Сергей Авдошин - Информатизация бизнеса. Управление рисками
Говоря об управлении изменениями ИТ-проекта, прежде всего нужно обратить внимание на своевременную идентификацию и формализацию изменений в процессах и организационной структуре компании при внедрении ИТ. Формализация включает описание изменения, установление причины, анализ последствий от внедряемого изменения, план мероприятий по управлению изменениями. Для контроля изменений рекомендуется:
• создавать и поддерживать базу данных конфигураций основных компонентов ИТ-системы;
• писать запросы на изменения и заводить их в документе учета/автоматизированной системе на любые изменения;
• декомпозировать большие изменения до уровня «влияние на 1 компонент» или «выполняется одним человеком». Это позволит достаточно просто связывать задания на разработку с запросами на изменения;
• ввести сквозную классификацию изменений (например, «критическая ошибка», «ошибка», «усовершенствование», «новая возможность», «другое») и единое место хранения и учета;
• помимо менеджера ИТ-проекта и представителей заказчика, привлечь таких членов команды, как менеджер по качеству (Quality Assurance), главный аналитик (архитектор) проекта, ответственный за интеграцию.
Информирование всех заинтересованных сторон является неотъемлемой частью управления изменениями, так как позволяет в дальнейшем избежать множества рисков, связанных со взаимодействием команды проекта. Необходимо информировать руководителей и специалистов предприятий о целях и задачах проекта, о планируемых изменениях в функциональных обязанностях специалистов, в инструментах управления, в организационной структуре.
При внедрении новых информационных технологий следует обеспечить необходимый уровень знаний, навыков и компетенций персонала. Грамотная организация тренингов может повысить заинтересованность участников проекта, обеспечить их активное участие в переходе компании к новым ИТ и стандартам ведения бизнеса.
3.4. ИТ-аудит как средство управления рисками
Аудит ИТ – это независимая аудиторская проверка функционирования ИТ с целью получения достоверных данных. Аудит ИТ представляет собой получение систематизированных и достоверных данных о текущем состоянии ИТ и оценку степени их соответствия «лучшим практикам». Задача аудита ИТ состоит в том, чтобы обнаружить риски и удостовериться в том, что риски, оставшиеся после применения соответствующих процедур контроля, приемлемы для руководства.
Можно выделить различные виды ИТ-аудита, которые отличаются по своим задачам и конечным результатам:
1) регулярный независимый внешний ИТ-аудит: необходим по требованию законодательства (ЦБ РФ, Гостехкомиссия РФ, закон Сарбсинса-Оксли);
2) регулярный внутренний ИТ-аудит: инициируется высшим руководством для повышения эффективности работы компании и оценки затрат на ИТ;
3) специальный ИТ-аудит: инициируется руководством и проводится перед важными организационными изменениями (IPO, слиянием и прочим).
Любой вид ИТ-аудита предполагает оперативное получение систематизированной и достоверной информации для оценки ИТ, потенциальных проблем и рисков, принятия решений по управлению ИТ.
Чаще всего необходимость проведения ИТ-аудита возникает, когда специалисты собственных ИТ-служб предприятия не способны достоверно оценить уровень ИТ-сервисов и безопасности либо существует вероятность, что информационные технологии компании не соответствуют целям и задачам бизнеса, создают препятствия его развитию.
Также целесообразно проводить аудиторскую проверку, когда компания участвует в крупном проекте внедрения ERP, CRM и нуждается в независимой оценке результатов и хода работы для оценки ее эффективности и соответствия требованиям.
В некоторых случаях независимая экспертиза необходима, если компания выходит на фондовый рынок и перед ней стоит требование обосновать эффективность системы внутреннего контроля и управления рисками ИТ. Либо компания находится в стадии продажи, и компания-покупатель инициирует аудит для получения оценки его стоимости, в том числе в области ИТ.
В рамках проведения ИТ-аудита определяется базовый перечень исходных данных, проводятся анализ текущего состояния и выявление основных имеющихся проблем. При анализе используется организационно-техническая документация по системам (технические задания, проектная документация, акты приемки систем в эксплуатацию, методики испытаний и прочее), проводятся интервью с пользователями систем. Такой анализ позволяет не только выявить проблемы, связанные, например, с низкой отдачей действующих систем или высокой стоимостью владения, но также определить и предотвратить многие риски, к примеру:
1) риски информационной безопасности, которые определяются моделью бизнеса и заключаются в повышенных требованиях к конфиденциальности всей внутренней информации, находящейся в системах учета, электронной почте, пользовательских файлах;
2) риски хищения или искажения информации, с которой работает компания. Источниками этих рисков могут быть как собственные сотрудники, так и действия конкурентов;
3) технологические риски, влияющие на непрерывность бизнеса, которые связаны с доступностью ИТ-сервисов для сотрудников, а также возможностью восстановить конфигурацию систем и данные в случаях аварий, отказов оборудования, техногенных катастроф и действий третьих лиц;
4) организационные риски, угрожающие невозможностью управлять системой, данными или всей ИТ-инфраструктурой из-за отсутствия должной технической документации, регламентов, правил работы сотрудников компании и сотрудников ИТ-службы, избыточных прав доступа к системам и данным, отсутствием элементарной защиты от вирусов и сетевых вторжений.
Аудит информационной безопасности является одной из составляющих ИТ-аудита и представляет собой комплекс организационно-технических мероприятий, проводимых независимыми экспертами, имеющих целью оценку состояния информационной безопасности объекта аудита и степени его соответствия критериям аудита.
Целью аудита информационной безопасности являются:
• оценка текущего уровня защищенности ИТ;
• выявление рисков и уязвимостей в системе защиты;
• анализ угроз, которые могут быть реализованы через обнаруженные уязвимости;
• оценка соответствия требованиям системы информационной безопасности;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности, а также по приведению в соответствие требованиям системы информационной безопасности.