Шість кроків для управління ризиком

Ви знаєте, що є якийсь ризик у вашій організації. Як можна висловити це начальникам? Національний інститут стандартів і технології дає нам структуру, по якій можемо це зробити. Ця структура має шість кроків.

Визначіть вплив. Який буде результат, якщо погана дія насправді ж відбувається? Він дуже поганий або тільки некомфортний? Вам так слід визначити вплив ризику. У сфері кібербезпеки, ми гадаємо про роботу без наших комп’ютерів. Якщо бізнес абсолютно не може продовжуватися без комп’ютерів, то ризик дуже високий. Зрозумійте ризик всіх, або принаймні деяких, загроз.

Придумайте захист. Визначіть, що захищає організацію від цих загроз. Запам’ятайте вплив кожного ризику. Якщо він невисокий, не варто вибирати дуже сильний захист. Вам не слід платити сто доларів, аби захищати десятидоларове майно.

Впровадьте захист. Це найпростіший, але найбільш трудомісткий крок. Ви вже визначилися з захистом, тому час виконати його.

Перевірте захист. Це, зазвичай, весела робота. Вам треба слідувати тактикам загрози, щоб побачити якість захисту. Ви так зрозумієте справжній ризик організацій та прогалини в вашій безпеці.

Схвалюйте ризик. Зараз ваші начальники повинні зрозуміти ризик у вашій організації. Вони знають, що ви впровадили й перевірили захист. Вони також знають, що вони могли вимагати ще захисту, якщо їм ризик неприйнятний. Тому, вони зараз приймають весь залишений ризик.

Контролювати захист. Ваша організація прийняла ризик, але що зробити, якщо він змінюється? Цей крок несправжній крок, а більше як продовження третього, четвертого, та п’ятого кроків. Продовжуйте перевіряти захист. Якщо він не працює як працював, коли начальники схвалювали ризик, то керівництво повинне схвалювати новий ризик або вимагати ще захисту.

Ці кроки допоможуть вам зрозуміти ваш ризик, як потрібно знизити його, й приймати залишений ризик. Запам’ятайте, що нам, фахівцям з безпеки, не слід примушувати наших начальників знизити ризик до нуля. Це типова помилка цієї сфери. Вони приймають ризик, а не ми.

I write about computer science, computer security, and cyber policy.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store