Embed Size (px)
Citation preview
Управление рисками -серебряная пуля или данность моды?Собрание Ukrainian Information Security Group VI
Владимир Матвийчук, CISA, CISM, ITILF
Страница 2
Что такое управление рисками
Риск - произведение вероятности возникновения неблагоприятного события на величину потерь, полученных в результате наступления такого события
Управление рисками - процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией
Страница 3
Преимущества от использования управления рисками
► Сокращение затрат► Оптимизация контролей► Эффективное использование технологий► Улучшение бизнес-процессов► «Единый язык» для общения с руководством бизнеса► Координация действий по управлению рисками► Улучшение процесса отчетности и раскрытия информации по рискам
Страница 4
Проблемы управления рисками и возможные причины
Проблемы► Субъективность► Неточность► Сложность
Возможные причины► Неверно выбранная методика► Низкое вовлечение бизнеса► Низкий уровень зрелости процессов ИБ
► Агрессивная стратегия принятия рисков
Страница 5
Методика управления рисками – как выбрать правильно?
► Выбор несоответствующей методики управления рисками – одна из частых причин дальнейших проблем
► Критерии для выбора методики управления рисками (список не исчерпывающий):
ü Тип организации (государственная, большая, средняя, маленькая, коммерческая, некоммерческая)
ü Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.)
ü Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.)
ü Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная для членов ассоциации и т.д.)
ü Уровень знаний специалистов, необходимый для использования методик (высокий, средний, базовый)
ü Наличие инструментария для автоматизации и его стоимость (есть / нет, платный / бесплатный)
ü Регуляторные требования
Страница 6
Выбор оценки: качество против количества
Количественная Качественная
Страница 7
Не все риски можно легко оценить в деньгах
► Урон репутации► Утрата конкурентного преимущества► Ухудшение продуктивности / морального духа сотрудников► Ущерб или смерть
Страница 8
Субъективность методов оценки риска
Все в мире субъективно ☺
Страница 9
Почему «единый язык» для общения с руководством бизнеса не работает ?
► Мы построили процесс, но руководство все равно не слышит доводов
► Возможные причины:► Наличие более приоритетных рисков► Агрессивная политика принятия риска
Руководство бизнеса
Руководство бизнеса Информационная
безопасностьИнформационная безопасность
Страница 10
Соответствие,мониторинг и отчетность
Процессы и операционные
практики
Инструменты и технологии
Управление персоналом и организацией
Определение и категоризация рисков
Управление,политики и стандарты
Стратегия управления рисками
Бизнес факторы
Корпоративная модель управления рисками,стратегия, толерантность к риску,метод управления и ожидания от управления рисками
Цели бизнеса, требования регулирующих органов и указанияуправляющего совета , которые определяют требования к управлениюрисками
Владение, ответственность, контроль выполнения программ и управление требованиями к оценке, улучшению и мониторингу рисков
Матрица рисков: непрерывноенаблюдение и отчетность об эффективности управления рисками
Определение рисков, сферы рисков, ключевые индикаторырисков, библиотека рисков и контролей, сценарии рисковых событий и критерии к определению рейтинга рисков
Процессы, процедуры и методы управления рисками
Инструменты для облегченияпроцесса управления рисками
Организационнаяструктура, роли и обязанности, программа обучения и персонал для управления рисками
Управление рисками глазами ИБ
Страница 11
Информационные риски глазами бизнеса
E&Y RISKUNIVERSE
Информационныетехнологии
СООТВЕТСТВИЯ
СТРАТЕГИЧЕСКИЕ
ФИНАНСОВЫЕ
ОПЕРАЦИОННЫЕ
Основныефонды
Продажи и маркетинг
Люди
Поставки
Прерываниедеятельности
Разработкапродуктов
НалогиПравовой Регуляторный
Слияние,поглощение иотчуждение активов
Коммуникации исвязи с
инвесторами
Кредитный
Планирование и Распределение
ресурсов
Основные инициативы
Динамикарынка
Управление
Нормы поведения
Учети отчетность Ликвидность Рынок
Структуракапитала
Страница 12
Риск-аппетит: теория
► Риск нельзя свести к абсолютному минимуму► Невозможно выявить все источники рисков
► Уменьшение некоторых рисков требует чрезмерных затрат
► Принятие некоторых рисков позволяет увеличить доходность
► Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой –принять
Затраты
Риски
Ожидаемые потери
Затраты на контроли
Суммарные затраты
Оптимальные затраты
Идеальный вариант
Страница 13
Стратегии в принятии риска
Стратегия ОписаниеНеприятие Избежание риска и неопределенности является ключевой задачей
Осторожность Предпочтение для безопасных вариантов, которые имеют низкую степень присущего риска и могут иметь лишь ограниченный потенциал для выгоды
Открытость Готовы рассмотреть все варианты и выбрать тот, который наиболее вероятно, приведет к успешной доставки а также обеспечивает приемлемый уровень выгоды
Жажда Стремимся быть инновационными и выбирать варианты на основе потенциала наибольшей выгоды (несмотря на присущий высокий риск)
Страница 14
Риск-аппетит: реалии
► Руководство может принимать разную стратегию принятия рисков
► Руководство бизнеса склонно рисковать
► Принятие риска часто может привести к дополнительной прибыли
Страница 15
Управление информационными рисками сугубо силами ИТ и ИБ - путь в никуда
► Управление информационными рисками должно интегрироваться общекорпоративную модель управления рисками
► Оценка ущерба без вовлечения представителей бизнес-подразделений – напрасно потраченные ресурсы
Страница 16
Проблемы будущего
► Еще один часто встречающийся аргумент против управления рисками - невозможно оценить влияние будущих событий (появления уязвимостей 0-го дня и т.д.)
► Управление рисками – циклический, постоянно совершенствующийся процесс
► Оценка должна проводится:► регулярно (как минимум ежегодно)► при обнаружении новых уязвимостей► при существенных изменениях в компании
Страница 17
Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILFУслуги в области информационных технологий и ИТ рисков+38 (067) [email protected]
