Единый подход
advertisement
collaboration мировой опыт управление рисками Почему необходимо стремиться к централизованному управлению рисками. Текст Джордж В. Халм, TechWeb Единый подход к риску 44 microsoft/высшая сфера/№2(12)/2009 Атаки на системы программного обеспечения становятся все более частыми и изощренными, что отражается на других производственных процессах. Выход из такой ситуации – единый подход в управлении рисками, связанными с управлением, информационными технологиями и регламентами. MASTERFILE/EAST NEWS И сследование, проведенное в 2008 Beacon Technology Partners, показало, что североамериканские компании с годовым доходом более $1 млрд в среднем должны работать в соответствии с 45 правовыми положениями, действующими в разных странах. Более мелкие фирмы с годовым доходом менее $1 млрд следуют 19 положениям. Безусловно, главы компаний разработали технологии и запустили процессы, помогающие управлять рисками и способствующие их снижению. К таким процессам относятся команды физической безопасности, сетевая безопасность, обеспечение непрерывности бизнеса, стратегии аварийного восстановления, ужесточение информационных и сетевых приложений, а также системы внутренней безопасности и введение дополнительного аудита. Однако все вышеперечисленные меры являются плодом разобщенных усилий, предпринимаемых без необходимой координации и коммуникации между отдельными командами. По мнению Скотта Кроуфорда, главы департамента исследований компании Enterprise Management Associates (EMA), подобный подход создает поле для производственного усовершенствования и более эффективного управления рисками. Пытаясь повысить продуктивность, снизить затраты и получить гарантированную защиту от рисков, компании стараются разработать всесторонний подход к управлению рисками. Их целью является централизованное управление производственными, информационными, правовыми рисками, а также рисками по обязательствам. «Если вы не станете стремиться к централизованному подходу, у вас будут отдельные команды, занимающиеся, скажем, защитой информации и правовым аудитом, каждая из которых будет осуществлять одни и те же функции по оценке вашей инфраструктуры, – объясняет Кроуфорд. – Вы лишь создадите новые риски, проистекающие от плохо составленного приложения или ИТ-решений, запущенных раньше времени». Централизация приносит свои плоды Рассмотрим пример Zions Bancorporation из Солт-Лейк-Сити (штат Юта). Банковская холдинговая компания, обладающая активами общей стоимостью $54,5 млрд, в 2008 году начала объединять управление некоторых технических и производственных единиц, таких как информационная безопасность, управление, стратегии аварийного восстановления и обеспечение непрерывности бизнеса, физическая безопасность, борьба с мошенничеством, аналитика безопасности и судебно-медицинские подразделения. «Мы видим определенную эффективность, которую можно получить от сотрудничества различных отделов, – говорит Престон Вуд, директор по вопросам безопасности фирмы Zions. – Прежде всего, общение и технологический процесс становятся более эффективными во всех наших группах риска». Согласно унифицированному плану менеджеры каждой группы управления рисками Zions теперь отчитываются г-ну Вуду с тем, чтобы решения по рискам принимались в интересах компании в целом и было проще вносить изменения. Например, если бизнесотделение запускает услугу или приложение для решения критически важных задач, крайне существенно, чтобы группа непрерывности бизнеса знала об этом, а также чтобы новая услуга или приложение были учтены при планировании аварийного восстановления и обеспечения непрерывности производственного процесса. К тому же команда по устойчивости бизнеса теперь может координировать и планирование, и необходимые технические компоненты, как объясняет Престон Вуд. Реорганизация уже приносит свои плоды в повседневном управлении рисками в компании Zions. «Вместо того чтобы представлять отдельно оценку рисков в области защиты информации, отдельно оценку рисков производства и отдельно оценку воздействия на устойчивость бизнеса, мы сможем представить точный и сбалансированный отчет по всем оценкам рисков», – комментирует Престон Вуд, добавляя, что в данном случае можно представить единую по всем направлениям бизнеса оценку рисков в области безопасности технологии, устойчивости бизнеса и производственного риска, а также указать их отношение в каждому отделу в частности. Глава исследовательского отдела фирмы EMA Скотт Кроуфорд утверждает, что многие организации следуют по стопам компании Zions, так как понимают взаимосвязь всех корпоративных рисков. «Мы еще только подходим к тому, чтобы рассматривать риски и управлять ими более зрело, – объясняет он. – Технологический риск не может не создавать угрозы бизнесу, а уязвимость программного обеспечения не может не отразиться на правовом соответствии. Именно поэтому ими следует управлять сообща». 2009/№2(12)/высшая сфера/microsoft 45
