рассказать о том, как можно убедить владельцев ИТ-систем, автоматизированных сервисов и процессов в необходимости управления рисками, присущими ИТ (включая риски ИБ), и какие выгоды это может принести как им, так и компании.
2.1. ПРЕДПОЛОЖИМ, ЧТО…
Существует некая высокотехнологичная компания, существенно зависящая от ИТ и различных автоматизированных сервисов и процессов. Так же, как и у любой компании, у нее есть различные цели, например, такие, как:
• повышение и удержание лояльности клиентов;
• соответствие требованиям различных регуляторных органов;
• надежность и достоверность финансовой отчетности;
• эффективность и своевременность принятия управленческих решений.
Компания динамично развивается, новое ПО, «фичи», отчеты и т. д. появляются, как бургеры в известном ресторане.
ИТ-ландшафт компании представляет собой среду, состоящую из более чем 70 работающих автоматизированных систем, совместно взаимодействующих в интегрированной и децентрализованной инфраструктуре.
Данные ИТ-системы делятся на самостоятельно разработанные инструменты и автоматизированные сервисы, а также купленные готовые продукты (out-of-the-box/off-the-shelf), охватывающие все бизнес-процессы внутри компании.
Существующая проблема
При всей ее инновационности и технологичности, в компании весьма посредственно развит подход к управлению риском, присущим ИТ, и, как следствие, отсутствует эффективный контроль над ИТ, что в свою очередь часто приводит к различным проблемам и инцидентам, например:
• ошибки в отчетах или в работе систем;
• некорректный доступ пользователей;
• утечки персональных данных;
• недоступность систем;
• недостаточная производительность систем.
Все это в свою очередь снижает эффективность процессов компании, лояльность клиентов, вызывает недовольство у регуляторных органов. Репутация компании страдает, а стратегические цели потенциально могут быть не достигнуты, компания несет незапланированные операционные и финансовые издержки.
При этом владельцы автоматизированных систем и сервисов видят главной целью их быстрое развитие, любые посторонние процессы и контроль над ИТ воспринимаются негативно и, по их мнению, вредят, снижают эффективность разработки новых «фичей», замедляют скорость реализации и эволюции технологических решений, проще говоря – тормозит ⠀развитие ⠀систем ⠀и ⠀сервисов, ⠀«убивает дух стартапа».
Перед менеджментом стоят задачи:
• определить наилучшую стратегию, позволяющую охватить всю совокупность технологических решений, используемых компанией, и убедиться, что в представленной ИТ-среде есть эффективный процесс управления ИТ-рисками, а также действенный контроль над
