Предприятия должны учитывать все больше рисков

#Holger Haljand
1 min lugemine

Мы живем в эпоху, когда один кризис еще не успел закончиться, а новый уже начинается. Среди прочего, предприятия должны учитывать в своей деятельности все больше рисков, все более серьезно относиться к своим планам поддержания деятельности и составлять различные возможные кризисные сценарии, — пишет руководитель подразделения бизнес-клиентов Telia Eesti Хольгер Хальянд.

 

Кризисы последних нескольких лет явно заставили многих руководителей бизнеса и технологий провести переоценку своих рисков. Коронавирусный кризис вынудил многих справляться с ситуацией, когда традиционные рабочие процессы и физические каналы больше не функционировали прежним образом, поэтому пришлось создавать возможности для удобной и безопасной удаленной работы, а также пересмотреть процессы обслуживания и продаж. С начала войны в Украине многим предприятиям пришлось заново оценить свои возможности справиться, например, в случае сбоев и в работе инфраструктурных услуг, массовыми кибератаками и хранением критически важных данных в более широком смысле.

 

Нестабильность – это новая ситуация

 

Такая изменчивая среда, как сегодня, для всех нас является совершенно новой. В самом деле, эстонские предприятия довольно долго проработали в относительно стабильной среде, а с последнего серьезного финансового кризиса прошло почти 15 лет. Во время коронавирусного кризиса большинство наших предприятий продемонстрировали невероятную гибкость и приспособляемость, но здесь помог высокий уровень цифровизации Эстонии, потому что многие из необходимых решений уже существовали в реальности, нужно было только шире их использовать. Конечно, в ситуации пандемии нам также приходилось учитывать и более глобальные риски, такие как нарушение международных цепочек поставок и риск неконтролируемого роста цен, но в текущей ситуации они приобрели новое значение.

В эти нестабильные времена для предприятия особенно важно тщательное картирование рисков и внутреннее соглашение о шагах, которые необходимо предпринять для обеспечения непрерывности бизнеса. Однако зачастую вопросов больше, чем ответов. Какие превентивные меры необходимо предпринять и что произойдет, если нежелательное событие все же случится? При картировании рисков необходимо также подумать о факторах, способных надолго парализовать бизнес, о том, к чему приведут перебои, вызванные технологическим или человеческим фактором. Что для предприятия означает утечка или, что еще хуже, потеря критически важных данных или данных клиентов? Где и как хранить резервные копии важных данных? Все ли важные знания находятся в руках одного человека? Какова техническая готовность предприятия к кризисам?

 

Планом обеспечения непрерывности бизнеса следует заниматься постоянно

 

Непрерывность бизнеса часто обсуждают только в контексте ИТ и технологий, в то время как именно роль руководителей предприятия состоит в том, чтобы определить наиболее критические риски для бизнеса, и именно с этого нужно начинать составление кризисного плана. Нужно понять, каковы наибольшие риски с точки зрения работы предприятия и услуг при реализации разных сценариев, и только после этого подумать о конкретных мерах. Также стоит просмотреть соглашения о действиях в кризисных ситуациях и цепочке подчинения. Важно договориться о том, кто руководит в кризисной ситуации, и распределить роли так, чтобы было ясно, кто и какие шаги предпринимает в кризисной ситуации. Следует также иметь в виду, что составление плана обеспечения непрерывности бизнеса не является разовым мероприятием, его необходимо регулярно обновлять и проигрывать сценарии рисков, чтобы гарантировать адекватность и реальное действие выбранных мер.

В эти нестабильные времена особенно важно обеспечить гибкость ИТ-систем и наличие критически важных компетенций. Однако не всегда разумно выстраивать все это в своем предприятии, поскольку для большинства компаний ИТ не является основным бизнесом или важным конкурентным преимуществом. Весьма разумным шагом может быть привлечение профессионального партнера, который ежедневно работает в этой сфере и развивает необходимые компетенции. Это обеспечит гибкость в построении, управлении и обновлении ИТ-систем, а также оперативное реагирование на непредвиденные обстоятельства.

 

Принимающие решения лица слишком легкомысленны в отношении кибербезопасности

 

Дигитализация ведет нас вперед и является необходимым условием развития, но ее также сопровождает рост киберпреступности, которая сегодня является одной из важнейших проблем с точки зрения корпоративного риска. Может показаться, что о киберпреступности говорят все время, но многие руководители по-прежнему слишком мало о ней беспокоятся. Эксперт по кибербезопасности Алекс Блау хорошо расписал это в Harvard Business Review, упомянув, что многие бизнес-лидеры считают кибербезопасность одноразовым  действием, такимкак покупка брандмауэра, а не процессом, который требует постоянного внимания и улучшения. Беспечность некоторых предприятий питаети тот факт, что они еще не становились жертвами серьезных атак, поэтому им кажется, что этот риск их обойдет. Однако они не осознают, что в момент нападения ущерб может оказаться огромным. Безответственно жить надеждой на то, что ничего не произойдет. Разумнее осознавать, что может случиться и что грозит в этом случае. Инвестиции в безопасность должны быть сбалансированы с потенциальными потерями.

Хотя за последний год в Эстонии произошел большой скачок в развитии кибербезопасности, мы до сих пор наблюдаем подобное отношение и в своей практике – образно говоря, пока дом не загорелся, к вопросам кибербезопасности не относятся слишком серьезно. Эти вопросы все чаще затрагивают не только крупные предприятия, но и средний, и даже малый бизнес. Еще несколько лет назад небольшие предприятия не заморачивались по поводу кибербезопасности, поскольку киберпреступники в поиске финансовой выгоды не очень беспокоили маленькие фирмы. Но теперь, когда кибератаки становятся все более массовыми и автоматизированными, малый бизнес тоже стал мишенью. Кроме того, необходимо учитывать потенциальный риск того, что кибератаки могут быть использованы по политическим мотивам для создания более обширной нестабильности. Конечно, в этом случае в первую очередь атакуют государственные системы и предприятия, предоставляющие жизненно важные услуги, но их системы наверняка лучше защищены.

 

Слабое звено в цепи может повредить многим

 

Невозможно на 100% исключить шанс стать жертвой кибератаки, но можно снизить ее вероятность и подготовиться к ее успешному отражению. Разумеется, конкретные меры различаются в зависимости от сферы деятельности предприятия, его размера и других факторов, но базовая оценка безопасности должна следовать одним и тем же принципам и состоять из четырех основных компонентов: осведомленность сотрудников, план действий в случае кризиса, управление оборудованием и защитные решения, обзор происходящего.

Стоит обязательно инвестировать в кризисное обучение и моделирование, чтобы предотвратить угрозы из киберпространства; договориться с внешними партнерами о реагировании на кризисные ситуации, а также регулярно проверять свою готовность. Ведь дело не только в уязвимости одного предприятия или организации – часто случается так, что из-за беспечности предприятия под удар могут попасть и егопартнеры, например, при утечке конфиденциальных документов, содержащих данные партнеров.