ТМТ
Ключ к цифровой трансформации бизнеса — бесперебойность процессов. Это особенно важно из-за распространённого гибридного формата работы (совмещения классического и домашнего офиса), замены софта на российские аналоги, а также для обеспечения безопасности. Компаниям необходимо действовать на опережение: спрогнозировать, в какой точке может произойти сбой, и своевременно его предотвратить, а также знать, как действовать во время внештатной ситуации. Чтобы делать это эффективно, нужно провести детальную инвентаризацию цифровых активов, а также не пренебрегать профилактическими мерами кибербезопасности. Компания по управлению цифровыми рисками BI.ZONE подготовила пошаговую инструкцию, как компаниям вести учёт IT-активов и начать выстраивать бесперебойные бизнес-процессы.
Проектный опыт BI.ZONE показывает, большинство компаний контролируют активы бухгалтерского и управленческого учёта и упускают из виду информационные активы при инвентаризации. Например, в сетевом хранилище могут быть созданы резервные копии конфиденциальных данных без разграничения доступа во внутренней сети. Тогда их может скачать и распаковать любой сотрудник, даже тот, у кого нет прав доступа к подобной информации. Это может привести к нежелательным последствиям.
Обычно информацию обо всех цифровых активах собирают аналитики компании совместно с представителями подразделений и сотрудниками IT- и кибербезопасности. Если в организации нет штатных бизнес-аналитиков, можно пригласить внешних консультантов. По данным BI.ZONE, это позволит сэкономить 20% бюджета.
20% бюджета
позволяет сэкономить передача задач на аутсорсинг
Дополнительные сведения о значимых данных получают через анализ бизнес-процессов компании. Эта информация понадобится, чтобы определить ценность актива для компании.
Как собирать информацию о текущих бизнес-процессах
Как оформлять полученные данные
Заполнить таблицу с перечнем основных бизнес-процессов и их владельцев. Внести ключевые операции по этим процессам, а также следующую информацию:
Одна из главных ошибок на этом этапе — бюрократический язык документации. Опыт BI.ZONE показывает: лучше отказаться от чрезмерной формальности в пользу «человеческого языка», объединить все документы в доступный гайд, к которому можно обратиться в любой момент. Обновлять такую информацию обязательно при изменении бизнес-процесса, реорганизации подразделений и внедрении или модернизации информационных систем, а раз в год-два необходимо проверять актуальность сведений.
На основе предыдущего шага важно приоритезировать ресурсы: выстроить от наиболее значимых к менее значимым, а также выделить те, которые больше всего влияют на функционирование компании.
Как это сделать? Основной критерий — ценность для бизнеса. Есть несколько подходов — от субъективного понимания влияния на услуги, продукцию и клиентов (в этом помогает привязка активов к бизнес-процессам и операциям) до попыток определять ценность через размер ущерба. Наиболее эффективным зарекомендовал себя метод BIA.
Что такое BIA
Business impact analysis — анализ критичности последствий для бизнеса в случае реализации различных рисков, в том числе непредвиденных. С его помощью компания может оценить, как скажется на её работе отсутствие какой-либо составляющей бизнес-процесса с течением времени, и найти главные болевые точки. Также учитывается, насколько будут критичны жёсткость нормативных и регуляторных санкций, а также возможен ли вред окружающей среде, жизни и здоровью людей. После BIA разрабатывается план обеспечения непрерывности бизнес-процессов, чтобы снизить простои и связанные с этим потери времени и денег.
Критерии оценки зависят от конкретной компании и модели бизнеса. Для разных организаций последствия могут иметь разную ценность: одной компании будет важна репутация, другой — непрерывность производства, третьей — финансовая составляющая. Если сложно выбрать между несколькими равноценными ресурсами, то на практике обычно всё решается естественным путём: работа распределяется на ответственного сотрудника, а он ставит её в свой план и приоритизирует в зависимости от других задач.
Оценка значимости цифровых активов позволяет понять, в какой точке бизнес-процесса возможен серьёзный сбой. Этот шаг рекомендуется повторять, если произошли изменения в бизнес-процессах, а актуализировать — раз в один-два года. Данной операцией обычно занимается бизнес-аналитик или сотрудник IT-службы, а за достоверность результата отвечает владелец процесса.
Когда компания определила, на каких активах акцентировать внимание, ей нужно обеспечить защиту этих технологий и сервисов. Требования к мерам защиты определяют сотрудники службы кибербезопасности, а доступность обеспечивают администраторы службы кибербезопасности или IT-отдела.
Повторять эти меры нужно, если в процессах произошли существенные изменения или обнаружились неустранимые уязвимости. Раз в год их необходимо актуализировать, как правило, после пересмотра инвентаризации активов и переоценки рисков.
1 раз в год
нужно актуализировать меры по киберзащите
Для обеспечения бесперебойных процессов необходимо не только находить уязвимые места и защищать сервисы компании, но и уметь работать с последствиями: извлекать уроки и внедрять меры профилактики, чтобы инциденты больше не повторялись.
Что делать, если инцидент уже произошёл?
Чтобы повышать устойчивость сотрудников к методам фишинга и социальной инженерии, эффективно проводить обучающие мероприятия как минимум один раз в месяц, а для поддержания навыка — до 2—3 раз в год. А чтобы предотвратить технические сбои и отказы систем, учения по проверке непрерывности бизнеса рекомендуется проводить хотя бы один раз в год для каждой системы. Однако это необходимо делать только после тщательной подготовки и тренингов персонала. Иными словами, система должна быть технически способна восстановиться за допустимое время простоя бизнес-процесса, чтобы учения не обернулись критическими последствиями для компании.
1 раз в месяц
нужно проводить обучающие мероприятия для повышения устойчивости сотрудников к фишингу и социальной инженерии
Обеспечение бесперебойных процессов — комплексная задача, она требует вовлечения многих отделов компании. От того, как организация проведёт инвентаризацию активов и внедрит профилактические меры защиты, зависит устойчивость её инфраструктуры. Также стоит понимать, что все приведённые выше рекомендации носят общий характер, так как более конкретные меры зависят от каждой организации, специфики её деятельности и картины рисков.