Управление рисками - серебряная пуля или данность моды?

Управление рисками -серебряная пуля или данностьмоды?Собрание Ukrainian Information Security Group VIВладимир Матвийчук, CISA, CISM, ITILF

Что такое управление рискамиРиск - произведение вероятности возникновения неблагоприятного события навеличину потерь, полученных в результате наступления такого событияУправление рисками - процесс принятия и выполнения управленческих решений,направленных на снижение вероятности возникновения неблагоприятного результатаи минимизацию возможных потерь, вызванных его реализациейСтраница 2

Преимущества от использованияуправления рисками► Сокращение затрат► Оптимизация контролей► Эффективное использование технологий► Улучшение бизнес-процессов► «Единый язык» для общения с руководством бизнеса► Координация действий по управлению рисками► Улучшение процесса отчетности и раскрытия информации по рискамСтраница 3

Проблемы управления рисками ивозможные причиныПроблемы Возможные причины► Субъективность ► Неверно выбранная методика► Неточность ► Низкое вовлечение бизнеса► Сложность ► Низкий уровень зрелости процессов ИБ ► Агрессивная стратегия принятия рисковСтраница 4

Методика управления рисками – каквыбрать правильно?► Выбор несоответствующей методики управления рисками – одна из частых причин дальнейших проблем► Критерии для выбора методики управления рисками (список не исчерпывающий): ü Тип организации (государственная, большая, средняя, маленькая, коммерческая, некоммерческая) ü Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.) ü Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.) ü Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная для членов ассоциации и т.д.) ü Уровень знаний специалистов, необходимый для использования методик (высокий, средний, базовый) ü Наличие инструментария для автоматизации и его стоимость (есть / нет, платный / бесплатный) ü Регуляторные требованияСтраница 5

Выбор оценки: качество противколичества Количественная КачественнаяСтраница 6

Не все риски можно легко оценить вденьгах► Урон репутации► Утрата конкурентного преимущества► Ухудшение продуктивности / морального духа сотрудников► Ущерб или смертьСтраница 7

Субъективность методов оценки риска Все в мире субъективно JСтраница 8

Почему «единый язык» для общения сруководством бизнеса не работает ?► Мы построили процесс, но руководство все равно не слышит доводов► Возможные причины: ► Наличие более приоритетных рисков ► Агрессивная политика принятия риска Руководство бизнеса Информационная безопасностьСтраница 9

Управление рисками глазами ИБЦели бизнеса, требованиярегулирующих органов и указанияуправляющего совета , которые Корпоративная модель управления рисками,определяют требования к управлению стратегия, толерантность к риску,рисками Бизнес метод управления и ожидания от управления факторы рисками Стратегия управления Владение, ответственность,Определение рисков, сферы рисками контроль выполнения программ ирисков, ключевые индикаторы управление требованиями к оценке,рисков, библиотека рисков и улучшению и мониторингу рисковконтролей, сценарии рисковых Управление,событий и критерии к политики и стандартыопределению рейтинга рисков Определение и категоризация рисков Инструменты для облегченияПроцессы, процедуры и методы Процессы и процесса управления рисками Инструменты и Управлениеуправления рисками операционные технологии персоналом и практики организацией Организационная структура, роли и обязанности, программа обучения и Соответствие, мониторинг и отчетность персонал для управления рискамиМатрица рисков: непрерывноенаблюдение и отчетность обэффективности управления рискамиСтраница 10

Информационные риски глазами бизнеса Учет и отчетность Ликвидность Рынок Динамика рынка Структура капитала Основные инициативы Кредитный Слияние, поглощение и ФИНАНСОВЫЕ отчуждение Разработка активов продуктов СТРАТЕГИЧЕСКИЕПланирование иРаспределение ресурсов E&Y RISKUNIVERSEä Продажи и маркетинг Коммуникации и ОПЕРАЦИОННЫЕ Поставки связи с инвесторами СООТВЕТСТВИЯ Управление Люди Нормы поведения Информационные технологии Правовой Регуляторный Налоги Основные Прерывание фонды деятельностиСтраница 11

Риск-аппетит: теория► Риск нельзя свести к абсолютному минимуму ► Невозможно выявить все источники рисков ► Уменьшение некоторых рисков требует чрезмерных затрат ► Принятие некоторых рисков позволяет увеличить доходность► Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой – принять Идеальный вариант Затраты Суммарные затраты Затраты на контроли Ожидаемые потери Оптимальные затраты РискиСтраница 12

Стратегии в принятии риска Стратегия Описание Неприятие Избежание риска и неопределенности является ключевой задачей Осторожность Предпочтение для безопасных вариантов, которые имеют низкую степень присущего риска и могут иметь лишь ограниченный потенциал для выгоды Открытость Готовы рассмотреть все варианты и выбрать тот, который наиболее вероятно, приведет к успешной доставки а также обеспечивает приемлемый уровень выгоды Жажда Стремимся быть инновационными и выбирать варианты на основе потенциала наибольшей выгоды (несмотря на присущий высокий риск)Страница 13

Риск-аппетит: реалии► Руководство может принимать разную стратегию принятия рисков► Руководство бизнеса склонно рисковать► Принятие риска часто может привести к дополнительной прибылиСтраница 14

Управление информационными рискамисугубо силами ИТ и ИБ - путь в никуда► Управление информационными рисками должно интегрироваться общекорпоративную модель управления рисками► Оценка ущерба без вовлечения представителей бизнес-подразделений – напрасно потраченные ресурсыСтраница 15

Проблемы будущего► Еще один часто встречающийся аргумент против управления рисками - невозможно оценить влияние будущих событий (появления уязвимостей 0-го дня и т.д.)► Управление рисками – циклический, постоянно совершенствующийся процесс► Оценка должна проводится: ► регулярно (как минимум ежегодно) ► при обнаружении новых уязвимостей ► при существенных изменениях в компанииСтраница 16

Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.comСтраница 17

http://notesonthecuff.blogspot.com	502
http://notesonthecuff.blogspot.ru	13
http://xss.yandex.net	3

Управление рисками - серебряная пуля или данность моды?

by Vladimir Matviychuk on May 25, 2011

Accessibility

Categories

Upload Details

Usage Rights

3 Embeds 518

Statistics

Управление рисками - серебряная пуля или данность моды? Presentation Transcript