Телефон/факс:
+7 (495) 543-8980
Войти
home mail map
Главная IT решения IT–риски и IT–безопасность

IT решения

IT–риски и IT–безопасность

Как избежать влияния внешних и форс-мажорных факторов? Как защитить IT–инфраструктуру вашего бизнеса от внешних попыток нарушения ее работоспособности?

Управление IT–инфраструктурой.

Эффективное управление IT–инфраструктурой вашего бизнеса, начиная от сокращения времени затрат на установку нового рабочего места вашей сети до планирования и автоматизация процесса установки и обновления программного обеспечения. Управление лицензиями вашего программного обеспечения.

Отказоустойчивые IT–системы

Построение IT–структуры выполняющей свои непосредственные задачи не зависимо от работоспособности компонентов. Как заменить жесткий диск или блок питания, не выключая сервера?

Совокупная стоимость владения (TCO)

Как понять и оценить прямые и косвенные затраты, связанные с владением и использованием компонентов информационных технологий в течение их жизненного цикла. Как уменьшить сумму затрат на приобретение, инсталляцию и администрирование компьютерного оборудования, программного обеспечения, сетей и приложений?

Эффективное планирование IT–бюджета

Вложения в информационные технологии должны не только окупить себя, но и принести прибыль.

IT–решения для малого бизнеса

Схемы построения эффективной IT–инфраструктуры малого бизнеса. Экономические и технические составляющие и компоненты.

 
IT–риски и IT–безопасность

Обеспечение информационной безопасности — одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации.

Кроме этого ещё более серёзную угрозу могут представлять любые форс-мажорные обстоятельства (пожары, затопления), несущие катастрофические последствия для существования бизнеса. Как выявить и минимизировать информационные риски (IT-риски)?

Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

IT-риски можно разделить на две категории:
  • риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
  • риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования и программного обеспечения.

Процесс минимизации IT-рисков следует рассматривать комплексно:

  1. сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
  2. Сможет ли компания в короткий срок интегрировать существующие технологии работы с информацией в системы предприятия, являющегося объектом слияния или приобретения?
    3. Например, в компании установлена одна или несколько учетных систем, с помощью которых финансисты получают данные для составления консолидированной отчетности. При покупке нового предприятия выясняется, что у него установлена другая учетная система. Поэтому у компании должен быть четкий план трансформации такой отчетности в стандарты, принятые на головном предприятии. В противном случае она может потерять оперативный контроль над ситуацией.
  3. Позволяет ли организация документооборота компании в существующих системах продолжить ее деятельность в прежнем режиме в случае ухода ключевых сотрудников?
  4. Эта проблема чрезвычайно актуальна для российских компаний, поскольку даже финансовая и бухгалтерская информация зачастую вводится и хранится в произвольном виде, не говоря уже о сведениях, касающихся клиентов и т. п. Это ведет к дополнительным затратам времени новых сотрудников на «вхождение» в курс дела и повышает вероятность возникновения ошибок.
  5. Обеспечена ли защита интеллектуальной собственности компании и ее клиентов?
  6. Имеет ли компания четкий алгоритм действий в критической ситуации, например в случае сбоев в работе компьютерных сетей или вирусной атаки?
  7. Соответствует ли способ работы информационных систем общим задачам компании? (Если перед компанией стоит задача иметь общий центр управления денежными потоками, а учетные системы, установленные в разных филиалах, не связаны между собой, то поставленная задача не будет решена).

Точно определить возможный ущерб от большинства IT-рисков довольно сложно, но примерно оценить их вполне возможно.

Как минимизировать IT-риски

Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах.

Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

Правило № 2. Компания должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

Правило № 3. Информационные системы, от которых напрямую зависит деятельность компании (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации или иметь возможность оперативного развёртывания при форс-мажорных обстоятельств на другой площадке.

Для обеспечения необходимой защиты от IT-рисков и контроля безопасности можно провести следующие мероприятия.

  • Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
  • Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах компании, используемых для этой цели.
  • Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
  • Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
  • Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
  • Разработать и создать ситему позволящую оперативно восстановить работоспособность IT- инфраструктуры при технических сбоях.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса.

Для этого следует:

  • проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников компании во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
  • разработать варианты решения проблем, связанных с кадрами, включая уход из компании ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления на предприятии;
  • подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи. Максимально повысить отказоустойчивость IT - инфраструктуры.

Если бизнес компании во многом зависит от состояния ее информационных сетей (например, у фирм, занимающихся разработкой компьютерных программ), необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре компании (например, исполнительный директор).

Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной.

В разделе использованы материалы из статьи “Управление информационными рисками” Мишеля Мура, партнер компании "Эрнст энд Янг".
 
 

IT услуги

Абонентское обслуживание IT - инфраструктуры

Обслуживание офисной техники и оперативное решение всех вопросов связанных с IT–инфраструктурой – залог успешного развития компании. Квалифицированная помощь и консультации наших специалистов, ускорит обработку информации и поможет не допустить сбоя в работе вашего бизнеса.

IT–аутсорсинг

Специалисты нашей компании могут полностью или частично заменить ваш IT–департамент и выполнить его функции по обслуживанию, администрированию, созданию или модернизации вашей IT–инфраструктуры. В штате вашей компании не будет ни одного системного администратора, но его обязанности выполнит целая компания.

IT–консалтинг

Консультации по использованию или созданию IT–инфраструктуры современного бизнеса, а также по отдельным аспектам использования современных IT–решений.
 
 
 

IT инструменты

Серверные системы по требованию (2SoD)

Сервер – «сердце» современной информационной сети любого предприятия. Какие задачи будет решать ваш сервер? Для хранения информации нужен файл-сервер, для размещения необходимых сетевых программ сервер приложений, для обработки и сортировки электронной почты почтовый сервер и для работы вашего интернет-сайта также необходим сервер. А может все эти задачи решить на базе одного сервера?

Компьютерные системы по требованию (CSoD)

Компьютеры такие же разные, как и люди которые за ними работают. Какой же компьютер нужен секретарю, бухгалтеру, дизайнеру, программисту или директору вашей компании?

Периферия

Активное и пассивное сетевое оборудование. Печать, копирование и сканирование. Системы бесперебойного питания. Средства резервного копирования. А также устройства ввода и отображения информации. Как выбрать и что предпочесть? Чтобы не было мучительно больно.
 
 
 
 
 
блокхаус имитация бруса вагонка Выгодное предложение по бартеру: бартерные предложения .;Форд Фокус покупаем Дорого: выкупа автомобилей . Выкуп автомобиля -Выгодно.;Видеоконференция или вебинар по всему миру.