Your SlideShare is downloading. ×
0
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Управление рисками - серебряная пуля или данность моды?

1,599

Published on

материалы выступления Ukrainian Information Security Group VI

материалы выступления Ukrainian Information Security Group VI

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,599
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
87
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Управление рисками -серебряная пуля или данностьмоды?Собрание Ukrainian Information Security Group VIВладимир Матвийчук, CISA, CISM, ITILF
  • 2. Что такое управление рискамиРиск - произведение вероятности возникновения неблагоприятного события навеличину потерь, полученных в результате наступления такого событияУправление рисками - процесс принятия и выполнения управленческих решений,направленных на снижение вероятности возникновения неблагоприятного результатаи минимизацию возможных потерь, вызванных его реализациейСтраница 2
  • 3. Преимущества от использованияуправления рисками► Сокращение затрат► Оптимизация контролей► Эффективное использование технологий► Улучшение бизнес-процессов► «Единый язык» для общения с руководством бизнеса► Координация действий по управлению рисками► Улучшение процесса отчетности и раскрытия информации по рискамСтраница 3
  • 4. Проблемы управления рисками ивозможные причиныПроблемы Возможные причины► Субъективность ► Неверно выбранная методика► Неточность ► Низкое вовлечение бизнеса► Сложность ► Низкий уровень зрелости процессов ИБ ► Агрессивная стратегия принятия рисковСтраница 4
  • 5. Методика управления рисками – каквыбрать правильно?► Выбор несоответствующей методики управления рисками – одна из частых причин дальнейших проблем► Критерии для выбора методики управления рисками (список не исчерпывающий): ü Тип организации (государственная, большая, средняя, маленькая, коммерческая, некоммерческая) ü Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.) ü Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.) ü Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная для членов ассоциации и т.д.) ü Уровень знаний специалистов, необходимый для использования методик (высокий, средний, базовый) ü Наличие инструментария для автоматизации и его стоимость (есть / нет, платный / бесплатный) ü Регуляторные требованияСтраница 5
  • 6. Выбор оценки: качество противколичества Количественная КачественнаяСтраница 6
  • 7. Не все риски можно легко оценить вденьгах► Урон репутации► Утрата конкурентного преимущества► Ухудшение продуктивности / морального духа сотрудников► Ущерб или смертьСтраница 7
  • 8. Субъективность методов оценки риска Все в мире субъективно JСтраница 8
  • 9. Почему «единый язык» для общения сруководством бизнеса не работает ?► Мы построили процесс, но руководство все равно не слышит доводов► Возможные причины: ► Наличие более приоритетных рисков ► Агрессивная политика принятия риска Руководство бизнеса Информационная безопасностьСтраница 9
  • 10. Управление рисками глазами ИБЦели бизнеса, требованиярегулирующих органов и указанияуправляющего совета , которые Корпоративная модель управления рисками,определяют требования к управлению стратегия, толерантность к риску,рисками Бизнес метод управления и ожидания от управления факторы рисками Стратегия управления Владение, ответственность,Определение рисков, сферы рисками контроль выполнения программ ирисков, ключевые индикаторы управление требованиями к оценке,рисков, библиотека рисков и улучшению и мониторингу рисковконтролей, сценарии рисковых Управление,событий и критерии к политики и стандартыопределению рейтинга рисков Определение и категоризация рисков Инструменты для облегченияПроцессы, процедуры и методы Процессы и процесса управления рисками Инструменты и Управлениеуправления рисками операционные технологии персоналом и практики организацией Организационная структура, роли и обязанности, программа обучения и Соответствие, мониторинг и отчетность персонал для управления рискамиМатрица рисков: непрерывноенаблюдение и отчетность обэффективности управления рискамиСтраница 10
  • 11. Информационные риски глазами бизнеса Учет и отчетность Ликвидность Рынок Динамика рынка Структура капитала Основные инициативы Кредитный Слияние, поглощение и ФИНАНСОВЫЕ отчуждение Разработка активов продуктов СТРАТЕГИЧЕСКИЕПланирование иРаспределение ресурсов E&Y RISKUNIVERSEä Продажи и маркетинг Коммуникации и ОПЕРАЦИОННЫЕ Поставки связи с инвесторами СООТВЕТСТВИЯ Управление Люди Нормы поведения Информационные технологии Правовой Регуляторный Налоги Основные Прерывание фонды деятельностиСтраница 11
  • 12. Риск-аппетит: теория► Риск нельзя свести к абсолютному минимуму ► Невозможно выявить все источники рисков ► Уменьшение некоторых рисков требует чрезмерных затрат ► Принятие некоторых рисков позволяет увеличить доходность► Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой – принять Идеальный вариант Затраты Суммарные затраты Затраты на контроли Ожидаемые потери Оптимальные затраты РискиСтраница 12
  • 13. Стратегии в принятии риска Стратегия Описание Неприятие Избежание риска и неопределенности является ключевой задачей Осторожность Предпочтение для безопасных вариантов, которые имеют низкую степень присущего риска и могут иметь лишь ограниченный потенциал для выгоды Открытость Готовы рассмотреть все варианты и выбрать тот, который наиболее вероятно, приведет к успешной доставки а также обеспечивает приемлемый уровень выгоды Жажда Стремимся быть инновационными и выбирать варианты на основе потенциала наибольшей выгоды (несмотря на присущий высокий риск)Страница 13
  • 14. Риск-аппетит: реалии► Руководство может принимать разную стратегию принятия рисков► Руководство бизнеса склонно рисковать► Принятие риска часто может привести к дополнительной прибылиСтраница 14
  • 15. Управление информационными рискамисугубо силами ИТ и ИБ - путь в никуда► Управление информационными рисками должно интегрироваться общекорпоративную модель управления рисками► Оценка ущерба без вовлечения представителей бизнес-подразделений – напрасно потраченные ресурсыСтраница 15
  • 16. Проблемы будущего► Еще один часто встречающийся аргумент против управления рисками - невозможно оценить влияние будущих событий (появления уязвимостей 0-го дня и т.д.)► Управление рисками – циклический, постоянно совершенствующийся процесс► Оценка должна проводится: ► регулярно (как минимум ежегодно) ► при обнаружении новых уязвимостей ► при существенных изменениях в компанииСтраница 16
  • 17. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.comСтраница 17

×