Сегодня поделимся советами Кирилла Вотинцева, Security partner Tinkoff Bank, по управлению рисками ИБ.
По мнению специалиста самое важное в оценке рисков – это их понятное представление. До руководителя риски лучше всего доносить в денежном эквиваленте и без узконаправленных терминов.
Цикл процесса управления рисками состоит из следующих этапов:
1. Оценка риска
2. Первичная обработка риска
3. Оценка остаточного риска
4. Решение по остаточному риску
5. Идентификация риска/переоценка риска.
Что нужно учесть в процессе оценки рисков:
- Вероятность. Вероятность наступления события зависит от мотивации злоумышленника. Задайте себе следующие вопросы: «Были ли попытки реализации определенного сценария у Вас, у ваших конкурентов? Как трудно реализовать атаки в условиях вашей системы? Что дает реализация злоумышленнику?»
- Репутационный ущерб, который включает в себя ущерб в глазах акционеров, регуляторов и клиентов
- Финансовый ущерб, в который входит неполученная выгода, потери компании, потери партнеров, потери клиентов
- Стек применяемых технологий
- Текущие бизнес-процессы и договоренности с партнерами.
Самые популярные ошибки при оценке рисков:
- Учитывать только последствия, забывая про вероятность наступления определенного события
- Излишне перестраховываться. Важно помнить, что стоимость защитных мер не должна быть выше возможных потерь
-Забывать о переоценке рисков.
При управлении рисками ИБ важно:
- Говорить на языке собеседника
- Думать как бизнес
- Добиваться слияния бизнеса и безопасности
- Запрашивать обратную связь
- Давать обратную связь и мониторить ее эффективность
- Никогда не говорить «нельзя», не предложив альтернативы
- Четко определить баланс между риск-аппетитами и допустимой границей рисков, постоянно выдерживать его
- Быть поставщиком решений.
А как вы говорите о существующих рисках своему руководству? Поделитесь в комментариях