В реальных компаниях я вижу два типа культуры обращения с рисками. Эти две культуры вырастают из бытового понимания, что такое риск, общекорпоративной культуры и особенностей конкретной компании. Такие вещи вырастают не от хорошей жизни, а скорее от дисбаланса полномочий и ответственности в компании, а также от отсутствия связи KPI работников с рисками и инцидентами.
1️⃣Принятие риска как главный способ обработки рисков в компании
Обычно происходит в компаниях с дисбалансом ответственности в сторону поддерживающих защищающих бизнес подразделений (юристы, ИБ, СБ,...), где у них мало возможности влиять на принимаемые решения. Бизнес прёт как танк в погоне за своими KPI (с точки зрения защитников), при этом при инцидентах виноватыми оказываются именно защитники, потому что их наняли для того, чтобы инцидентов не было. Поэтому "заставить принять риск" для защитников оказывается единственным способом снять с себя ответственность за происходящее в дальнейшем.
2️⃣"Закрытие риска" как единственное, что с рисками можно сделать
Следующая стадия того, что описано выше, происходит после того, как защитники набирают вес в компании и наконец могут делать то, что давно хотели. Они проталкивают инициативу, направленную на снижение количества инцидентов, и тем самым частоты событий, когда они виноваты в том, что случился инцидент. Такие инициативы обычно достаточно жесткие, вроде блокирования релизов до устранения малейших технических уязвимостей. Принятие рисков в таких условиях становится редким и требует вовлечения менеджеров более высоких уровней. Диалог с бизнесом у защитников всё ещё не налажен, бизнес не заинтересован в безопасности, так как конкретные исполнители не чувствуют на себе влияние инцидентов, и ни бизнес, ни защитники всё ещё не имеют полноценной оценки рисков.
Такая же ситуация бывает при оторванности команд ИБ от бизнеса из-за корпоративной структуры - например, если ИБ находится в головной или специально выделенной организации, а бизнес - в одной из дочерних.
⏯️Как исправить ситуацию?
Здесь нет четкого рецепта успеха, так как на него влияют факторы конкретной компании: - личности топ-менеджеров и их взгляды на управление, желание менять ситуацию - корпоративная культура в целом - софт-скиллы менеджеров защитников - особенности бизнес-модели
Но есть несколько направлений, куда можно двигаться:
⚛️Обучить защитников основам риск-менеджмента Здесь главное не попасть на простые и быстрые методики оценки рисков. Суть не в том, чтобы понять, как оценивать риски, а в том, чтобы понять, зачем нужно управлять рисками, какова цель. Цель, как я уже говорила - повысить информированность, обоснованность управленческих решений.
⚛️Не концентрироваться на конфиденциальности Нарушение целостности и доступности ближе и понятнее бизнесу, поскольку приводит к большим потерям. Для целостности можно составить карту финансовых потоков в компании и найти места, где что-то может пойти не так. Это - хороший старт для диалога, потому что позволяет встать на одну сторону с бизнесом вместо противоборства.
⚛️Поговорить с топ-менеджментом о том, какие задачи перед компанией стоят в целом, и какие главные проблемы у бизнеса. Возможно, вопросы безопасности действительно меньшее из зол, что может произойти. В таком случае от защитников может ожидаться только поддержание базовой гигиены, и это нормально.
⚛️Найти заинтересованных людей от бизнеса и разработки На них можно обкатывать улучшенные процессы и презентовать результаты взаимодействия. Они помогут создавать новый бренд защитников как помощников бизнеса.
⚛️Определить зоны ответственности, отталкиваясь от возможностей и влияния. Ответственность должна быть на том, кто выделяет ресурсы. Если он хочет передать часть ответственности, он должен передать и часть возможностей по распределению ресурсов.
⚛️Выступать Занимать эфир на собраниях компании, проводить встречи и вебинары для отдельных подразделений, публиковаться на внешних ресурсах от имени компании. Рекламировать свою деятельность, показывая её важность и результативность для бизнеса.
В реальных компаниях я вижу два типа культуры обращения с рисками. Эти две культуры вырастают из бытового понимания, что такое риск, общекорпоративной культуры и особенностей конкретной компании. Такие вещи вырастают не от хорошей жизни, а скорее от дисбаланса полномочий и ответственности в компании, а также от отсутствия связи KPI работников с рисками и инцидентами.
1️⃣Принятие риска как главный способ обработки рисков в компании
Обычно происходит в компаниях с дисбалансом ответственности в сторону поддерживающих защищающих бизнес подразделений (юристы, ИБ, СБ,...), где у них мало возможности влиять на принимаемые решения. Бизнес прёт как танк в погоне за своими KPI (с точки зрения защитников), при этом при инцидентах виноватыми оказываются именно защитники, потому что их наняли для того, чтобы инцидентов не было. Поэтому "заставить принять риск" для защитников оказывается единственным способом снять с себя ответственность за происходящее в дальнейшем.
2️⃣"Закрытие риска" как единственное, что с рисками можно сделать
Следующая стадия того, что описано выше, происходит после того, как защитники набирают вес в компании и наконец могут делать то, что давно хотели. Они проталкивают инициативу, направленную на снижение количества инцидентов, и тем самым частоты событий, когда они виноваты в том, что случился инцидент. Такие инициативы обычно достаточно жесткие, вроде блокирования релизов до устранения малейших технических уязвимостей. Принятие рисков в таких условиях становится редким и требует вовлечения менеджеров более высоких уровней. Диалог с бизнесом у защитников всё ещё не налажен, бизнес не заинтересован в безопасности, так как конкретные исполнители не чувствуют на себе влияние инцидентов, и ни бизнес, ни защитники всё ещё не имеют полноценной оценки рисков.
Такая же ситуация бывает при оторванности команд ИБ от бизнеса из-за корпоративной структуры - например, если ИБ находится в головной или специально выделенной организации, а бизнес - в одной из дочерних.
⏯️Как исправить ситуацию?
Здесь нет четкого рецепта успеха, так как на него влияют факторы конкретной компании: - личности топ-менеджеров и их взгляды на управление, желание менять ситуацию - корпоративная культура в целом - софт-скиллы менеджеров защитников - особенности бизнес-модели
Но есть несколько направлений, куда можно двигаться:
⚛️Обучить защитников основам риск-менеджмента Здесь главное не попасть на простые и быстрые методики оценки рисков. Суть не в том, чтобы понять, как оценивать риски, а в том, чтобы понять, зачем нужно управлять рисками, какова цель. Цель, как я уже говорила - повысить информированность, обоснованность управленческих решений.
⚛️Не концентрироваться на конфиденциальности Нарушение целостности и доступности ближе и понятнее бизнесу, поскольку приводит к большим потерям. Для целостности можно составить карту финансовых потоков в компании и найти места, где что-то может пойти не так. Это - хороший старт для диалога, потому что позволяет встать на одну сторону с бизнесом вместо противоборства.
⚛️Поговорить с топ-менеджментом о том, какие задачи перед компанией стоят в целом, и какие главные проблемы у бизнеса. Возможно, вопросы безопасности действительно меньшее из зол, что может произойти. В таком случае от защитников может ожидаться только поддержание базовой гигиены, и это нормально.
⚛️Найти заинтересованных людей от бизнеса и разработки На них можно обкатывать улучшенные процессы и презентовать результаты взаимодействия. Они помогут создавать новый бренд защитников как помощников бизнеса.
⚛️Определить зоны ответственности, отталкиваясь от возможностей и влияния. Ответственность должна быть на том, кто выделяет ресурсы. Если он хочет передать часть ответственности, он должен передать и часть возможностей по распределению ресурсов.
⚛️Выступать Занимать эфир на собраниях компании, проводить встречи и вебинары для отдельных подразделений, публиковаться на внешних ресурсах от имени компании. Рекламировать свою деятельность, показывая её важность и результативность для бизнеса.
BY No Security
Warning: Undefined variable $i in /var/www/group-telegram/post.php on line 260
Meanwhile, a completely redesigned attachment menu appears when sending multiple photos or vides. Users can tap "X selected" (X being the number of items) at the top of the panel to preview how the album will look in the chat when it's sent, as well as rearrange or remove selected media. At the start of 2018, the company attempted to launch an Initial Coin Offering (ICO) which would enable it to enable payments (and earn the cash that comes from doing so). The initial signals were promising, especially given Telegram’s user base is already fairly crypto-savvy. It raised an initial tranche of cash – worth more than a billion dollars – to help develop the coin before opening sales to the public. Unfortunately, third-party sales of coins bought in those initial fundraising rounds raised the ire of the SEC, which brought the hammer down on the whole operation. In 2020, officials ordered Telegram to pay a fine of $18.5 million and hand back much of the cash that it had raised. Under the Sebi Act, the regulator has the power to carry out search and seizure of books, registers, documents including electronics and digital devices from any person associated with the securities market. In addition, Telegram's architecture limits the ability to slow the spread of false information: the lack of a central public feed, and the fact that comments are easily disabled in channels, reduce the space for public pushback.
from de
