Войти
Телефон/факс: +7 (495) 543-8980  
home mail map
Главная IT решения IT–риски и IT–безопасность

IT решения

Управление IT–инфраструктурой.

Эффективное управление IT–инфраструктурой бизнеса. Соокращения затрат. Планирование и автоматизация. Управление.

Отказоустойчивые IT–системы

Построение отказоустойчивой IT–инфраструктуры. Внедрение. Консалтинг. Обслуживание. Управление и администрирование.

Эффективное планирование IT–бюджета

Оптимизация вложений в информационные технологии. Планирование и автоматизация. Управление. Консалтинг.

IT–решения для малого бизнеса

Схемы построения эффективной IT–инфраструктуры малого бизнеса. Экономические и технические составляющие и компоненты.

IT–риски и IT–безопасность

Влияние внешних и форс-мажорных факторов. Защита IT–инфраструктуры бизнеса от внешних попыток нарушения ее работоспособности.

 
IT–риски и IT–безопасность

Обеспечение информационной безопасности — одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации.

Кроме этого ещё более серёзную угрозу могут представлять любые форс-мажорные обстоятельства (пожары, затопления), несущие катастрофические последствия для существования бизнеса. Как выявить и минимизировать информационные риски (IT-риски)?

Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

IT-риски можно разделить на две категории:
  • риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
  • риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования и программного обеспечения.

Процесс минимизации IT-рисков следует рассматривать комплексно:

  1. сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
  2. Сможет ли компания в короткий срок интегрировать существующие технологии работы с информацией в системы предприятия, являющегося объектом слияния или приобретения?
    3. Например, в компании установлена одна или несколько учетных систем, с помощью которых финансисты получают данные для составления консолидированной отчетности. При покупке нового предприятия выясняется, что у него установлена другая учетная система. Поэтому у компании должен быть четкий план трансформации такой отчетности в стандарты, принятые на головном предприятии. В противном случае она может потерять оперативный контроль над ситуацией.
  3. Позволяет ли организация документооборота компании в существующих системах продолжить ее деятельность в прежнем режиме в случае ухода ключевых сотрудников?
  4. Эта проблема чрезвычайно актуальна для российских компаний, поскольку даже финансовая и бухгалтерская информация зачастую вводится и хранится в произвольном виде, не говоря уже о сведениях, касающихся клиентов и т. п. Это ведет к дополнительным затратам времени новых сотрудников на «вхождение» в курс дела и повышает вероятность возникновения ошибок.
  5. Обеспечена ли защита интеллектуальной собственности компании и ее клиентов?
  6. Имеет ли компания четкий алгоритм действий в критической ситуации, например в случае сбоев в работе компьютерных сетей или вирусной атаки?
  7. Соответствует ли способ работы информационных систем общим задачам компании? (Если перед компанией стоит задача иметь общий центр управления денежными потоками, а учетные системы, установленные в разных филиалах, не связаны между собой, то поставленная задача не будет решена).

Точно определить возможный ущерб от большинства IT-рисков довольно сложно, но примерно оценить их вполне возможно.

Как минимизировать IT-риски

Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах.

Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

Правило № 2. Компания должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

Правило № 3. Информационные системы, от которых напрямую зависит деятельность компании (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации или иметь возможность оперативного развёртывания при форс-мажорных обстоятельств на другой площадке.

Для обеспечения необходимой защиты от IT-рисков и контроля безопасности можно провести следующие мероприятия.

  • Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
  • Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах компании, используемых для этой цели.
  • Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
  • Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
  • Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
  • Разработать и создать ситему позволящую оперативно восстановить работоспособность IT- инфраструктуры при технических сбоях.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса.

Для этого следует:

  • проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников компании во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
  • разработать варианты решения проблем, связанных с кадрами, включая уход из компании ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления на предприятии;
  • подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи. Максимально повысить отказоустойчивость IT - инфраструктуры.

Если бизнес компании во многом зависит от состояния ее информационных сетей (например, у фирм, занимающихся разработкой компьютерных программ), необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре компании (например, исполнительный директор).

Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной.

В разделе использованы материалы из статьи “Управление информационными рисками” Мишеля Мура, партнер компании "Эрнст энд Янг".
 
 

IT услуги

Абонентское обслуживание компьютеров

Обслуживание компьютерной инфраструктуры. Оперативное решение проблем связанных с IT. Квалифицированная помощь и консультации.

Создание и обслуживание 1С-решений

Содание, обслуживание и поддержка решений на базе 1С. Разработка специализированных прогаммно-аппаратных комплексов.

Ремонт и обслуживание ПК. Восстановление данных

Оперативный ремонт и восстановление работоспособности компьютеров и ноутбуков. Восстановление данных с носителей информации.
 
 
 

IT инструменты

Серверные системы (2SoD)

Контрактная поставка серверного оборудования от производителей. Консалтинг. Управление и администрирование. Модернизация. Аренда.

Компьютерные системы (CSoD)

Контрактная поставка компьютерного оборудования от производителей. Консалтинг. Управление и администрирование. Модернизация.

Сетевые хранилища (D-NAS)

D-NAS. Высокая надёжность. Масштабируемость. Распределённый доступ. Низкая себестоимость. Внедрение. Консалтинг. Обслуживание.
 
 
 
 
 
Rambler's Top100