Moneyball filminde Oakland A'ların daha fazla veriye ihtiyacı yoktu; Hangi verinin aslında oyun kazandırdığını bilmeleri gerekiyordu. Risk değerlendirme verileri de aynı sorunu yaşıyor. CVSS puanının 9,1 olması bir CFO için çok az şey ifade edebilir; Bunun günlük 2 milyon doları işleyen bir ödeme sistemindeki bir güvenlik açığını temsil etmesi çok önemli. Bu nedenle, bu verilerin daha fazla işlem yapılabilir hale gelmesi için mali kayba, ürün gecikmelerine veya düzenleyici otoritelerin öfkesine yol açabilecek operasyonel kesintilerle ilgili bilgilere bağlanması gerekir.
Daha Bağlantılı Bir Risk Yaşam Döngüsü İleriye Giden Yoldur
Periyodik risk değerlendirmesi, değişken bir jeopolitik ortamın ve yapay zeka ve kuantum hesaplama gibi yeni gelişen teknolojilerin desteklediği dinamik bir tehdit ortamına ayak uyduramaz. Bilgi riski yönetimi bunun yerine riskleri, kontrollerin ne kadar iyi çalıştığını ve kontrollerin işe yaramaması durumunda iş için olası sonuçları birbirine bağlayan devam eden bir süreç haline gelmelidir.
Farklı risklerin farklı etki düzeyleri, mevcut verileri ve paydaş ihtiyaçları vardır.; bu nedenle analizin derinliği de farklılık gösterir. Bu amaçla kullanabileceğiniz iki analiz kanalı vardır. Niteliksel analiz, satın alma sırasında yeni bir SaaS satıcısının riskini hızlı bir şekilde derecelendirmek gibi sınırlı verilerle hızlı bir karara ihtiyacınız olduğunda işe yarar. Niceliksel analiz, yatırım kararlarının mali desteğe ihtiyaç duyduğu durumlarda uygundur; örneğin, bir fidye yazılımı olayının öngörülen maliyeti göz önüne alındığında, uç nokta tespitine harcanan paranın haklı olup olmadığına karar vermek. IRAM3 metodolojisi, her iki yolu da uçtan uca aynı süreç akışını takip eden ve modüler olacak şekilde tasarlanan tek bir birleşik çerçeveye getiriyor; böylece kuruluşlar, acil ihtiyaçlarına en uygun olan aşamaya girebilirler.
İş Odaklı Risk Yönetimine Doğru Geçiş
Sonuç ve Değerlendirme
Bağlantılı bir risk yaşam döngüsü, kuruluşların iş etkisini anlama, tehditleri yorumlama, kontrolleri değerlendirme, maruz kalma durumunu ölçme ve tedavi seçeneklerini karşılaştırma biçimini değiştirir. Daha da önemlisi, her değerlendirmeyi izole edilmiş bir egzersiz olarak ele almak yerine, bu etkinlikleri birbiriyle bağlantılı tutar.
İdeal olarak, ilgili varlıklar destekledikleri iş fonksiyonuna göre gruplandırılmalıdır; örneğin ticaret alanı, müşteri veri ortamı veya ödeme ağ geçidi. Bu, ekiplerin işletmenin gerçekte nasıl çalıştığıyla bağlantılı risk değerlendirmeleri yapmasına olanak tanır. Bu, risk iştahınızı tanımlamanıza yardımcı olacaktır. Örneğin, bir hisse senedi alım satım platformunun en yoğun alım satım sırasında başarısız olan belirli özellikleri, yüksek etkili bir risktir ve önemli mali kayıplara ve itibar kaybına neden olabilir.
Sistem Güvenliği
Reklamcılık. Okumaya devam etmek için kaydırın.
Tehdit Olaylarını Analiz Edin
Varlık ortamınızı bilmek resmin sadece yarısıdır. Bir sonraki adım, varlıklarınızı neyin tehdit ettiğini belirlemek, ilgili tehditleri kritik varlıklarla haritalandırmak ve bunların gerçekleşme olasılığını tahmin etmektir. Niceliksel açıdan bakıldığında, bir derecelendirmeden minimum, en muhtemel ve maksimumu içeren üç noktalı bir sıklık tahmini atamaya geçersiniz. Bu tahmin, bir yıl içinde beklediğiniz kayıp olaylarının sayısını temsil eder.
Kontrol Etkinliğinin Test Edilmesi
Bir şirket çok faktörlü kimlik doğrulama kapsamının tamamını bildirebilir, ancak MFA'nın etkinleştirilmesi eski entegrasyonu bozduğu için ayrıcalıklı hizmet hesapları hariç tutulursa, bu boşluk kritik sistemlere doğrudan giden bir yoldur. Bu nedenle kontrollerin belirli tehditlerle eşleştirilmesi, ne kadar iyi uygulandıkları ve riski gerçekten azaltıp azaltmadıkları açısından değerlendirilmesi gerekir.
En önemli iki soru: Kontrol, bir tehdidin gerçekleşme olasılığını azaltıyor mu ve tehdidin gerçekleşmesi durumunda hasarı sınırlandırıyor mu? Her iki boyuta da ihtiyaç var. Bir olayı içeren ancak bunu önlemek için hiçbir şey yapmayan bir kontrol yalnızca yarı yarıya etkilidir ve yatırım kararları bunu yansıtmalıdır.
Teknik Analiz
Risk Analizi ve Hesaplaması
Yüksek etkili riskler olarak adlandırılan iki risk, biraz daha derine inerseniz çok farklı görünebilir. Risklerden biri olası 1 milyon dolarlık bir kayıpla sonuçlanabilirken, daha düşük bir ihtimalle gerçekleşme ihtimali olan diğeri ise 10 milyon doları aşan kayıplarla sonuçlanabilir. Aynı etiket, risk etrafındaki suları bulandırıyor ve sermaye maruziyetindeki maddi farkı gizliyor.
Gelecekte Ne Bekleniyor?
Bir risk matrisi üzerine çizilen niteliksel derecelendirmeler, hızlı ve yönlü bir görünüm sağlar. Potansiyel kayıpların olasılık dağılımını oluşturmak için simülasyon tekniklerini kullanan niceliksel modelleme, hangi tehditlerin en fazla mali riske yol açtığını ve tedavi çabalarının nerede yoğunlaşması gerektiğini ortaya çıkarır. Her iki görüşün de yeri vardır ve bu, birini diğerine tercih etmekle ilgili değildir.
Tedaviler t İş Değerine göre
Uzmanların Görüşleri
Tedavi, mevcut risk maruziyetinizi bu riske olan iştahınızla karşılaştırarak ve ardından nasıl yanıt vereceğinize karar vererek başlar. Bir perakendecinin daha güçlü dolandırıcılık kontrolleri, ödeme sürecine daha fazla kontrol getirme veya daha fazla sigorta satın alma arasında seçim yapması gerekebilir. Risk modelleme, her bir kontrolün beklenen kaybı ve müşteri anlaşmazlıklarını nasıl etkilediğini belirlemeye yardımcı olacak ve böylece işletmeniz için daha anlamlı bir tedavi planının yapılmasına yardımcı olacaktır. İş liderleri, kabul edilebilir ilk plana bağlı kalmak yerine alternatifleri test edebilir ve karşılaştırabilir. Örneğin, Sigorta finansal sonuçları azaltabilir, ancak operasyonları, müşteri güvenini veya yasal durumu eski haline getiremez.
Planları Ölçülebilir İyileştirmeye Dönüştürün
Nasıl Önlem Alınmalı?
Bir iyileştirme planınız olduğunda onu uygulayın, tamamlandığını doğrulayın ve kalan riski değerlendirin. Bir üreticinin ağ bölümlendirmesini uyguladığını ancak ana üretim sisteminin izole edilip edilemeyeceğini doğrulamadığını düşünün.
Tüm eylemlerin sahipliği, son tarihleri olmalı ve etkililik kanıtı sağlamalıdır. Artık maruz kalma varsa risk iştahına göre yeniden değerlendirilmeli ve gerekiyorsa tedaviye başlanmalıdır.
Önemli Gelişmeler
İşletmeniz büyüdükçe bağımlılıklar değişir ve mevcut güvenlik duruşunuz yeni ortaya çıkan tehditlere yanıt veremeyebilir. Kontrollerin kademeli olarak hareket etmesi gerekecek. Bu nedenle risk bilgilerinin sürekli olarak gözden geçirilmesi, iletilmesi ve iyileştirilmesi gerekmektedir. Amaç daha gösterişli bir kayıt değil, kaynakları yönlendirmenin, iş sonuçlarını korumanın ve belirsizliği kurumsal stratejinin bilinçli bir parçası haline getirmenin tekrarlanabilir bir yolunu bulmaktır. Değişken bir ortamda kazanan kuruluşlar, riskten tamamen kaçınanlar değil, riskleri yönlendirmek için gereken verilere hakim olan kuruluşlar olacaktır.