Управление риском ИТ. Основы
• наличие своевременного и регулярного процесса установки обновлений и критических «заплаток» для систем компании;
• наличие процесса информирования и обучения пользователей основам информационной безопасности;
• наличие эффективно защищенного хранилища резервных копий с ключевой, значимой для компании информацией.
Пример 2
США. Крупная розничная торговая сеть.
На момент описываемого события компания обладала сетью из порядка 800 магазинов в разных штатах США. В каждом магазине были установлены POS9-терминалы и два POS-сервера, ежедневно собирающие информацию о продажах магазинов. Так как магазинов много, то система POS как для терминалов, так и для серверов настраивалась централизованно в главном офисе. После того как новая версия системы была готова, специалисты устанавливали ее во все магазины либо удаленно, либо с физического носителя.
Потенциальная проблема возникла в момент, когда в результате аудита выяснилось, что в образе (образ – готовая, настроенная для установки POS-система на диске) обнаружились учетные записи администраторов, уволенных либо переведенных на другие должности несколько лет назад, еще до аудита.
Таким образом, на протяжении нескольких лет уволенные либо переведенные администраторы имели полный доступ к POS-терминалам и серверам во всех восьмистах магазинах в разных штатах.
В данном конкретном случае ущерб не был обнаружен, такой задачи просто не стояло, однако в случае, например, обиды со стороны уволенного администратора при наличии доступа к сети компании у уволенных/переведенных на другую должность такого рода сотрудников торговая сеть могла лишиться части или полностью своих ключевых систем в магазинах и, как следствие, понести финансовые и/или репутационные потери, а также пострадать от санкций со стороны регуляторов.
Подобный риск можно было бы снизить при наличии эффективного контроля над риском ИТ, например:
• сократить количество предустановленных учетных записей до необходимого минимума и регулярно проверять их актуальность каждый раз, когда проводилась установка новых или обновление существующих систем;
• внедрить регулярную проверку систем на наличие незаблокированных учетных записей уволенных либо переведенных на другую должность сотрудников.
Пример 3
Европа. Крупнейший производитель пива.
В одной из крупнейших пивоваренных компаний в мире для автоматизации большинства процессов была внедрена система SAP ERP. В ходе одного из аудитов были обнаружены существенные расхождения в бухгалтерском учете и статьях отчетности, например, по выручке от реализации пива на счетах компании, неизвестные контрагенты в справочниках, установленные скидки для ряда контрагентов, при этом никем не санкционированные.
После анализа собранной информации оказалось, что у команды подрядчика, который осуществлял настройку системы SAP ERP, были неограниченные полномочия (SAP_ALL, DEBUG), при этом анализ действий пользователей с подобными полномочиями не проводился на регулярной основе. После внутреннего расследования и выяснения деталей компания прекратила контрактные отношения с подрядчиком, а также существенно обновила команду сотрудников ИТ и менеджмента, отвечающих за реализацию продукции и управление мастер-данными, нормативно-справочной информацией.
Этой ситуации можно было бы избежать, снизив риски нарушения принципов разграничения полномочий и несогласованных изменений, например:
• запретить или максимально ограничить доступ к таким полномочиям, как SAP_ALL, DEBUG.
• реализовать процедуру формализованного предоставления/блокировки доступа пользователей, сотрудников подрядных организаций к подобным полномочиям.
• внедрить регулярный мониторинг активности пользователей с подобными полномочиями;
• реализовать механизм, позволяющий осуществлять контроль, с тем чтобы любые произведенные в системе и согласованные заказчиком изменения затем оставались неизменными либо в дальнейшем изменялись только по согласованию с заказчиком или непосредственно владельцем системы;
• журналировать, то есть производить периодическую фиксацию критических действий в отдельном хранилище, недоступном для пользователей с доступом SAP_ALL, DEBUG;
• ограничить доступ подрядчику определенным промежутком времени либо продолжительностью контракта.
Пример 4
Напоследок – немного комичная история, рассказанная моим коллегой Петром М. На одном из проектов по аудиту выяснилось, что в компании нет документа, регламентирующего процедуру резервного копирования, в частности, что копировать, когда и где хранить. В результате у владельцев систем и данных было одно видение того, что необходимо беречь и сохранять, а также приоритетности и глубины сохраняемой информации, а у команды ИТ было свое видение того, что важно и требует создания и хранения резервных копий. В результате, когда что-то пошло не так, компания просто не смогла восстановить необходимую информацию – ее просто никто не сохранил. Вывод – формализуйте приоритеты и задачи, согласуйте требования и пожелания со всеми участниками процесса.
И небольшая вишенка на торте для тех, кто дочитал примеры до конца: рекомендую посмотреть фильм Office Space (просто погуглите). В фильме приведен пример реализации риска ИТ. Раскрывать детали не буду, наслаждайтесь отличным фильмом!
Глава 2.
Внедрение контроля над ИТ
Что-то изменить может только тот, у кого все под контролем.
Рикако ТакигаваЧто вы узнаете из этой главы
В этой главе хочу поделиться с вами своими знаниями и опытом по внедрению контроля над ИТ, а главное, рассказать о том, как можно убедить владельцев ИТ-систем, автоматизированных сервисов и процессов в необходимости управления рисками, присущими ИТ (включая риски ИБ), и какие выгоды это может принести как им, так и компании.
2.1. ПРЕДПОЛОЖИМ, ЧТО…
Существует некая высокотехнологичная компания, существенно зависящая от ИТ и различных автоматизированных сервисов и процессов. Так же, как и у любой компании, у нее есть различные цели, например, такие, как:
• повышение и удержание лояльности клиентов;
• соответствие требованиям различных регуляторных органов;
• надежность и достоверность финансовой отчетности;
• эффективность и своевременность принятия управленческих решений.
Компания динамично развивается, новое ПО, «фичи», отчеты и т. д. появляются, как бургеры в известном ресторане.
ИТ-ландшафт компании представляет собой среду, состоящую из более чем 70 работающих автоматизированных систем, совместно взаимодействующих в интегрированной и децентрализованной инфраструктуре.
Данные ИТ-системы делятся на самостоятельно разработанные инструменты и автоматизированные сервисы, а также купленные готовые продукты (out-of-the-box/off-the-shelf), охватывающие все бизнес-процессы внутри компании.
Существующая проблема
При всей ее инновационности и технологичности, в компании весьма посредственно развит подход к управлению риском, присущим ИТ, и, как следствие, отсутствует эффективный контроль над ИТ, что в свою очередь часто приводит к различным проблемам и инцидентам, например:
• ошибки в отчетах или в работе систем;
• некорректный доступ пользователей;
• утечки персональных данных;
• недоступность систем;
• недостаточная производительность систем.
Все это в свою очередь снижает эффективность процессов компании, лояльность клиентов, вызывает недовольство у регуляторных органов. Репутация компании страдает, а стратегические цели потенциально могут быть не достигнуты, компания несет незапланированные операционные и финансовые издержки.
При этом владельцы автоматизированных систем и сервисов видят главной целью их быстрое развитие, любые посторонние процессы и контроль над ИТ воспринимаются негативно и, по их мнению, вредят, снижают эффективность разработки новых «фичей», замедляют скорость реализации и эволюции технологических решений, проще говоря – тормозит ⠀развитие ⠀систем ⠀и ⠀сервисов, ⠀«убивает дух стартапа».
Перед менеджментом стоят задачи:
• определить наилучшую стратегию, позволяющую охватить всю совокупность технологических решений, используемых компанией, и убедиться, что в представленной ИТ-среде есть эффективный процесс управления ИТ-рисками, а также действенный контроль над ИТ (в данном контексте слово «контроль» означает «контроль целого, общего», не путайте с термином «контрольная процедура»);
• определить ключевой набор контрольных процедур, которые должны быть внедрены для каждой автоматизированной системы;
• определить методику, инструменты и объекты для оценки эффективности контрольных процедур над ИТ;
• и самое главное: наилучшим образом объяснить владельцам автоматизированных систем и сервисов важность внедрения процессов управления ИТ-рисками, контроля над ИТ и тем самым убедить, а главное, мотивировать их использовать при развитии автоматизированных систем и сервисов методы управления рисками и контроля над ИТ.
С чего можно было бы начать?
Какой могла бы быть наилучшая стратегия, позволяющая менеджменту охватить весь спектр используемых компанией технологий и убедиться, что в представленной среде есть эффективный процесс управления рисками, присущими ИТ, а также эффективный контроль над ИТ?
Учитывая разнообразный характер используемых технологий, на пути достижения целей компании и ИТ потенциально могут возникнуть различные риски, присущие информационным технологиям. Чтобы более эффективно спланировать развитие систем и сервисов, необходимо понимать эти риски.
Риски, присущие ИТ, могут приводить к реализации рисков ИБ.
Шаг 1. Понять связь между бизнес-процессами и ИТ-средой – используемыми в компании информационными технологиями
Пример: Финансы (бухгалтерский учет) обычно используют набор ИТ-систем и инструментов, автоматизирующих различные процессы, подпроцессы и процедуры, ведения бухгалтерского учета и управления финансами компании.
Таким образом, зная, какие инструменты и системы использует бухгалтерия, финансы, какие данные куда, для чего и с помощью чего передаются, можно определить связь и зависимость бизнес-процессов и ИТ-системы (например, системы бухгалтерского учета).
Далее можно попытаться предположить, что может пойти не так, если данные ИТ-системы не будут функционировать так, как ожидалось заинтересованными потребителями и поставщиками информации.
Очевидно, существует некая вероятность, что цели бизнес-процессов могут быть не достигнуты, достигнуты частично либо достигнуты несвоевременно, например, в силу причин, подобных следующим:
• сформированные отчеты не полные и/или не точные;
• данные повреждены или недоступны;
• расчеты ошибочны;
• некоторые интерфейсы с другими системами теряют данные;
• производительность системы низкая;
• ошибки в разработанном ПО либо задержки в его разработке.
Таким образом, в результате подобных событий компания может быть подвержена различным рискам, которые могут помешать ей достичь своих целей. В данном случае, например, таким, как «Достоверность финансовой отчетности» и «Соответствие регуляторным требованиям», которые могут быть не достигнуты или достигнуты частично с финансовыми и/или репутационными издержками.
Понимая связь ИТ—систем, автоматизированных сервисов и процессов бизнеса, можно сформировать перечень используемых технологий, оценить степень их критичности для бизнеса, подверженность таких технологий рискам ИТ и определить уровень необходимого контроля над данными технологиями.
Шаг 2. Понять критичность ИТ-систем и присущие риски
Очевидно, Шаг 1 может дать очень большой перечень систем, технологий, автоматизированных сервисов и т. д. Но все ли они важны и критичны для бизнеса компании? Если да, то какова степень критичности систем и их элементов?
Исходя из критичности каждой ИТ-системы, менеджмент, владельцы систем и сервисов должны понимать риски, которыми обладает каждая уникальная ИТ-система или автоматизированный сервис.
В связи с большим количеством ИТ-систем в нашем случае (более 70) и учитывая сложность и высокий уровень интеграции с бизнес-процессами, менеджмент компании также должен понимать взаимную зависимость и критичность каждой ИТ-системы, сервиса, чтобы расставить приоритеты по внедрению контроля над ИТ.
То есть, проделав подобный анализ, на выходе мы получаем список систем и их критичность, определяющую приоритетность наших дальнейших действий.
ВАЖНО: необходимо принимать во внимание, что ИТ-система или автоматизированный сервис – это комплекс, который может состоять из различных интегрированных подсистем, например, прикладное ПО + ОС + СУБД + сеть + интерфейсы + промежуточное ПО и т. д.
Каждая система или автоматизированный сервис могут быть по-своему уникальными, и это важно учитывать при анализе совокупности присущих подобной системе или сервису рисков, определении критичности, расстановке приоритетов и внедрении контроля над ИТ. Например, различные риски могут быть присущи категории ИТ-систем в целом либо быть специфичными и присущи исключительно для отдельной, уникальной системы или автоматизированного сервиса.
Шаг 3. Определить набор контрольных процедур в области ИТ применительно к типам/вариантам/категориям ИТ-систем и автоматизированных сервисов
Когда специфика и критичность систем определена, а риски, присущие ИТ, понятны, компании необходимо внедрить общий контроль над всей ИТ-средой. Контроль, представляющий из себя набор мероприятий, действий, политик и процедур, направленных на снижение рисков, присущих как ИТ в целом, так и системам и автоматизированным сервисам в отдельности.
Понимая специфику технологий, а также присущие данным технологиям риски, мы можем уйти на уровень ниже и разработать так называемые процедуры контроля (контрольные процедуры, меры по снижению рисков), описанные в политиках и иных процедурных документах, базовых требованиях к ИТ-системам.
В данном случае при разработке таких документов и контрольных процедур можно воспользоваться одной из лучших практик описания – «5W»10, исследуя «Кто», «Что», «Где», «Когда» и «Почему».
Данные документы должны формализовать непосредственно процедуры контроля над ИТ, то есть могут описывать:
Конец ознакомительного фрагмента.
Текст предоставлен ООО «Литрес».
Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.
Примечания
1
«Большая четверка» – четыре крупнейших в мире сети компаний, предоставляющих аудиторские и консалтинговые услуги: Deloitte, Pricewaterhouse Coopers, Ernst & Young и KPMG.
2
Информационная безопасность – это практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.
3
The Committee of Sponsoring Organizations of the Treadway Commission, COSO.
4
Europen Banking Authority.
5
ISC – Cybersecurity Certifications and Continuing Education.
6
ISACA: CRISC – Certified in Risk and Information Systems Control.
7
Политика организации – заявление о намерениях, которые реализуются через процедуры или протокол. Политика, изложенная в виде руководящего документа, как правило, принимается высшим руководящим органом организации, в то время как процедуры или протоколы разрабатываются и принимаются ее старшими руководителями. https://ru.wikipedia.org
8
ISA 315, PCAOB 2110 – AS 2110: Identifying and Assessing Risks of Material Misstatement.
9
POS-терминал (от англ. point of sale – точка продажи, и от англ. terminal – окончание) – это электронное программно-техническое устройство для приема оплаты, т. е. «кассы», где осуществляется оплата товара, различными способами и средствами. После оплаты информация поступает на серверы POS-системы, агрегируется и в режиме онлайн или с иной периодичностью передается в головной офис торговой сети для дальнейшего учета деятельности организации. https://ru.wikipedia.org
10
Пять «почему» (или 5 «Why?») – это итеративный метод вопросов, используемый для исследования причинно-следственных связей, лежащих в основе конкретной проблемы.
Приобретайте полный текст книги у нашего партнера: