Информационные технологии хоть и достигли высокого уровня развития, все равно нуждаются в грамотно организованной защите. Сегодня участились кибератаки на интернет-порталы и последующие утечки персональных данных как клиентов компаний, так и их сотрудников, что наносит ущерб репутации и приводит к серьезных финансовым убыткам проектов.
Крупному бизнесу пережить подобное проще. Собственники могут провести дорогостоящий аудит системы безопасности и вложиться в исправление неприятной ситуации (выплата компенсаций клиентам, улучшение репутации через СМИ). Компаниям среднего и малого уровня оправиться после подобных происшествий сложнее. Зачастую подобные случаи становятся фатальными.
Чтобы предотвратить возникновение подобной ситуации и не дать пострадать имиджу бизнеса, необходимо грамотно работать с возможными рисками, которые сопутствуют практически всем ИТ-проектам.
ИТ-риски – что это
Риски присутствуют в любых коммерческих проектах. Их принято представлять в виде шкалы вероятности событий, которые способны привести к убыткам или недополучению фирмой прибыли. В случае с ИТ-проектами рисками признается вероятность, что поставленная задача не будет выполнена в назначенный срок, и какой-то процесс выйдет за рамки временного графика.Вот наглядные примеры типичных ИТ-рисков, способных нанести вред бизнесу:
-
верстальщик не успевает доделать сайт интернет-магазина к нужной дате (старт продаж продукта откладывается на неопределенный срок);
-
в коде уже действующего интернет-ресурса обнаруживаются серьезные ошибки (происходит потеря данных);
- рекламная кампания, в которую фирма вложила внушительную сумму денег из бюджета, не дает ожидаемые результаты (инвестиции не окупаются, число клиентов не увеличивается, прибыль не растет).
Важно! Риски актуальны не только для ИТ-проектов, которые реализуют представители крупного бизнеса. В этом случае атака проводится с целью кражи конфиденциальной информации или порчи имиджа бренда. Риски для малого и среднего бизнеса направлены на нанесение прямого или косвенного финансового ущерба.
Какие бывают риски в ИТ-проектах
Риски во всех ИТ-проектах имеют довольно простую классификацию. Их подразделяют на две большие категории: внешние и внутренние. Чтобы понять, как надо с ними правильно работать, стоит рассмотреть каждый вид более детально.Внешние риски
К ним относятся события негативного характера, угрожающие проекту извне. Обычно они происходят по причине определенных действий со стороны ближайших конкурентов фирмы, а также работников других подразделений большой компании. Не стоит забывать и про фактор непредвиденности. Не все риски можно предугадать.
К внешним ИТ-рискам относятся:
-
проблемы, которые могут произойти у интернет-провайдера;
-
атаки на ИТ-инфраструктуру фирмы;
-
наложение санкций, касающихся проекта;
-
сокращение финансирования ИТ-проекта (также относят к группе внешних рисков).
Важно! ИТ-риск называется внешним, если его основной источник находится за пределами структуры самого проекта.
Внутренние риски
Ими признаются негативные события, развивающиеся внутри проекта и мешающие завершить его в установленный срок. В качестве примеров можно привести следующие случаи:
-
внезапная болезнь сотрудника;
-
незапланированное увольнение одного или нескольких членов рабочей группы проекта;
-
неправильно выбранная стратегия разработки;
-
проблемы с техникой.
Судя по статистическим данным InfoWatch, утечки конфиденциальной информации происходят именно изнутри проекта по вине его персонала. Злоумышленники добиваются делаемого результата довольно редко.
Важно! Для более детального и глубокого анализа рисков часто применяют классификацию, подразумевающую деление рисков на меньшие группы. Например, риски внутреннего типа рассматривают в разрезе операционных, программных, стратегических и других.
Принципы управления рисками в ИТ-проектах
Грамотное управление рисками базируется на трех основных этапах:
-
оценка рисков;
-
снижение рисков;
-
ликвидация негативных последствий произошедшей рисковой ситуации.
Каждый этап имеет свои особенности.
Оценка рисков
На этом этапе выявляют все потенциальные опасности для проекта. Их классифицируют в зависимости от величины угрозы и вероятности возникновения. Так удобнее определять, какие риски заслуживают особого внимания (с ними обязательно нужно бороться), а какими можно пренебречь без особых негативных последствий для бизнеса.
Не каждый риск лежит на поверхности. Многие опасности приходится искать, основываясь на историческом и личном опыте. К примеру, собственник бизнеса может не знать, что сайт компании недостаточно хорошо защищен от внешних кибератак, а данные клиентов находятся под угрозой хищения злоумышленниками. Выявить проблему поможет технический аудит.
Снижение рисков
Когда оценка рисков уже проведена, и выявлены наиболее опасные среди них, необходимо составить список мер, снижающих вероятность развития самых значимых для бизнеса негативных ситуаций.
Вот наглядный пример снижения риска ИТ-проекта. Для предотвращения утечки данных сокращают интервал между резервными копиями. Информация сохраняется чаще, риск потери важных данных снижается. Для предотвращения внезапной утраты интернет-соединения дополнительно проводят резервный канал связи.
Ликвидация последствий
Чтобы как можно быстрее избавиться от негативных итогов случившейся ситуации, план нужно разработать заранее. На данном этапе рабочая группа продумывает список мер, которые помогут преодолеть последствия рискового события с минимальными убытками со стороны проекта и наименьшими дополнительными финансовыми вложениями.
Стоимость предстоящих работ закладывается в бюджет сразу. К общему времени реализации проекта также добавляется срок на возможное устранение последствий. Это значимый момент для всех ИТ-проектов, независимо от их масштаба и сферы деятельности.
Отдельно рассмотреть стоит именно первый этап, связанный с оценкой рисков. Другие стадии управления сильно варьируются от специфики, предварительных сроков и габаритов проекта, деятельности фирмы.
Важно! Продумывать меры по устранению последствий случившейся рисковой ситуации особенно важно, если деятельность компании связана с хранением контента пользователей (фото, видео, аудио, тексты), а также обработкой персональных данных и приемом денежных платежей.
Правила оценки рисков в ИТ-проектах
Для четкого понимания, с какими конкретно проблемами ИТ-проект может столкнуться в процессе реализации, применяют количественную и качественную оценку потенциальных рисков.Качественная оценка рисков
Считается, что этот метод проще для проведения. В рамках качественной оценки риски делят по степени влияния на проект или вероятности возникновения. Это может выглядеть следующим образом:
-
Риски с высокой вероятностью. К ним обычно относят болезнь работника или наличие ошибки в информационном коде.
-
Риски со средней вероятностью. Это могут быть внезапное отключение интернета, кибератаки конкурирующих организаций, утечки персональных данных сотрудников или клиентов проекта.
-
Риски с низкой вероятностью. В эту категорию обычно включают поломку техники. Но если оборудование в последний раз менялось давно, то данный риск следует отнести к предыдущему типу.
После правильной оценки становится ясно, какие риски нанесут непоправимый ущерб проекту и компании, а какими проще и дешевле будет пренебречь. Снижению подлежат риски, которые сильнее влияют на фирму или могут возникнуть с высокой долей вероятности.
Количественная оценка рисков
Этот способ сложнее. С его помощью можно оценить влияние риска на проект в числовом выражении. Результаты такой оценки считаются более наглядными и принимаются во внимание в первую очередь.
Для хорошей количественной оценки необходимо воспользоваться услугами сторонних экспертов, имеющих достаточный опыт в данной сфере. Также потребуется сбор качественной статистической выборки.
К примеру, для понимания вероятности простоя сайта по причине поломки сервера нужно обзавестись данными по отказам у других хостингов, выявить причины поломки, оценить вероятность возникновения данного события конкретно в текущей ситуации.
Количественную оценку рисков ИТ-проекта иногда можно провести силами компании без привлечения экспертов со стороны. Для этого нужно изучить доступный опыт фирмы, оценить понесенные ранее убытки. Но для этого организация должна присутствовать на рынке уже немалое время.
Определение ИТ-рисков, которые стоит предотвращать
После завершения работ первого этапа требуется определить, какие риски необходимо предотвращать в любом случае, а какие можно не рассматривать в качестве серьезных опасностей для проекта. Для этого применяют оценку по трем следующим показателям.Допустимая величина риска
Представляет собой максимально возможный ущерб, возникающий в случае реализации негативных событий, при котором можно продолжить работу проекта без повышения инвестиций. Если убыток превысит обозначенную планку, необходимо скорректировать один или несколько рабочих процессов или расширить финансирование.
При разных обстоятельствах допустимая величина риска определяется неодинаково. Например, в момент старта ИТ-проекта бизнес допускает ситуацию ухода в минус, а на продолжительном этапе реализации ожидается прибыль или иной положительный итог.
Риск-аппетит
Это итоговый ущерб от понесенных последствий негативного события, который принимается руководителем ИТ-проекта в рамках достижения поставленной цели. такой показатель обычно входит в число плановых.
Уровень терпимости к риску
Здесь имеются в виду вероятные отклонения от планки риск-аппетита, которые принимает руководитель ИТ-проекта. Данный показатель допустимо считать отклонение от изначального плана. Уровень терпимости различается на каждом этапе реализации проекта.
Заключение
Любому ИТ-проекту сопутствуют риски. Они зависят от внутренних и внешних факторов, имеют разную степень влияния на проект, случаются с разной степенью вероятности. Управление рисками проводится в форме оценки, снижения и борьбы с последствиями.
От грамотной оценки рисков зависит успех всего проекта. Но не каждый риск рекомендуется предотвращать любыми доступными способами. Некоторыми стоит пренебречь, чтобы не понести еще большие финансовые убытки, которые превысят негативные последствия наступления ситуации.
