Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Простая схема управления ИТ-рисками

Простая схема управления ИТ-рисками

Для большинства людей слово «риск» ассоциируется со здоровьем, безопасностью и т.д. Компаниям же приходится сталкиваться с различными видами рисков, которыми нужно управлять. Это и финансовые, и личностные, и технические, в том числе, ИТ-риски. Рассмотрим схему управления ИТ-рисками в малом и среднем бизнесе.

Классификация ИТ-рисков
Классификация ИТ-рисков может помочь предотвратить рассогласованность в работе и не упустить из виду значительные риски. Классификация может быть произвольной. Категории могут пересекаться, важно включить все возможные риски. Примерные категории рисков показаны в Таблице 1.

Категория

Значение

Пример

Технология

 Неработающее, ненадежное или не отвечающее потребностям бизнеса аппаратное или программное средство

 Отказ маршрутизатора
 Отказ сервера баз данных

Безопасность

 Утрата, повреждение или кража оборудования или данных, несанкционированный доступ или использование данных

 Несанкционированный доступ к сети через веб-сервер
 Утечка данных на CD, флэш-картах и т.д.
 Взлом паролей

Политика и право

 Отсутствие процедур и политик, приводящее к неправильному использованию, невозможность аварийного восстановления, несоблюдение законодательства

 Процедура аварийного восстановления не документирована и не тестирована
 Ущерб здоровью из-за несоблюдения техники безопасности
 Использование нелицензионного ПО
 Установка ненужного или неподходящего ПО
 Невозможность получать важные письма

Персонал

 Человеческие ошибки, увольнение ключевых сотрудников

 Ошибки обновления базы данных SQL-сервера
 Недостаток необходимых умений и навыков

Инфраструктура

 Отключение внешних услуг (электроэнергии, телефона, интернета); отказ ключевых вендоров

 Невозможность использовать электронную почту
 Невозможность решать задачи бизнеса с помощью ключевых приложений


Оценка рисков
Для оценки рисков можно использовать качественный анализ, когда уровень риска определяется соотношением вероятности возникновения инцидента и его воздействием на бизнес. Структура оценки приведена в Таблице 2.

 Вероятность возникновения

 Высокая 

 Инцидент возникает раз в месяц или чаще

 Средняя

 Инцидент возникает от 1 до 11 раз в год

 Низкая

 Инцидент возникает раз в год или реже

 Воздействие на бизнес (при текущем уровне управления)

 Высокое

 Основные бизнес-процессы останавливаются более чем на день или безвозвратная потеря клиентов

 Среднее

 Основные бизнес-процессы останавливаются на срок от часа до дня или потенциальная потеря клиентов

 Низкое

 Основные бизнес-процессы останавливаются менее чем на час

Уровень риска определяется по Таблице 3.

Воздействие

Вероятность

Высокое

Среднее

Низкое

Высокая

чрезвычайный

высокий

средний

Средняя

высокий

средний

низкий

Низкая

средний

низкий

низкий


Снижение рисков
Снижение рисков — это либо уменьшение вероятности нежелательного инцидента, либо степени его воздействия на бизнес. Необходимые меры будут сильно различаться, но сначала нужно определиться с их срочностью, учитывая уровень риска (см. Таблицу 4).

Уровень риска 

 Ранг

Чрезвычайный 

 Требуется незамедлительное управление рисками.
 Руководство должно быть проинформировано о риске и мерах для его снижения.

Высокий

 К управлению рисками необходимо начать в течение месяца с момента подтверждения.
 Руководство должно быть проинформировано о риске и мерах для его снижения.

Средний

 К управлению рисками необходимо начать в течение шести месяцев с момента  подтверждения.

Низкий

 Допустимые риски, которые не требуют управления.
 По мере необходимости можно провести повторную оценку.

После этого необходимо завести Журнал регистрации ИТ-рисков, по которому вы будете отслеживать текущий уровень управления рисками и предпринятые меры для снижения рисков. Шаблон Журнала приведен в Таблице 5.

 Риск

 

 Последствия

 

 Текущий уровень управления

 

 Вероятность возникновения

 

 Воздействие на бизнес

 

 Ранг

 

 Дата присвоения ранга

 

 Ответственный

 

 Необходимость дополнительных мер

 

 Сроки устранения

 

 Предпринятые меры

 

 Ранг после принятия мер

 

 Дата выполнения

 

 Дата очередной проверки

 

В первой части Журнала описываются категории рисков (с краткими оценками) и типовые действия по снижению рисков. Это позволит оценить состояние выполненных, отсроченных и текущих задач управления рисками, а также выделить задачи, подлежащие повторному рассмотрению. Периодичность повторных проверок является произвольной: не слишком редкой, чтобы не подвергаться новым рискам, вызванным системными или структурными изменениями, но и не слишком частой, иначе вы можете потратить все время на оценку рисков с пометкой «без изменений».

Во второй части Журнала приводятся детализированные оценки рисков и дополнительные меры по снижению рисков там, где это возможно. Дополнительные меры могут включать системные изменения, новые процедуры, изменение политики или переподготовку или наем специалистов. Например:

  • Сохранение образов системных дисков, в дополнение к резервному копированию файлов;
  • покупка запасного оборудования;
  • пересмотр политики безопасности паролей;
  • мониторинг утечки данных;
  • введение правил допустимого использования;
  • улучшение документирования систем;
  • осмотрительность при выборе вендоров.

Журнал регистрации ИТ-рисков необходимо ежегодно пересматривать, чтобы убедиться в объективности оценки рисков, оценить эффективность снижения рисков и включить новые категории рисков. Управление ИТ-рисками — не разовое мероприятие, оно должно осуществляться на постоянной основе.

По материалам techrepublic.com

Дополнительные материалы

Комментарии (0)