УДК 005.8

Новые риски в управлении проектами в сфере информационных технологий

Лосев Валерий Сергеевич – доктор экономических наук, профессор, заведующий кафедрой Экономической кибернетики Тихоокеанского государственного университета. 

Щепилова Наталия Ивановна – магистрант Тихоокеанского государственного университета.

Аннотация: В статье показана актуальность проблемы управления рисками при реализации проектов в сфере информационных технологий. Описаны типичные и новые риски, возникающие при разработке и последующей эксплуатации информационных систем. Рассмотрены подходы к управлению рисками ИТ-проектов в современных условиях.

Ключевые слова: Риски, управление проектами, информационные технологий, информационная безопасность, угрозы, модель нарушителя.

Применение современных информационных технологий позволяет принимать более оперативные и обоснованные управленческие решения, и учитывать при этом больший объем сведений. Тем самым повышается качество и эффективность управления. Отсюда всё возрастающее внимание к проектам в сфере информационных технологий, направленных на автоматизацию управления и обработку информации. Любые нарушения и неполадки в работе информационных систем приводят к снижению качества или полной потере управления критичными процессами со всеми вытекающими убытками и потерями.

Острота проблемы управления рисками проектов в сфере информационных технологий, защиты законных интересов субъектов информационных отношений при использовании информационных систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому есть ряд объективных причин. Прежде всего – это расширение сферы применения средств вычислительной техники и возросший уровень доверия к автоматизированным системам управления и обработки информации. Информационным системам доверяют самую ответственную работу, от качества выполнения которой зависит жизнь и благосостояние людей. С развитием новых технологий информационные системы решают все более объёмные, сложные, важные и ответственные задачи. Это влечет за собой ещё большую зависимость от автоматизированных систем. Таким образом, хотя стремительное развитие инновационных технологий открывает новые горизонты в развитии бизнеса и получении конкурентных преимуществ, вместе с тем это порождает новые риски и угрозы как для самого внедрения, так и для дальнейшей работы заказчика.

Наиболее часто исследователями отмечаются следующие риски: неточность и неконкретность целей ИТ-проекта; нереалистичные сроки и бюджет; изменения требований в процессе реализации ИТ-проекта; неэффективное использование методологий проектного управления; нехватка компетенций и опыта участников проектной команды; завышение качества, неэффективное управление требованиями. Для этих рисков характерно то, что их источниками являются ошибки, допущенные на ранних этапах проекта. Большинство исследователей при описании рисков проектов в сфере информационных технологий рассматривают только те из них, которые возникают на начальных этапах жизненного цикла – при анализе, проектировании, реализации и внедрении информационных систем. Примером существующих способов управления рисками проектов в сфере информационных технологий может служить методика Б. Боэма [1].

Таблица 1. Методика управления рисками ИТ-проектов Б. Боэма.

Риск ИТ-проекта

Методика управления риском

Нехватка компетенций сотрудников

Наем высококвалифицированных сотрудников, мероприятия по формированию команды, обучение сотрудников

Нереалистичные сроки и бюджет

Детализация оценки затрат и сроков, разработка повторно используемого программного обеспечения, уточнение требований

Несоответствие разработанной и требуемой функциональности

Анализ организации, анализ целей, опрос пользователей, создание прототипа, оценка производительности, проверка качества

Несоответствие разработанного и требуемого интерфейса

Создание прототипа, разработка сценариев использования, участие пользователей

Неэффективное управление требованиями и качеством

Уточнение требований, создание прототипа, анализ стоимости

Постоянный поток изменений требований

Установка ограничений для внесения изменений, итеративность разработки

Недостатки используемых внешних компонентов

Сравнительное тестирование, технический аудит, анализ совместимости

Проблемы в задачах, выполняемых внешними подрядчиками

Проверка контрагентов, подготовка макетов и создание прототипа, мероприятия по формированию команды

Недостаточная производительность

Моделирование, проведение сравнительного тестирования, создание прототипа

Технологическое отставание

Технический анализ, анализ стоимости, создание прототипа

Развитие информационных технологий порождает новые риски и угрозы. Это касается как процессов внедрения информационных систем, так и их дальнейшей эксплуатации. На стадии использования информационных систем всё острее стоит вопрос информационной безопасности. Это связано с развитием и распространением информационно-телекоммуникационных сетей, территориально распределённых систем и систем с удалённым доступом к совместно используемым ресурсам. Немаловажно и то, что для поиска уязвимостей систем и кибератак используются такие современные технологии как BigData и искусственный интеллект. В последнее время возник ряд новых рисков, которые ранее были не столь актуальны, а теперь могут поставить крест на проекте. Это валютные риски, введение санкций, обострение геополитической обстановки в мире. Беспрецедентной по своим масштабам и степени влияния стала пандемия новой коронавирусной инфекции. Хотя применительно к проектам в сфере информационных технологий указанные риски открыли больше возможностей и послужили толчком к развитию. Таким образом, можно отметить, что наиболее длительная стадия жизненного цикла информационных систем – фаза эксплуатации – остается без должного внимания исследователей и разработчиков с точки зрения управления рисками. При этом на стадии эксплуатации информационных систем на первый план выходит проблема обеспечения информационной безопасности.

Субъектами автоматизированного информационного взаимодействия являются государство, юридические и физические лица. В этом процессе их интересы заключаются в том, чтобы определённая часть информации, касающаяся их экономических, политических и других аспектов деятельности, конфиденциальная, коммерческая и персональная информация, была бы постоянно доступна и в то же время надёжно защищена от неправомерного её использования (нежелательного разглашения, фальсификации, незаконного тиражирования, блокирования или уничтожения).

Одним из важнейших аспектов проблемы обеспечения безопасности информационных систем является определение, анализ и классификация возможных угроз безопасности. Это основа для проведения анализа рисков и формулирования требований к системе защиты информационных систем. Угроза представляет собой совокупность негативных условий и факторов, формирующих возможность нарушения или снижения уровня безопасности [2]. Угроза интересам субъектов информационных отношений – это потенциально возможное событие, вызванное некоторым действием, процессом или явлением, которое, воздействуя на информацию, её носители и процессы обработки, может прямо или косвенно привести к нанесению ущерба интересам данных субъектов. Риск – это вероятность или возможность наступления того или иного события. Применительно к информационной безопасности под событиями понимают нанесение ущерба системе в связи с реализацией угрозы безопасности [3]. Задача управления рисками состоит в их идентификации, оценке и минимизации. Всё множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные). На рисунке 1 показана классификация угроз безопасности для информационных систем [4].

1

Рисунок 1. Классификация угроз по источникам и мотивации.

Согласно обзору журнала "The Economist", источник более чем 80% проблем с безопасностью находится внутри компании, и основные проблемы создают именно сотрудники. Пользователи информационной системы, с одной стороны, являются необходимым для неё элементом. С другой стороны, они же являются основным источником угроз и движущей силой нарушений. Более половины проблем возникает из-за ошибок пользователей. Сотрудники компании – самая массовая категория нарушителей. Они многочисленны, имеют санкционированный доступ на территорию, в помещения и к ресурсам системы. 80% нарушений со стороны сотрудников носит неумышленный характер. Однако, ущерб, который они наносят компании, весьма значителен. Именно поэтому борьба с ошибками пользователей и обслуживающего персонала информационной системы является одним из основных направлений работ по обеспечению безопасности [5].

На профессиональном уровне помочь решению данной проблемы может использование специализированных систем информационной безопасности с технологией мониторинга и защиты баз данных DAM и DBF. Данные системы обеспечивают отслеживание пользовательских операций и позволяют из сотен миллионов запросов выявить потенциальные инциденты и сохранять полный архив действий пользователей для анализа при расследовании инцидентов.

В управлении рисками любых проектов имеет место дилемма: перестраховаться и предусмотреть все угрозы в бюджете проекта, который чрезмерно вырастет, либо пропустить часть рисков и с большой вероятностью потерять намного больше. На практике управление рисками – это всегда тонкий баланс между «разумным» и «достаточным».

С математической точки зрения в информационных технологиях принят тот же взгляд на риски, что и при страховании от несчастных случаев. Количественно величина риска (R) определяется как произведение вероятности рискового события (P) и ущерба от него (D). Соответственно, суммарный риск определяется как сумма произведений вероятностей каждого из негативных событий Ui на величины потерь от них [6]:

f1 (1)

Тем не менее, количественный расчет величин рисков на практике используется редко. Это связано с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков. Для этого создается приближенная к реальности модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия. Подобные характеристики способствуют успешному проведению анализа риска и определению требований к составу и характеристикам системы защиты.

Экономический эффект от расходов на информационную безопасность можно оценить по формуле:

f2 (2)

где K – коэффициент уменьшения риска в результате реализации контрмеры (от 0 до 1), ADE – годовая ожидаемая величина убытков, C – стоимость реализации. ROI – инструмент экономической оценки эффективности действий в области информационной безопасности. Цель состоит в максимизации его значения. При положительном значении ROI реализация мер безопасности является экономически оправданной. В противном случае в ней нет смысла [6].

В рамках настоящего исследования были рассмотрены существующие в настоящее время подходы к управлению рисками проектов в сфере информационных технологий. Проведенный анализ показал, что большинство методик управления рисками фокусируется на начальных этапах жизненного цикла проекта. При этом самая продолжительная фаза – фаза эксплуатации – остается без должного внимания исследователей и разработчиков. В то же время развитие информационных технологий порождает новые риски и угрозы как для процессов разработки и внедрения информационных систем, так и их дальнейшего использования. Растет проблема обеспечения информационной безопасности. Возможным вариантом её решения является использование специализированных систем защиты, обучение персонала, построение адекватной модели нарушителя.

В заключение отметим, что обеспечение безопасности проектов в сфере информационных технологий – это непрерывный процесс управления рисками, связанный с выявлением информационных активов, подлежащих защите, определением их стоимости, размеров ущерба и риска, разработкой плана действий по защите и выбором технологий, реализующих этот план. Цель защиты информационных технологий – это минимизация рисков для субъектов. На практике это означает сведение всех значимых для субъектов угроз к допустимому, приемлемому уровню остаточного риска, и защиту наиболее важных информационных ресурсов исходя из существующих возможностей и предоставленных финансовых средств.

Список литературы

  1. Титов А.И. Управление рисками ИТ-проектов на основе компонентной структуры разрабатываемого программного обеспечения // Интеллектуальные технологии на транспорте. 2017. №4. URL: https://cyberleninka.ru/article/n/upravlenie-riskami-it-proektov-na-osnove-komponentnoy-struktury-razrabatyvaemogo-programmnogo-obespecheniya (дата обращения: 18.01.2020).
  2. Сушкова И.А. Соотношение и взаимосвязь понятий "вызов", "опасность", "угроза", "риск" // ИБР. 2018. №4 (33). URL: https://cyberleninka.ru/article/n/sootnoshenie-i-vzaimosvyaz-ponyatiy-vyzov-opasnost-ugroza-risk (дата обращения: 26.01.2021).
  3. IT-PM: Персональный блог об управлении IT-проектами. URL: https://itprojectmanagement.wordpress.com/ (дата обращения: 26.01.2021).
  4. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети – анализ технологий и синтез решений. – М.: ДМК Пресс, 2004.
  5. ru. Информационный портал о событиях в области защиты информации, интернет-права и новых технологиях. URL: https://www.securitylab.ru/ (дата обращения: 18.01.2020).
  6. Нагорный С. Управление рисками: обзор употребительных подходов (часть 2). Информационный бюллетень JET INFO. URL: https://www.jetinfo.ru/upravlenie-riskami-obzor-upotrebitelnykh-podkhodov-chast-2/ (дата обращения: 26.01.2021).