Обзор подготовлен

версия для печати
ИБ тормозит прогресс в области ИТ?

ИБ тормозит прогресс в области ИТ?

Компании признают, что часто не внедряют новые технологии, необходимые для создания конкурентных преимуществ, развития бизнеса и обеспечения соответствия нормативным требованиям, из-за опасений возможных рисков ИБ. Еще одна причина отказа от внедрения — неуверенность, что та и ли иная технология может быть интегрирована с системами хранения и восстановления данных. Часть опасений может снять использование лучших практик риск-менеджмента.

Аналитической компанией Freeform Dynamics было проведено исследование, посвященное управлению бизнес-рисками. В его ходе 80% опрошенных признались, что опасения по поводу возможных рисков для бизнеса не позволили им внедрить новые технологии, необходимые для создания конкурентных преимуществ, развития бизнеса и обеспечения соответствия нормативным требованиям, такие как, например, управление цепочками поставок (SCM), улучшенные коммуникации и технологии для удаленной работы. Одна из главных причин отказа от внедрения — опасения по поводу ИТ-безопасности и неуверенность, что та и ли иная технология может быть интегрирована с системами хранения и восстановления данных компании. Эти проблемы могут быть решены при помощи эффективной стратегии управления рисками. Однако очевидно и то, что, несмотря на все более качественную оценку рисков и улучшенное планирование деятельности по их предотвращению, многие компании все еще не имеют интегрированной стратегии управления бизнес-рисками, включающей ИТ, — говорится в исследовании.

Политика безопасности, разработанная в большинстве компаний, распространяется на использование всех систем и данных, а также планы восстановления этих данных, но не всегда соответствует задачам планирования бизнес-рисков и не обеспечивает интеграцию систем хранения и решений безопасности.

Причины неосуществления инвестиций в новые технологии

Причины Актуальность
1 Потеря существенной бизнес-информации и вынужденные простои в результате сбоя систем 90% компаний считают эти риски главными исключительно при планировании, в то время как 60% считают эту проблему главной в целом.
2 Незаконное использование конфиденциальной информации 88% компаний рассматривают этот риск при планировании, а 58% респондентов подчеркивают, что это является их главной проблемой в целом.
3 Задачи соответствия нормативным стандартам и законодательным нормам; необходимость отслеживания этого соответствия Более 80% предприятий обеспокоены этим при планировании. От решения данных задач зависит также эффективное хранение и восстановление данных. 45% компаний считают, что могут столкнуться с проблемами, размещая информацию на временное хранение, в то время как 40% признают, что имеют неполные записи и контрольные журналы, которые могут привести к нарушению нормативных требований.
4 Распространение данных по различным удаленным подразделениям создает большие проблемы в управлении резервным копированием и/или управлением данных. 60% опрошенных считают, что это создает большие проблемы в управлении резервным копированием и/или управлением данных. Средний показатель уверенности в безопасности критически важной информации, распространяемой таким способом, составляет менее 70%, в каждом третьем случае хранения информации в удаленном офисе или у мобильного сотрудника эта информация подвергается данной угрозе.
5 Безопасность при использовании портативных устройств для хранения информации 68% предприятий видят в этом серьезную проблему.

Источники: CA, Freeform Dynamics, 2008

Все пять основных причин, приведенных в исследовании, напрямую связаны с безопасностью. С технологической точки зрения внедрение, например, сервис-ориентированной архитектуры не вызывает беспокойства. Крест на инвестициях ставят проблемы с обеспечением безопасности, сохранности и доступности данных. Если сравнить эту таблицу с данными исследования "Главные инициативы в области информационной безопасности", то получится замкнутый круг. Бизнес боится внедрять новые технологии по целому ряду причин, а служба ИБ называет борьбу с этими же причинами своими главными инициативами "сейчас и на будущее".

В качестве выхода из этого круга целым рядом экспертов предлагается более активное использование риск-менеджмента. Однако не все так просто. Саймон Перри (Simon Perry), вице-президент CA по решениям в области безопасности в регионе EMEA, отмечает, что почти 55% респондентов не располагают общим для бизнес и ИТ-подразделений бюджетом для управления рисками, в то же время только около 30% привлекают старший ИТ-менеджмент для обсуждения бизнес-рисков. Это вызывает серьезные опасения, так как ключевые угрозы связаны именно с применением ИТ-технологий. Такая разобщенность будет и в дальнейшем способствовать разделению между бизнес и ИТ-стратегией, что приведет к уменьшению или даже потере конкурентоспособности на рынке и к замедлению развития бизнеса.

"Результаты данного исследования также отражают ситуацию и в России, — говорит Васил Барзаков, глава представительства CA в России и СНГ. — Компании должны признать, что информационные технологии вносят существенный вклад в реализацию бизнес-стратегии, и приступить к равномерному управлению рисками во всех подразделениях. В частности, должно быть предусмотрено инвестирование в гибкие интегрированные технологии, направленные на решение широкого спектра вопросов, включая безопасность, хранение и соответствие нормативным требованиям".

Как управляют ИТ-рисками на практике?

Для того, чтобы  ИТ и бизнес начали реальное движение на встречу друг другу в вопросе риск-менеджмента, должны быть реализованы, как минимум, три вещи.

Во-первых, ИТ должно создать комплексный продукт, где вопросы управления операционными рисками не были бы "размазаны" по разным, порой не связанным между собой приложениям. Во-вторых, бизнес должен принять то, что кроме выполнения нормативных требований, управление ИТ-рисками, как подсистемой рисков компании в целом, способно придать конкурентное преимущество на рынке. И, наконец, бизнес и ИТ должны совместно выстроить систему менеджмента рисков, частично или полностью отвечающую международным и локальным стандартам как безопасности, так и непрерывности бизнеса.

По словам Елены Семеновской, руководителя программ исследований IDC Russia/CIS, "мы достаточно давно наблюдаем за конвергенцией продуктов ИБ с соседними разделами ИТ. В частности это — слияние ПО для обеспечения безопасности (Security Software), продуктов для управления ИТ-инфраструктурой (System Management Software) и софта для обеспечения сохранности данных (Storage Software). Мало того, в 2004 году мы выделили этот процесс в отдельное направление исследований — 3S (System, Storage and Security).

Тем самым, разработки ИТ, двигаясь по направлению к полноценной интеграции с риск-менеджментом компаний, фактически подготовили необходимый концептуальный интеграционный базис, который уже практически реализован рядом вендоров, например, Symantec. Если говорить о России, то суммарный объем рынка этих конвергентных продуктов от разных вендоров в 2006 г. мы оценили в 178 млн долларов и отмечаем его бурный рост.

Весьма значимым компонентом этого базиса, с которого начинают работу по его построению множество компаний по всему миру — это системы управления идентификацией и доступа (IAM). С чем с это связано? Все очень просто: уровень технологических и финансовых рисков, связанных с использованием ИТ, обратно пропорционален уровню "порядка" в ИТ-инфраструктуре организации. А порядок, перефразируя известное выражение, начинается с точки входа".

Что касается второго компонента, необходимого для управления рисками, наверное, лучше всего обратиться к опыту тех организаций, которые сами по роду своей деятельности принимают участие в их минимизации — к страховым компаниям. Им, мало того, что приходится управлять своими собственными процессами, надо разбираться и с системой защиты от угроз у своих клиентов перед тем, как страховать риски и принимать их на себя.

Артем Нарусов, CIO страховой группы РОСНО, отмечает, что на уровне методологии топ-менеджменту достаточно сложно многое из вышесказанного понять. На конкретных примерах, например, выхода из кризисных ситуаций, можно увидеть, как на глазах приходит разворот от неприятия к поддержке. Но надо понимать, в чем разница между тем, что хотят люди из ИТ, и тем, что нужно бизнесу. Причем бизнесу не абстрактному, а конкретному, отмечает Артем Нарусов. Конкретика означает прагматичный подход к анализу отраслевых рисков с максимальным использованием уже имеющейся ИТ-инфраструктуры.

"Понятно, что при, например, ядерном взрыве, глупо в первую очередь восстанавливать доступность фронт-офиса, так как никому он не будет нужен. Но в случае локального отключения электроэнергии или вирусной атаки на центральный офис, этот центр обслуживания клиентов должен работать любой ценой, так как этот инцидент не затрагивает основную массу партнеров. В итоге руководство видит обоснованность инвестиций, и можно начинать выбирать конкретные продукты", — комментирует эксперт.

Андрей Зеленский, ведущий консультант Symantec в России и СНГ, говоря о подходах своей компании при реализации проектов этого рода, отмечает, что особенных отличий от других процессных стандартов здесь нет. Это цикл — "Анализ, Проектирование, Внедрение и Управление". "Практика Symantec показывает, что максимальной популярностью пользуются решения, нацеленные на борьбу с недоступностью, несоответствием и небезопасностью. В портфеле продуктов и услуг компании имеется достаточный набор для решения каждой задачи, как на уровне сервисов внедрения, так и на уровне программного обеспечения и аутсорсинга".

Однако у каждой компании есть свои секреты. О них CNews Analytics рассказал Эдуард Оганов, так же как и его коллега — ведущий консультант Symantec в России и СНГ. По его словам, "богатый практический опыт компании привел к появлению уникального продукта, позволяющего оперативно оценивать текущее состояние безопасности или соответствия нормативным актам. И после его анализа на основании лучших мировых практик и стандартов даются рекомендации по улучшению этих параметров. Уникальность Symantec INFORM (Information assurance Risk Model) заключается в том, что выдается не абстрактный результат, а числовой — проценты, доллары и т.д. Откуда они берутся? В базе знаний Symantec сосредоточены данные о более чем восьмистах ее клиентов по всему миру (с учетом численности персонала, отрасли, политических условий и т.д.) до и после внедрения тех или иных продуктов. Остается только сравнить и выбрать дорогу…".

В заключение необходимо отметить, что риск-менеджмент - это относительно молодое направление в бизнесе. Но практический эффект от его использования виден достаточно быстро. К сожалению, окружающий нас мир и общество генерируют все больше и больше угроз, они становятся все изощренней и тоньше. Средства борьбы и предупреждения не всегда поспевают за ними. Всегда есть риск потери информации, денег, репутации и т.д. Задача — их минимизировать. Один из инструментов для этого — риск-менеджмент.

Вадим Ференец / CNews Analytics

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS