Риски вышли
из-под контроля

В конце 2007 года в Великобритании служащие некоего государственного учреждения потеряли два компьютерных диска с личными и банковскими данными 25 млн жителей страны. Стоимость подобной информации на черном рынке составляет около $2,5 млрд. В начале 2008 года в Дании технический сбой в центре электронной информации, предоставляющем услуги по хранению данных, привел к остановке работы его многочисленных корпоративных клиентов. В частности, полностью вышла из строя сеть банкоматов одного из крупнейших банков, а также были приостановлены поставки молочной продукции по всей стране. А в сентябре прошлого года из-за технических проблем сети в один из самых активных деловых дней года были остановлены торги на Лондонской фондовой бирже.

Все это примеры так называемых техногенных сбоев или катастроф, которые практически невозможно предвидеть. И причиной многих из них становятся информационные технологии. До недавнего времени вероятность возникновения таких катаклизмов считалась ничтожно малой, и компании не придавали особого значения тому, чтобы снизить этот риск и смягчить последствия катастрофы. Однако подобные чрезвычайные ситуации возникают все чаще, и, поскольку ИТ бурно развиваются, эта тенденция сохранится и в будущем.

В прежние времена информационные системы даже внутри одной компании состояли из изолированных модулей. Современные системы, напротив, не только связывают воедино все подразделения компании, но и очень часто интегрируются с базами данных, установленными у поставщиков и клиентов. Такие открытые и зачастую размытые границы сетей создают возможности для более эффективной организации работы и появления инновационных бизнес-моделей, но в то же время таят в себе угрозу распространения ошибок, которые мгновенно переносятся из компании в компанию и из региона в регион. Тем самым цена ошибки растет вместе с широтой сети.

Также может возникнуть ситуация, когда у небольшой группы людей возникает возможность совершать действия, последствия которых далеко выходят за рамки их полномочий. В подобных случаях даже незначительная ошибка может в считанные секунды перерасти в настоящую катастрофу. Недавно, например, по вине одного сотрудника брокерской фирмы из-за простой опечатки в тексте $4 млн превратились в $4 млрд, что привело в этот день к падению индекса S&P 500 на 2,36%.

Или взять случай, когда компания Sony выпустила в продажу 6 млн музыкальных дисков, содержащих программу защиты от пиратского копирования, которая, пусть непреднамеренно, открыла хакерам доступ к компьютерам пользователей, купивших эти диски. В результате на компанию обрушился шквал обвинений и судебных исков.

Стандартные методы управления рисками сейчас устарели и уже не обеспечивают защиту от катастроф, связанных с использованием информационных технологий. Все они исходят из того, что мы четко представляем себе все возможные риски и что вероятность развития событий по экстремальному сценарию ничтожно мала.

Поэтому чаще всего компании ограничиваются тем, что вырабатывают политику и процедуры по управлению известными рисками и контролируют качество при создании и эксплуатации ИТ-систем. Однако из-за столь старомодного подхода не всегда удается заметить новые, доселе неизвестные риски.

Как вовремя разглядеть опасность, которую по определению трудно предугадать? Начните с того, что внедрите в масштабах всей организации, от высшего руководства до рядовых сотрудников, такую корпоративную культуру, которая заставила бы каждого осознать свою ответственность за возможные риски и научиться правильно оценивать соотношение преимуществ и угроз. Для этого необходимо заниматься моделированием рисков и анализировать их влияние на бизнес. Однако еще важнее интегрировать этот процесс в общекорпоративную систему по управлению рисками и в разработку каждого нового ИТ-модуля.

Корпоративная культура должна поощрять сотрудников открыто и незамедлительно делиться своими опасениями о возможных рисках, особенно если в компании начинается внедрение новых ИТ-разработок. К сожалению, подобного правила не было в 2007 году в Societe Generale: сотрудники банка, хотя и заметили странные отклонения в том, как торговались акции, не поделились своими наблюдениями с руководством. Как было впоследствии отмечено в отчете о внутреннем расследовании, «это не входило в их должностные обязанности». В итоге банку пришлось объявить об убытках в $7,3 млрд: предположительно они стали результатом того, что один из сотрудников, некто Жером Кервель, проводил незаконные транзакции.

Внедряя новые технологии, необходимо оценить вероятность развития чрезвычайных ситуаций. Только тогда вы сможете взвешивать риски при переходе на новые информационные системы и правильно рассчитывать рентабельность ИТ-инвестиций. Вдобавок это позволит превратить бесконечные споры между оптимистами от информационных технологий и их активными противниками в конструктивный диалог о природе возможных рисков и способах управления ими. Есть много способов снизить риски, связанные с ИТ, и тщательно разработанная корпоративная стратегия в этой области поможет минимизировать угрозу и сохранить все то позитивное, что эти разработки могут принести бизнесу.