İş Hedeflerine Uygun Risk Yönetimi: Güvenlikten Değer Üretmeye Geçiş Yazılım

İş Hedeflerine Uygun Risk Yönetimi: Güvenlikten Değer Üretmeye Geçiş

İş odaklı risk yönetimi, güvenlik verilerini finansal etkiyle ilişkilendirerek daha iyi kararlar almanızı sağlar.

Moneyball filminde Oakland A’ların daha fazla veriye değil, hangi verinin maç kazandırdığını bilmeye ihtiyacı vardı. Risk değerlendirme verileri de benzer bir sorun taşır. Bir CVSS skorunun 9.1 olması CFO için anlamsız olabilir; ancak bu skorun günlük 2 milyon dolar işlem yapan bir ödeme sistemindeki açığı temsil etmesi büyük anlam taşır. Verinin eyleme dönüşebilmesi için, finansal kayba, ürün gecikmelerine veya düzenleyici otoritelerin tepkisine yol açabilecek operasyonel kesintilerle ilişkilendirilmesi gerekir.

Periyodik risk değerlendirmesi, dinamik tehdit ortamına ayak uyduramaz. Bilgi risk yönetimi, riskleri, kontrollerin ne kadar iyi çalıştığını ve kontroller başarısız olduğunda işletme için olası sonuçları birbirine bağlayan sürekli bir süreç haline gelmelidir. Farklı risklerin etki seviyeleri, mevcut verileri ve paydaş ihtiyaçları değişir; bu nedenle analiz derinliği de farklılık gösterir. Nitel analiz, hızlı karar gerektiğinde ve veri sınırlı olduğunda kullanılırken; nicel analiz, yatırım kararlarının finansal desteğe ihtiyaç duyduğu durumlarda devreye girer. IRAM3 metodolojisi her iki yaklaşımı da tek bir çerçevede birleştirir.

Bağlantılı bir risk yaşam döngüsü, kuruluşların iş etkisini anlama, tehditleri yorumlama, kontrolleri değerlendirme, maruziyeti ölçme ve tedavi seçeneklerini karşılaştırma şeklini değiştirir. İlk adım, varlıkları destekledikleri iş fonksiyonuna göre gruplandırmaktır. Örneğin, bir hisse senedi ticaret platformunun belirli özelliklerinin yoğun işlem saatlerinde arızalanması yüksek etkili bir risktir ve ciddi mali kayıp ile itibar zedelenmesine yol açabilir. Ardından, tehdit olayları analiz edilir ve kontrollerin etkinliği test edilir. Çok faktörlü kimlik doğrulama kapsamı tam olsa bile, ayrıcalıklı hizmet hesapları dışarıda bırakıldıysa bu bir açık oluşturur.

Sistem Güvenliği

Risk analizi ve hesaplama aşamasında, iki risk de 'yüksek etkili' olarak etiketlenmiş olsa bile, biri muhtemelen 1 milyon dolar kayba neden olurken diğeri 10 milyon doları aşan kayıplara yol açabilir. Tedavi, mevcut risk maruziyetini iştahla karşılaştırarak yanıt vermeyi içerir. Sigorta finansal sonuçları azaltabilir ancak operasyonları, müşteri güvenini veya düzenleyici itibarı geri getiremez. İyileştirme planı uygulandıktan sonra kalan risk yeniden değerlendirilmelidir. Amaç daha parlak bir kayıt değil, kaynakları yönlendirmek ve iş sonuçlarını korumak için tekrarlanabilir bir yöntemdir.

Paylaş: