Управление рисками во многих организациях увязло в системе, которая не может справиться с проблемами, с которыми сталкивается большинство групп управления рисками предприятия. Его необходимо модернизировать.
Именно такой вердикт вынесли старшие аналитики Коди Скотт и Алла Валенте в недавнем блоге Forrester Research, в котором критикуется подход «Три линии защиты» (3LOD), который широко используется для оценки организационного риска.
«Традиционные средства управления рисками не соответствуют требованиям, скорости и давлению, с которым сталкивается большинство групп корпоративных рисков», — пишут аналитики.
«Что еще хуже», продолжили они, «многие программы управления, управления рисками и обеспечения соответствия чрезмерно сосредотачиваются на соблюдении требований, полностью игнорируют риски и изо всех сил пытаются обеспечить управление для каждого нового возникающего риска, технологии или угрозы. Модель 3LOD не предназначена для решения этой проблемы. «
Они пояснили, что 3LOD был разработан как основа корпоративного управления для реализации требований разделения обязанностей в соответствии с Законом Сарбейнса-Оксли 2002 года (SOX). Затем, в 2013 году, Институт внутренних аудиторов (IIA) продвигал его как решение для улучшения управления рисками. «Но, как скажет вам любой, кто пытался внедрить его в качестве основы для управления рисками предприятия, 3LOD не является моделью управления рисками», — пишут аналитики.
Жесткая основа
Эта структура предназначена для удовлетворения требований соответствия, установленных SOX, а не для борьбы с бизнес-рисками, отметил Ян Амит, основатель и генеральный директор Gomboc, поставщика автоматизированных решений по обеспечению безопасности облачной инфраструктуры в Нью-Йорке.
«Он недостаточно адаптивный, чтобы работать в большинстве современных организаций, где линии подчинения и иерархия не такие жесткие, как в 2000 году», — сказал он TechNewsWorld.
«Схема 3LOD — это довольно старый подход, который использовался и, вероятно, до сих пор используется в финансовом секторе», — добавил Брайан Беттертон, директор практики по рискам и стратегическим услугам компании GuidePoint Security, поставщика услуг кибербезопасности в Херндоне, штат Вирджиния.
«3LOD — это не то, что я бы назвал современным подходом, но некоторым он нравится, поскольку он создает разделение и, таким образом, разделяет управление рисками на три функции», — сказал он TechNewsWorld. «Для меня 3LOD — это скорее подход к аудиту, чем к риску».
Он также отметил, что из-за аудиторского характера средств контроля он ориентирован на конкретный момент времени, а не на непрерывный подход, присущий решениям, ориентированным на бизнес-риски.
Соблюдение требований превосходит риск
Многие программы управления рисками уделяют особое внимание соблюдению требований, а не фактическому риску по ряду причин.
«Традиционные подходы к управлению рисками, как правило, сосредоточены на соблюдении требований — прохождении аудита и проверке флажков — а не на реальных бизнес-рисках», — сказал Амит. «Эти подходы часто применяются организациями, руководство которых больше озабочено сохранением текущего статус-кво, чем увеличением доходов или инновациями».
«Часто программы управления рисками больше внимания уделяют соблюдению требований, поскольку они осязаемы и привязаны к четким целям», — добавила Николь Сундин, директор по производству Axio, компании по управлению киберрисками в Нью-Йорке.
«Работа по обеспечению соответствия обычно связана с бизнес-целями или внешними требованиями», — сказала она TechNewsWorld. «В этом контексте соблюдение требований становится моментальной мерой, направленной на удовлетворение конкретных потребностей бизнеса, а не постоянным процессом выявления и смягчения развивающихся рисков».
Кроме того, большинство программ управления рисками основаны на целях соблюдения требований, добавил Чандрасекхар Билугу, технический директор SureShield, компании, занимающейся разработкой программного обеспечения для обеспечения безопасности, соответствия и управления целостностью, из Атланты. «Организации редко рассматривают управление рисками как независимый процесс, не связанный с мандатами по соблюдению требований, поскольку ему не хватает необходимой поддержки со стороны руководства», — сказал он TechNewsWorld.
Хит Ренфроу, директор по информационной безопасности и соучредитель Fenix24, компании по аварийному восстановлению и восстановлению в Чаттануге, штат Теннеси, утверждает, что программы управления рисками, основанные на соблюдении требований, являются не чем иным, как бумажными упражнениями, в которых нет надежного способа количественной оценки рисков, которые могут принять высшие руководители. решения, основанные на риске. «Вы не можете управлять рисками, которых не понимаете», — сказал он TechNewsWorld.
Беттертон отметил, что в менее зрелых организациях программы управления рисками, как правило, фокусируются на соблюдении требований, а не на рисках. «Менее зрелые организации рассматривают соблюдение требований как свой главный риск и, в свою очередь, упускают из виду все возможные риски», — сказал он.
Для многих организаций обеспечить соответствие требованиям также проще, чем оценить потребности в безопасности. «Соответствие означает, что вы соблюдаете правило или постановление, которое необходимо соблюдать. Существуют четкие определения того, чему необходимо следовать», — объяснила Ира Винклер, директор по информационной безопасности CYE, компании по оптимизации кибербезопасности в Тель-Авиве, Израиль.
«Однако понятия «безопасность» сильно различаются», — сказал он TechNewsWorld. «Если вы понятия не имеете, что означает безопасность для вашей организации, хотя у вас есть четкое определение того, что значит соответствовать требованиям, вы, очевидно, сначала добьетесь соответствия, потому что трудно обеспечить безопасность, если вы не совсем понимаете что это значит».
Фонд современного управления рисками
Скотт и Валенте назвали три столпа современного подхода к управлению рисками.
Подход должен быть динамичным и способным справляться с риском в трех измерениях: системный риск, внешний по отношению к организации и находящийся вне ее контроля; экосистемный риск, внешний по отношению к организации, но в пределах различной степени контроля, например риск третьих сторон и риск цепочки поставок; и корпоративные риски, внутренние для организации и непосредственно контролируемые, такие как кибербезопасность и финансовые риски.
Кроме того, этот подход должен быть непрерывным, поскольку риски и возможности меняются с течением времени. Статические оценки рисков на определенный момент времени не отражают реальность, объясняют аналитики. Вместо этого командам требуется непрерывный процесс определения контекста риска, его оценки по мере разработки планов и целей, принятия решений и мониторинга результатов.
Этот подход также должен признавать, что киберриск — это бизнес-риск. Аналитики отметили, что обычно директор по рискам выбирает модель управления рисками, а директор по информационной безопасности должен убедиться, что модель функциональна для нужд кибербезопасности организации. Без согласованной работы специалисты по безопасности и управлению рисками застревают в страхе от аудита к аудиту, в то время как предсказуемые и предотвратимые рисковые события материализуются неоднократно.
«Директор по рискам и директор по информационной безопасности должны быть на одной волне при внедрении системы управления рисками, поскольку оба несут ответственность за выявление и устранение различных аспектов риска внутри организации», — заметил Сундин.
«CRO обычно фокусируется на общих бизнес- и операционных рисках, а CISO – на рисках кибербезопасности. Однако обе роли имеют дублирующие обязанности, когда дело доходит до управления рисками, и их команды обладают важными знаниями, которыми необходимо делиться для эффективного устранения и смягчения рисков».
«Сотрудничество между CRO и CISO обеспечивает целостный подход к управлению рисками, позволяя организации активно выявлять, оценивать и устранять потенциальные угрозы во всех областях», — сказала она. «Когда их усилия согласованы, это способствует созданию единой, комплексной стратегии управления рисками, которая уменьшает уязвимости и повышает общую устойчивость бизнеса».
Модель Форрестера
Скотт и Валенте также рекламировали модель непрерывного управления рисками Forrester, которую они назвали «образцом целостного управления рисками».
Подход Forrester не является чем-то совершенно новым, отметил Амит. «Это имитирует то, как современные организации управляют рисками», — сказал он.
«Внедрение инструментов, которые позволяют организации чаще получать данные о ее внутреннем контроле и процессах, а также о внешних угрозах, позволяет осуществлять более детальное управление рисками, которое является более непрерывным, чем периодическим», — пояснил он.
Он также отметил, что требования к аудиту и соблюдению требований вынуждают организации осуществлять более непрерывный сбор доказательств и контроль, что позволяет им, в свою очередь, практиковать более четкое управление рисками на постоянной основе.
По сути, люди должны понимать, что такое управление рисками и безопасность, посоветовал Винклер. «Определение безопасности — это отсутствие риска, а вы никогда не сможете быть свободны от всех рисков».
«Профессионалы в области безопасности должны понимать, что их работа — это, по сути, управление рисками, которое предполагает принятие наилучших решений для оптимизации своих расходов по сравнению с размером потенциальных потерь», — продолжил он. «Это требует хорошей науки о принятии решений и математических инструментов. Это превратит их работу из искусства в науку».
