6 шагов на пути к правильному принятию риска

Эксперт по кибербезопасности и рискам Дэвид Уилкинсон слышал, как некоторые руководители откладывали обсуждение принятия риска, говоря, что у них нет аппетита или терпимости к риску.

«Но каждая организация должна иметь определенный уровень приемлемости риска», - говорит Уилкинсон, старший управляющий партнер The Bellwether Group, фирмы, предоставляющей услуги по обеспечению безопасности и управлению рисками. В противном случае они не смогут функционировать.

Тем не менее есть признаки того, что многие директора по информационной безопасности не ведут продуктивных разговоров о принятии рисков, пишет CSO.

Согласно исследованию Gartner, только 66% директоров по информационной безопасности, признанных наиболее эффективными, сотрудничают с руководителями высшего звена, принимающими бизнес-решения, чтобы определить аппетит их организации к риску. Это число упало до 37% директоров по информационной безопасности, которых Gartner называет «низшим звеном».

Тем не менее, директор по информационной безопасности должен вести подобные разговоры, говорит консультант по безопасности Фрэнк Ким, потому что понимание риска и, более конкретно, определение степени риска, которую организация может принять, должно учитываться при разработке стратегии кибербезопасности.

Такие беседы также определяют, каких рисков организация хочет избежать, какие она хочет передать, а какие следует смягчить - все это также должно определять повестку дня директора по информационной безопасности.

«[Необходимо] знать, на какой риск вы пойдете, а какой нет», - говорит Ким, основатель ThinkSec, консалтинговой фирмы по вопросам безопасности и информационной безопасности, а также научный сотрудник SANS и руководитель учебных программ SANS Cybersecurity Leadership и SANS Cloud Security. 

Вот ключевые элементы, предлагаемые экспертами, чтобы помочь директорам по информационной безопасности правильно принять риск:

Знайте, что наиболее важно для вашей организации

Директор по информационной безопасности должен понимать, какие риски представляют какие проблемы, чтобы вести информированные разговоры о рисках, на которые организация готова пойти. А для этого они должны полностью понимать технологии, данные и процессы своей организации, а также бизнес-функции и результаты, которые они стремятся защитить, говорит Джон Бейкер, соучредитель и исполняющий обязанности директора по исследованиям и разработкам Центра защиты от угроз MITRE Engenuity.

«Понимание основ на самом деле связано с пониманием систем, типа обрабатываемой информации и их влияния на вашу организацию, - объясняет он. - Затем речь идет о понимании ландшафта угроз, угроз, которые волнуют вас как организацию, и средств контроля, которые у вас есть для управления этими рисками».

Директора по информационной безопасности с такой общей картиной лучше всего способны определить, какие риски представляют наибольшую угрозу для способности организации работать и совершать сделки. Таким образом, они могут более продуктивно обсуждать, с какими рисками организация может мириться, а с какими нет.

«У вас есть представление о том, что наиболее важно для организации, а затем вы можете вести беседы о киберрисках и их влиянии», - говорит Ким.

Анализируйте и сообщайте о рисках с точки зрения бизнеса

Ким подчеркивает то, что директора по информационной безопасности слышали уже много лет: им следует учитывать киберриски в бизнес-контексте.

«Поймите проблем, которые могут привести к нарушениям деловых операций, - говорит он.

Не все киберугрозы представляют одинаковый риск; с другой стороны, каждая киберугроза может нанести разный ущерб, говорит Джон Франс, директор по информационной безопасности в ассоциации по обучению и сертификации в области кибербезопасности (ISC)².

Например, воздействие атаки, которая выводит из строя, скажем, систему торговых автоматов, вызывает меньше беспокойства, чем воздействие того же типа атаки на критически важную систему, имеющую дело с жизнью и здоровьем людей, например, поддерживающее медицинское оборудование.

Таким образом, директора по информационной безопасности должны понимать, ранжировать и сообщать о киберугрозах не только с точки зрения их влияния на корпоративные технологии, но и на бизнес-функции. Таким образом, они и их коллеги из высшего руководства могут определить, какие риски они хотят избежать, передать, смягчить и принять на основе соображений предприятия (например, затрат, миссии, требований соответствия и т. д.).

Как резюмирует Франс: «Вы не можете пойти на риск, если не понимаете его в контексте своего бизнеса».

Привлекайте бизнес к принятию рисков

Хотя директора по информационной безопасности должны рассматривать киберриски в бизнес-контексте, они не должны определять, каких рисков организация хочет избежать, передать, смягчить или принять.

«CISO поможет установить уровни риска, но не должен их утверждать», - говорит Уилкинсон, профессор кибербезопасности и управления рисками в Бостонском колледже.

Он говорит, что эта задача должна возлагаться на руководителей, которые владеют областями бизнеса, подверженными риску; таким образом, директора по информационной безопасности должны вовлекать этих коллег в обсуждения, связанные с рисками, и вместе прийти к консенсусу относительно уровня киберриска, который каждый из них готов принять в своей функциональной области.

«Затем его нужно обсудить на всех этапах через комитет по рискам, а затем совет директоров, который может его подписать», - добавляет он.

Но Уилкинсон говорит, что таких разговоров часто не бывает.

«CISO всегда говорят мне, что участие в бизнесе - это секретный соус, которого не хватает, и тем не менее это абсолютно необходимо», - добавляет он.

Кроме того, эксперты говорят, что в рамках этих дискуссий организациям следует сформулировать и дать количественную оценку своего подхода к управлению рисками.

Ким отмечает, что у организаций со зрелыми программами управления рисками есть заявление об аппетите к риску, в котором описываются типы рисков и суммы, которые организация может потратить. Они также часто используют методы для количественной оценки и ранжирования рисков, поэтому они знают, когда риск переходит от приемлемого к требующему немедленного реагирования.

Директор по безопасности Пэм Нигро соглашается, указывая на факторный анализ информационных рисков (FAIR) как на одну из методологий, которую директора по информационной безопасности могут использовать для количественной оценки и управления рисками в своей организации.

«Когда у вас есть, например, 20 критических рисков, это помогает объяснить, что они означают для того, кто не живет и не дышит безопасностью каждый день», - говорит Нигро, вице-президент по безопасности в Medecision, заместитель председателя правления ассоциации управления ISACA. и профессор Университета Льюиса в области информационной безопасности, рисков, соответствия требованиям и управления ИТ.

Позвольте бизнесу взять на себя риск, но оставайтесь партнерами в управлении им

Поскольку установление приемлемости риска - это деловое мероприятие, эксперты говорят, что управление им и ответственность за него должны возлагаться на роли или команды, ответственные за функции, услуги или продукты, на которые влияет риск, говорит Джермейн М. Стэнли, член совета директоров One in Tech вице-президент отделения ISACA в Вашингтоне.

«Необходимо иметь приверженность руководства к оценке рисков и управлению рисками. Вы должны убедиться, что есть понимание того, что люди, участвующие в организации, понимают, кто несет ответственность за принятие рисков, - говорит Стэнли. - Это могут быть руководители бизнес-подразделений, но не директор по информационной безопасности. Директор по информационной безопасности отвечает за безопасность организации. Руководители предприятий, генеральные директора или президенты - эти люди должны нести ответственность за риски, связанные с их бизнес-направлениями, процессами или продуктами».

Однако это не означает, что директора по информационной безопасности могут отказаться от этой задачи, добавляют он и другие эксперты.

«Это не просто сказать: «Вот риск, примите его». Вы не можете просто бросить это через стену и сказать, что это их проблема. Это партнерство, - говорит Нигро. - Безопасность должна быть задействована и действительно служить организации, поэтому мы работаем вместе, чтобы обеспечить безопасность организации. Безопасность должна быть тем партнером, который сводит все воедино».

Используйте фреймворки и инструменты для поддержки управления рисками

Стэнли советует директорам по информационной безопасности и их коллегам использовать методологию управления рисками, такую ​​как FAIR, для направления, управления и отслеживания этой деятельности.

«Вы должны определить свои риски в отношении своих активов, вы должны оценить свои риски, оценить их [например, как] низкие, средние/умеренные или высокие последствия, а затем, когда мы говорим о воздействии, есть угроза и вероятность того, что это может произойти в течение 12-18 месяцев, поэтому вы знаете, хотите ли вы расставить приоритеты по рискам, - говорит он. - Все это помогает [руководству предприятия] принимать решения о том, куда распределять ресурсы, и это влияет на бизнес-бюджет и стратегию».

Он добавляет: «Вот почему методология управления рисками является основой для оценки рисков».

Стэнли также рекомендует использовать корпоративные технологии управления рисками и/или инструменты управления, управления рисками и соблюдения нормативных требований (GRC), а также реестр рисков; он говорит, что это помогает выявлять и отслеживать риски по мере их развития и изменения условий рынка и предприятия. Затем это помогает организациям определить, когда принятые риски переходят в неприемлемые или наоборот.

Пересмотрите и переоцените принятие риска

Стэнли, который также является экспертом по вопросам безопасности и соответствия требованиям в компании-разработчике программного обеспечения Proofpoint, говорит, что он и его коллеги проводят автоматический ежегодный обзор приемлемости риска в организации, объясняя это возможностью «подстроить шкалу».

Он и другие подчеркивают необходимость того, чтобы директора по информационной безопасности и их организации оценивали свою склонность к риску, а вместе с ней и уровень приемлемости риска, на перманентной основе - ежегодно или чаще, в зависимости от меняющихся обстоятельств.

«Принятие риска является частью процесса управления рисками, и его рассмотрение [должно быть] связано с тем, как часто бизнес пересматривает то, что он делает. Поэтому всякий раз, когда в бизнесе происходят существенные изменения, меняется стратегия, происходит приобретение или слияние, это необходимо пересматривать», - говорит Ким.

«Но [CISO] также должны делать это ежедневно или еженедельно, задавая вопросы. Безопасность часто увязает в повседневных делах, и мы не всегда на связи с бизнесом. Но точно так же, как бизнес ежедневно или регулярно переоценивает себя, директора по информационной безопасности также должны постоянно поддерживать связь с бизнесом, чтобы понять, следует ли принимать риск или нет. В идеале мы хотим стремиться к тому, чтобы постоянно понимать это и то, как нужно изменить наш подход».