Пока что степень воздействия пандемии в полной мере не известна, тем не менее Николь Лауэр, Вивек Мехта и Джошуа Галван, эксперты Tech Risk Management, подразделения компании KPMG, поделились на портале Information Week рекомендациями, которые помогут менеджерам по техническим рискам успешно решить многие актуальные проблемы и подготовиться к тем, которые возникнут в будущем.
В ответ на опасность заражения коронавирусом огромное количество людей было вынуждено перейти на удаленную модель работы, что до предела возможностей повысило нагрузки на существующую инфраструктуру и вместе с тем обнажило неизвестные уязвимости и создало новые технические риски. Начиная с вопросов пропускной способности сети, управления новыми инструментами для групповой работы и заканчивая вопросами целевых киберугроз, предприятиям требуется быстро переходить к управлению новыми рисками, в то же время поддерживая непрерывность и продуктивность бизнеса.
Вряд ли стоит ожидать, что потребность в командах, которые занимаются изучением технических рисков, в ближайшее время уменьшится. Это связано с тем, что многие компании перешли на модифицированную модель работы, которая в равной степени включает как удаленных сотрудников, так и офисный персонал. Сегодня они сосредоточены на решении вопросов безопасности сотрудников и операционной деятельности. В ближайшие недели или месяцы компании начнут приспосабливать свою работу к текущим условиям, что предусматривает перенос большего количества рабочих нагрузок в облако, расширение поддержки работы на дому для сотрудников путем развертывания инфраструктуры для проведения видеоконференций и удаленного сотрудничества, покупку дополнительных лицензий, а также обновление доступа к сети.
На этапе восстановления бизнеса руководству и советам директоров потребуется ощутимая поддержка со стороны менеджеров по техническим рискам, чтобы помочь им принять своевременные решения с учетом существующих рисков. Ниже приводится несколько соображений, которые могут стать полезным руководством и нацелены на то, чтобы помочь компаниям как можно менее безболезненно войти в постпандемическую эпоху.
Переоценка порогов риска
За последние несколько недель количество кибератак выросло. Особенно это касается фишинговых кампаний, которые распространяются по э-почте, мобильных вредоносных программ, кибершпионажа. Помимо этого компании, представляющие различные отрасли, сталкиваются с возросшей зависимостью от нескольких критически важных поставщиков. Эти тенденции повышают общий профиль угроз. В условиях пандемии предприятиям следует пересмотреть свое отношение к риску в определенных областях, таких как управление идентификацией и доступом, управление рисками в рамках взаимоотношений с поставщиками, управление изменениями, уязвимостями, а также постоянная «виртуализация» активов компании. В краткосрочной перспективе основательный и сбалансированный подход повысит продуктивность, а также сократит количество рискованных обходных путей.
Коронавирус продолжает оказывать заметное влияние на экономику в целом и общий рынок в частности, который становится все более сфокусированным. На этом фоне компаниям следует пересмотреть допустимый уровень риска в отношении доходности инвестиций и стоимости бренда (например, влияние на продуктивность, риски нарушения регуляторных требований или потеря дохода), а также выявить те области бизнеса, которым потребуются дополнительные инвестиции, что позволит снизить риск с целью получения максимальной отдачи. Инвестиции не только позволят снизить технологический риск до уровней, соответствующих «аппетиту на риск», но и принесут более значительные выгоды в плане инновационных методов и практик управления.
В частности, CIO и CISO нужно ежедневно проводить совещание с сотрудниками бизнес-подразделений для обсуждения важнейших вопросов планирования непрерывности и устойчивости бизнеса, прислушиваясь к ключевым участникам и заинтересованным сторонам и принимая своевременные решения с учетом рисков. Согласованная точка зрения особенно важна в нынешний период неопределенности, когда организациям требуется пересмотреть свое отношение к рискам, выбрав при создании или совершенствовании своей технологии и структуры операционного риска приемлемый уровень подверженности риску. Это поможет бизнесу лучше понять технологические риски, тем более что они напрямую связаны с «драгоценностями короны» компании (то есть основными активами, которые делают их бизнес особенным и уникальным, как сейчас, так и в условиях экономического подъема/восстановления).
Количественная оценка технического риска
Бизнес-руководство по-прежнему в значительной степени полагается на ИТ-департамент для поддержки альтернативной рабочей среды и принятия обоснованных решений, которые требуются для возобновления операционной деятельности в нормальном режиме. Компаниям там, где это возможно, нужно активизировать возможности количественной оценки технологических рисков, чтобы предоставлять бизнесу более актуальную информацию о них, чтобы они могли принимать важные стабилизационные решения. Ситуация с COVID-19 остается неопределенной, а это значит, что такой же остается ситуация с рисками — они могут быть непредвиденными, иногда резко и динамически влияя на профили рисков компаний.
Количественная оценка усилий по стабилизации технологий и бизнеса при помощи методов измерения подверженности рискам позволит компаниям привести будущие инвестиционные расходы в соответствии с самыми высокими рисками и компенсировать упущенные деловые возможности. Кроме того, организациям следует тщательно пересмотреть инвестиционные программы и проекты (планируемые и реализуемые) и оценить, как различные технологические инвестиции в ходе восстановления операционной деятельности повлияют на их ситуацию с рисками — устранят их или снизят — и создавать основы для будущих возможностей. Такой подход позволит руководству компании по-новому взглянуть на ситуацию и принять финансово обоснованные, перспективные решения с учетом рисков.
Управление критически важными навыками/персоналом
Компаниям из разных отраслей часто не хватает навыков управления технологическими рисками. Ситуация усложняется тем, что специалистам по управлению рисками приходится заниматься задачами, которые требуют немедленного реагирования из-за COVID-19. Как следствие, потенциал компаний в области управления рисками снижается. Компании должны на постоянной основе обогащать экспертизу в области ключевых технических рисков и контроля, чтобы сократить количество проблем для специалистов по рискам (будь то внутренний сотрудник или поставщик) за счет таких методов, как перекрестное обучение или наблюдение за работой специалистов (job shadowing).
В обозримом будущем роль и ответственность таких специалистов повысится, поскольку они будут играть значительную роль в восстановлении устойчивости организаций во время COVID-19 и позднее. Несмотря на то, что влияние коронавируса на экономику предприятий еще не известно, вышеприведенные рекомендации могут помочь менеджерам по техническим рискам успешно решить многие проблемы, с которыми сталкиваются компании в настоящее время и в будущем.