Эксперт рассказал, что к ИБ-рискам в последнее время добавились новые угрозы

0

К ИБ-рискам сегодня постепенно добавляются новые угрозы. Ускоренные темпы цифровизации бизнеса по всему миру значительно подняли ставки связанные с кибератаками и преступностью. Предприятия, которые обладают сложными системами автоматизации процессов рискуют значительно больше и большим, нежели до момента перехода на новые технологии. Но риски не перевешивают пользу от применения новых подходов, но являются определяющими для инвестиций в кибербезопасность, особенно с учетом новых угроз. О том, что происходит на российском рынке защитных ИТ-решений Digital Report рассказала директор ДКИС ALP Group Светлана Гацакова.

Изменения ряда привычных практик ведения бизнеса, курс на импортозамещение накладывают новые требования к ИТ-системам. С какими основными рисками могут здесь столкнуться ИТ-службы предприятий?

Действительно, к традиционным ИБ-рискам в последнее время добавились новые угрозы. Сюда, в том числе, относятся проблемы с поддержкой и обновлением ПО, сложности в приобретении новых лицензий и оплаты различных сервисов, дефицит и рост стоимости компьютерного оборудования. Переход на новый софт (а часто это связка российских разработок и open-source) требует тщательного тестирования, выстраивания последовательной стратегии перехода на новые конфигурации, и ошибиться с выбором решения здесь несложно, особенно если предприятие решает действовать самостоятельно, без экспертной поддержки ИТ-партнера. Также нельзя не упомянуть резко возросшее количество кибератак, особенно на крупные системно значимые предприятия. Меняется и бизнес-среда, трансформируются прежние связи, у многих предприятий меняется пул партнеров, поставщиков, покупателей. Все это накладывает на ИТ-службы дополнительную нагрузку и ответственность, особенно учитывая, что все традиционные задачи корпоративного ИТ никуда не делись.

Что могут предложить российские ИТ-компании, чтобы минимизировать эти риски? Какова здесь роль GRC-решений?

Чтобы предприятие не только продолжало нормально работать в новых условиях, но и могло успешно развиваться, выжидательная позиция не годится. Любые изменения в организации, внедрение новых или замена автоматизированных систем требуют использования специализированных инструментов. Прежде всего, я говорю о решениях класса Process Mining и GRC. Первая из этих технологий, работая в режиме постоянного мониторинга, способна своевременно оповещать руководство об отклонениях реальных бизнес-процессов от заданных, эталонных. Кроме того, Process Mining существенно ускоряет и делает более точным обследование организации: с его помощью можно очень быстро составить диаграмму процессов as-is. В свою очередь технологическая платформа GRC (Governance, Risk Management, Compliance), по сути, представляет собой высокоуровневое решение, своего рода связующее звено между комплексом ИБ-систем, бизнес-приложениями и корпоративным менеджментом (системой управления).

Насколько сейчас востребованы решения класса GRC?

GRC – одна из наиболее надежных систем контроля и управления рисками, поэтому сегодня интерес к таким решениям быстро растет. Актуальность такого подхода связана с растущей сложностью современных систем автоматизации, многообразием и изменчивостью бизнес-процессов, а также с усилением требований законодательства в области ИБ, защиты данных, используемого ПО и др. Особенно это касается крупных организаций, компаний с государственным участием, объектов КИИ. Полагаю, что применение GRC в корпоративной практике управления будет стремительно расширяться уже в ближайшее время.

Какие конкретно задачи можно отечественных предприятий можно решать с их помощью?

Если говорить коротко, то GRC нужна для того, чтобы организация могла достигать стратегических целей и решать стоящие перед ней тактические задачи, не ошибившись по дороге. GRC дает возможность контролировать исполнение решений (Governance), понимать ИТ-риски и знать, как их минимизировать (Risk Management), соблюдать внутренние регламенты, обязательства и соответствовать требованиям законодательства (Compliance).

Конкурентоспособны ли отечественные системы GRC? Совместимы ли они с другими российскими платформами?

Безусловно, да. Нужно отметить, что зарубежные поставщики ERP и других систем предлагают свои решения уже достаточно давно. Теперь, в том числе благодаря разработкам нашей компании, такое решение есть и для платформы 1С. Его могут использовать компании любого масштаба, оно апробировано и полностью готово к применению.

Сложно ли внедрять такие системы? Насколько это затратно?

GRC – система корпоративного класса, и ее внедрение, конечно, требует серьезного проектного подхода. Более того, поскольку GRC охватывает множество аспектов деятельности организации (корпоративное управление, ИТ-, ИБ-системы), то для успеха очень важна заинтересованность и поддержка со стороны руководства. К счастью, все больше руководителей понимают важность создания надежной системы управления рисками – мы видим это по нашим проектам. Что касается сроков внедрения, то здесь, как обычно, многое зависит от масштаба проекта.

Можно ли «добавить» GRC-платформу в уже существующую учетную/ERP-систему?

Здесь возможны различные сценарии. Первый – модель GRC сразу закладывается в концепцию внедряемой EPR (или в ходе миграции на новую платформу). Здесь GRC изначально выступает частью фундамента для дальнейшего управления всем комплексом ИТ, на этой базе можно наращивать конкретные решения и технологии защиты от различных киберугроз, строить структуру управления правами доступа, автоматизировать мониторинг соблюдения регламентирующих документов.

Второй сценарий, когда GRC интегрируется в уже развернутую систему, также вполне распространен и реален. Более того, в данном случае организация получает дополнительный импульс для повышения качества управления: составление карт рисков, классификаций угроз и отклонений даст возможность менеджменту реагировать на них максимально быстро.

Share.

About Author

Digital-Report.ru — информационно-аналитический портал, который отслеживает изменения цифровой экономики. Мы описываем все технологические тренды, делаем обзоры устройств и технологических событий, которые влияют на жизнь людей.

Comments are closed.

Exit mobile version
Перейти к верхней панели