admin 
Rizikos valdymas daugelyje organizacijų yra įstrigęs sistemoje, kuri negali žengti koja kojon su iššūkiais, su kuriais susiduria dauguma įmonių rizikos grupių. Ją reikia modernizuoti.
Būtent tokį sprendimą neseniai paskelbtame Forrester Research tinklaraštyje paskelbė vyresnieji analitikai Cody Scott ir Alla Valente, kuriame kritiškai vertinamas trijų gynybos linijų (3LOD) metodas, kuris plačiai naudojamas vertinant organizacinę riziką.
„Įprastos rizikos valdymo priemonės neatsiliko nuo paklausos, greičio ar spaudimo, su kuriuo susiduria dauguma įmonių rizikos grupių“, – rašė analitikai.
„Dar blogiau, – tęsė jie, – daugelis valdymo, rizikos ir atitikties programų sutelkia dėmesį į atitiktį, visiškai nekreipia dėmesio į riziką ir stengiasi valdyti kiekvieną naują kylančią riziką, technologiją ar grėsmę. 3LOD modelis nėra sukurtas taip išspręsti. “
Jie paaiškino, kad 3LOD buvo sukurta kaip įmonės valdymo sistema, siekiant įgyvendinti pareigų atskyrimo reikalavimus pagal 2002 m. Sarbanes-Oxley aktą (SOX). Tada, 2013 m., Vidaus auditorių institutas (IIA) jį reklamavo kaip rizikos valdymo gerinimo sprendimą. „Tačiau, kaip jums pasakys kiekvienas, kuris bandė jį įgyvendinti kaip įmonės rizikos valdymo pagrindą, 3LOD nėra rizikos valdymo modelis“, – rašė analitikai.
Tvirtas karkasas
Sistema sukurta taip, kad atitiktų SOX nustatytus atitikties reikalavimus, o ne susitvarkytų su verslo rizika, pažymėjo Ianas Amitas, „Gomboc“, automatizuotų debesų infrastruktūros saugumo sprendimų tiekėjos Niujorke, įkūrėjas ir generalinis direktorius.
„Jis nėra pakankamai pritaikomas, kad veiktų daugelyje šiuolaikinių organizacijų, kuriose ataskaitų teikimo linijos ir hierarchija nėra tokia griežta, kaip buvo 2000 m.“, – sakė jis „TechNewsWorld“.
„3LOD sistema yra gana senas metodas, kurį finansų sektorius naudojo ir tikriausiai vis dar naudoja“, – pridūrė Brianas Bettertonas, „GuidePoint Security“, kibernetinio saugumo paslaugų teikėjo Herndon, Va, rizikos ir strateginių paslaugų praktikos direktorius.
„3LOD nėra tai, ką pavadinčiau šiuolaikišku požiūriu, bet kai kuriems jis patinka, nes sukuria atskyrimą ir taip padalija rizikos valdymą į tris funkcijas“, – sakė jis „TechNewsWorld“. „Manau, 3LOD yra labiau audito, o ne rizikos metodas.
Jis taip pat atkreipė dėmesį į tai, kad dėl savo kontrolės priemonių audito pobūdžio ji sutelkia dėmesį į momentą, o ne į nuolatinį požiūrį, taikomą sprendimuose, kuriuose dėmesys sutelkiamas į verslo riziką.
Atitiktis trumpai rizikuoja
Daugelis rizikos valdymo programų yra per daug orientuotos į atitiktį, o ne į tikrąją riziką dėl daugelio priežasčių.
„Tradiciniai rizikos valdymo metodai dažniausiai orientuojami į atitiktį – audito išlaikymą ir langelių patikrinimą –, o ne tikrąją verslo riziką“, – sakė Amit. „Šiuo metodu dažnai vadovaujasi organizacijos, kurių lyderiai labiau rūpinasi esamo status quo išsaugojimu, o ne pajamų didinimu ar naujovių skatinimu.
„Dažnai rizikos valdymo programose daugiau dėmesio skiriama atitikčiai, nes tai apčiuopiama ir susieta su aiškiais tikslais“, – pridūrė Nicole Sundin, Niujorko kibernetinės rizikos valdymo įmonės „Axio“ vyriausioji pareigūnė.
„Atitikties laikymasis paprastai yra susijęs su verslo tikslu arba išoriniu reikalavimu“, – sakė ji „TechNewsWorld“. „Šiame kontekste reikalavimų laikymasis tampa tiesioginėmis pastangomis, kuriomis siekiama patenkinti konkretų verslo poreikį, o ne nuolatiniu besivystančios rizikos nustatymo ir mažinimo procesu.
Be to, daugumą rizikos valdymo programų skatina atitikties tikslai, pridūrė Chandrasekhar Bilugu, saugumo, atitikties ir vientisumo valdymo programinės įrangos įmonės Atlantoje CTO „SureShield“. „Organizacijos retai imasi rizikos valdymo kaip nepriklausomo proceso, atskirto nuo atitikties mandatų, nes jam trūktų reikiamo vadovų rėmimo“, – sakė jis „TechNewsWorld“.
Heathas Renfrow, CISO ir Fenix24, atkūrimo ir atkūrimo įmonės Čatanugoje, Tenn., vienas iš įkūrėjų, tvirtino, kad atitiktimi pagrįstos rizikos valdymo programos yra ne kas kita, kaip popieriniai pratimai, neturintys patikimo būdo kiekybiškai įvertinti vyresniųjų vadovų riziką. rizika pagrįstus sprendimus. „Negalite valdyti rizikos, kurios nesuprantate“, – sakė jis „TechNewsWorld“.
Bettertonas pažymėjo, kad mažiau subrendusiose organizacijose rizikos valdymo programose daugiausia dėmesio skiriama atitikties reikalavimams, o ne rizikai. „Mažiau subrendusios organizacijos laikosi reikalavimų laikymosi pagrindine rizika ir, savo ruožtu, praleidžia visas rizikas, kurias gali turėti“, – sakė jis.
Atitikties reikalavimų vykdymas daugeliui organizacijų taip pat yra lengvesnis nei saugumo poreikių įvertinimas. „Atitiktis reiškia, kad laikotės taisyklės ar reglamento, kurio privalote laikytis. Yra aiškūs apibrėžimai, ko reikia laikytis“, – paaiškino Ira Winkler, CYE, kibernetinio saugumo optimizavimo įmonės Tel Avive, Izraelyje, CISO.
„Tačiau tai, ką reiškia būti saugiam, labai skiriasi“, – sakė jis „TechNewsWorld“. „Jei neįsivaizduojate, ką jūsų organizacijai reiškia saugumas, nors aiškiai apibrėžiate, ką reiškia atitikti reikalavimus, akivaizdu, kad pirmiausia pasieksite atitiktį, nes sunku būti saugiam, kai tiksliai nesuprantate. ką tai reiškia“.
Šiuolaikinio rizikos valdymo pagrindas
Scottas ir Valente nurodė tris šiuolaikinio požiūrio į rizikos valdymą ramsčius.
Metodas turi būti dinamiškas ir gebėti valdyti riziką trimis aspektais: sisteminė rizika iš išorės ir jos nekontroliuojama; ekosistemos rizika už organizacijos ribų, bet nevienodo kontrolės laipsnio, pvz., trečiosios šalies ir tiekimo grandinės rizika; ir įmonės rizikos, esančios organizacijos viduje ir tiesiogiai kontroliuojamos, pvz., kibernetinio saugumo ir finansinės rizikos.
Be to, požiūris turi būti nuolatinis, nes laikui bėgant rizika ir galimybės kinta. Analitikai aiškino, kad momentiniai, statiniai rizikos vertinimai neatspindi tikrovės. Vietoj to, komandos reikalauja nuolatinio proceso, kad nustatytų rizikos kontekstą, įvertintų jį vystant planus ir tikslus, priimtų sprendimus ir stebėtų rezultatus.
Taikant metodą taip pat reikia pripažinti, kad kibernetinė rizika yra verslo rizika. Analitikai pažymėjo, kad paprastai rizikos valdymo modelį pasirenka vyriausiasis rizikos vadovas, o CISO turi užtikrinti, kad modelis atitiktų organizacijos kibernetinio saugumo poreikius. Nedirbdami užblokuotu žingsniu, saugos ir rizikos profesionalai įstringa baimėje nuo audito iki audito, o numatomi, išvengiami rizikos įvykiai kartojasi.
„Vyriausiasis rizikos pareigūnas ir vyriausiasis informacijos saugumo pareigūnas turi būti tame pačiame puslapyje, kai įgyvendina rizikos sistemą, nes abu yra atsakingi už skirtingų rizikos aspektų nustatymą ir šalinimą organizacijoje“, – pastebėjo Sunlinas.
„CRO paprastai daugiausia dėmesio skiria bendrai verslo ir veiklos rizikai, o CISO – kibernetinio saugumo rizikai. Tačiau abu vaidmenys sutampa su rizikos valdymu, o jų komandos turi esminių įžvalgų, kuriomis reikia dalytis, kad būtų galima veiksmingai spręsti ir sumažinti riziką.
„Bendradarbiavimas tarp CRO ir CISO užtikrina holistinį požiūrį į rizikos valdymą, leidžiantį organizacijai aktyviai nustatyti, įvertinti ir išspręsti galimas grėsmes visose srityse“, – sakė ji. „Kai jų pastangos yra suderintos, tai skatina vieningą, visapusišką rizikos strategiją, kuri sumažina pažeidžiamumą ir padidina bendrą verslo atsparumą.
Forrester modelis
Scottas ir Valente taip pat paminėjo Forrester nuolatinį rizikos valdymo modelį, kurį jie pavadino „holistinio rizikos valdymo planu“.
Amit pažymėjo, kad Forrester požiūris nėra visiškai naujas. „Tai imituoja, kaip šiuolaikinės organizacijos valdo riziką“, – sakė jis.
„Įrankių, leidžiančių organizacijai gauti dažniau duomenų apie savo vidinę kontrolę ir procesus, taip pat išorines grėsmes, įdiegimas leidžia vykdyti detalesnį rizikos valdymą, kuris yra labiau nuolatinis nei periodiškas“, – aiškino jis.
Jis taip pat atkreipė dėmesį, kad audito ir atitikties reikalavimai verčia organizacijas vykdyti nuolatinį įrodymų rinkimą ir kontrolę, o tai savo ruožtu leidžia nuolat praktikuoti ryškesnį rizikos valdymą.
Iš esmės žmonės turi suprasti, kas yra rizikos valdymas ir saugumas, patarė Winkleris. „Saugumo apibrėžimas yra be rizikos ir niekada negali būti laisvas nuo visos rizikos.
„Apsaugos specialistai turi suprasti, kad jų darbas iš esmės yra rizikos valdymas, kuris apima geriausių sprendimų priėmimą, siekiant optimizuoti savo išlaidas, palyginti su galimų nuostolių dydžiu“, – tęsė jis. „Tam reikia gerų sprendimų mokslo ir matematinių įrankių. Tai paskatins jų darbą iš meno į mokslą.
