Уже давно ничего не писал в блоге, т.к. в данный момент предпочитаю тратить свободное время на подготовку к публикации новой книги по управлению рисками, которая, надеюсь, будет издана уже в первом квартале 2009 г.
Надеюсь, что эта книга окажется своевременной и полезной для многих организаций. Приведу здесь небольшой отрывок из Введения.
О чем эта книга?
Эта книга подытоживает многолетный практический опыт автора в области управления информационными рисками. Этот опыт нашел отражение в методологии GlobalTrust и типовом комплекте документов для управления рисками под кодовым наименованием GTS 1056, которые успешно применяются в ряде российских компаний. Я полагаю, что наш подход к управлению рисками является достаточно универсальным и успешно может применяться для управления любыми физическими и операционными рисками, а также, возможно, и любыми неспекулятивными рисками. Однако будем оставаться в рамках своей предметной области и, чтобы не усложнять и без того непростую тему, в дальнейшем под рисками будем понимать исключительно риски информационной безопасности.
Об управлении рисками уже на разных языках было написано довольно много научных и псевдонаучных трудов, изобилующих математическими формулами, моделями, принципами, количественными и качественными подходами, теориями полезности, субъективной вероятности, непрерывными распределениями, нечеткими множествами, и прочими теориями, не имеющими прямого отношения к реальной жизни. Птичий язык многих из этих сочинений, оторванность от практики, отсутствие параллелей с теми обстоятельствами, в которых вынужден функционировать современный бизнес, приводит к тому, что их аудитория ограничивается очень узким кругом специалистов, по большей части теоретиков, имеющих узкоспециальное образование и владеющих соответствующим математическим аппаратом. Для широкой аудитории, вопросы управления информационными рисками остаются практически неведомыми.
Если финансовая безграмотность сегодня приводит к плачевным результатам, то информационная безграмотность способна породить еще худшие результаты уже в недалеком будущем. В наше время, управление рисками – это отнюдь не какая-то математическая теория, имеющая прикладное значение. Управление рисками – это жизненная необходимость для все большего числа организаций. Кого-то эти проблемы еще не коснулись в достаточной степени, для кого-то это вопрос эффективности управления бизнесом, а для других это уже вопрос выживания. Мы постарались избавиться от всей псевдонаучной шелухи, заслоняющей важнейшие вопросы, связанные с управлением информационными рисками, и сосредоточится только на тех идеях, которые обладают свойством практической полезности, попытавшись изложить свой подход простым человеческим языком.
Автор надеется, что эта книга поможет читателю без особых проблем перейти к систематическому управлению рисками в соответствии с международными стандартами, используя простой и прагматичный подход, неоднократно проверенный на практике и основанный на доступном каждому человеку здравом смысле.
Если послушать что говорят и почитать что пишут об управлении рисками, то может сложиться впечатление, что задача эта очень сложная и трудоемкая, что этот вопрос лежит скорее в теоретической плоскости, а на практике целесообразно применять более простые подходы к выбору защитных мер. Эти рассуждения на мой взгляд сильно приувеличены. Для адекватной оценки риска не требуется ни учености ни шаманства. Каждый специалист, имеющий достаточный опыт работы в области информационной безопасности, может овладеть этим нехитрым ремеслом. Только ему для этого придется переориентироваться на бизнес и научиться осуществлять декомпозицию бизнес целей и процессов до поддерживающих их информационных активов и связанных с ними угроз и уязвимостей, а уже от них переходить к механизмам безопасности, которыми он привык заниматься. Здесь, скорее, потребуются не новые знания, а перенастройка мышления с технически ориентированного на бизнес ориентированное и риск ориентированное.
Тем же кто не является специалистом в области информационной безопасности или информационных технологий, эта книга поможет осознать сущность проблем информационной безопасности, а также то, каким образом информационные риски влияют на них лично, на организацию, в которой они работают, на их бизнес, а также на общество, в котором они живут. Это позволит подготовиться к ближайшему будущему, переполненному информацией и связанными с этим рисками, а также к новым информационным кризисам, которые могут прийти на смену финансовым.
Существуют ли альтернативы управлению рисками?
Альтернативы управлению рисками, на мой взгляд, сегодня уже не существует. Информационная безопасность не относится к числу проблем, которые можно решать по мере их возникновения. Либо вы управляете рисками, либо риски управляют вами. Проактивный подход намного лучше реактивного. Когда возникает проблема с безопасностью, часто бывает уже слишком поздно ею заниматься. Поэтому надо заранее анализировать и упреждать возможные проблемы, руководствуясь при этом соображениями экономической целесообразности.
Правила игры стремительно меняются. Сегодня уже недостаточно просто реагировать на появление новых угроз, руководствоваться при выборе защитных мер общими соображениями и укоренившимися взглядами на информационную безопасность как на какое-то мало значимое побочное явление, сопутствующее внедрению информационных технологий и ассоциирующееся в массовом сознании с понятиями «хакер» и «компьютерный вирус», находящимися где-то там, далеко от нас. Информационная безопасность – это уже не отдельно взятые угрозы, обязанные своим распространением главным образом сети Интернет, а новая система взаимоотношений в изменившемся мире, где уже не действуют прежние законы.
Без управления рисками все еще, как и раньше, можно достигать определенных положительных результатов, однако стабильных результатов уже достигать все сложнее. Поэтому компании, систематически управляющие рисками, по крайней мере, обладают важнейшим конкурентным преимуществом.
Пока происходило (и до сих пор происходит) столь бурное, порой революционное во многих областях, освоение новых технологий, основной лозунг звучит просто: «лишь бы все заработало». Когда же все это наконец начинает работать, да так, что остановить это уже невозможно, то на первый план выходит соображение «не дай бог это вдруг остановится или сработает не так как планировалось», т.е. на первый план выходят соображения безопасности, и уже ИТ занимает по отношению к ним подчиненное положение. С того момента как останов информационных систем начинает приводить к катастрофическим последствиям, становится совершенно необходимым управлять информационными рисками на систематической основе, соотнося расходы на защиту с получаемой выгодой.
Насколько глобальными могут быть последствия недооценки рисков, возникающих в связи с изменением мироустройства, мы с вами имеем возможность наблюдать сегодня на примере захлестнувшего весь цивилизованный мир финансового кризиса, основной причиной которого является отсутствие адекватного управления финансовыми рисками, а порой и самого осознания этих рисков, не только среди обывателей, но среди профессионалов.