Глава 9 Управляйте компанией и ИТ-рисками

Много лет назад репортер спросил у известного американского взломщика банков Вилли Саттона, почему он грабит банки: «Потому что именно там лежат деньги», – ответил грабитель. Сегодня хакеры атакуют компьютерные сети по той же причине. В сегодняшней экономике, основанной на передаче данных, именно здесь лежат деньги. Хотя новое тысячелетие принесло с собой новые страхи перед кибер-терроризмом, тенденции в компьютерном криминале – от вандализма до преступлений ради выгоды – остались прежними, и число их постоянно растет. Вместе с тем появляются и новые риски. И каждый из них более, чем когда-либо касается CIO. Новому CIO-лидеру предстоит «вступить в бой» с этими проблемами и управляться с новыми ИТ-рисками для компании [48] .

Не так сложно понять причины появления новых угроз, с которыми CIO-лидерам предстоит справиться. Первая и основная заключается в том, что зависимость большинства бизнес-процессов от ИТ приводит к тому, что последствия отказа от ИТ усугубляются. Кроме того, во всем мире уже приняты (или находятся в стадии утверждения) специальные законы, которые вменяют бизнесу в вину, в некоторых случаях вплоть до уголовной ответственности, за неправильное использование или утрату корпоративных данных, особенно тех данных, которые касаются пользователей. В числе этих законодательных актов Специальная директива европейского союза о защите данных, американский закон HIPAA (Health Insurance Portability and Accountability Act), закон Сарбанеса-Оксли в США и специальный закон штата калифорнии о нарушении баз данных.

Все это нечто большее, чем просто законодательные акты. В специальном обзоре компании Gartner, CIO указали четыре новых типа сложностей, которые приводят к росту значимости управления рисками, как составной части их внешней деятельности:

•  взаимосвязь различных видов бизнеса: эта постоянно увеличивающаяся взаимосвязь повышает взаимозависимость, подверженность краже и вероятность неправильного использования информации; неправильное управление этими взаимоотношениями – это новый риск для ИС;

•  криминал среди руководства: этот тип криминальных действий приводит к большому количеству проблем в компаниях и новые законы как раз и направлены на то, чтобы снизить ущерб и наказать преступников; эти законы стараются предотвратить новые риски и определяют правила обеспечения безопасности;

•  потребность пользователя в защите приватности: рост интереса к проблемам приватности основан на том, что возрастает число краж частных документов и важной личной информации, а также действия специальных правительственных антитеррористических программ, ориентированных на массовое слежение за людьми;

•  потенциальные сбои ИТ: отказы ИТ в вашей компании могут теперь непосредственно влиять на бизнес ваших клиентов или поставщиков, нанося при этом заметный ущерб репутации компании, а также приводя к гражданским и криминальным искам и наказаниям.

Краткое введение в управление риском

Сегодня практически каждый аспект деятельности в любом типе бизнеса зависит от ИТ. Клиенты и деньги сегодня, например, связаны с компанией в режиме online. Поэтому не важно, о каких рисках бизнеса идет речь, вы должны участвовать в попытках управлять ими [49] . Приговор по делу CIO американской корпорации US HealthSouth на основе закона Сарбанеса-Оксли в апреле 2003 года демонстрирует в деталях, как вы должны быть вовлечены в эти проблемы. Вы уже вовлечены вне зависимости от того – знаете ли вы об этом или нет.

И вы не можете справиться с этими новыми рисками в одиночку. Слишком много причин и последствий находятся за пределами контроля ИТ. Приоритеты определяет бизнес, а ИС – только часть вопроса. Бизнес не может управлять этими рисками без активного участия CIO, а CIO должен управлять откликом ИТ на новые риски в общем контексте управления корпоративными рисками в масштабе всей компании.

Неспособность рассматривать управление ИТ-рисками совместно с управлением корпоративными рисками очень опасно, поскольку и те и другие приводят к последствиям в масштабе компании. Проблемы с безопасностью или технический инцидент, к примеру, могут запросто выйти за пределы ИТ-департамента и стать проблемой всей компании, влияющей на удовлетворенность клиентов, корпоративный имидж и проблемы с законом.

Определенные риски так сильно связаны с ИТ, что новому CIO-лидеру совершенно естественно взять ответственность за них на себя, даже если их последствия выходят далеко за пределы ИС. Безопасность информации, приватность и риски, проистекающие от ИТ-процессов и продуктов – наглядные тому примеры. Даже когда лидерство в конкретной ситуации – не лучший выбор для CIO, участие ИТ очень важно для успеха.