Комментарии 7
Спасибо за полезную статью. А как быть в ситуации форс-мажора? когда, например, ты подключаешь в корпорации гипотетический SAP, аналогов которому нет, а потом он ставит тебя перед фактом, что в связи с последними событиями перестанет оказывать поддержку своих продуктов?
Спасибо за Ваш комментарий! Важный момент, с которым столкнулись многие Российские компании, начиная с 2014 года и по текущий момент. Вы говорите о «Санкционном риске», «Риске поставщика». В моем понимании, в текущей ситуации, есть несколько путей решения – поиск подрядчиков, обладающих компетенциям в продуктах SAP (есть компании, которые развивают сервис поддержки SAP, Oracle и других продуктов, компаний ушедших с Российского рынка).
Другой способ, как сейчас делают многие крупные компании, это переход на ПО либо собственной разработки, либо разработки Российских поставщиков ПО (таких тоже становится все больше и больше). Но важно учитывать подобные риски (санкционные) и планировать мероприятия по их снижению.
Что-то мне стало не по себе! Это как же можно раздуть штаты! А это вообще свалило на повал:
менеджмент компании также должен понимать взаимную зависимость и критичность каждой ИТ системы, сервиса, чтобы расставить приоритеты по внедрению контроля над ИТ.
Спасибо за Ваш комментарий. Обладая пониманием рисков, потребностей в контроле, можно более эффективно управлять ресурсами, включая человеческие. И возможно, там, где штат «раздут» или бесполезен, можно его сократить, а там, где ИТ не «вывозит», менеджмент, обладая информацией, например о потребностях в увеличении производительности, или нехватки разработчиков, может получить хороший «рычаг» и обоснованно запросить оптимизацию, закупку нового оборудования или увеличение штата.
Также, если говорить о том, кто же все это будет делать, то для ИТ и ИБ менеджмента важно понимать основы управления рисками и внутреннего контроля.
Но как-правило, в компаниях, уже существуют департаменты риск-менеджмента и СВК, более того, существуют требования к управлению рисками присущими ИТ, например для финансовых организаций действует ФЗ 716, что подразумевает финансовые затраты на организацию процесса управления рисками и внутреннего контроля.
Есть такая телепередача, называется "Наша раша". А там есть серия сюжетов про врача, который лечит богатого и бедного пациентов. И богатому каждую серию этот врач расказывает о необходимости покупки новых дорогих мегалекарств, которые спасительно подействуют на что-то там. Статья построена по такому же принципу. Берем кубики банальщины и идем убеждать руководство, что эти кубики складываются в некую систему. Эта система важна, полезна и необходима. Обязательно надо добавить путанные слова типа формализации и навводить кучу "новых" понятий типа линий защиты. Клиент должен думать, что все понимает, все контролирует, находится в меганадежном домике под защитой и обладает некими сверхзнаниями. О цене этих кубиков банальщины он задумыватся не должен (в статье ни слова про стоимость всей этой защиты). По моему мнению если человек поет про подобные деферамбы, но в его словах нет конкретики - то это просто развод на деньги. А конкретика должна быть следующая. 1) сколько дополнительно стоят все изменения в действующую систему компании рублей в год 2) какую меру ответсвенности готов нести человек за свои модели рисков и способов защиты для конкретной компании если он в них ошибся (чтобы не было ситуации вроде: все нормально - это мои линии защиты; что-то произошло - пути рисков неисповедимы). 3) если есть статиска у компании по работе/сбоям, и благоря трате дополнительных денег на подобного менеджера с моделями рисков принципиально ничего не меняется, готов ли этот менеджер вернуть деньги, затраченные на него и на его идеи (аудит менеджера обязательно должен быть независимый). 4) при наличии статистки обязателен целевой показатель за конкретное время при трате денег на идеи менеджера. Если не достигнут - наступает конкретная мера ответсвенности для менеджера.
Собственно никакую. Если это штатный сотрудник, то в рамках своей должностной инструкции, как максимум - увольнение по ТК.
Если это подрядчик, то в рамках прописанных в договоре условиях и закона.
Руководитель/собственник должны понимать, что за свои действия и решения, в том числе по моделям рисков в их организациях, несут ответственность только они.
2) какую меру ответсвенности готов нести человек за свои модели рисков и способов защиты для конкретной компании если он в них ошибся (чтобы не было ситуации вроде: все нормально - это мои линии защиты; что-то произошло - пути рисков неисповедимы)
Спасибо за комментарий. Все что Вы перечислили, фактически можно назвать элементами контроля. Статья как раз о том, чтобы помочь привнести осознанность, предсказуемость, регулярность и понятность в процесс контроля над различными процессами ИТ. С тем, чтобы "пути рисков" стали более предсказуемы, а компания и менеджмент более готовыми к возможным ситуациям, когда что-то может пойти не так, или идет не так.
Внедрение контроля над ИТ