Сфокусируйтесь на недостатках, а не на возможностях.Чрезмерные расходы - главный, но не единственный из рисков, непосредственно связанных с ИТ-инфраст-руктурой. Использование ИТ сопряжено со многими операционными проблемами, такими как технические сбои, устаревание, перерывы в обслуживании, ненадежность поставщиков или партнеров, «черви» и вирусы, бреши в защите, спам, утечка конфиденциальной информации, отказы серверов и даже терроризм. Переход компаний с жестко контролируемых, проприетарных систем на открытые и общедоступные сделал некоторые из названных проблем еще более актуальными. Увеличение доступа к корпоративным системам через интернет вызвало волну нападений на веб-сайты и сети. По имеющимся оценкам, в настоящее время девять из десяти компаний ежегодно сталкиваются с несанкционированными вторжениями в свои сети, ущерб от которых достигает $17 млрд в год. Даже сравнительно безвредный «червь» Code Red, поразивший в 2001 году тысячи серверов с Microsoft Windows, принес всем компаниям мира убытки в $2,6 млрд[152]. Сбои в ИТ не просто дорого обходятся. Они могут лишить компанию возможности выпускать продукцию, оказывать услуги и связываться с потребителями, не говоря уже об ущербе, который они наносят ее репутации. Несмотря на это, мало кто серьезно заботится о выявлении и защите уязвимых мест. Хотя невозможно застраховаться от всех рисков, связанных с использованием компьютеров, некоторые простейшие меры могут снизить их и предотвратить возможный ущерб. Прежде всего кто-то должен отвечать за целостность систем компании. Безопасность не обеспечивается сама по себе. Крупные компании могут ввести особую должность директора по безопасности ИТ. В мелких компаниях обеспечение безопасности ИТ может быть поручено кому-то из руководителей, может быть, даже финансовому директору. Во-вторых, компании должны уметь выявлять и ранжировать риски, связанные с ИТ, например за счет регулярных аудиторских проверок безопасности. Они должны учитывать не только внешние, но и внутренние угрозы, поскольку многие сбои возникают в результате злонамеренных действий или элементарной небрежности сотрудников. В-третьих, компании должны разрабатывать и осуществлять согласованные программы минимизации рисков, направленные на координацию усилий персонала, поставщиков ИТ, подрядчиков, обеспечивающих безопасность, и страховых компаний. Особое внимание следует уделять информированию сотрудников об уязвимых точках ИТ и определению их индивидуальных обязанностей. Наконец, компании должны оценить значимость и выгоду безопасности систем. И хотя думать о возможных проблемах не столь приятно, как рассуждать о будущих достижениях в области ИТ, сегодня нужно делать именно это. — 82 —
|