|
Е-бизнес трудно вести без использования Интернета и информационных
технологий, поэтому и важнейшие риски связаны именно с ИТ. Можно выделить
следующие категории риска: инфраструктура ИТ, приложения, бизнес-процессы.
Риски инфраструктуры ИТ связаны с ее способностью адекватно обрабатывать
информацию (например, при неисправности оборудования). Для минимизации рисков
разрабатывается концепция безопасности (в соответствии с потребностями
компании), а также средства технического и организационного контроля.
Типичные виды рисков инфраструктуры:
- недостаточные физические меры безопасности на случай кражи,
несанкционированного доступа или незаконного раскрытия информации;
- незащищенность от перегрева, повреждения водой, огнем, иных физических
воздействий;
- неадекватные или неправильные аварийные планы и процедуры;
- отсутствие надлежащих процедур резервного копирования;
- неадекватная конфигурация и мониторинг брандмауэров против попыток взлома;
- неумелое шифрование.
Риски приложений возникают из-за:
- ошибок программирования и сбоев в приложениях ИТ;
- несогласованных или недокументированных программных изменений;
- плохого контроля за входом, обработкой и выводом информации в приложениях
ИТ;
- неадекватной увязки средств безопасности ПО с инфраструктурой безопасности
(неверные принципы допуска, процедуры резервного копирования и перезапуска).
Риски бизнес-процессов ИТ возникают, если анализ безопасности и обработки
информации охватывает бизнес-процессы не целиком, а частично.
Возможные причины рисков:
- недостаточная прозрачность потока данных;
- плохая интеграция систем или несовершенство процедур согласования и
управления в интерфейсах между подпроцессами, возникающее, когда две
подсистемы обмениваются данными в рамках бизнес-процессов. При этом возникает
опасность, что средства контроля ИТ (такие как право доступа или процедура
резервного копирования) эффективны только для подпроцессов, но не для целых
процессов.
Типичные риски бизнес-процессов ИТ в среде е-бизнеса:
- данные о транзакциях передаются из подсистем е-бизнеса в бухгалтерское
приложение недостаточно эффективно, полно и точно;
- не все подсистемы защищены от несанкционированного или несогласованного
доступа, поэтому данные транзакций могут быть изменены на уровне одной из
нижних подсистем ИТ;
- неудачные или неадекватные механизмы контроля доступа затрудняют или
делают невозможным эффективное управление средствами доступа для всех
подсистем ИТ, встроенных в бизнес-процесс;
- защиту доступа, относящуюся к отдельному приложению, встроенному в
бизнес-процесс, можно обойти, манипулируя верхними или нижними подсистемами
ИТ;
- меры резервного копирования эффективны только для подсистем е-бизнеса и,
соответственно, для подпроцессов, а не для полного бизнес-процесса ИТ;
- конструкция и реализация интерфейсов между подсистемой е-бизнеса и нижними
подсистемами ИТ неудовлетворительны.
|
