В реальных компаниях я вижу два типа культуры обращения с рисками. Эти две культуры вырастают из бытового понимания, что такое риск, общекорпоративной культуры и особенностей конкретной компании. Такие вещи вырастают не от хорошей жизни, а скорее от дисбаланса полномочий и ответственности в компании, а также от отсутствия связи KPI работников с рисками и инцидентами.
1️⃣Принятие риска как главный способ обработки рисков в компании
Обычно происходит в компаниях с дисбалансом ответственности в сторону поддерживающих защищающих бизнес подразделений (юристы, ИБ, СБ,...), где у них мало возможности влиять на принимаемые решения. Бизнес прёт как танк в погоне за своими KPI (с точки зрения защитников), при этом при инцидентах виноватыми оказываются именно защитники, потому что их наняли для того, чтобы инцидентов не было. Поэтому "заставить принять риск" для защитников оказывается единственным способом снять с себя ответственность за происходящее в дальнейшем.
2️⃣"Закрытие риска" как единственное, что с рисками можно сделать
Следующая стадия того, что описано выше, происходит после того, как защитники набирают вес в компании и наконец могут делать то, что давно хотели. Они проталкивают инициативу, направленную на снижение количества инцидентов, и тем самым частоты событий, когда они виноваты в том, что случился инцидент. Такие инициативы обычно достаточно жесткие, вроде блокирования релизов до устранения малейших технических уязвимостей. Принятие рисков в таких условиях становится редким и требует вовлечения менеджеров более высоких уровней. Диалог с бизнесом у защитников всё ещё не налажен, бизнес не заинтересован в безопасности, так как конкретные исполнители не чувствуют на себе влияние инцидентов, и ни бизнес, ни защитники всё ещё не имеют полноценной оценки рисков.
Такая же ситуация бывает при оторванности команд ИБ от бизнеса из-за корпоративной структуры - например, если ИБ находится в головной или специально выделенной организации, а бизнес - в одной из дочерних.
⏯️Как исправить ситуацию?
Здесь нет четкого рецепта успеха, так как на него влияют факторы конкретной компании: - личности топ-менеджеров и их взгляды на управление, желание менять ситуацию - корпоративная культура в целом - софт-скиллы менеджеров защитников - особенности бизнес-модели
Но есть несколько направлений, куда можно двигаться:
⚛️Обучить защитников основам риск-менеджмента Здесь главное не попасть на простые и быстрые методики оценки рисков. Суть не в том, чтобы понять, как оценивать риски, а в том, чтобы понять, зачем нужно управлять рисками, какова цель. Цель, как я уже говорила - повысить информированность, обоснованность управленческих решений.
⚛️Не концентрироваться на конфиденциальности Нарушение целостности и доступности ближе и понятнее бизнесу, поскольку приводит к большим потерям. Для целостности можно составить карту финансовых потоков в компании и найти места, где что-то может пойти не так. Это - хороший старт для диалога, потому что позволяет встать на одну сторону с бизнесом вместо противоборства.
⚛️Поговорить с топ-менеджментом о том, какие задачи перед компанией стоят в целом, и какие главные проблемы у бизнеса. Возможно, вопросы безопасности действительно меньшее из зол, что может произойти. В таком случае от защитников может ожидаться только поддержание базовой гигиены, и это нормально.
⚛️Найти заинтересованных людей от бизнеса и разработки На них можно обкатывать улучшенные процессы и презентовать результаты взаимодействия. Они помогут создавать новый бренд защитников как помощников бизнеса.
⚛️Определить зоны ответственности, отталкиваясь от возможностей и влияния. Ответственность должна быть на том, кто выделяет ресурсы. Если он хочет передать часть ответственности, он должен передать и часть возможностей по распределению ресурсов.
⚛️Выступать Занимать эфир на собраниях компании, проводить встречи и вебинары для отдельных подразделений, публиковаться на внешних ресурсах от имени компании. Рекламировать свою деятельность, показывая её важность и результативность для бизнеса.
В реальных компаниях я вижу два типа культуры обращения с рисками. Эти две культуры вырастают из бытового понимания, что такое риск, общекорпоративной культуры и особенностей конкретной компании. Такие вещи вырастают не от хорошей жизни, а скорее от дисбаланса полномочий и ответственности в компании, а также от отсутствия связи KPI работников с рисками и инцидентами.
1️⃣Принятие риска как главный способ обработки рисков в компании
Обычно происходит в компаниях с дисбалансом ответственности в сторону поддерживающих защищающих бизнес подразделений (юристы, ИБ, СБ,...), где у них мало возможности влиять на принимаемые решения. Бизнес прёт как танк в погоне за своими KPI (с точки зрения защитников), при этом при инцидентах виноватыми оказываются именно защитники, потому что их наняли для того, чтобы инцидентов не было. Поэтому "заставить принять риск" для защитников оказывается единственным способом снять с себя ответственность за происходящее в дальнейшем.
2️⃣"Закрытие риска" как единственное, что с рисками можно сделать
Следующая стадия того, что описано выше, происходит после того, как защитники набирают вес в компании и наконец могут делать то, что давно хотели. Они проталкивают инициативу, направленную на снижение количества инцидентов, и тем самым частоты событий, когда они виноваты в том, что случился инцидент. Такие инициативы обычно достаточно жесткие, вроде блокирования релизов до устранения малейших технических уязвимостей. Принятие рисков в таких условиях становится редким и требует вовлечения менеджеров более высоких уровней. Диалог с бизнесом у защитников всё ещё не налажен, бизнес не заинтересован в безопасности, так как конкретные исполнители не чувствуют на себе влияние инцидентов, и ни бизнес, ни защитники всё ещё не имеют полноценной оценки рисков.
Такая же ситуация бывает при оторванности команд ИБ от бизнеса из-за корпоративной структуры - например, если ИБ находится в головной или специально выделенной организации, а бизнес - в одной из дочерних.
⏯️Как исправить ситуацию?
Здесь нет четкого рецепта успеха, так как на него влияют факторы конкретной компании: - личности топ-менеджеров и их взгляды на управление, желание менять ситуацию - корпоративная культура в целом - софт-скиллы менеджеров защитников - особенности бизнес-модели
Но есть несколько направлений, куда можно двигаться:
⚛️Обучить защитников основам риск-менеджмента Здесь главное не попасть на простые и быстрые методики оценки рисков. Суть не в том, чтобы понять, как оценивать риски, а в том, чтобы понять, зачем нужно управлять рисками, какова цель. Цель, как я уже говорила - повысить информированность, обоснованность управленческих решений.
⚛️Не концентрироваться на конфиденциальности Нарушение целостности и доступности ближе и понятнее бизнесу, поскольку приводит к большим потерям. Для целостности можно составить карту финансовых потоков в компании и найти места, где что-то может пойти не так. Это - хороший старт для диалога, потому что позволяет встать на одну сторону с бизнесом вместо противоборства.
⚛️Поговорить с топ-менеджментом о том, какие задачи перед компанией стоят в целом, и какие главные проблемы у бизнеса. Возможно, вопросы безопасности действительно меньшее из зол, что может произойти. В таком случае от защитников может ожидаться только поддержание базовой гигиены, и это нормально.
⚛️Найти заинтересованных людей от бизнеса и разработки На них можно обкатывать улучшенные процессы и презентовать результаты взаимодействия. Они помогут создавать новый бренд защитников как помощников бизнеса.
⚛️Определить зоны ответственности, отталкиваясь от возможностей и влияния. Ответственность должна быть на том, кто выделяет ресурсы. Если он хочет передать часть ответственности, он должен передать и часть возможностей по распределению ресурсов.
⚛️Выступать Занимать эфир на собраниях компании, проводить встречи и вебинары для отдельных подразделений, публиковаться на внешних ресурсах от имени компании. Рекламировать свою деятельность, показывая её важность и результативность для бизнеса.
BY No Security
Warning: Undefined variable $i in /var/www/group-telegram/post.php on line 260
Some privacy experts say Telegram is not secure enough This provided opportunity to their linked entities to offload their shares at higher prices and make significant profits at the cost of unsuspecting retail investors. Following this, Sebi, in an order passed in January 2022, established that the administrators of a Telegram channel having a large subscriber base enticed the subscribers to act upon recommendations that were circulated by those administrators on the channel, leading to significant price and volume impact in various scrips. In view of this, the regulator has cautioned investors not to rely on such investment tips / advice received through social media platforms. It has also said investors should exercise utmost caution while taking investment decisions while dealing in the securities market. The account, "War on Fakes," was created on February 24, the same day Russian President Vladimir Putin announced a "special military operation" and troops began invading Ukraine. The page is rife with disinformation, according to The Atlantic Council's Digital Forensic Research Lab, which studies digital extremism and published a report examining the channel.
from us
