Риск ИТ

Ключевой компонент практики обеспечения информации

Risk IT Framework , опубликованный в 2009 году ISACA , ^[1] обеспечивает сквозной, всесторонний взгляд на все риски, связанные с использованием информационных технологий (ИТ), и столь же тщательный подход к управлению рисками, от тона и культуры наверху до операционных вопросов. Это результат работы рабочей группы, состоящей из отраслевых экспертов и ученых из разных стран, из таких организаций, как Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life и KPMG .

Определение

ИТ-риск является частью бизнес-риска — в частности, бизнес-риска, связанного с использованием, владением, эксплуатацией, вовлечением, влиянием и принятием ИТ в рамках предприятия. Он состоит из событий, связанных с ИТ, которые могут потенциально повлиять на бизнес. Он может происходить как с неопределенной частотой, так и с неопределенной величиной, и он создает проблемы в достижении стратегических целей и задач. ^[1]

Управление бизнес-рисками является неотъемлемым компонентом ответственного администрирования любой организации. Ввиду важности ИТ для всего бизнеса, ИТ-риски следует рассматривать так же, как и другие ключевые бизнес-риски. ^{[ необходима цитата ]}

Структура ИТ-рисков ^[1] объясняет ИТ-риски и позволяет пользователям:

• Интеграция управления ИТ-рисками с общей системой управления рисками (ERM)
• Сравните оцененный ИТ-риск с готовностью к риску и толерантностью к риску организации.
• Понять, как управлять рисками

Управлять ИТ-рисками должны все ключевые руководители бизнеса внутри организации: это не просто техническая проблема ИТ-отдела.

ИТ-риски можно классифицировать по-разному:

Средство создания преимуществ/ценностей ИТ

риски, связанные с упущенной возможностью увеличения стоимости бизнеса за счет внедрения или улучшения ИТ-процессов

Реализация ИТ-программ/проектов

риски, связанные с управлением проектами, связанными с ИТ, направленными на обеспечение или улучшение бизнеса: т. е. риск завышения бюджета, несвоевременной поставки или отсутствия поставки по всем этим проектам

Эксплуатация ИТ и предоставление услуг

риски, связанные с повседневной деятельностью и предоставлением услуг ИТ, которые могут привести к проблемам или неэффективности бизнес-операций организации

Структура ИТ-рисков основана на принципах стандартов/структур управления корпоративными рисками , таких как ERM Комитета спонсорских организаций Комиссии Тредвея и ISO 31000. Таким образом, ИТ-риски могут быть поняты высшим руководством.

Компоненты коммуникации ИТ-рисков

Основные потоки коммуникации по ИТ-рискам :

• Ожидание: чего организация ожидает в качестве конечного результата и каково ожидаемое поведение сотрудников и руководства; оно охватывает стратегию, политику, процедуры и обучение по повышению осведомленности.
• Возможности: показывают, как организация способна управлять рисками.
• Статус: информация о фактическом статусе ИТ-риска. Она охватывает профиль риска организации, ключевой индикатор риска (KRI), события и первопричину событий убытка.

Эффективная коммуникация должна быть:

• Прозрачный
• Кратко
• Полезный
• Своевременный
• Нацелено на правильную целевую аудиторию
• Доступно по принципу «необходимо знать » ^{[ требуется ссылка ]}

Рисковые ИТ-домены и процессы

Ниже перечислены три домена ИТ-фреймворка Risk с содержащимися в них процессами (по три на домен). Каждый процесс содержит ряд действий:

1. Управление рисками: Гарантируйте, что методы управления ИТ-рисками внедрены в предприятие, что позволяет ему обеспечить оптимальную доходность с поправкой на риск. Это основано на следующих процессах: ^[1]
   1. RG1 Установить и поддерживать общее представление о рисках
      1. RG1.1 Проведение оценки ИТ-рисков предприятия
      2. RG1.2 Предложить пороговые значения толерантности к ИТ-рискам
      3. RG1.3 Утверждение допустимого уровня ИТ-рисков
      4. RG1.4 Согласование политики ИТ-рисков
      5. RG1.5 Содействие развитию культуры осведомленности о рисках в сфере ИТ
      6. RG1.6 Поощрять эффективное информирование об ИТ-рисках
   2. Интеграция RG2 с ERM
      1. RG2.1 Установить и поддерживать ответственность за управление ИТ-рисками
      2. RG2.2 Координация стратегии ИТ-рисков и стратегии бизнес-рисков
      3. RG2.3 Адаптация методов управления ИТ-рисками к методам управления корпоративными рисками
      4. RG2.4 Обеспечить достаточные ресурсы для управления ИТ-рисками
      5. RG2.5 Предоставление независимой гарантии управления ИТ-рисками
   3. RG3 Принимайте бизнес-решения с учетом рисков
      1. RG3.1 Привлечение руководства к подходу анализа ИТ-рисков
      2. RG3.2 Утверждение анализа ИТ-рисков
      3. RG3.3 Внедрение учета ИТ-рисков в процесс принятия стратегических бизнес-решений
      4. RG3.4 Принять ИТ-риск
      5. RG3.5 Приоритезация мероприятий по реагированию на ИТ-риски
2. Оценка рисков : Гарантируйте, что риски и возможности, связанные с ИТ, идентифицированы, проанализированы и представлены в терминах бизнеса. Она основана на следующих процессах:
   1. RE1 Сбор данных
      1. RE1.1 Создать и поддерживать модель сбора данных
      2. RE1.2 Сбор данных об операционной среде
      3. RE1.3 Сбор данных о рисковых событиях
      4. RE1.4 Определить факторы риска
   2. RE2 Анализ риска
      1. RE2.1 Определить область анализа ИТ-рисков
      2. RE2.2 Оценка ИТ-риска
      3. RE2.3 Определить варианты реагирования на риски
      4. RE2.4 Проведение экспертной оценки анализа ИТ-рисков
   3. RE3 Поддержание профиля риска
      1. RE3.1 Сопоставление ИТ-ресурсов с бизнес-процессами
      2. RE3.2 Определить критичность ИТ-ресурсов для бизнеса
      3. RE3.3 Понимание возможностей ИТ
      4. RE3.4 Обновление компонентов сценария риска
      5. RE3.5 Ведение реестра ИТ-рисков и карты ИТ-рисков
      6. RE3.6 Разработка индикаторов ИТ-рисков
3. Реагирование на риски : Гарантировать, что вопросы, возможности и события, связанные с ИТ-рисками, рассматриваются экономически эффективным образом и в соответствии с приоритетами бизнеса. Это основано на следующих процессах:
   1. RR1 Сформулировать риск
      1. RR1.1 Сообщите результаты анализа ИТ-рисков
      2. RR1.2 Отчет о деятельности по управлению ИТ-рисками и состоянии соответствия
      3. RR1.3 Интерпретация результатов независимой оценки ИТ
      4. RR1.4 Выявление возможностей, связанных с ИТ
   2. RR2 Управление рисками
      1. RR2.1 Контроль запасов
      2. RR2.2 Мониторинг соответствия операционной деятельности пороговым значениям толерантности к риску
      3. RR2.3 Реагировать на обнаруженные риски и возможности
      4. RR2.4 Регулирование оборудования
      5. RR2.5 Отчет о ходе выполнения плана действий по управлению ИТ-рисками
   3. RR3 Реакция на события
      1. RR3.1 Поддерживать планы реагирования на инциденты
      2. RR3.2 Мониторинг ИТ-рисков
      3. RR3.3 Инициировать реагирование на инцидент
      4. RR3.4 Сообщать уроки, извлеченные из событий риска

Каждый процесс подробно описан:

• Компоненты процесса
• Практика управления
• Входы и выходы
• RACI-диаграммы
• Цель и показатели

Для каждого домена представлена ​​модель зрелости. ^{[ необходима ссылка ]}

Оценка риска

Связь между сценариями ИТ-рисков и конечным воздействием на бизнес должна быть установлена ​​для понимания эффекта неблагоприятных событий. Риск ИТ не предписывает единого метода. Доступны различные методы. Среди них:

• Критерии информации COBIT
• Сбалансированная система показателей
• Расширенная сбалансированная система показателей
• Вестерман ^[2]
• КОСО
• Факторный анализ информационного риска

Сценарии риска

Сценарии риска являются основой процессов оценки риска. Сценарии могут быть получены двумя различными и взаимодополняющими способами:

• нисходящий подход от общих бизнес-целей к наиболее вероятным сценариям рисков, которые могут на них повлиять.
• подход «снизу вверх», при котором к организационным ситуациям применяется список общих сценариев риска.

Каждый сценарий риска анализируется для определения частоты и воздействия на основе факторов риска .

Реакция на риск

Целью определения реагирования на риск является приведение риска в соответствие с общим определенным риск-аппетитом организации после анализа риска: т.е. остаточный риск должен находиться в пределах допустимого риска .

Управлять риском можно с помощью четырех основных стратегий (или их комбинации):

• Избегание риска: отказ от деятельности, которая приводит к риску.
• Снижение риска: принятие мер по выявлению и снижению частоты и/или воздействия риска.
• Передача риска: передача части риска другим лицам путем передачи опасных видов деятельности на аутсорсинг или посредством страхования.
• Принятие риска: осознанное принятие риска, который был выявлен, задокументирован и измерен.

Ключевые показатели риска — это показатели, способные показать, что организация имеет высокую вероятность подвергнуться риску, превышающему определенный уровень готовности к риску .

Руководство для практиков

Вторым важным документом о Risk IT является Руководство для практиков. ^[3] Оно состоит из восьми разделов:

1. Определение вселенной рисков и определение области управления рисками
2. Риск-аппетит и толерантность к риску
3. Осознание рисков, коммуникация и отчетность
4. Выражение и описание риска
5. Сценарии риска
6. Реагирование на риски и расстановка приоритетов
7. Рабочий процесс анализа рисков
8. Снижение ИТ-рисков с помощью COBIT и Val IT ^{[ требуется ссылка ]}

Связь с другими фреймворками ISACA

Risk IT Framework дополняет COBIT ISACA , который предоставляет комплексную структуру для контроля и управления бизнес-ориентированными решениями и услугами на основе ИТ. В то время как COBIT устанавливает лучшие практики управления рисками, предоставляя набор элементов управления для смягчения ИТ-рисков, Risk IT предоставляет структуру лучших практик для предприятий по выявлению, управлению и управлению ИТ-рисками.

Val IT позволяет бизнес-менеджерам получать бизнес-ценность от инвестиций в ИТ, предоставляя структуру управления. Val IT может использоваться для оценки действий, определенных процессом управления рисками .

Связь с другими фреймворками

Risk IT принимает терминологию факторного анализа информационных рисков и процесс оценки.

ИСО 27005

Для сравнения процессов управления ИТ-рисками и процессов, предусмотренных стандартом ISO/IEC 27005 , см. разделы Управление ИТ-рисками#Методология управления рисками и Управление ИТ-рисками#Структура ISO 27005 .

ИСО 31000

Приложение 2 к Руководству специалиста по управлению рисками в области ИТ ^[3] содержит сравнение с ISO 31000 .

КОСО

В приложении 4 к Руководству специалиста по управлению рисками в сфере ИТ ^[3] содержится сравнение с COSO .

Смотрите также

• КОБИТ
• КОСО
• Управление рисками предприятия
• Факторный анализ информационного риска (СПРАВЕДЛИВЫЙ)
• ИСАКА
• ИСО 31000
• Риск
• Аппетит к риску
• Фактор риска (вычисления)
• Управление рисками
• Толерантность к риску
• Вал ИТ
• Модель Гордона-Лёба для инвестиций в кибербезопасность ^{[ необходима ссылка ]}

Ссылки

1. ISACA РИСК ИТ-СТРУКТУРА (требуется регистрация)
2. Джордж Вестерман, Ричард Хантер, ИТ-риск: превращение угроз бизнесу в конкурентное преимущество, серия Harvard Business School Press ISBN  1-4221-0666-7 , ISBN 978-1-4221-0666-2 
3. Руководство для практиков по управлению ИТ-рисками, ISACA ISBN 978-1-60420-116-1 (требуется регистрация) 

Внешние ссылки

• Главная страница Risk IT на веб-сайте ISACA