материалы выступления Ukrainian Information Security Group VI

1. Управление рисками -
серебряная пуля или данность
моды?
Собрание Ukrainian Information Security Group VI
Владимир Матвийчук, CISA, CISM, ITILF

2. Что такое управление рисками
Риск - произведение вероятности возникновения неблагоприятного события на
величину потерь, полученных в результате наступления такого события
Управление рисками - процесс принятия и выполнения управленческих решений,
направленных на снижение вероятности возникновения неблагоприятного результата
и минимизацию возможных потерь, вызванных его реализацией
Страница 2

3. Преимущества от использования
управления рисками
► Сокращение затрат
► Оптимизация контролей
► Эффективное использование технологий
► Улучшение бизнес-процессов
► «Единый язык» для общения с руководством бизнеса
► Координация действий по управлению рисками
► Улучшение процесса отчетности и раскрытия информации по
рискам
Страница 3

4. Проблемы управления рисками и
возможные причины
Проблемы Возможные причины
► Субъективность ► Неверно выбранная методика
► Неточность ► Низкое вовлечение бизнеса
► Сложность ► Низкий уровень зрелости
процессов ИБ
► Агрессивная стратегия
принятия рисков
Страница 4

5. Методика управления рисками – как
выбрать правильно?
► Выбор несоответствующей методики управления рисками – одна
из частых причин дальнейших проблем
► Критерии для выбора методики управления рисками (список не исчерпывающий):
ü Тип организации (государственная, большая, средняя, маленькая, коммерческая,
некоммерческая)
ü Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и
т.д.)
ü Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и
т.д.)
ü Стоимость методики, необходимость лицензирования (платная, бесплатная,
бесплатная для членов ассоциации и т.д.)
ü Уровень знаний специалистов, необходимый для использования методик (высокий,
средний, базовый)
ü Наличие инструментария для автоматизации и его стоимость (есть / нет, платный /
бесплатный)
ü Регуляторные требования
Страница 5

6. Выбор оценки: качество против
количества
Количественная Качественная
Страница 6

7. Не все риски можно легко оценить в
деньгах
► Урон репутации
► Утрата конкурентного преимущества
► Ухудшение продуктивности / морального духа сотрудников
► Ущерб или смерть
Страница 7

8. Субъективность методов оценки риска
Все в мире субъективно J
Страница 8

9. Почему «единый язык» для общения с
руководством бизнеса не работает ?
► Мы построили процесс, но руководство все равно не
слышит доводов
► Возможные причины:
► Наличие более приоритетных рисков
► Агрессивная политика принятия риска
Руководство
бизнеса Информационная
безопасность
Страница 9

10. Управление рисками глазами ИБ
Цели бизнеса, требования
регулирующих органов и указания
управляющего совета , которые Корпоративная модель управления рисками,
определяют требования к управлению стратегия, толерантность к риску,
рисками Бизнес метод управления и ожидания от управления
факторы рисками
Стратегия управления Владение, ответственность,
Определение рисков, сферы рисками контроль выполнения программ и
рисков, ключевые индикаторы управление требованиями к оценке,
рисков, библиотека рисков и улучшению и мониторингу рисков
контролей, сценарии рисковых Управление,
событий и критерии к политики и стандарты
определению рейтинга рисков Определение и категоризация рисков
Инструменты для облегчения
Процессы, процедуры и методы Процессы и процесса управления рисками
Инструменты и Управление
управления рисками операционные технологии персоналом и
практики организацией
Организационная структура, роли и
обязанности, программа обучения и
Соответствие, мониторинг и отчетность персонал для управления рисками
Матрица рисков: непрерывное
наблюдение и отчетность об
эффективности управления рисками
Страница 10

11. Информационные риски глазами бизнеса
Учет
и отчетность Ликвидность Рынок
Динамика
рынка Структура
капитала
Основные
инициативы
Кредитный
Слияние,
поглощение и ФИНАНСОВЫЕ
отчуждение Разработка
активов продуктов
СТРАТЕГИЧЕСКИЕ
Планирование и
Распределение
ресурсов E&Y RISKUNIVERSEä Продажи и
маркетинг
Коммуникации и ОПЕРАЦИОННЫЕ
Поставки
связи с
инвесторами СООТВЕТСТВИЯ
Управление Люди
Нормы
поведения Информационные
технологии
Правовой Регуляторный Налоги Основные Прерывание
фонды деятельности
Страница 11

12. Риск-аппетит: теория
► Риск нельзя свести к абсолютному минимуму
► Невозможно выявить все источники рисков
► Уменьшение некоторых рисков требует чрезмерных затрат
► Принятие некоторых рисков позволяет увеличить доходность
► Установление предельного значения риска позволяет определить, до
какой степени данный риск следует минимизировать, а до какой –
принять
Идеальный вариант
Затраты
Суммарные затраты
Затраты на контроли
Ожидаемые потери
Оптимальные затраты Риски
Страница 12

13. Стратегии в принятии риска
Стратегия Описание
Неприятие Избежание риска и неопределенности является ключевой задачей
Осторожность Предпочтение для безопасных вариантов, которые имеют низкую степень
присущего риска и могут иметь лишь ограниченный потенциал для выгоды
Открытость Готовы рассмотреть все варианты и выбрать тот, который наиболее вероятно,
приведет к успешной доставки а также обеспечивает приемлемый уровень
выгоды
Жажда Стремимся быть инновационными и выбирать варианты на основе
потенциала наибольшей выгоды (несмотря на присущий высокий риск)
Страница 13

14. Риск-аппетит: реалии
► Руководство может
принимать разную
стратегию принятия
рисков
► Руководство бизнеса
склонно рисковать
► Принятие риска часто
может привести к
дополнительной прибыли
Страница 14

15. Управление информационными рисками
сугубо силами ИТ и ИБ - путь в никуда
► Управление информационными рисками должно
интегрироваться общекорпоративную модель
управления рисками
► Оценка ущерба без вовлечения представителей
бизнес-подразделений – напрасно потраченные
ресурсы
Страница 15

16. Проблемы будущего
► Еще один часто встречающийся аргумент против управления
рисками - невозможно оценить влияние будущих событий
(появления уязвимостей 0-го дня и т.д.)
► Управление рисками – циклический, постоянно
совершенствующийся процесс
► Оценка должна проводится:
► регулярно (как минимум ежегодно)
► при обнаружении новых уязвимостей
► при существенных изменениях в компании
Страница 16

17. Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com
Страница 17