по минимизации информационных рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Для выявления подобных рисков используют те же методы, которые применяются для оценки других рисков (см. раздел 3.6). Однако для определения наиболее рисковых зон в сфере обеспечения компании информацией менеджер может ответить на следующие вопросы.

  1. Каким образом осуществляется контроль доступа к информационным системам, в которых хранится финансовая отчетность?

  2. Могут ли клиенты в нужный момент беспрепятственно связаться с компанией?

  3. Способна ли компания в короткий срок внедрить систему управления информацией в случае слияния с другой компанией? Если в разных подразделениях компании работают разные системы управления информацией, то должен быть четкий алгоритм трансформации данных и приведения их к единому стандарту.

  4. Позволяет ли организация документооборота продолжать деятельность в прежнем режиме в случае ухода ключевых сотрудников?

  5. Обеспечена ли защита интеллектуальной собственности компании?

  6. Имеет ли компания четкий план действий в случае сбоев в работе компьютерных систем?

  7. Соответствует ли способ работы информационных систем общим целям и задачам компании?

Точно рассчитать ущерб от реализации информационного риска достаточно сложно. Но приблизительная оценка вполне возможна. К примеру, можно определить период неработоспособности компании в случае сбоя в компьютерной сети. Это будет среднее время, которое потребуется специалистам для восстановления системы. Опираясь на эти данные, определяем сумму прибыли, которую потеряет компания. Такова приблизительная сумма ущерба. Вероятность наступления сбоя можно вычислить на основе статистических данных.

Для минимизации информационных рисков строится стратегия их предупреждения. Практика показывает, что наиболее успешные стратегии базируются на следующих принципах.

  1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

  2. Компания должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

  3. Информационные системы, от которых напрямую зависит деятельность компании (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.

В качестве практических мер можно назвать следующие:

Данный список мер не является исчерпывающим. Многие компании разрабатывают и используют собственные специальные программы по снижению и предотвращению информационных рисков. Кроме того, в любой организации должен быть разработан и доведен до персонала план действий в случае критической ситуации. Здесь можно воспользоваться следующими рекомендациями:

Обеспечение информационной безопасности – это также вопрос эффективности затраченных средств, поэтому расходы на защиту не должны превышать суммы возможного ущерба: необходимо обязательно рассчитывать их экономическую эффективность.

Если бизнес компании во многом зависит от состояния внутренних информационных сетей, то необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение информационных рисков. Желательно, чтобы такой координатор не имел отношения к информационной структуре компании. Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей (время устранения сбоя, частота сбоев и т. д.)

Обязательным условием успешного риск-менеджмента в области информационных технологий, как и процесса управления рисками в любой другой области, является его непрерывность. Поэтому оценка информационных рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью. Такой аудит системы работы с информацией, особенно проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

Следует отметить и тот момент, что разработка и реализация политики по минимизации информационных рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению безопасности должна быть, прежде всего, комплексной.