Информатизация бизнеса. Управление рисками
Шрифт:
• часы поддержки;
• ценовая политика по предоставляемым услугам;
• процедуры предоставления отчетности и ее рассмотрения: тип и частота отчетов, ключевые показатели эффективности (КПЭ), планы встреч по контролю эффективности;
• процедура рассмотрения/внесения изменений в договор.
Заключение такого контракта с поставщиком позволит четко прописать все условия и снизить риски потери контроля над ИТ-процессами и зависимости от сотрудников компании-аутсорсера, обеспечивая контроль за потребляемыми ИТ-услугами и обслуживанием в целом, а также выполнение условий для проведения аутсорсером прозрачной политики в сфере оказания ИТ-услуг.
Необходимость подобных контрактов вызвана возрастающими требованиями
Договор о сервисном обслуживании предполагает повышенную ответственность поставщика услуг и дисциплинирует заказчика, поскольку заключению соглашения предшествует этап анализа требований к уровню сервиса. Договор отражает все требования к качеству сервиса и предполагает постоянный мониторинг выполнения этих параметров. Когда требования определены, их просто описать в виде поддающихся измерению значений, и только тогда можно проверить, соответствует ли предоставляемая услуга договоренности. Перед подписанием соглашения SLA заказчик работает над своими требованиями как к перечню услуг, так и к уровню их предоставления, что позволяет ему лучше разобраться в ИТ-организации.
Так, например, критерии отчетности, качества и контроля предоставляемых услуг для компании – потребителя ИТ-услуг являются приоритетными и подразумевают наличие в контракте пунктов с детально разработанной и согласованной с компанией – потребителем ИТ-услуг системой отчетности, указанием метрик цены и качества ИТ-обслуживания, согласованием ИТ-регламентов и схем их контроля, с указанием периодичности проверок качества услуг.
В контракте в обязательном порядке должны быть прописаны пункты, связанные с порядком расторжения контракта и последующими действиями обеих сторон. Снижению рисков в подобных ситуациях способствуют те части контракта, которые защищают интеллектуальную собственность компании – потребителя ИТ-услуг. Технические решения, выполненные в срок действия контракта или до момента его расторжения, рекомендуется передавать в совместное владение потребителя и поставщика аутсорсинговых услуг.
Чтобы снизить риск выбора ненадежного поставщика, следует организовать:
• сбор информации об аутсорсере (проекты, отзывы, наличие отраслевого опыта и т. д.);
• тендер по критериям стоимость, сроки, результат, гарантии (наличие контракта SLA);
• взаимодействие с партнерами и представителем компании – разработчика программного обеспечения;
• контроль реакции и качества предоставляемых услуг;
• четко прописанные этапы работ в SLA;
• четко определенные показатели контроля результатов (KPI).
Крайне важна финансовая стабильность поставщика, иначе аутсорсер не сможет обеспечить необходимые ресурсы для исполнения контракта, понести непредвиденные издержки. Очень важно ориентироваться на крупные и давно работающие на рынке компании с опытом успешных проектов. Их репутация стоит намного дороже выгод, которые можно получить от разглашения конфиденциальной информации клиента (рис. 21).
Рис. 21. Критерии выбора поставщика ИТ-услуг (по данным «Aplana Software»)
Предположим, в аутсорсинговой компании произошел конфликт и ушли несколько ведущих специалистов, занятых обслуживанием ИТ вашей компании. Крупная компания-аутсорсер сможет быстро отреагировать на ситуацию, подключив других своих специалистов, в то время как небольшая компания поставит ваш бизнес под угрозу, несмотря на контрактные обязательства и штрафные санкции.
Если поставщик не обладает достаточной репутацией, можно порекомендовать
Хотелось бы отметить, что, помимо рисков, существуют и другие проблемы развития ИТ-аутсорсинга в России. Во-первых, отсутствует правовое поле, нет понятия «аутсорсинг» в законодательстве РФ. Также отсутствуют регламентированная методология, стандарты, ценообразование. Во-вторых, существует достаточно большое взаимное недоверие заказчиков и поставщиков. При этом страхование рисков аутсорсинговых контрактов имеет ограниченную практику. В-третьих, фактически не существует координации усилий государства, бизнеса и заказчиков, обязательной сертификации аутсорсинговых компаний и «покрытия» компетенций, которые могли бы вывести аутсорсинг на существенно новый и качественный уровень.
Глава 6
Риски в обеспечении информационной безопасности
6.1. Понятие информационной безопасности
Зависимость бизнеса от современных информационных технологий огромна. Преимущества их использования очевидны – это хранение и обработка большого количества информации, скорость передачи данных, доступ к информации по всему миру. Развитие информационных технологий с каждым годом усложняет процесс защиты информации. Если в начале 80-х годов защита информации могла быть эффективно обеспечена при помощи специально разработанных организационных мер и программно-аппаратных средств шифрования, в настоящее время информационная безопасность требует более продвинутых средств защиты. Это обусловлено возрастающей сложностью и масштабами программных средств и компьютерных систем, сбором и хранением крупных информационных баз на электронных носителях, доступом к ресурсам компьютерной системы большого числа пользователей с различными правами доступа к системе. Так, например, активное применение Интернета практически во всех сферах бизнеса делает ИТ-структуру компании более уязвимой за счет возможности доступа пользователей извне.
Определений информационной безопасности множество. Согласно ГОСТу, защита информации (обеспечение информационной безопасности) – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Многие определения охватывают аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности информации или средств ее обработки. Негативные воздействия, как правило, осуществляются с целью нарушения конфиденциальности, целостности и доступности информации, поэтому для достижения цели информационной безопасности необходимо обеспечить точность и полноту информационных активов, доступных и пригодных для использования только уполномоченными лицами (организацией, процессом) в соответствии с их требованиями.
Чем сложнее задача автоматизации и чем ответственнее область, в которой используются компьютерные информационные технологии, тем все более и более критичными становятся надежность и безопасность информационных ресурсов, задействованных в процессе сбора, накопления, обработки, передачи и хранения компьютерных данных. Целью информационной безопасности является предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.
Существует целый ряд стандартов и подходов к обеспечению информационной безопасности компании и управлению информационными рисками. Наибольшую известность в мировой практике управления информационными рисками имеют такие международные спецификации и стандарты, как ISO 17799–2002 (BS 7799), CISA (Сертифицированный аудитор информационных систем), CISSP (Сертифицированный профессионал по обеспечению безопасности информационных систем), COSO, SAS 55/78, и некоторые другие, аналогичные им.