Какова роль ИТ-отдела в противодействии ИТ рискам?
Проанализировав информацию за 10 лет, становится понятно, что большинство организаций не может идти в ногу с киберпреступностью - и плохие парни побеждают.
Так какую роль ИТ-отдел организации играет в том, чтобы выиграть эту войну?
Если управляющие и владельцы компаний ожидают, что их ИТ-отделы должны нести полную ответственность за защиту от рисков – причем как за случайные нарушения, так и за потери от киберпреступности – то это желание лишь перекинуть ответственность.
Quo Vadis - ИТ-отдел?
В последние годы много было сказано в тематических бизнес- и ИТ- СМИ о преобразованиях, совершающихся в области роли, структуры и руководства ИТ-подразделений в организациях.
Эти изменения происходят в ответ на такие воздействия как быстрое развитие технологий, финансовый аскетизм, глобализация, легкий доступ к удобным потребительским технологиям, облачные вычисления, потребность в скорости, использование смартфонов и других мобильных вычислительных устройств.
В большинстве организаций требования, предъявляемые к их ИТ-подразделениям разнообразны и сложны. Они включают в себя такие аспекты, как управление рисками, контроль затрат, внедрение передовых инноваций и так далее.
Тот факт, что информационные технологии пронизывают практически все аспекты современной организации, широко понимается и признается. Но взаимозависимости между разными системами, технологиями, бизнес-процессами, выявлением и управлением рисками часто нет, и это задача, стоящая перед всеми руководителями.
Парадокс: ИТ-безопасность остро нуждается в экспертах по вопросам ИТ-безопасности.
Легкость доступа ко многим готовым бизнес-технологиям облегчает руководителям и менеджерам взять на себя роли и обязанности, как правило, принадлежащие ИТ-отделам. Это часто обусловлено необходимостью удовлетворения краткосрочных, локальных потребностей.
Не удивительно, что в результате зона влияния ИТ-отдела в настоящее время размыта. Анализ последних тенденций расходов на реализацию ИТ-проектов показывает, что, в среднем, более половины ИТ-проектов в настоящее время финансируется по инициативе управляющих, а не ИТ-отдела, и эта тенденция, как ожидается, будет продолжать расти.
Организации, которые находятся в состоянии войны со своими ИТ-отделами, отныне должны поднять белый флаг. Эта ситуация должна быть исправлена быстро, если организация хочет максимизировать стоимость корпоративных технологий с известным риском и известной стоимостью.
В тех компаниях, где ИТ-служба постоянно обвиняется в плохой реализации ИТ-проектов, «теневые» ИТ (вне поля зрения ИТ-отдела) процветают по всей фирме.
Кроме того стоит отметить хищническое поведение вендоров, которые стремятся убедить в необходимости внедрения новых технологий руководителей бизнеса в обход ИТ-отделов. В то время как дискуссии руководителей всегда сводятся к сокращению затрат на ИТ, и, как правило , имеют мало общего с используемыми технологиями или тем, как они управляются.
Именно в таких условиях киберпреступность, вероятно, станет реальной угрозой.
Что ИТ-отделы должны сделать, чтобы защитить свои организации?
Возможно, это вопрос должен быть перевернут: что должна делать организация, чтобы развивать эффективную, доверительную и включенную в бизнес ИТ-функцию?
Наиболее эффективным противоядием от киберпреступности и связанных с ней рисков утечки данных является наличие четко выполняемого ИТ бизнес-процесса с поистине равным отношением на каждом уровне организации. Это позволит построить работу по оптимальному проектированию, разработке, внедрению и постоянному управлению мерами ИТ-безопасности, которые значимы для организации.
Но реальность такова, что есть два основополагающих организационных фактора, которые играют важную роль в ограничении потенциальной эффективности ИТ-подразделений:
- Размытые ИТ и бизнес стратегии
- Относительно низкие уровни компьютерной грамотности на уровне Правления
Давайте рассмотрим их более подробно.
Размытые ИТ и бизнес стратегии
В результате недавнего глобального исследования было опрошено более 2 300 руководителей с целью выявить, как они подходят к развитию корпоративной (не IT) стратегии.
Обследование показало, что только 19% заявили, что их компании "имеют четкий процесс разработки корпоративной стратегии". Что еще более важно, почти четверть думали, что их компании «должны участвовать в разработке корпоративной стратегии на постоянной основе» (в отличие от нынешней эпизодической вовлеченности), и всего лишь 8% заявили, что они в настоящее время этим действительно занимаются.
В этом и заключается проблема для ИТ-подразделений. Если в организации стратегия плохо определенная, устаревшая или нечетко обозначенная, то идея разработки безопасной, значимой, масштабируемой и адаптивной ИТ-функции - это нирвана. По сути, это все равно что попросить строителя заложить фундамент здания, когда архитектор не может четко определить его структуру и форму.
Уровень цифровой грамотности управленцев
Неграмотные в области ИТ руководители являются легкой добычей для технологических евангелистов и продавцов, которые могут способствовать внедрению технологического решения или подхода - но того, который не может быть правильным для данной организации.
Проведем аналогию - это все равно что банк, среди членов совета директоров которого нет ни одного человека с существенным опытом в банковской и финансовой сфере.
Изменения неизбежны - и они будут возникать по обеим сторонам границы бизнес/IT.
Сегодня соответствующим образом квалифицированные и структурированные, бизнес соответствующие ИТ-отделы позволяют сделать реальный вклад в достижение целей и задач организации с известным значением, известной стоимостью и известными рисками. Если нет, то есть вероятность, что их конкуренты уже преуспели на этом пути.