Информатизация бизнеса. Управление рисками
Шрифт:
Техническое разграничение доступа к ресурсам сети Интернет (выделенные компьютеры либо терминальный доступ) и предоставление доступа только к необходимым ресурсам либо разграничение специальным ПО позволяет осуществлять контроль использования сети Интернет, исключение взаимодействия с внутренней сетью организации и передачу данных. С помощью технических средств возможны отключение неиспользуемых устройств, постоянный контроль конфигураций компьютеров, а также аппаратное (либо программное) отключение возможности подключения дополнительных устройств. Дополнительно применяются регламентация использования переносных компьютеров и внешних носителей информации, обязательное шифрование всей критически важной информации. Существует техническое
Еще одной технической мерой информационной безопасности являются хранение резервных носителей в безопасных хранилищах, физическая защита и проектирование и внедрение систем бесперебойного и гарантированного электропитания, контроля и управления доступом в помещения и к оборудованию, видеоконтроля и теленаблюдения.
Разграничение доступа пользователей информационных систем, адекватная настройка систем безопасности операционных систем, программных комплексов, коммуникационного оборудования, своевременное обновление систем безопасности и использование систем обнаружения/предотвращения вторжений позволит снизить уязвимость информационных систем на техническом уровне.
Для своевременного отслеживания угроз информационной безопасности предусмотрены специальные технологии обнаружения, а именно:
• компьютерные программы для выявления, нейтрализации или устранения вредоносных программ (антивирусное ПО);
• системы обнаружения вторжений (СОВ), которые собирают и анализируют информацию из различных областей компьютера или сети для выявления возможных нарушений в системе безопасности;
• системы предотвращения вторжения (СПВ), которые определяют потенциальные угрозы и реагируют на них прежде, чем они будут использоваться при атаках.
Действия по эффективному управлению системы информационной безопасности должны включать регулярное планирование и организацию работ с достижением поставленных целей, разработку и регулярный пересмотр политик и процедур ИБ. После разработки или пересмотра политики ИБ необходимы вовлечение всех сотрудников в процесс обеспечения безопасности, ознакомление с документами, проведение тренингов, назначение ответственных за безопасность в отдельных сегментах. Определение четкой структуры и распределение полномочий и ответственности за ИБ позволит создать систему отчетности с прописанными показателями обеспечения ИБ и на ее основе осуществлять контроль выполнения работ.
К ключевым факторам успеха системы информационной безопасности можно отнести:
1) регулярный пересмотр политики информационной безопасности;
2) вовлечение всех сотрудников в процесс обеспечения информационной безопасности;
3) своевременность обнаружения и прогнозируемость развития проблем, оценку влияния проблем на бизнес-цели и управление непрерывностью бизнеса компании.
Глава 7
Организационные аспекты разработки ПО и внедрения ИТ-систем
7.1. Организация управления рисками в команде проекта
Люди – один из факторов успеха любого проекта, поэтому в ИТ-проектах «человеческий фактор» играет важнейшую роль как в процессе выбора и внедрения информационной системы или решения, так и в процессе их последующей эксплуатации и использования всеми сотрудниками компании.
С организационной точки зрения, сложность ИТ-проекта заключается в большом количестве участников (заказчики, спонсоры, консультанты, члены проектной команды, ИТ-служба заказчика, представители функциональных подразделений, эксперты и др.). Основные организационные проблемы, с которыми сталкивается ИТ-проект, происходят из-за того, что в проекте не до конца определены
Еще одна сложность состоит в том, что процесс внедрения, занимающий достаточно много времени, протекает одновременно с выполнением сотрудниками своих повседневных обязанностей. Несмотря на то что сотрудники вынуждены выполнять дополнительные функции и отчитываться перед проектным менеджментом, требования со стороны их непосредственного руководства не уменьшаются.
Рассмотрим основные риски, связанные с организацией проекта внедрения ИТ.
Недостаточная квалификация персонала. Низкая компьютерная грамотность в производственных подразделениях, недостаточные знания общих функций и назначения информационной системы в ИТ-структуре.
Сопротивление персонала проекту. В проекте всегда находятся люди, которым этот проект экономически не выгоден, люди, которые боятся внедрения новой системы либо не хотят никаких изменений.
Недостаток мотивации персонала. Отсутствует лидерство, либо спонсор проекта и менеджмент компании не обеспечили условия, когда все участники заинтересованы в успешном завершении.
Нечетко определенные цели проекта, несоответствие потребностям бизнеса. Неточное определение целей и масштаба проекта приводит к значительным финансовым затратам на доработку системы в соответствии с бизнес-требованиями и потребностями пользователей.
Неоптимальная организационная структура. Типовая структура предприятия предназначена для решения повседневных задач и не приспособлена для реализации проектов, что негативно влияет на четкое распределение ответственности, коммуникации, контроль результатов.
Недоступность ресурсов для проектных работ. Как правило, «лучшие специалисты» уже заняты.
Снижение рисков провала внедрения системы из-за недостаточной квалификации персонала предприятия достигается двумя способами – на основе создания дружественного интерфейса и путем создания эффективной системы обучения. Интерфейс внедряемой системы должен позволять объединить на одном экране пользователя все выходы в формы, необходимые для выполнения его функций. Иначе говоря, пользователь не должен знать, как устроена система, а просто использовать дружественный интерфейс для выполнений своих функций. Простое в использовании построение интерфейса позволяет качественно снизить требования, предъявляемые к квалификации персонала. Система обучения предполагает формирование сертифицированных специалистов по внедрению и обучению определенным модулям, а также закрепление их за соответствующими функциональными отделами. Такой подход дает возможность полностью исключить риск недостаточной квалификации персонала, то есть сделать внедрение системы исключительно функцией четкой организационной работы.
Очень часто, несмотря на полезность и удобство системы, пользователи системы не желают использовать новые возможности. Это происходит из-за низкого уровня компьютерной грамотности пользователей и сложившейся привычки использования устаревших систем. Люди не любят перемен, что вызывает нежелание переходить на новые технологии, которые позволят руководству лучше контролировать деятельность сотрудников.
Сопротивление изменениям может быть также вызвано боязнью сотрудника потери контроля над своими функциями и доступной информацией, избытком неопределенности. Зачастую с возникновением новых технологий появляются новые должностные обязанности по использованию системы, освоению новых функций, созданию отчетов для руководства. Возможность дополнительного контроля со стороны руководства является еще одним поводом для беспокойства сотрудников.