• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Пять типичных ошибок при внедрении IT-систем, которые нужно немедленно исправить (в контексте ИБ)

Created: 21 October 2019

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №10 (148) за октябрь 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится рабочая авторская редакция статьи.

Внедряя современные информационные технологии, предприятия автоматизируются учет и отчетность, сокращают время на разъезды с бумагами. Но зачастую, а для микробизнеса почти всегда никак, не учитывают риски внедрения новых технологий. В итоге по мере роста почти все предприятия допускают одни и те же ошибки. Вот лишь некоторые из них:
Ошибка № 1. Планирование и управление информационными технологиями и безопасностью считают дорогим и трудным делом, поэтому многие предпочитают решать проблемы по мере их появления.
Привлечение профильных ИТ-специалистов может быть затратно, особенно для микрофирм. Но это не значит, что вопросами информационных технологий никто не должен заниматься. Проще всего возложить эти задачи на кого-то из специалистов, а лучше, если руководитель или собственник бизнеса займется этим сам.
Пример: весь бухгалтерский, складской учет небольшой компании ведется в электронном виде на ноутбуке бухгалтера. Компьютер дал сбой и работа компании была парализована. Но бухгалтер опытный и сам делал копии всех данных. Ценой проблемы была только покупка нового компьютера и простой в несколько дней. Но, если бы  все данные бесследно исчезли, пришлось бы заплатить за восстановление учета, а простои составили бы недели и более.
Простои и убытки могут возникнуть и по независящим от компании причинам.
Пример: при сдаче отчетов в последние часы последнего дня информационные системы госорганов часто не справляются с нагрузкой – долго обрабатывают данные, «зависают». Если не успеть сдать отчет вовремя можно получить штраф за просрочку.
Как исправить? В обоих случаях, тому, кто занимается управлением ИТ, даже не нужно иметь каких-то углубленных познаний в технологиях, нужно просто научиться слышать сотрудников – они сами расскажут о проблемах и рисках. Задача руководителя – вовремя принять контрмеры. Это всегда в разы дешевле, чем потом решать проблемы «по факту». Внедряя любую информационную систему, нужно представлять себе стоимость владения ею (TCO – Total Cost of Ownership, совокупная стоимость владения). Купив автомобиль, наивно полагать, что траты на этом закончились. Теперь нужно оплачивать ГСМ, ремонт, страховку, мойку. Так и с информационными системами – им нужно оборудование, электроэнергия, поддерживающий персонал, обновление. Обо всем этом нужно не забывать при внедрении. Поэтому многие, сделавшие расчеты, и выбирают вариант с аутсорсингом  (см. нашу предыдущую статью в журнале №3 (141) за 2019 г.)

Ошибка №2. Внедрение мер безопасности откладывается на потом. Любые меры безопасности – ограничивают бизнес, сковывают пользователей.
Если система изначально развивается без учета мер безопасности, то потом их внедрение будет стоить дороже и может встретить противодействие со стороны пользователей. Когда в информационной системе, той же системе бухгалтерского учета, работает один-два человека, то они, как правило, видят все данные без ограничений. Потом начинают добавляться сотрудники – материальный бухгалтер, внутренний аудитор, отдел кадров и т.д. Если никаких ограничений и разделения полномочий не делать с самого начала, то все сотрудники будут видеть все проводки, остатки по счетам и другие данные. Вряд ли это понравится собственнику бизнеса. Если начать наводить порядок, то почти наверняка возникнут какие-то проблемы, кто-то не увидит то, что ему нужно по работе, да и сотрудники такие меры воспринимают как признак недоверия лично к ним.
Как исправить? С самого начала постараться оценить перспективы развития компании и эксплуатируемых ею систем. Если планируется развитие, то лучше сразу учесть это   внедрить ролевую модель доступа (когда каждый сотрудник видит только то, что ему нужно по работе), внедрить систему резервного копирования данных. Перед разработкой систем готовить техническое задание для программистов, создать и довести до сотрудников инструкции по работе с информационными системами. Ведь при покупке сложных бытовых приборов или станков на производстве многие читают инструкции по эксплуатации. А для сложных информационных систем это бывает очень редко, многие предпочитают учиться "в боевых условиях". Для небольших компаний хорошей практикой может быть описание каждым сотрудником своих ежедневных обязанностей, что и как он делает. На выходе получается некоторое подобие методички. Такой системный подход в управлении предприятием позволит по мере роста плавно перейти к системе менеджмента качества, а случае ротации персонала именно установленные и задокументированные правила позволят пережить уход ключевых специалистов, а новым - упростят вхождение в производственный процесс.

Ошибка №3. Не внедряют меры информационной безопасности, считая, что никто не оценит и лучше инвестировать средства в расширение производства и рекламу.
Как уже отмечено в примерах выше, при отсутствии планирования ИТ, убытки и простои лишь вопрос времени. В таких случаях специалисты по информационной безопасности приводят ставшую известной фразу директора ФБР Роберта Мюллера: «Убеждён, существует два типа компаний - те, кого уже взломали и тех, кому это предстоит.»
Как исправить? – Управляйте  технологиями и безопасностью системно. Это позволит получить  конкурентное преимущество. Обратите внимание, что банки часто отмечают, что внедрили у себя разные системы автоматизации, прошли независимый аудит. Ведь все это не влияет напрямую на клиентов, не повышает проценты по вкладам или не снижает ставки по кредитам, но доверие и лояльность клиентов растет.

Ошибка №4. Если бизнес не связан напрямую с информационными технологиями (например, выпечка тортов), то многие и не задумываются о безопасности. Даже если бизнес вообще не связан с ИТ, то отчетность-то наверняка сдается в электронном виде. Значит, есть и риски, с этим связанные. А что будет, если выйдет из строя номер телефона, по которому вы принимаете заказы? Со временем проникновение ИКТ во все сферы будет только усиливаться, например, уже и гостиницы регистрируют гостей в специальных государственных информационных системах и т. д. Останутся без связи и не отправят сведения - нарушат инструкции, штраф и т.д. Большое недовольство покупателей вызывает неработающий терминал для оплаты пластиковыми картами. Такие терминалы сейчас установлены во всех торгово-сервисных предприятиях. А ведь это тоже проблема ИТ.
Как исправить? – Нужно признать, что фактически не осталось сфер, свободных от ИТ. На каждом предприятии есть бухгалтер, директор, кадровик. Иногда эти функции как-то совмещаются. Также очень желательно определить, кто на предприятии отвечает за вопросы ИТ и ИБ. Этому ответственному лицу нужно будет произвести своеобразную инвентаризацию - выявить, кто и какие информационные системы эксплуатирует на предприятии, какие существуют риски - простои, утечки данных и т.д. Всю эту аналитику и конкретные предложения нужно донести до высшего руководства или собственника бизнеса. Часто руководство действительно не сознаёт насколько их бизнес зависим от ИТ.

Ошибка №5. Внедрение информационной системы проходит скачкообразно, без должного информирования пользователей, без подготовки альтернативных вариантов и без переходного периода.
Знакомая ситуация - человек, всю жизнь занимавшийся оформлением бумажных документов, приходит в госорган и узнаёт, что с сегодняшнего дня всё в электронном виде. А какова новая процедура - никто не знает. 
Если не определить порядок работы с информационными системами, то это может спровоцировать еще больший хаос. Пример, знакомый всем, снабжающая организация выставляет нам долг за поставленные ресурсы (электроэнергия, газ, вода). Мы приходим к ним с квитанциями и указываем, что по бумагам у нас долга нет, а они нам: «А у нас в компьютере другие данные. По нашей базе у вас долг». Патовая ситуация.
Как исправить? – Нужно изначально продумывать, каким образом будут решаться такие случаи. Что является первичным источником - бумажный документ или запись в базе данных? Если в каких-то процессах вы совсем отказались от бумажных документов, то единственным источником для установления истины является базы данных, а значит, ценность базы многократно возрастает. Нужно защищать ее от вмешательств извне, обеспечить постоянную работоспособность и доступность. Для крупных и сложных систем, охватывающих широкие массы - проводить разъяснительную работу, поощрять использование людьми новых технологий, сохраняя некоторое время и старые, привычные способы работы.

Большим подспорьем в вопросах внедрения ИКТ может быть консультация у эксперта. Если и на это совсем уж не хочется тратить деньги, то можно потратить время и заняться самостоятельно всеми вопросами. Очень полезно, особенно владельцу бизнеса, пройти любой вводный курс по основам управления информационными технологиями, чтобы понимать основные термины, принципы управления рисками, нормативы. Сейчас это можно сделать в том числе онлайн и бесплатно.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости