КОД ИБ в Красноярске
Управление рисками в ИБ: как доносить до руководителя?
И где этому научиться
Сегодня все говорят о рисках и о том, как их просчитать.
Самое важное в оценке рисков – это их понятное представление. До руководителя риски лучше всего доносить в денежном эквиваленте и без узконаправленных терминов.
Цикл процесса управления рисками состоит из следующих этапов:
1. Оценка риска
2. Первичная обработка риска
3. Оценка остаточного риска
4. Решение по остаточному риску
5. Идентификация риска/переоценка риска.
Что нужно учесть в процессе оценки рисков:
- Вероятность. Вероятность наступления события зависит от мотивации злоумышленника. Задайте себе следующие вопросы: «Были ли попытки реализации определенного сценария у Вас, у ваших конкурентов? Как трудно реализовать атаки в условиях вашей системы? Что дает реализация злоумышленнику?»
- Репутационный ущерб, который включает в себя ущерб в глазах акционеров, регуляторов и клиентов
- Финансовый ущерб, в который входит неполученная выгода, потери компании, потери партнеров, потери клиентов
- Стек применяемых технологий
- Текущие бизнес-процессы и договоренности с партнерами.
Самые популярные ошибки при оценке рисков:
- Учитывать только последствия, забывая про вероятность наступления определенного события
- Излишне перестраховываться. Важно помнить, что стоимость защитных мер не должна быть выше возможных потерь
-Забывать о переоценке рисков.
При управлении рисками ИБ важно:
- Говорить на языке собеседника
- Думать как бизнес
- Добиваться слияния бизнеса и безопасности
- Запрашивать обратную связь
- Давать обратную связь и мониторить ее эффективность
- Никогда не говорить «нельзя», не предложив альтернативы
- Четко определить баланс между риск-аппетитами и допустимой границей рисков, постоянно выдерживать его
- Быть поставщиком решений.
А вы легко говорите о существующих рисках своему руководству? Приходите на конференцию Код ИБ в Красноярске 31 марта, чтобы изучить опыт коллег и взять лучшие практики себе на вооружение.
Например, более пристально разобраться с устранением рисков, связанных с хранением неструктурированных данных.
Программа постоянно наполняется, следить за ее обновлением можно на сайте:
https://codeib.ru/event/kod-ib-krasnoiarsk-2022-03-31-197/page/vvedenie-krasnoyarsk-2022
Советуем не затягивать с регистрацией и сделать это заранее, пока места еще есть.
Спонсор конференции:
Ростелеком-Солар
Партнеры мероприятия:
Киберпротект, Мегафон, Searchinform, Ideco, Makves
