Новому CIO-лидеру нужна новая ИС с новым набором знаний, умений и атрибутов – компетенций – которые в основе своей отличаются от тех, что есть в традиционной ИС, их гораздо сложнее найти. Если вы не найдете эти новые компетенции, то вы не сможете предоставлять компании адекватные услуги. Вы увидите, что все, что вы делаете, не работает, а сами вы стоите не неверном пути.
Глава 9 Управляйте компанией и ИТ-рисками
Много лет назад репортер спросил у известного американского взломщика банков Вилли Саттона, почему он грабит банки: «Потому что именно там лежат деньги», – ответил грабитель. Сегодня хакеры атакуют компьютерные сети по той же причине. В сегодняшней экономике, основанной на передаче данных, именно здесь лежат деньги. Хотя новое тысячелетие принесло с собой новые страхи перед кибер-терроризмом, тенденции в компьютерном криминале – от вандализма до преступлений ради выгоды – остались прежними, и число их постоянно растет. Вместе с тем появляются и новые риски. И каждый из них более, чем когда-либо касается CIO. Новому CIO-лидеру предстоит «вступить в бой» с этими проблемами и управляться с новыми ИТ-рисками для компании [48] .
Не так сложно понять причины появления новых угроз, с которыми CIO-лидерам предстоит справиться. Первая и основная заключается в том, что зависимость большинства бизнес-процессов от ИТ приводит к тому, что последствия отказа от ИТ усугубляются. Кроме того, во всем мире уже приняты (или находятся в стадии утверждения) специальные законы, которые вменяют бизнесу в вину, в некоторых случаях вплоть до уголовной ответственности, за неправильное использование или утрату корпоративных данных, особенно тех данных, которые касаются пользователей. В числе этих законодательных актов Специальная директива европейского союза о защите данных, американский закон HIPAA (Health Insurance Portability and Accountability Act), закон Сарбанеса-Оксли в США и специальный закон штата калифорнии о нарушении баз данных.
Все это нечто большее, чем просто законодательные акты. В специальном обзоре компании Gartner, CIO указали четыре новых типа сложностей, которые приводят к росту значимости управления рисками, как составной части их внешней деятельности:
• взаимосвязь различных видов бизнеса: эта постоянно увеличивающаяся взаимосвязь повышает взаимозависимость, подверженность краже и вероятность неправильного использования информации; неправильное управление этими взаимоотношениями – это новый риск для ИС;
• криминал среди руководства: этот тип криминальных действий приводит к большому количеству проблем в компаниях и новые законы как раз и направлены на то, чтобы снизить ущерб и наказать преступников; эти законы стараются предотвратить новые риски и определяют правила обеспечения безопасности;
• потребность пользователя в защите приватности: рост интереса к проблемам приватности основан на том, что возрастает число краж частных документов и важной личной информации, а также действия специальных правительственных антитеррористических программ, ориентированных на массовое слежение за людьми;
• потенциальные сбои ИТ: отказы ИТ в вашей компании могут теперь непосредственно влиять на бизнес ваших клиентов или поставщиков, нанося при этом заметный ущерб репутации компании, а также приводя к гражданским и криминальным искам и наказаниям.
Краткое введение в управление риском
Сегодня практически каждый аспект деятельности в любом типе бизнеса зависит от ИТ. Клиенты и деньги сегодня, например, связаны с компанией в режиме online. Поэтому не важно, о каких рисках бизнеса идет речь, вы должны участвовать в попытках управлять ими [49] . Приговор по делу CIO американской корпорации US HealthSouth на основе закона Сарбанеса-Оксли в апреле 2003 года демонстрирует в деталях, как вы должны быть вовлечены в эти проблемы. Вы уже вовлечены вне зависимости от того – знаете ли вы об этом или нет.
И вы не можете справиться с этими новыми рисками в одиночку. Слишком много причин и последствий находятся за пределами контроля ИТ. Приоритеты определяет бизнес, а ИС – только часть вопроса. Бизнес не может управлять этими рисками без активного участия CIO, а CIO должен управлять откликом ИТ на новые риски в общем контексте управления корпоративными рисками в масштабе всей компании.
Неспособность рассматривать управление ИТ-рисками совместно с управлением корпоративными рисками очень опасно, поскольку и те и другие приводят к последствиям в масштабе компании. Проблемы с безопасностью или технический инцидент, к примеру, могут запросто выйти за пределы ИТ-департамента и стать проблемой всей компании, влияющей на удовлетворенность клиентов, корпоративный имидж и проблемы с законом.
Читать дальше
Конец ознакомительного отрывка
Купить книгу