Цифровизация и обеспечение информационной безопасности коммерческой организации

Александр Валентинович Светцов
группа CSO-41
Школа IT-Менеджмента
РАНХиГС при Президенте РФ

В последние несколько лет в РФ активно проводятся мероприятия по цифровизации экономики и трансформации социальной сферы. По итогу 2022 года, в рамках национального проекта «Цифровая экономика», утвержденного правительством 4 июля 2019 года, удалось добиться значительного прогресса в достижении целевых показателей, что позволяет говорить об успехах в достижении национальной цели цифровой трансформации к 2030 году.
В рамках реализации проекта обеспечения технологического суверенитета РФ, с 31 марта 2022 года для использования на объектах КИИ (значимой критической информационной инфраструктуры) компаниями и государственными структурами взят курс на импортозамещение иностранного программного обеспечения (ПО), радиоэлектронной продукции и телекоммуникационного оборудования.
В результате работы индустриальных центров компетенций по замещению зарубежных цифровых продуктов, развиваются более 300 проектов, которые предполагают разработку российских программных решений по ключевым направлениям. Обширен список мер поддержки отечественных ИТ компаний, включающий их освобождение от большинства контрольных проверок, обнуление налога на прибыль, предоставление льготных кредитов и иную поддержку сотрудников организаций, аккредитованных «Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации».
Коммерческие компании вынуждены эволюционировать, чтобы оставаться конкурентными на рынке и предоставлять качественный сервис клиентам. Каждая коммерческая компания должна пройти путь от автоматизации до цифровизации или цифровой трансформации своих бизнес-процессов, либо рискует проиграть конкуренцию и существенно ухудшить свою позицию на рынке.
Одним из ключевых направлений цифровизации является информационная безопасность. На фоне обострения геополитической ситуации организации в РФ столкнулись с цифровой агрессией недружественных государств, которая обнажила внутренние потенциальные угрозы в виде недостатков собственной ИТ-инфраструктуры. В условиях СВО на Украине обострились сопутствующие ей политико-социальные и финансово-экономические кризисы.
По информации от «Федеральной службы по надзору в сфере связи информационных технологий и массовых коммуникаций» только в 2022 году в России произошло около 60 крупных утечек персональных данных, в ходе которых в открытый доступ попало 230 миллионов записей с личной информацией россиян. По данным компании «Group-IB», только летом 2022 года в интернет попало 304 миллиона строк с персональными данными. Уже согласован законопроект ужесточающий ответственность компаний за массовые утечки персональных данных клиентов. В этом году предполагается введение штрафа в 1% от годового оборота компании, а при попытке скрыть инцидент, сумма штрафа увеличится до 3%.
Объектом исследования является ИТ-инфраструктура коммерческой компании, одного из ведущих дистрибьюторов теплотехнического оборудования в РФ, ООО «ТЕРЕМ», а предметом исследования - принципы ее управления и состояние информационных систем, сервисов и средств защиты информации.
Цель аттестационной работы – подготовка цифровизации коммерческой торговой компании и обеспечение ее информационной безопасности.
В работе приведена классификация направлений, описаны проекты, цели и шаги цифровизации внутренних и внешних сервисов, показаны результаты исследования методов оценки цифровой зрелости компании, определены наиболее подходящие принципы проектного управления и сделан обзор рынка современных ИТ и ИБ решений.
Общество с ограниченной ответственностью «ТЕРЕМ» основано в 1991 году в Москве, сегодня лидер рынка теплотехнического оборудования и крупнейший налогоплательщик. Оборот компании по итогам 2022 года составил порядка 23 млрд рублей.
Основная задача компании - поставка на рынок РФ качественного и надежного оборудования для систем отопления, водоснабжения и канализации. Представительства и склады ТЕРЕМ открыты практически во всех крупных городах РФ, центральный офис и склад находятся в Московском регионе. Активно развиваются собственные бренды STOUT и ROMMER, созданные специально для России.
Стратегическая цель компании - «Формирование культуры потребления теплотехнического оборудования в РФ».
Для анализа бизнес-стратегии, описания слабых и сильных сторон и с целью выявления угроз, с которыми может столкнуться компания, подготовлена матрица SWOT-анализа и проведен конкурентный анализ отрасли.
На основании аудита ИТ-инфраструктуры и бизнес-процессов определены три направления и восемь ключевых проектов цифровизации:
- Модернизация системы учета и управления торговлей (ERP);
- Внедрение сервисной интеграционной шины (ESB);
- Использование системы внутреннего документооборота (СЭД);
- Внедрение системы управления IT службой (ITSM);
- Выбор решения класса BI или Data Science;
- Реализация Client Service Management (CRM);
- Разработка мобильного приложения;
- Программа BIM – моделирования.
В работе рассмотрена трансформация роли ИБ в условиях цифровизации компании и подготовлено предложение по внедрению современных средств защиты информации. Процессы цифровизации компании и сопутствующие им изменения, требуют пересмотра стратегии обеспечения информационной безопасности, в том числе:
- расширение портфеля проектов ИБ;
- увеличение финансирования;
- изменение организационной структуры.
Как хорошо известно, важнейшей частью проведения цифровизации является преобразование старых или создание новых команд и организационных структур, которым требуется новый уровень знаний и навыков. Разработано предложение по проведению организационных изменений, введение новых должностей и подразделений, описаны риски, связанные с неизбежным сопротивлением персонала компании планируемым изменениям.
Настоящая работа нацелена на проведение тектонических сдвигов в культуре и планирование преобразований в конкретной коммерческой торговой организации, но может быть использована для подготовки стратегии цифровизации и обеспечения информационной безопасности любой средней и крупной компании, не относящейся к субъектам критической информационной инфраструктуры.