Глава 9 Управляйте компанией и ИТ-рисками

Глава 9 Управляйте компанией и ИТ-рисками

Много лет назад репортер спросил у известного американского взломщика банков Вилли Саттона, почему он грабит банки: «Потому что именно там лежат деньги», – ответил грабитель. Сегодня хакеры атакуют компьютерные сети по той же причине. В сегодняшней экономике, основанной на передаче данных, именно здесь лежат деньги. Хотя новое тысячелетие принесло с собой новые страхи перед кибер-терроризмом, тенденции в компьютерном криминале – от вандализма до преступлений ради выгоды – остались прежними, и число их постоянно растет. Вместе с тем появляются и новые риски. И каждый из них более, чем когда-либо касается CIO. Новому CIO-лидеру предстоит «вступить в бой» с этими проблемами и управляться с новыми ИТ-рисками для компании [48] .

Не так сложно понять причины появления новых угроз, с которыми CIO-лидерам предстоит справиться. Первая и основная заключается в том, что зависимость большинства бизнес-процессов от ИТ приводит к тому, что последствия отказа от ИТ усугубляются. Кроме того, во всем мире уже приняты (или находятся в стадии утверждения) специальные законы, которые вменяют бизнесу в вину, в некоторых случаях вплоть до уголовной ответственности, за неправильное использование или утрату корпоративных данных, особенно тех данных, которые касаются пользователей. В числе этих законодательных актов Специальная директива европейского союза о защите данных, американский закон HIPAA (Health Insurance Portability and Accountability Act), закон Сарбанеса-Оксли в США и специальный закон штата калифорнии о нарушении баз данных.

Все это нечто большее, чем просто законодательные акты. В специальном обзоре компании Gartner, CIO указали четыре новых типа сложностей, которые приводят к росту значимости управления рисками, как составной части их внешней деятельности:

•  взаимосвязь различных видов бизнеса: эта постоянно увеличивающаяся взаимосвязь повышает взаимозависимость, подверженность краже и вероятность неправильного использования информации; неправильное управление этими взаимоотношениями – это новый риск для ИС;

•  криминал среди руководства: этот тип криминальных действий приводит к большому количеству проблем в компаниях и новые законы как раз и направлены на то, чтобы снизить ущерб и наказать преступников; эти законы стараются предотвратить новые риски и определяют правила обеспечения безопасности;

•  потребность пользователя в защите приватности: рост интереса к проблемам приватности основан на том, что возрастает число краж частных документов и важной личной информации, а также действия специальных правительственных антитеррористических программ, ориентированных на массовое слежение за людьми;

•  потенциальные сбои ИТ: отказы ИТ в вашей компании могут теперь непосредственно влиять на бизнес ваших клиентов или поставщиков, нанося при этом заметный ущерб репутации компании, а также приводя к гражданским и криминальным искам и наказаниям.