1 октября 2018 г.
Риски и бизнес
Под риском обычно понимается возможность или вероятность того или иного события, умноженная на его потенциальные последствия для организации, говорит Стив Шларман (Steve Schlarman), директор по маркетингу платформы Archer в RSA (Бедфорд, шт. Массачусетс).
Организации могут уменьшить вероятность или потенциальные последствия негативного события, используя различные механизмы, такие как смягчение риска, управление рисками, передача риска или введение определенных инструментов контроля, говорит Шларман. Главная цель управления рисками — выявить возможные неблагоприятные события и принять решение, как максимально устранить их негативные последствия, сказал он.
Конечно, организации и раньше занимались выявлением и оценкой потенциальных рисков, говорит Шларман. Группы безопасности в компаниях используют сканеры уязвимостей сети и проводят анализ, какие последствия для организации в целом может иметь каждая выявленная ими уязвимость.
Но управление рисками часто ведется слишком узко, будучи нацелено лишь на ИТ-службы, и не учитывает риски, связанные с бизнес-процессами в других подразделениях. В рамках своей традиционной «Недели кибербезопасности» CRN/США еще раз указывает на ключевые элементы, которые должен включать надежный план управления рисками.
Оценка рисков в масштабах всей организации
Прослеживание существенных последствий разного рода рисков, с которыми сталкивается организация, представляет собой очень глубокий и сложный процесс, требующий понимания последствий отсутствия определенных средств контроля, говорит Джеймс Робинсон (James Robinson), вице-президент по управлению рисками у клиентов компании Optiv из Денвера.
Большинство организаций еще не составили себе связной картины всех рисков в масштабах своего бизнеса, говорит Робинсон. Они могут перечислить риски на операционном уровне и по каждому подразделению, но часто не прослеживают связей, чтобы составить себе общую картину рисков и потенциальных последствий на уровне Правления или высшего руководящего звена, сказал он.
Самое трудное — это донести все аспекты рисков так, чтобы они были действительно поняты на всех уровнях в организации, говорит Робинсон. Для этого специалисты по управлению рисками должны отойти от своего профессионального жаргона и научиться излагать свои мысли языком, понятным руководителям подразделений, сказал он.
Обеспечьте мониторинг новых методов разработки
Мониторинг стал более сложной задачей, поскольку организации переходят на гибкую методологию разработки Agile и используют принципы DevOps, говорит Шларман.
В отрасли сложилась такая практика, что, когда осуществлялось развертывание или модернизация системы, имелся регламентированный процесс, который указывал необходимые шаги на каждом из этапов по мере создания готового приложения, говорит Шларман. Но с приходом Agile приложения могут теперь обновляться чуть ли не каждые пару недель, что весьма затруднило введение формализованных точек контроля безопасности, сказал он.
Поэтому специалистам по безопасности и рискам нужно изменить свои подходы к выявлению рисков с учетом скорости прохождения всего цикла дерева принятия решений, говорит Шларман. И, учитывая ускорившийся цикл разработки, организации должны также непрерывно анализировать всё, что составляет риски для бизнеса, и постоянно обновлять эту информацию, сказал он.
Изучите предысторию работы контрагентов
Организациям нужно изучить предысторию работы всех контрагентов, с которыми они имеют дело, и избегать слишком узкого прицела лишь на своих главных вендоров, говорит Том Тёрнер (Tom Turner), президент и главный управляющий компании BitSight (Кеймбридж, шт. Массачусетс).
Компаниям следует взглянуть на объективные показатели своих контрагентов, опираясь на рейтинговые оценки или карту балльных оценок, говорит он. Эта качественная оценка важна, так как помогает понять, какие механизмы безопасности и управления рисками есть у контрагентов, но столь же важно иметь количественную оценку достигаемых результатов в том, что касается мониторинга и времени реагирования на инциденты, сказал Тёрнер.
Исходя из этого, компании должны взаимодействовать со своими поставщиками, опираясь на оценки и количественные показатели, чтобы свести к минимуму поверхность риска, говорит Тёрнер. Следует также периодически обновлять эту оценку, добиваясь зримых улучшений в масштабах всей цепочки поставок, и дать возможность руководящей команде и членам Правления отслеживать прогресс, достигаемый в этом направлении.
Подключите свои независимые службы контроля
Организациям следует теснее увязать свои независимые службы управления рисками, показателями бизнеса и комплаенса с инновациями, внедрением и использованием новых технологий, говорит Брайан Шварц (Brian Schwartz), руководитель отдела финансовых услуг внутреннего аудита, комплаенса и управления рисками в США компании PricewaterhouseCoopers из Лондона.
Эти независимые службы занимают место между подразделениями бизнеса и аудиторской командой и могут помочь в создании платформы и подхода для выявления главных бизнес-рисков, в проведении оценки рисков и подготовке отчетности по бизнес-рискам, сказал Шварц. Они призваны также служить противовесом руководителям бизнеса, которые решат ввести новый продукт или услугу, проверяя, чтобы это не увеличивало общую подверженность компании риску.
Эти команды независимого анализа должны также суммировать подверженность риску, создаваемую каждым из подразделений компании, равно как и всеми продуктами и услугами, которые предлагает компания, говорит Шварц. Как правило, такие независимые службы встречаются в крупных организациях и в сильно регулируемых отраслях, тогда как в мелких фирмах часто нет платформы для выявления и приоритизации главных бизнес-рисков, сказал он.
Проследите всю цепочку поставщиков
Контрагентов можно рассматривать как расширение цепочки поставок любой организации, и компаниям нужно взять на вооружение новый подход — адаптируемый, непрерывный и масштабируемый в условиях быстро растущей сети бизнес-партнеров, говорит Тёрнер из BitSight.
Им нужно начать с прослеживания всей цепочки поставщиков, которые могут вносить свой вклад в размер их окна рисков, и затем подразделить важных для себя вендоров и контрагентов по уровням важности, сказал Тёрнер. В ходе этой классификации следует учитывать характер деловых отношений, насколько тесной является связь между контрагентом и сетью, а также критичность и объем информации, передаваемой сторонами друг другу, сказал он.
Раньше, говорит Тёрнер, определяя самых важных для себя вендоров, организации обычно исходили из объема бизнеса, который они ведут с ними. Но современные технологии позволяют построить более целостный профиль рисков, включающий также контрагентов, наиболее важных с точки зрения мониторинга и совместных усилий, сказал он.
Привязка к стратегическим целям
Реальность такова, что обычно ничего не предпринимается, пока не случится худшее, — лишь тогда начинают вводиться меры по управлению рисками, говорит Шварц из PwC. Но организации, которые задумываются о рисках заранее, а не реагируют на происшедшее, достигают больших успехов в предотвращении и большей корреляции со своими стратегическими планами и программами инноваций, сказал он.
Мы видим всё больше компаний, которым пришлось взять паузу и пересмотреть свои программы управления рисками, начиная процесс цифровой трансформации и внедрения новых технологий, таких как искусственный интеллект, роботизация производственных процессов или прогнозный анализ, говорит Шварц.
Следует также понимать, что внедрение всех этих новых технологий увеличивает финансовые, операционные и стратегические риски для компаний, сказал он. Им нужно беспристрастно оценить, готовы ли они принять эти риски и допустимость риска, внедряя эти новые технологии, сказал Шварц.
Анализируйте негативный опыт
Планы управления рисками должны не только количественно оценивать риск, но также изучать возможные последствия, если случится худшее, говорит Робинсон из Optiv. Такие меры должной осмотрительности дадут лучшие результаты на каждом уровне всего цикла управления рисками, сказал он.
Речь идет о вполне конкретных средствах управления — например, обновлении клиентов безопасности на ноутбуках — и о возможности донести до руководящей команды и Правления, во что выливается наличие этих средств контроля — или их отсутствие, говорит Робинсон.
Само по себе умение донести до далеких от ИТ руководителей, почему действительно важно наличие таких средств, уже есть определенная степень зрелости процесса, сказал Робинсон, и хотя всё строится на количественной оценке, эта работа не должна ограничиваться лишь анализом цифр. Возможность получать живую картину происходящего поможет руководителям организации понимать, что именно работает, а что — нет, сказал он.
Переведите риски в финансовую плоскость
Организациям следует стремиться к тому, чтобы их подход к управлению рисками стал более зрелым и им проще было оценивать реальные последствия для бизнеса, говорит Шларман из RSA. Многие начинают с того, что присваивают рискам, связанным с каждым компонентом, индикатор зеленого, желтого или красного цвета, и хотя такое светофорное кодирование легко воспринимается, неизбежно встает вопрос, какой из индикаторов красного сигнализирует о самой серьезной проблеме?
Вслед за этим организации могут перейти к сравнительной оценке кибер-рисков, которая позволит принимать решения, исходя из относительной тяжести последствий той или другой проблемы, но это всё еще не дает понимания с точки зрения бизнеса, говорит Шларман. На финальном этапе каждый риск переводится в финансовый контекст, то есть измеряется потенциальный риск убытков для компании, сказал он.
Компании часто могут ретроспективно взглянуть на имевшие место случаи убытка, чтобы понять, какая сумма может быть связана с тем или иным потенциальным риском, говорит Шларман. Если данных для ретроспективного анализа не хватает, можно проиграть разные сценарии рисков, применить моделирование методом Монте-Карло или факторный анализ информационных рисков (FAIR), что поможет получить конкретные цифры потенциального убытка, сказал он.
Обработка на естественных языках поможет сопоставить данные
Обработка на естественных языках может помочь в корреляции ключевых показателей кибер-рисков, используемых в мониторинге системы, говорит Шларман из RSA. Что касается комплаенса, то юридические, нормативные и основополагающие документы обычно публикуются разными органами и в разных форматах, говорит он.
Обработка на естественных языках позволяет не только легче подключать нужные источники, но и поможет анализировать эти документы, чтобы установить потенциальные средства контроля и требования, сказал Шларман. Неструктурированный текст в документах, таких как результаты аудиторской проверки или оценки рисков, содержат массу ценных сведений, сказал он.
Трансформация персонала ускоряется, и сотрудники организаций хотят иметь доступ к данным управления рисками независимо от того, где они находятся, говорит Шларман. Как результат, сейчас больше интереса к мобильным функциям, дающим доступ к рабочим потокам управления рисками, разрешительной документации и уведомлениям, сказал он.
Стандартизируйте процесс ввода инноваций
Специалисты по управлению рисками должны обеспечить контроль над подразделениями в организации, внедряющими новые модные технологии — например, боты, — чтобы привносимый ими риск контролировался и не превышал общую готовность к принятию рисков в организации, говорит Шварц из PwC. Новые технологии, как правило, увеличивают общую подверженность риску, так как создают больше каналов связи организации с внешним миром, сказал он.
Прежде чем подразделение сможет запустить свой новый сервис в работу, следует пройти с ним через комитет по инновациям и объяснить, как и зачем они планируют его использовать и как могут обеспечить его точность, говорит Шварц.
И когда этот бот уже будет внедрен, независимые специалисты должны придти и оценить, как он реально работает, говорит Шварц. Либо же собственный координирующий комитет по ИТ в организации может изучить поведение бота, убедившись, что он соответствует ранее заявленному или намеченному предназначению, сказал он.
© 2018. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США