Технология ITAM как эффективная мера управления рисками в сфере информационных технологий

Еще совсем недавно риски в сфере ИТ представляли узкую группу операционных рисков, включая в себя в основном оценку влияния на производственный процесс отказов систем. Сегодня информационные системы пронизывают большую часть процессов в любом бизнесе, поэтому эксперты отмечают некорректность рассмотрения IT-рисков в составе любой другой группы угроз. Их влияние на деятельность современного бизнеса настолько велико, что требует разработки персональных методов оценки и минимизации.

Прежде чем говорить о стратегиях управления рисками, необходимо более детально определить природу рассматриваемых событий.

Все риски, которые характерны для сферы информационных технологий, можно классифицировать по следующим категориям[1]:

• •     Технология

К данной категории относится ненадежное, неработающее оборудование, а также программное обеспечение, не отвечающее параметрам бизнеса. Примером реализации риска может стать отказ маршрутизатора, сервера баз данных.

• •     Безопасность

Утрата, кража, повреждение оборудования или данных, несанкционированный доступ и их использование - все это будет относится к обозначенной категории риска.

• •     Политика и право

Под данной категорией понимаются события, произошедшие из-за отсутствия процедур и политик. Например, ущерб здоровью из-за несоблюдения техники безопасности (ее отсутствия).

• •     Персонал

Влияние персонала велико в любой сфере бизнеса, в том числе и ИТ. Риски данной категории включают в себя человеческие ошибки (Ошибки обновления базы данных SQL-сервера), увольнение ключевых сотрудников и тд.

• •     Инфраструктура

Последняя категория объединяет такие рисковые события, как отключение внешних услуг (электроэнергии, телефона, интернета), отказ ключевых вендоров.

Далее необходимо выработать систему, с помощью которой можно будет оперативно дать оценку риска, а, следовательно, и степень его приоритетности перед другими событиями.

Мною предлагается следующая классификация рисков (таблица 1).

Таблица 1

Оценка рисков

Вероятность возникновения	Проявление в процессе деятельности
Высокая	Возникает раз в месяц и чаще
Средняя	Возникает несколько раз в год (не чаще раза в месяц)
Низкая	Возникает раз в год и реже
Степень воздействия на бизнес
Высокая	Основные  бизнес-процессы  останавливаются более чем на день
Средняя	Основные бизнес-процессы останавливаются на срок от 1 до 24 часов
Низкая	Основные  бизнес-процессы  останавливаются менее чем на час

Источник: составлено автором

Становится очевидно, что риски, относящиеся к сфере информационных технологий, могут проявляется во всех отраслях деятельности компании и оказывать сильнейшее воздействие на результаты производственного цикла[2].

В связи с этим, остро встает вопрос о таком инструменте, который бы позволил управлять одновременно всеми категориями ИТ-рисков, тем самым минимизируя затраты предприятия. Большинство ИТ-рисков своим источником имеют так называемые ИТ-активы – материальные (ПК, ноутбуки, серверы, телефоны, принтеры, факсы и т.п) и нематериальные (программное обеспечение с документами, подтверждающими его легальность, и процессами, обеспечивающими жизненный цикл любого подобного решения внутри компании). На мой взгляд, благодаря контролю за эффективностью, надежностью и жизненным циклом подобных активов, станет возможным максимально грамотное управление рисками. Именно для этой цели и внедряется технология ITAM (IT Asset Management).

ITAM (IT Asset Management) – это комплексные решения для физического учета, финансового контроля и следования контрактным обязательствам на протяжении всего жизненного цикла активов: от их приобретения и перераспределения до удаления.

Финансовый контроль с точки зрения данной технологии включает в себя сферу закупок, выставление и прием счетов, контроль затрат, формирование бюджета. Физический учет – мониторинг использования, инвентаризация, вывод из эксплуатации/повторное использование, отслеживание лицензий. Контрактный учет – соответствие лицензиям, управление поставщиками, обслуживание контрактов.

Основные задачи, которые позволяет решить ITAM:

• •     Повышение эффективности учета активов (минимизируется риск

эксплуатации некачественного оборудования и его выхода из строя);

• •     Отражение полной картины владения ИТ-активами (риск

неэффективного использования);

• •     Повышение производительности и увеличение жизненного цикла

актива (минимизация затрат);

• •     Увеличение показателей доступности;

• •     Обеспечение соответствия требованиям и ограничениям каждого

актива;

• •     Экономия ресурсов за счет совершенствования процессов

поддержки принятия решения.

Эффективность внедрения технологии ITAM    подтверждается результатами исследований таких аналитических компаний, как Gartner, IDC, Faulkner Information Services, FORRESTER: систематическое управление жизненным циклом ИТ-активов сократит стоимость каждого актива на 30% в течении первого года и на 5-10% каждого следующего; информация, предоставляемая ITAM, снижает временные затраты службы технической поддержки на 5-10%; у 70% организаций присутствует 30%-ое несоответствие между фактическим количеством ПО и учетным количеством; средний ROI (индекс возврата инвестиций) при внедрении ITAM составляет 131% ежегодно[3].

Таким образом, рассмотренная технология является исключительно эффективной не только с точки зрения оптимизации деятельности в сфере информационных технологий, но и с позиции управления рисками как превентивно, так и в рамках минимизации последствий от реализации рискового события.