К ИБ-рискам сегодня постепенно добавляются новые угрозы. Ускоренные темпы цифровизации бизнеса по всему миру значительно подняли ставки связанные с кибератаками и преступностью. Предприятия, которые обладают сложными системами автоматизации процессов рискуют значительно больше и большим, нежели до момента перехода на новые технологии. Но риски не перевешивают пользу от применения новых подходов, но являются определяющими для инвестиций в кибербезопасность, особенно с учетом новых угроз. О том, что происходит на российском рынке защитных ИТ-решений Digital Report рассказала директор ДКИС ALP Group Светлана Гацакова.
Изменения ряда привычных практик ведения бизнеса, курс на импортозамещение накладывают новые требования к ИТ-системам. С какими основными рисками могут здесь столкнуться ИТ-службы предприятий?
Действительно, к традиционным ИБ-рискам в последнее время добавились новые угрозы. Сюда, в том числе, относятся проблемы с поддержкой и обновлением ПО, сложности в приобретении новых лицензий и оплаты различных сервисов, дефицит и рост стоимости компьютерного оборудования. Переход на новый софт (а часто это связка российских разработок и open-source) требует тщательного тестирования, выстраивания последовательной стратегии перехода на новые конфигурации, и ошибиться с выбором решения здесь несложно, особенно если предприятие решает действовать самостоятельно, без экспертной поддержки ИТ-партнера. Также нельзя не упомянуть резко возросшее количество кибератак, особенно на крупные системно значимые предприятия. Меняется и бизнес-среда, трансформируются прежние связи, у многих предприятий меняется пул партнеров, поставщиков, покупателей. Все это накладывает на ИТ-службы дополнительную нагрузку и ответственность, особенно учитывая, что все традиционные задачи корпоративного ИТ никуда не делись.
Что могут предложить российские ИТ-компании, чтобы минимизировать эти риски? Какова здесь роль GRC-решений?
Чтобы предприятие не только продолжало нормально работать в новых условиях, но и могло успешно развиваться, выжидательная позиция не годится. Любые изменения в организации, внедрение новых или замена автоматизированных систем требуют использования специализированных инструментов. Прежде всего, я говорю о решениях класса Process Mining и GRC. Первая из этих технологий, работая в режиме постоянного мониторинга, способна своевременно оповещать руководство об отклонениях реальных бизнес-процессов от заданных, эталонных. Кроме того, Process Mining существенно ускоряет и делает более точным обследование организации: с его помощью можно очень быстро составить диаграмму процессов as-is. В свою очередь технологическая платформа GRC (Governance, Risk Management, Compliance), по сути, представляет собой высокоуровневое решение, своего рода связующее звено между комплексом ИБ-систем, бизнес-приложениями и корпоративным менеджментом (системой управления).
Насколько сейчас востребованы решения класса GRC?
GRC – одна из наиболее надежных систем контроля и управления рисками, поэтому сегодня интерес к таким решениям быстро растет. Актуальность такого подхода связана с растущей сложностью современных систем автоматизации, многообразием и изменчивостью бизнес-процессов, а также с усилением требований законодательства в области ИБ, защиты данных, используемого ПО и др. Особенно это касается крупных организаций, компаний с государственным участием, объектов КИИ. Полагаю, что применение GRC в корпоративной практике управления будет стремительно расширяться уже в ближайшее время.
Какие конкретно задачи можно отечественных предприятий можно решать с их помощью?
Если говорить коротко, то GRC нужна для того, чтобы организация могла достигать стратегических целей и решать стоящие перед ней тактические задачи, не ошибившись по дороге. GRC дает возможность контролировать исполнение решений (Governance), понимать ИТ-риски и знать, как их минимизировать (Risk Management), соблюдать внутренние регламенты, обязательства и соответствовать требованиям законодательства (Compliance).
Конкурентоспособны ли отечественные системы GRC? Совместимы ли они с другими российскими платформами?
Безусловно, да. Нужно отметить, что зарубежные поставщики ERP и других систем предлагают свои решения уже достаточно давно. Теперь, в том числе благодаря разработкам нашей компании, такое решение есть и для платформы 1С. Его могут использовать компании любого масштаба, оно апробировано и полностью готово к применению.
Сложно ли внедрять такие системы? Насколько это затратно?
GRC – система корпоративного класса, и ее внедрение, конечно, требует серьезного проектного подхода. Более того, поскольку GRC охватывает множество аспектов деятельности организации (корпоративное управление, ИТ-, ИБ-системы), то для успеха очень важна заинтересованность и поддержка со стороны руководства. К счастью, все больше руководителей понимают важность создания надежной системы управления рисками – мы видим это по нашим проектам. Что касается сроков внедрения, то здесь, как обычно, многое зависит от масштаба проекта.
Можно ли «добавить» GRC-платформу в уже существующую учетную/ERP-систему?
Здесь возможны различные сценарии. Первый – модель GRC сразу закладывается в концепцию внедряемой EPR (или в ходе миграции на новую платформу). Здесь GRC изначально выступает частью фундамента для дальнейшего управления всем комплексом ИТ, на этой базе можно наращивать конкретные решения и технологии защиты от различных киберугроз, строить структуру управления правами доступа, автоматизировать мониторинг соблюдения регламентирующих документов.
Второй сценарий, когда GRC интегрируется в уже развернутую систему, также вполне распространен и реален. Более того, в данном случае организация получает дополнительный импульс для повышения качества управления: составление карт рисков, классификаций угроз и отклонений даст возможность менеджменту реагировать на них максимально быстро.
- Австралийскому разработчику удалось обойти региональные ограничения Apple - 26/04/2024 18:11
- Разработчики Stellar Blade нарушили обещание об отсутствии цензуры - 26/04/2024 17:32
- Microsoft терпит убытки: выручка от продаж Xbox упала на треть - 26/04/2024 12:55
