Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

От своих предшественниц, книг «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе» и The Failure of Risk Management, она отличается тем, что ориентирована на конкретную область. Более того, книга создавалась как дорожная карта для построения системы управления рисками кибербезопасности и стратегических технологических методов управления рисками для руководителей высшего звена. По нашему мнению, на данный момент кибербезопасность как операционную функцию необходимо переопределить на основе количественных показателей управления рисками. Данная книга пропагандирует количественные методы и предлагает дополнительные аргументы в их пользу. Если вам кажется, что управление рисками кибербезопасности (УРК) должно представлять собой программу, а не набор количественных приемов, то эта глава как раз для вас. Здесь мы рассмотрим, как может выглядеть такая программа и как она может работать вместе с другими функциями, связанными с технологическими рисками.

Данный раздел отвечает на вопрос «Какова должна быть стратегическая корпоративная роль управления УРК?». То, что понимается нами под функцией УРК, должно стать первым аспектом для рассмотрения крупных инвестиций на уровне высшего руководства или совета директоров. Решения по-прежнему принимают руководители, но они пользуются количественными методами для сложения, умножения и деления долларов и вероятностей. Порядковые шкалы и другие фальшивые методы оценки риска неприемлемы.

Функция УРК является функцией уровня руководства высшего звена. Выполнение этой функции может возлагаться на руководителя отдела информационной безопасности, но мы бы отнесли ее выше по субординации – к его начальнику, в свою очередь подчиняющемуся непосредственно генеральному директору или совету директоров. Если руководитель отдела информационной безопасности обладает подобными полномочиями, тогда это, конечно, тоже может сработать, но для этого ему придется сменить круг обязанностей. «Информация и безопасность» завязаны на «риск», который рассматривается исключительно как вероятность и воздействие в понимании актуария. Что касается обязанностей или изменения должности, нам встречались такие варианты, как «главный специалист по управлению технологическими рисками» и «главный специалист по рискам». К сожалению, последний, как правило, выполняет чисто финансовые и/или юридические функции. Как бы ни называлась должность, она не должна находиться в подчинении у директора по IT / технического директора, в противном случае это все равно, что назначить лису следить за курятником. Функция УРК отвечает интересам генерального директора и совета директоров и нужна для защиты бизнеса от неудачных инвестиций в технологии.

Хартия в целом такова.

• Деятельность по УРК подотчетна генеральному директору и/или совету директоров. Должность руководителя может называться «главный специалист по управлению технологическими рисками», «главный специалист по рискам» или, возможно, «руководитель отдела информационной безопасности», при условии что его обязанности будут качественно переопределены.

• Функция УРК должна рассматривать все крупные инициативы с учетом технологических рисков, в том числе корпоративные поглощения, крупные инвестиции в новые технологии для предприятия, венчурные инвестиции и т. п. «Рассматривать» здесь означает количественно оценивать и прогнозировать потери, прибыли и стратегические меры по смягчению последствий, а также связанные с этим оптимизации.

• В обязанности УРК также входит мониторинг и анализ существующих вложений в средства контроля безопасности. Задача состоит в оптимизации вложений в технологии с учетом вероятных будущих убытков. Размерное моделирование и связанные с ним техники, описанные в главе 11, являются при этом ключевыми. С операционной точки зрения целью данной функции является ответ на вопрос «Эффективно ли взаимодействуют между собой наши вложения в борьбе с ключевыми рисками?».

• В УРК применяются проверенные количественные методы для понимания и передачи информации о риске в денежном выражении. Кривые вероятности превышения потерь должны стать средством для обсуждения и визуализации рисков, а также связанных с ними инвестиций в смягчение последствий с учетом рискоустойчивости. Сюда входят риски, связанные с одним приложением, и/или их совокупность из одного или нескольких портфелей риска.

• Специалист по УРК отвечает за поддержание рискоустойчивости компании совместно с финансовым директором, главным юрисконсультом и советом директоров. В частности, КПЭ, используемым для управления рисками, должно быть «превышение допустимого риска».

• Функция УРК отвечает за руководство технологическими программами управления исключениями, нарушающими допустимый уровень риска, и их мониторинг.