Информационные технологии и риск
Под информационными технологиями понимается система взаимосвязанных научно технологических, инженерных дисциплин, которые изучают методы эффективной организации труда сотрудников, которые заняты обработкой информацией.
Также сюда включается вычислительная техника и способы организации и взаимодействия с персоналом и производственным оборудованием, их практическое применение, а также все связанные с этим экономические и культурные вопросы.
Риск информационных технологий представляет собой вероятность возникновения отрицательных событий по причине внедрения специфичных угроз информационной безопасности. Это могут быть вирусы, хакерские атаки, информация, вызывающая уничтожение оборудование. В современной трактовке этого термина учитывается не только риск информационной безопасности, но и риск не достижения целей в применении информационных технологий для цели повышения эффективности деятельности компании.
Данные риски могут возникнуть как на этапе создания информационных систем, а также в процессе их эксплуатации. В результате проектирования, документирования, разработки и внедрения информационных систем происходит возникновение рисков, которые могут произойти по следующим причинам:
- выбирается не оптимальное решение по автоматизации,
- выявляются ошибки проектирования,
- нарушаются расчётные сроки и бюджет проекта,
- инфраструктура и решения по автоматизации не соответствуют друг другу,
- при приведении системы в действие происходят технические и организационные ошибки.
На этапе эксплуатации информационных систем существенными факторами риска в процессе достижения целей могут быть:
- Эффективная коммуникация между бизнесом и информационными технологиями в процессе определения оптимального уровня поддержки,
- Недоиспользования всего технологического потенциала,
- Использование менее приемлемого уровня сопровождения развития информационных систем,
- Оптимальное решение нештатных ситуаций,
- Ошибки при расчете нагрузки на составляющие инфраструктуры, а также обслуживающий персонал.
Где того, чтобы избежать данных рисков, в компании создается комплексная система, которая интегрирует риск-менеджмент, внутренний контроль и внутренний аудит на уровне основной деятельности предприятия, то есть информационную систему. Степень зрелости информационной структуры можно определить ее способностью обеспечения должного уровня результативного, рационального и безопасного применения информационных технологий цели осуществления целей. Чем выше уровень зрелости, тем ниже степень информационных рисков, больше эффективности использования в процессе функционирования в компании информационных технологий.
Категории оцениваемых рисков
Риск-аудит, проводимый в процессе информационного менеджмента, представляет собой деятельность, которая осуществляется в интересах руководства компании. При осуществлении этой деятельности происходит сбор свидетельств аудита, оценка степени соответствия определенным критериям для того, чтобы сформировать независимую экспертную оценку фактического уровня, а также выработать рекомендации, которые направлены на минимизирование рисков.
Процессный риск является неполным охватом деятельности в результате обеспечения рационального и безопасного применения информационных технологий, которые осуществляются на различных стадиях жизненного цикла компании.
Существуют следующие проблемные области:
- Высокая стоимость и длительность проекта создания информационной системы,
- Неудовлетворительные бизнес решения в системе автоматизации,
- Сбой или длительное восстановление работоспособности системы,
- Неполнота в использовании возможностей информационных технологий пользователями,
- Ошибки в процессе обработки данных.
Риск внутреннего контроля возникает в результате недостатков при обеспечении полноты контрольно-управленческих процедур, которые направлены на достижение цели информационного управления. Риск информационной безопасности представляет собой недостаток в системе управления информационными технологиями, а также повышающие вероятность нарушения конфиденциальности, доступности, целостности информации.
