Banks.am-ի հետ զրույցում ԲիԴիՕ ընկերության գործընկեր, խորհրդատվական ծառայությունների ղեկավար Ալեքսանդր Շաղիկյանը, ռիսկերի կառավարման ծառայության ավագ մասնագետներ Դավիթ Ավագյանն ու Աստղիկ Գրիգորյանը պատմել են իրենց աշխատանքի մասին, կիսվել հիմնական խոցելիություններով, որոնք կարող են սպառնալ ընկերություններին:

«Կողքի աչքը», ռիսկերի կառավարումը, համապատասխանությունն ու կիբեռանվտանգությունը՝ ՏՏ ռիսկերի դեմ

Ալեքսանդր Շաղիկյան, ԲիԴիՕ ընկերության գործընկեր, խորհրդատվական ծառայությունների ղեկավար

Ռիսկերի կառավարումը ԲիԴիՕ Հայաստանի խորհրդատվական ծառայության չորս հիմնական բիզնես ուղղություններից է: Այն ձեւավորվել է 165 երկրում գործող ԲիԴիՕ միջազգային ցանցի բազմամյա փորձի հիման վրա:
Յուրաքանչյուր կազմակերպություն իր գործունեության ընթացքում առերեսվում է բազմաթիվ ռիսկերի՝ պայմանավորված ինչպես արտաքին, այնպես էլ՝ ներքին գործոններով:

ԲիԴիՕ-ն առավել շատ կենտրոնացած է այն ռիսկերի վրա, որոնք կարող են կրիտիկական ազդեցություն ունենալ կազմակերպության գործունեության վրա, եւ պահանջում են փորձագիտական, միջդիսցիպլինար գիտելիք ու փորձ:

Կարող եմ ասել՝ այսօր նման ռիսկերի մեծ մասը կապված է տեղեկատվական տեխնոլոգիաների հետ: Իհարկե, սա մեր աշխատանքի միակ ուղղությունը չէ, բայց գործնականում առավել շատ աշխատում ենք հենց ՏՏ ռիսկերի հետ:

Հայաստանում ռիսկերի կառավարման խորհրդատվության ծառայությունից օգտվող ամենախոշոր ոլորտը բանկայինն է: Վերջին տարիներին՝ թվայնացման գործընթացին զուգահեռ, գրեթե բոլոր բանկերում ձեւավորվել են ՏՏ մասնագետների ուժեղ թիմեր: Դրանք զբաղվում են թվային միջավայրի տարատեսակ հարցերով, նոր պրոդուկտներով ու դրան զուգահեռ չեն կարող հասցնել «փակել» անվտանգային բոլոր բացերը: Այստեղ է, որ գործընթացներին հետեւելու, վտանգները տեսնելու ու դրանց մասին զգուշացնելու համար անհրաժեշտ է «կողքի աչք»: Այս դերը ստանձնում ենք մենք՝ բանկում գործող մի կարեւոր օղակի՝ ներքին աուդիտի բաժնի միջոցով: Այս դեպքում ներքին աուդիտի թիմին պետք է արտաքին մասնագիտական աջակցություն, քանի որ դրա ռեսուրսները հաճախ չեն բավարարում գործընթացներն ամբողջ ծավալով վերահսկելու, բանկերի ՏՏ թիմերին այս կամ այն խնդիրն առաջադրելու համար: Սա ռիսկերի կառավարման խորհրդատվական ծառայության մեկ խոշոր բաժինն է:   

Մյուսը վերաբերում է կոմպլայենսին կամ համապատասխանությանը: Տարբեր կազմակերպություններ, այդ թվում՝ բանկերը, որոշակի սերտիֆիկացման կարիք են ունենում: Հատկապես վերջին տարիներին լայն տարածում են ստացել տարատեսակ ISO սերտիֆիկացումները, որոնք վերաբերում են տեղեկատվական անվտանգությանը, կիբեռանվտանգությանը,  ՏՏ ենթակառուցվածքներին: Այս դեպքում մենք աջակցում ենք կազմակերպությանն ու նախապատրաստում սերտիֆիկացման: Եթե նախկինում կոմպլայենսն անհրաժեշտ էր ընկերության վարկանիշի, ներդրումների ներգրավման տեսանկյունից, ապա հիմա որոշ ոլորտներում այն օրենսդրական պահանջ է դարձել: Օրինակ՝ վերջերս սերտիֆիկացումը պարտադիր դարձավ էներգետիկ ոլորտի մի շարք կազմակերպությունների համար: Այսինքն, տեսնելով ռիսկերը՝ պետությունն իր հերթին փորձում է հետեւել, որ կազմակերպություններն աշխատեն անվտանգության ուղղությամբ:

ՏՏ ոլորտում ռիսկերի կառավարման խորհրդատվության երրորդ խոշոր բաժինը կիբեռանվտանգությունն է: Այս դեպքում մեր թիմը վերլուծում է ընկերության պաշտպանվածությունն արտաքին հաքերային ներթափանցումներից եւ այլ վտանգներից: Ծառայությունը կարեւոր է ինչպես պետական կառույցներում, այնպես էլ՝ մասնավոր ընկերությունների դեպքում:

Ռիսկեր. բարի համբավի արատավորումից մինչեւ տվյալների արտահոսք

Դավիդ Ավակյան, ԲիԴիՕ ընկերության ռիսկերի կառավարման ծառայության ավագ մասնագետ, ՏՏ աուդիտոր  

Մեր հաճախորդների գերակշիռ մասը բանկերն են, ավելի հստակ՝ դրանց ներքին աուդիտի ծառայությունները: Բոլոր բանկերն ունեն ներքին աուդիտի բաժիններ, սակայն բոլորը չէ, որ իրենց կազմում ունեն ՏՏ աուդիտի թիմ: Առկայության դեպքում էլ ՏՏ աուդիտորների թիվը հիմնականում սահմանափակ է եւ չի բավարարում կազմակերպությանը սպառնացող ռիսկերը ժամանակին կանխարգելելու, օրենսդրական պահանջներին համապատասխանության ստուգումներ իրականացնելու, ՏՏ ենթակառուցվածքների արդյունավետությունը գնահատելու եւ այլ ստուգումներ իրականացնելու նպատակով։ Սա պատճառներից մեկն է՝ ինչու է այս գործառույթը պատվիրակվում մեզ:  

Բանկերի հետ աշխատանքի օրինակով՝ սկզբում անցկացնում ենք ինտեգրված աուդիտի պլանների մշակում՝ ծանոթանում ենք բանկի կառուցվածքային սխեմային, ռազմավարությանը եւ ներքին աուդիտի բաժնի ծրագրին: Ընթացքում ծանոթանում եւ հետագայում սերտ համագործակցում ենք ՏՏ առանցքային նշանակության աշխատակիցների հետ։

Թվայնացման ժամանակաշրջանում բանկը բախվում է բազմաթիվ ռիսկերի՝ սկսած բարի համբավի արատավորումից մինչեւ տվյալների արտահոսք: Եվս մեկ՝ ոչ պակաս կարեւոր ռիսկ է համապատասխանության անհրաժեշտությունը: Միգուցե, բանկի ՏՏ թիմը չնկատի կամ բաց թողնի մի կետ, որով ինչ-որ փուլից այն սկսել է չհամապատասխանել ոլորտային պահանջների: Այստեղ եւս օգնության ենք գալիս մենք՝ մեր կողմից մշակված «Կարգավորման համապատասխանության աուդիտով»:

Տվյալների արտահոսքից պաշտպանվելու համար անցկացնում ենք տարատեսակ աուդիտներ, օրինակ՝ Ներքին համակարգչային ցանցի, Ֆիզիկական անվտանգության, Տվյալների պաշտպանության եւ վերականգնման:

Շատ կարեւոր է ծանոթ լինել նաեւ այնպիսի երեւույթների, ինչպիսին սոցիալական ինժեներիան է: Սա տեղեկատվություն ստանալու մեթոդ է՝ հիմնված մարդու հոգեբանության առանձնահատկությունների վրա: Սոցիալական ինժեներիայի հիմնական նպատակն է հասանելիություն ստանալ գաղտնաբառերի, բանկային տվյալների եւ այլ պաշտպանված ու գաղտնի տեղեկատվության: Չնայած՝ տերմինը կիրառության մեջ է մտել վերջին տարիներին, սակայն տեղեկատվություն կորզելու այս եղանակը կիրառվում է բավականին երկար ժամանակ: Միշտ բերում եմ հետեւյալ օրինակը:

Բանկ է զանգահարում մի կին եւ ասում, որ իր ամուսնու հաշվի հետ կապված որոշակի գործողություն է ցանկանում կատարել կամ տվյալներ իմանալ: Զանգահարող կնոջն անընդհատ ընդհատում է երեխան, լսվում է նրա լացի ձայնը: Երեխան մայրիկից անընդհատ պահանջում է, որ իրեն ուշադրություն դարձնի եւ շուտ ավարտի զանգը: Կինը փորձում է հանգստացնել երեխային, խնդրում, որ աշխատակիցն արագ կատարի իր խնդրած գործողությունը, քանի որ երեխան շարունակում է լացել: Այս դեպքում բանկի աշխատակիցը պետք է խուսափի հուզականությունից եւ առաջնորդվի հաճախորդների սպասարկման ընթացակարգով՝ ոչ մի դեպքում չտրամադրի որեւէ տեղեկություն երրորդ անձին, քանի դեռ չի նույնականացրել զանգահարողին, պարզել՝ արդյոք զանգահարողն ունի նշված բանկի հաճախորդի կողմից տրամադրված լիազորագիր եւ այլն: Ցանկացած կասկածելի վարքագծի պարագայում, աշխատակիցը պետք է ընդհատի հեռախոսազանգը, զանգահարի հաճախորդին եւ վերստուգի տեղեկատվությունը: Կարող եմ ասել, որ 98% նման դեպքերում հաճախորդի հետ զրույցի արդյունքում պարզվում է, որ նրա կինն իր հետ է, որեւէ տեղ չի զանգահարել, իսկ երեխա առհասարակ չունեն (ծիծաղում է – հեղ.)։

Այս առումով շատ կարեւոր է բանկի աշխատակիցների համար տարատեսակ թրեյնինգների անցկացումը: Օրինակ՝ շուկայում այսօր չկա որեւէ ծրագրային լուծում կամ այլ գործիքակազմ, որը 100%-ով կպաշտպանի բանկը ֆիշինգային հարձակումներից: Միակ տարբերակն աշխատակիցների տեղեկացված, զգոն եւ ուշադիր լինելն է: Անձնակազմի հետ պետք է անընդհատ աշխատել, տեղեկացնել համաշխարհային փորձի մասին, ներկայացնել այն միջադեպերը, վտանգները կամ ռիսկերը, որոնց բախվել են ոլորտի այլ ընկերություններ:

Կարեւոր է ընդգծել՝ նշված բոլոր ռիսկերը բանկերին կարող են սպառնալ նաեւ ոչ ուղղակի, օրինակ՝ բարի համբավի արատավորման տեսանկյունից: Բավական է մի անգամ տեղի ունենա հաճախորդների տվյալների արտահոսք՝ միայն այդ խոցելիությունը «փակելով»՝ խնդիրը չի լուծվի: Հետագայում հաճախորդների վստահությունը վերականգնելը շատ ռեսուրսատար կլինի:

Ի վերջո, ՏՏ աուդիտի եւ ռիսկերի խորհրդատվությանը հատկացված գումարը բանկի համար կարող է ունենալ նաեւ մարքեթինգային նշանակություն: Հետագայում սա կարող է օգնել ներգրավել նոր հաճախորդների՝ վստահեցնելով, որ նրանց տվյալները պաշտպանված:

Առհասարակ, անվտանգության վրա ծախսվող գումարը մեծ է թվում, քանի դեռ ընկերությունը չի առնչվում որեւէ միջադեպի: Այս դեպքում լինում է հստակ գիտակցում, որ ծախսը խիստ նպատակային էր:

«ՏՏ-ն ոչ թե ծախս է, այլ՝ ներդրում»

Աստղիկ Գրիգորյան, ԲիԴիՕ ընկերության ռիսկերի կառավարման ծառայության ավագ մասնագետ

Իմ հիմնական աշխատանքը կառավարման խորհրդատվության ոլորտում է: Մենք օգնում ենք ընկերություններին մշակել կամ վերանայել իրենց ռազմավարությունը: Ընդ որում, եթե նախկինում հնարավոր էր ռազմավարություն մշակել 7-10 տարվա համար, ապա հիմա ընկերությունները ձգտում են կառավարման առավել ճկուն (agile) մոդելներ ներդնել: Դրանք միտված կլինեն առկա ռեսուրսների առավել արդյունավետ կառավարմանն ու օգտագործմանը, ինչպես նաեւ կստեղծեն կայուն զարգացման համար անհրաժեշտ միջավայր։   

Երկար տարիներ աջակցելով ընկերություններին առաջնահերթությունների, նպատակների սահմանման հարցում՝ հասկացանք, որ դրանցից շատերն են գիտակցում ՏՏ ծառայությունների, անվտանգության կարեւորությունը, բայց հաճախ բիզնեսն ու ՏՏ մասնագետը չեն կարողանում նույն լեզվով խոսել: Այլ կերպ ասած՝ այն, ինչ ընկերության տեղեկատվական տեխնոլոգիաների թիմի համար կարեւորագույն կետ է, հաճախ ոչ միայն անհասկանալի է բիզնեսի թոփ մենեջմենթի համար, այլեւ՝ դիտարկվում է որպես ավելորդ ծախս: Մինչդեռ ՏՏ-ն ոչ թե ծախս է, այլ՝ ներդրում, որը բավականին բարձր տոկոսներով վերադառնալու է:

Այս ամենում մեր դերն է  մենեջմենթին առավել խորությամբ ներկայացնել ռիսկերի կառավարման կարեւորությունը:

Կարող եմ ասել, որ միանշանակ, կան դրական միտումներ: Դրանում նշանակություն ունի նաեւ այն, որ քաղաքացիներն այսօր առավել տեղեկացված են: Բոլորը գիտեն՝ եթե խոսում են թվային որեւէ պրոդուկտի մասին, ուրեմն կան նաեւ ռիսկեր, որոնց պետք է ուշադիր լինել: Այնպես որ, հաճախորդներն իրենք էլ ստեղծում են անվտանգության պահանջարկ: Բանկերը գիտակցում են, որ անընդհատ նոր պրոդուկտ առաջարկելուն զուգահեռ, պետք է ունենան ակտիվ աշխատող անվտանգության թիմ, որը կգտնի հնարավոր բոլոր խոցելիություններն ու կվերացնի դրանք: Ինչին, իհարկե, պատրաստ ենք օգնել նաեւ մենք: Լինելով միջազգային ընկերության մաս՝ ԲիԴիՕ-ն ծանոթ է համաշխարհային լավագույն փորձին:

Արդեն ակտուալ չէ սեփական փորձից «դաս քաղելը»: Դա բառացիորեն կարող է շատ թանկ նստել ընկերության վրա: Այնպես որ, պետք է ծանոթ լինել ու սովորել այլ ընկերությունների սխալներից եւս:

Ինչպես արդեն նշվեց, մեր հիմնական հաճախորդները բանկերն են: Պատճառն այն է, որ այս ոլորտում կենտրոնացած են մեծ քանակի անձնական եւ ֆինանսական տվյալներ: Մեծ է ազդեցության մակերեսը:

Միեւնույն ժամանակ, կան նաեւ այլ ուղղություններ, որոնք պետական մակարդակում ունեն ռազմավարական նշանակություն, օրինակ՝ էներգետիկայի ոլորտը, հեռահաղորդակցությունը: Այստեղ տվյալների արտահոսքի դեպքում կարող է առաջանալ նույնիսկ ազգային անվտանգությանը սպառնացող վտանգ: Շատ ուրախ եմ, որ տվյալ ընկերությունների մոտ կա ռիսկերի կառավարման կարեւորության գիտակցում, ու դրանցից որոշների հետ եւս մենք աշխատում ենք:

Յանա Շախրամանյան

Լուսանկարներն՝ Էմին Արիստակեսյանի