08 Июня 2011 16:06 08 Июн 2011 16:06 |

Поделиться

Слабость риск-менеджмента ставит бизнес под удар

В исследовании RSA и Ponemon Institute, проведенном среди 190 компаний, респондентам предлагалось ответить на несколько вопросов о том, как их компании ведут менеджмент рисков и как соблюдаются требования регуляторов (GRC). Выяснилось, что подобные стратегии проработаны и существуют только у 20% фирм, еще 47% только проработали их, а у трети опрошенных их нет вообще. Инициаторами здесь выступают ИТ-службы, но компании пытаются распространить подобные решения за пределы ИТ-отделов, пытаясь объединить все корпоративные системы под такой инициативой. Но такие решения в бизнесе применяются недостаточно активно из-за наличия барьеров между подразделениями в фирмах, отсутствии ресурсов, сложности технологий, низком уровне поддержки со стороны руководства и так далее (перечислены в порядке убывания – прим. CNews). В итоге слабость риск-менеджмента отражается на уровне защищенности управления корпоративной документацией. Опрошенные CNews компании-игроки рынка СЭД соглашаются с подобными выводами, правда, указывают на слишком абстрактные вводные вопросы исследователей.

Сергей Курьянов, директор по развитию DocsVision, считает, что при проведении аналогичного опроса в России результаты были бы примерно такими же вплоть до того, что вопросы междепартаментского взаимодействия были названы основной проблемой, хотя, по его словам, это не вполне объективно: "Естественно, что каждый интервьюируемый думает, что проблема не в его департаменте, а в других. Поэтому я бы поставил на первое место проблемы нехватки ресурсов и отсутствия четкой стратегии, выражающей политическую волю руководства организации". Эксперт акцентирует внимание на основном результате опроса - по общему мнению, источником действий по решению комплекса проблем является ИТ. Это подкрепляется и высоким положением технологической сложности как препятствия к решению задачи. "Не думаю что это как-то изменяет стратегию вендоров СЭД, они и без того стремятся предоставить в своих портфелях как можно более широкий набор инструментов, упрощающих решение задач в рамках их продуктов. Так что скорее этим следует заняться CIO заказчиков, - объясняет он. - В отечественной СЭД сейчас наиболее горячие вопросы из этой темы - защита персональных данных, управление доступом, ЭЦП, охват "непочтовых" коммуникаций - мессенджеров и социальных сетей. Большинство вендоров СЭД демонстрирует развитие своих продуктов в этих направлениях, причем мне кажется, что скорость этого развития временами опережает развитие спроса со стороны заказчиков".

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

Михаил Зварковский, директор по развитию направления SAP Terralink, уверен, что проблема современного мира GRC-решений лежит не в плоскости взаимоотношений подразделений бизнеса, а в разрозненности методологии управления и существующих в компании систем. "GRC-решения - это всего лишь гаечный ключ и без рук мастера, который бы знал, куда и, главное, как его применить, он будет более чем бесполезен. Любая система управления рисками должна начинаться с методологии, при этом, если система создается не на радость акционерам и не в целях, как это сейчас модно говорить, повышения прозрачности бизнеса, а для дела, для реального сокращения издержек и повышения управляемости процессов, эта методология должна быть всеобъемлющей, покрывающей все процессы компании, - рассуждает он. - Скорее всего, придется столкнуться с ситуацией, когда стоимость разработки методологии в разы превысит стоимость самого "гаечного ключа". Но лишь такая система будет работать и давать результаты". Специалист отмечает, что не стоит забывать и о регулярных активностях по переработке этой методологии, по модернизации внедренного софта, так как полученная в результате проекта методология - лишь слепок компании на определенный момент и через короткое время она потеряет свою актуальность и будет нуждаться в уточнении и доработке. Сергей Бушмелев, ИТ-аналитик DIRECTUM, считает, что когда речь идет о соответствии абстрактным регуляторам или об управлении некими, не менее абстрактными рисками, трудно дать конкретный, детальный ответ. "Если бы, скажем, речь шла об определенных регуляторах (HIPAA, SOX, DoD 5015.2, MoReq, отраслевые регуляторы) и группах рисков, то выяснилось бы, что у многих организаций выработаны какие-то стратегии или правила поведения, риски учитываются, назначены ответственные исполнители", - говорит эксперт. По его мнению, сейчас, например, большинство российских организаций разработали и соблюдают если не стратегии, то, по крайней мере, правила соответствия налоговому законодательству: все подтверждающие документы собираются бухгалтерией, она же требует от других отделов и сотрудников соблюдения дисциплины при работе с такого рода документами; также во многих организациях на должный уровень поставлено делопроизводство, есть правила, есть ответственные и есть дисциплина. Сергей Бушмелев замечает, в свою очередь, что ситуация с защитой персональных данных отличается от подобных практик: "Среди бизнес-пользователей все еще жива надежда, что это очередная "компанейщина", поэтому риск наказания за нарушения в сфере защиты персональных данных зачастую оценивается как "незначительный".

В целом эксперты рынка СЭД в России отмечают схожие с мировым рынком тенденции в области управления рисками и соглашаются с тем, что компании страдают от недостатка стратегий в области соблюдения законов и управляемости контентом.

Михаил Демидов

Поделиться

Подписаться на новости Короткая ссылка