An argument for budget acceptance:ROSI and how to calculate itAnastasiia Konoplova
В презентації відображені фактори, що впливають на бюджет інформаційної безпеки (ІБ) у 2020 році, наданий приклад кількісної оцінки окупності інвестицій в ІБ та висвітлений підхід до впровадження кількісної оцінки ІБ в організації.
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
Handouts of ISACA Kyiv event, 05.11.2019, "How works cloud services, which we use". Presentation incudes:
- basics of cloud services in current context,
- risks of cloud services orchestration from cloud auditor,
- references to sources, were best practices of cloud use can be found.
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
Київське відділення ISACA завершило переклад першого методологічного
документа із серії документів ISACA з впровадження Європейскої моделі кібербезпеки. В даній презентації наведено стислий огляд першого документу. Охоплюються такі питання:
-- Визначення Кібербезпеки
-- Огляд стратегії кібербезпеки ЄС
-- Обґрунтування впровадженні кібербезпеки
-- Інтеграція управління кіберебзпекою в структури корпоративного управління
-- Ризик менеджмент
-- Надання впевненості та аудит
-- Висновки для України
An argument for budget acceptance:ROSI and how to calculate itAnastasiia Konoplova
В презентації відображені фактори, що впливають на бюджет інформаційної безпеки (ІБ) у 2020 році, наданий приклад кількісної оцінки окупності інвестицій в ІБ та висвітлений підхід до впровадження кількісної оцінки ІБ в організації.
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
Handouts of ISACA Kyiv event, 05.11.2019, "How works cloud services, which we use". Presentation incudes:
- basics of cloud services in current context,
- risks of cloud services orchestration from cloud auditor,
- references to sources, were best practices of cloud use can be found.
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
Київське відділення ISACA завершило переклад першого методологічного
документа із серії документів ISACA з впровадження Європейскої моделі кібербезпеки. В даній презентації наведено стислий огляд першого документу. Охоплюються такі питання:
-- Визначення Кібербезпеки
-- Огляд стратегії кібербезпеки ЄС
-- Обґрунтування впровадженні кібербезпеки
-- Інтеграція управління кіберебзпекою в структури корпоративного управління
-- Ризик менеджмент
-- Надання впевненості та аудит
-- Висновки для України
Mariya Yeremenko: Робота з ризиками під час війни (UA)Lviv Startup Club
Mariya Yeremenko: Робота з ризиками під час війни (UA)
Ukraine Online PMO Day 2023 Spring
Website - www.pmday.org/pmo
Youtube - https://www.youtube.com/startuplviv
FB - https://www.facebook.com/pmdayconference
Рішення для автоматизації діяльності підрозділу інформаційної безпекиTechExpert
Компанія TechExpert спільно з Агентством Активного Аудиту пропонує модуль «IT Risk Manager» (ITRM) на базі ПЗ GLPI з додатковими функціональними можливостями для підрозділу інформаційної безпеки.
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...Олександр Мілютін
Основні Теми та Ключові Тези:
Вступ та Контекст:
Всеукраїнський круглий стіл для здобувачів вищої освіти.
Особливості застосування штучного інтелекту в Україні.
Застосування ШІ в Різних Сферах:
ШІ використовується не тільки в професійній діяльності, але й у побуті.
Необхідність навчання для використання нових технологій.
Використання Готових Рішень та Їх Переваги:
Прискорення роботи та покращення результатів.
Обробка великих даних, створення стратегій, навчання ШІ для впровадження в бізнес-процеси.
Сфери Застосування ШІ:
Безпека та оборона, медицина, наука та освіта, енергетика, урядові послуги, транспорт.
Роль ШІ на Державному Рівні:
Кадровий резерв, підтримка розвитку, вплив на економіку та конкурентоспроможність.
Регулювання ШІ та Міжнародні Стандарти:
Artificial Intelligence Act, ризико-орієнтований підхід, регулювання на рівні ЄС.
Дорожня Карта Регулювання ШІ в Україні:
Міністерство цифрової трансформації, Bottom-Up підхід, етапи впровадження.
Принципи Регулювання ШІ в Україні:
Виваженість, сервісна функція, партнерство, продуктовий підхід, глобальна перспектива.
Заключення:
Презентація надає детальний огляд застосування штучного інтелекту в Україні, його вплив на різні сфери життя, а також розглядає питання регулювання та стандартизації в цій області. Олександр Мілютін акцентує увагу на необхідності навчання та адаптації до нових технологій, а також на важливості створення ефективних механізмів регулювання ШІ на державному рівні.
Taras Bachynsky: Чи зараз час для продажу ІТ бізнесу? Тренди Tech M&A воєнног...Lviv Startup Club
Taras Bachynsky: Чи зараз час для продажу ІТ бізнесу? Тренди Tech M&A воєнного часу. Кейс Euvic (UA)
UA Online IT Outsourcing Forum 2023 Summer
Website - www.liof.org/online
Youtube - https://www.youtube.com/startuplviv
FB - https://www.facebook.com/ukrof
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...Lviv Startup Club
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи під продукти? (UA)
UA Online IT Outsourcing Forum 2024 Winter
Website – www.liof.org/online
Youtube – https://www.youtube.com/startuplviv
FB – https://www.facebook.com/ukrof
Volodymyr Plakhov: Еволюція проектного менеджера: адаптуйся до світу АІ, або ...Lviv Startup Club
Volodymyr Plakhov: Еволюція проектного менеджера: адаптуйся до світу АІ, або шукай собі нову роботу (UA)
UA Online PMDay 2023 Spring
Website - www.pmday.org/online
Youtube - https://www.youtube.com/startuplviv
FB - https://www.facebook.com/pmdayconference
There are frameworks, that help to be prepared for whatever, being complex interconnected system in unpredictable environment. We tested some of them, being 22 years old Ukrainian entity meeting war, and share current outcome from frameworks implementation.
Mariya Yeremenko: Робота з ризиками під час війни (UA)Lviv Startup Club
Mariya Yeremenko: Робота з ризиками під час війни (UA)
Ukraine Online PMO Day 2023 Spring
Website - www.pmday.org/pmo
Youtube - https://www.youtube.com/startuplviv
FB - https://www.facebook.com/pmdayconference
Рішення для автоматизації діяльності підрозділу інформаційної безпекиTechExpert
Компанія TechExpert спільно з Агентством Активного Аудиту пропонує модуль «IT Risk Manager» (ITRM) на базі ПЗ GLPI з додатковими функціональними можливостями для підрозділу інформаційної безпеки.
ОСОБЛИВОСТІ ЗАСТОСУВАННЯ ШІ ЯК ОСНОВНОГО ДРАЙВЕРУ ЦИФРОВОЇ ТРАНСФОРМАЦІЇ У...Олександр Мілютін
Основні Теми та Ключові Тези:
Вступ та Контекст:
Всеукраїнський круглий стіл для здобувачів вищої освіти.
Особливості застосування штучного інтелекту в Україні.
Застосування ШІ в Різних Сферах:
ШІ використовується не тільки в професійній діяльності, але й у побуті.
Необхідність навчання для використання нових технологій.
Використання Готових Рішень та Їх Переваги:
Прискорення роботи та покращення результатів.
Обробка великих даних, створення стратегій, навчання ШІ для впровадження в бізнес-процеси.
Сфери Застосування ШІ:
Безпека та оборона, медицина, наука та освіта, енергетика, урядові послуги, транспорт.
Роль ШІ на Державному Рівні:
Кадровий резерв, підтримка розвитку, вплив на економіку та конкурентоспроможність.
Регулювання ШІ та Міжнародні Стандарти:
Artificial Intelligence Act, ризико-орієнтований підхід, регулювання на рівні ЄС.
Дорожня Карта Регулювання ШІ в Україні:
Міністерство цифрової трансформації, Bottom-Up підхід, етапи впровадження.
Принципи Регулювання ШІ в Україні:
Виваженість, сервісна функція, партнерство, продуктовий підхід, глобальна перспектива.
Заключення:
Презентація надає детальний огляд застосування штучного інтелекту в Україні, його вплив на різні сфери життя, а також розглядає питання регулювання та стандартизації в цій області. Олександр Мілютін акцентує увагу на необхідності навчання та адаптації до нових технологій, а також на важливості створення ефективних механізмів регулювання ШІ на державному рівні.
Taras Bachynsky: Чи зараз час для продажу ІТ бізнесу? Тренди Tech M&A воєнног...Lviv Startup Club
Taras Bachynsky: Чи зараз час для продажу ІТ бізнесу? Тренди Tech M&A воєнного часу. Кейс Euvic (UA)
UA Online IT Outsourcing Forum 2023 Summer
Website - www.liof.org/online
Youtube - https://www.youtube.com/startuplviv
FB - https://www.facebook.com/ukrof
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...Lviv Startup Club
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи під продукти? (UA)
UA Online IT Outsourcing Forum 2024 Winter
Website – www.liof.org/online
Youtube – https://www.youtube.com/startuplviv
FB – https://www.facebook.com/ukrof
Volodymyr Plakhov: Еволюція проектного менеджера: адаптуйся до світу АІ, або ...Lviv Startup Club
Volodymyr Plakhov: Еволюція проектного менеджера: адаптуйся до світу АІ, або шукай собі нову роботу (UA)
UA Online PMDay 2023 Spring
Website - www.pmday.org/online
Youtube - https://www.youtube.com/startuplviv
FB - https://www.facebook.com/pmdayconference
There are frameworks, that help to be prepared for whatever, being complex interconnected system in unpredictable environment. We tested some of them, being 22 years old Ukrainian entity meeting war, and share current outcome from frameworks implementation.
We are now in September 2020, and we are entering long-term consequences of global lock-down for our operation environment. Even if production itself is not affected directly, there are changes in supply chain; HR; markets accessibility, back-office processes, stakeholder relations, government relations. At the same time we are in 4th industrial revolution. And need not only to respond to growing number of requests, but also look in future.
Infographic, created from WEF publications on resilience - the ability to withstand, recover from, and reorganize in response to crises. Approach itself is an application of science of complexity to enterprise. Components, inherent to complex systems are highlited. Applying this, it`s necessary to take in account, that resilince is contradictory to efficiency, espesially on short time horison, but ensures survival and development in changing environment.
Presentation of reseach of GDPR enforcement practice, based on information of 86 cases, vailaible publicly. The event, where the research was presented, has taken place in Kyiv, Ukraine on October, 10, 2019.
NIST Cloud computing taxonomy - UA translation by ISACA KYIVAnastasiia Konoplova
Волонтери Київського відділення ISACA (www.isaca.org.ua) за підтримки агенції перекладів Task Force (www.taskforce.ua) переклали цей документ в якості консультативного ресурсу з основ хмарних обчислень для фахівців із надання впевненості, корпоративного управління, управління ризиками та безпеки.
GDPR - переклад українською від ISACA Kyiv Chapter
IS Risk Governance&Management
1. Управління ризиками ІБ
як визначати пріоритети та окупність інвестицій в ІБ з огляду на ризики бізнеса
1
2. Управління ризиками
Зменшити невизначеність
при досягненні МЕТИ
2
ISO 31000:2018
COSO ERM 2017
СОВІТ 2019
в операціях
при прийнятті рішень
в бізнес-процесі
в діяльності організації
операції
рішення
бізнес-процеса
діяльності організації
пов’язану з ринком, контрагентом, технологією, регулюванням,
людиною, країною, політикою, погодою…
WEF 2020
3. Сучасне ІТ організації Безпека
3
«Складна система», за замовчанням відкрита
математичний апарат – стохастичне моделювання
Починається з
визначення периметру
та має гарантувати його вміст
Детерміновано за замовчанням
Чому ІБ зараз складно?
5. За природою сучасних ІТ:
В певний момент часу
актив
належить – або не належить
до периметру безпеки
залежно від актуальної гіпотези
про розподіл випадкової величини
5
Проблема з результатами оцінки ризиків
Актив загроза вразливість
Наслідки,
зважені на
ймовірність
експлойту
Ризик
ISO, NIST,
etc,
раз на рік
VUCA –
Volatility,
Uncertainty,
Complexity,
Ambiquity
однакові дії
дають
різні результати
математика середовищепрактика
Актив
6. 1. критичні;
не працює – організації немає
2. Периметр (value chain), базові
контролі +додаткові за наявності
ресурсів
3. Додаткові сервіси та проєкти
- гігієна
4.По зовнішнім (клієнти, партнери,
держава) – фейс-контроль і ризики
третіх сторін
За іншим – 1)оцінити та
2)прийняти/уникнути ризик
Безпека за пріоритетами в відкритій системі
6
Критичних – мало
не вся база, а окремі дані;
не вся мережа, а
невеликий сегмент;
не всі системи, а
ланцюжок value chain за
основним продуктом
Забезпечте
безперервність
критичних, в
тому числі,
ручними
контролями
Призначений периметр для
застосування стандартів безпеки
ISO 22301
CIS controls
CMMC
7. Що робити безпеці в умовах невизначеності?
1. Визначити та гарантувати критичну діяльність
2. Підтримувати ресурси для розвитку, не
заважати працювати
3. Страхувати інновації, приймаючи ризик
7
Якщо горизонт планування довший тижня, і це не стартап
ISO 22301
KING IV
COBIT 2019
SAFe
8. Визначаємо пріоритети (знаємо, куди йдемо)
процеси та проєкти, які
забезпечують реалізацію стратегії
як досягаємо мету
(стратегія)
те, за рахунок чого досягаємо мету
(бізнес-модель)
Мета діяльності організації
8
Перший пріоритет
+Другий пріоритет, в
периметрі
+Третій пріоритет
Коли горизонт довгий, і треба корпоративне управління
ISO 9001
King IV
COSO ICS
ISO 38500
9. Інновації (не знаємо, куди йдемо)
Безпечне
середовище,
без загрози
критичному
Ітераційні
процеси, з
накопиченням
досвіду
Надлишкові
ресурси, бо
ітерації
Здатність
вчасно
зупинитися
9
В межах організації
PMBOK
BABOK
SAFe
10. Оцінка ризиків (ІБ)
10
Для організації; там де про життя – окрема справа
Природні
катастрофи
страшніші проблем
з технологіями
WEF 2020, long-term
ISACA, 2019, 4500 респондентів
58% вміють
Але для бізнесу – ІБ
- чи не найдорожче
Allianz risk barometer 2020
11. Кількісна оцінка ризиків ІБ
Час
Доступність систем за критичними
процесами
Час на ліквідацію наслідків подій ризику
Порушення дедлайнів через ІТ (операції,
договори, звітність, податки)
Гроші
Середня вартість години простою
процеса
Оплата праці та інших ресурсів,
витрачених на ліквідацію наслідків
Недоотримані доходи, штрафи, пеня
Прямі втрати від інцидентів
Порушення дедлайнів при розробці (time-to-
market), вкл. аутсорсинг
Недоотримані доходи
11
За принципом типових методів моделювання нефінансових ризиків в економіці
12. Інструменти кількісної оцінки ризиків (ІБ)
BI – або управлінська звітність
Скоринги
Сценарний аналіз інцидентів
12
https://data-flair.training/blogs/data-science-tools/
https://www.first.org/cvss/calculator/3.1
https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/documents/Exercise15CalculatorCIC.xlsx
https://advisera.com/27001academy/free-tools/free-return-security-investment-calculator/
Excel ToolPak
13. Як працює інструмент: розрахунок ROSI*
1- Вхідні дані
2- SLE for DDoS
13
3-5- ALE
6- ROSI
Припущення - або ВІ * https://www.slideshare.net/AnastasiiaKonoplova/an-argument-for-budget-acceptancerosi-and-how-to-calculate-it
Окупність інвестицій в ІБ, або за який час вам повернуться кошти, витрачені на безпеку
14. Коли доцільно впроваджувати кількісну оцінку
Рішення приймає колегіальний орган
Розпорядник бюджету не є кінцевим бенефіціаром
Власник вирішує на підставі об’єктивних даних
Є нормативні вимоги
CFO –
союзник
14
ISO 9001
IFRS
COSO ICF
15. Коли інвестиції в ІБ не мають шанса
Невпевненість в
існуванні/короткий
горизонт
• ІБ потрібна тільки
якщо є
стратегічне
рішення
досягати
визначену мету
Об’єктивні
обмеження
• Фінансових
джерел не
вистачає у
горизонті часу
Невраховані
фактори
• Ризики менші, ніж
видно з позиції
безпеки
(неавтоматизовані
процеси, інші
напрями
діяльності тощо)
15
Вчіть англійську та здобувайте технічні навички – це ресурс змін
16. Джерела, інформація з яких застосована при підготовці доповіді
16
Тренди та огляди безпеки
•Застосування кіберзброї в 2020
https://www.forbes.com/sites/steveandriole/2020
/01/14/cyberwarfare-will-explode-in-2020-
because-its-cheap-easy--
effective/#2cf129226781
•Топ-10 найгірших кібератак десятиріччя
https://www.controlglobal.com/blogs/off-site-
insights/top-10-worst-cyber-attacks-of-the-
decade/
•Китай, MLPS 2.0 – контроль інтернета
https://www.reedsmith.com/en/perspectives/201
9/10/mlps-20-chinas-enhanced-data-security-
multi-level-protection
Глобальні тренди та стратегії щодо
технологій, стратегічний рівень
•World economic forum Global risk report 2020
https://www.weforum.org/reports/the-global-
risks-report-2020
•The Age of Digital Interdependence: Report of
the UN Secretary-General’s High-level Panel on
Digital Cooperation. June 2019.
https://digitalcooperation.org/wp-con-
tent/uploads/2019/06/DigitalCooperation-re-port-
web-FINAL-1.pdf
•Технологічні тренди 2020
https://www.gartner.com/en/newsroom/press-
releases/2019-10-21-gartner-identifies-the-top-
10-strategic-technology-trends-for-2020
•Ризики бізнесу від страховика
https://www.agcs.allianz.com/news-and-
insights/reports/allianz-risk-barometer.html
• Технологічні тренди 2025-2035 з прикладами
https://tci.agcs.allianz.com/
Практика управління ризиками технологій
•Практика управління ризиками в корпоративному
світі
https://www.isaca.org/info/state-of-enterprise-risk-
management-survey/index.html
•Управління ризиками третіх сторін
https://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/Mana
ging-Third-Party-Risk.aspx
•Співпраця ризиків та безпеки, ролі
https://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/Bridgi
ng-the-Digital-Risk-Gap.aspx
•Операційні та кібер ризики фінансового сектору
https://www.bis.org/publ/work840.pdf
•
https://managingrisktogether.orx.org/cyber-risk-
programme
ТРЕНДИ, ДОСЛІДЖЕННЯ ТА ПОГЛЯДИ, ГОРИЗОНТ 2020-2030
Data Science
DMBOK v.2
Математическая энциклопедия в пяти
томах, 1985
СТАНДАРТИ ТА КОНЦЕПЦІЇ
EBA ICT Risk Guidelines
Cybersecurity act (Regulation (EU) 2019/881)
Cybersecurity Maturity Model Certification (CMMC)
COBIT 2019
NIST SP 800-37r2
ISO 31000:2018
COSO ERM 2017
ISO 22301
Методологія моделювання Корпоративне управління ризиками Управління ризиками технологій
17. Анастасія Конопльова
За знаннями та кращими практиками:
https://www.facebook.com/Kyiv.ISACA/
CISA, CISA Trainer
Президент ISACA Kyiv
Директор LLC UAG
a.konopleva@isaca.org.ua
a.konopleva@uag.kiev.ua
+38(050)9570596
17
Замість висновків
Як працює управління ризиками в умовах
невизначеності, з прикладів за 20 років:
За розрахунком ризиків ІБ:
LLC UAG
*https://www.weforum.org/agenda/2019/12/davos-manifesto-2020-the-universal-
purpose-of-a-company-in-the-fourth-industrial-revolution/
Довгий горизонт, мета – безпека: забезпечуйте
зобов’язання за будь-яких умов.
Ціна – розвиток.
Короткий горизонт, мета – швидкий прибуток: рахуйте
момент, коли вийти.
Ціна – безпека.
Довгий горизонт, мета – сталий розвиток*:
забезпечувати критичне, накопичувати в коротких
горизонтах, вкладати в інновації. Рахувати ризики.
Ціна – надприбутки.