Бизнес не может получить никакого вознаграждения, не рискуя. Вопрос в том, на какой риск готова пойти ваша организация.
Склонность компании к риску помогает определить эту готовность; это уровень риска, который, по мнению вашей организации, соответствует ее бизнес-целям. Например, если ваша компания гордится качеством обслуживания клиентов, у вас может быть низкая склонность к риску из-за плохих отзывов. Затем это будет использоваться в ваших стратегиях управления рисками при разработке плана, позволяющего избежать недовольства клиентов.
Другой термин, часто встречающийся при размышлении о склонности к риску, - это толерантность к риску. Эти две фразы могут показаться взаимозаменяемыми, но это разные понятия. Если склонность к риску - это величина риска, на который вы хотите пойти для достижения бизнес-целей, то толерантность к риску - это величина риска, на который вы действительно готовы пойти в любой данный момент для достижения этих целей.
Почему важно определить вашу склонность к риску
Самое большое преимущество определения вашей склонности к риску заключается в том, что это помогает вам понять потенциальную отдачу от ваших рисков. Параметры, которые вы устанавливаете для определения вашей склонности к риску, помогают повысить эффективность ваших будущих усилий по управлению киберирисками. По мере роста вашего бизнеса и изменений в управлении операционными рисками вы сможете увидеть, как меняются и ваши расчеты соотношения риска и вознаграждения.
Поддержание актуального заявления о склонности к риску также позволяет вам адаптироваться к новым условиям или скорректировать свою толерантность к риску для улучшения возможностей роста.
Как рассчитать вашу склонность к киберриску
Ключевые заинтересованные стороны, высшее руководство, директор по информационной безопасности (CISO) и совет директоров - все они должны быть вовлечены в расчет вашей склонности к риску. Во-первых, определите приоритеты ваших главных бизнес-целей. Затем рассмотрите сценарии, в которых ваши риски не окупаются: какой уровень ущерба потерпит ваша организация, если риски не принесут положительных результатов? Наконец, определите ожидаемые потенциальные положительные эффекты, то есть вознаграждение за принятие риска, которого вы надеетесь достичь.
Если ваша команда решит, что организация не сможет справиться с последствиями неудачи в достижении конкретных целей, вам следует принять решение о низкой склонности к риску. С другой стороны, если ваш бизнес может продолжать функционировать изо дня в день с некоторыми потерями, у вас может быть более высокая склонность к риску.
Было бы лучше, если бы вы связались со своим советом директоров, чтобы убедиться, что решения на высоком уровне принимаются в соответствии с установленным вами аппетитом к риску. Совместное составление заявления об аппетите к риску поможет обеспечить эффективность и соблюдение этого процесса.
Составление заявления об аппетите к киберриску
После расчета вашей склонности к киберриску для каждой стратегической цели в рамках вашего бизнеса вам следует написать краткое описание процесса принятия решений. Укажите риски, с которыми согласилась ваша команда, и склонность к каждому из них, а также меры кибербезопасности (или другие средства внутреннего контроля), необходимые для снижения рисков при достижении этих целей.
Относитесь к своему заявлению о готовности к киберриску как к живому документу, возвращаясь к нему каждые несколько месяцев. Пересматривайте свои решения и обновляйте их по мере необходимости с учетом новых бизнес-целей, изменения потенциальных угроз и улучшения допусков к риску.
Как Вы рассчитываете риск в области кибербезопасности?
Риск кибербезопасности - это возможность нанесения ущерба конфиденциальным данным, важным активам, финансам или репутации. В этих повреждениях, как правило, виноваты кибератаки или утечка данных.
Некоторые источники в кибербезопасности более серьезны, чем другие. Например, технологический риск, связанный с веб-сайтом, который просто отображает статические данные, меньше, чем опасность, связанная с веб-приложением, запрашивающим личную информацию у потребителей.
Оценка рисков кибербезопасности может иметь узкую направленность или охватывать весь бизнес, но она всегда включает в себя множество одних и тех же этапов и вариантов выбора. Эти шаги включают идентификацию рисков, анализ воздействия, обработку рисков (то есть принятие решения о том, как вы хотите справиться с риском) и снижение рисков. Вы можете внедрить эти элементы, чтобы получить оценку подверженности риску.
Что такое оценка киберриска?
Оценки киберрисков - это ценные инструменты, которые помогут вам оценить и объяснить существующую систему безопасности организации. Оценки киберрисков определяют серьезность каждого актива и унаследованные опасности, определяя, какие активы следует обработать в первую очередь. Затем вы можете систематизировать эти результаты в матрицу рисков, чтобы разделить активы на категории критического, высокого, среднего и низкого риска. Как правило, рейтинг включает в себя краткое изложение, которое помогает объяснить общий уровень риска для нетехнической аудитории.
Например, вам следует оценить степень риска для таких сервисов, как онлайн-приложения, Wi-Fi, хранилище данных, устройства с поддержкой Интернета и физическая безопасность. Как только вы поймете степень риска ваших ИТ-активов, у вас будет план действий по устранению уязвимостей и повышению общей безопасности.