В новом номере журнала Information Security №1 январь-февраль 2010 г. опубликована моя новая статья «О преимуществах системного подхода к управлению рисками», представляющая собой, как и предыдущая моя статья в этом журнале, переработанный отрывок из моей книги «Искусство управления информационными рисками».
Любая система управления представляет собой трио: люди-процессы-технологии. Так cистема управления рисками, включает в себя:
- совокупность взаимосвязанных формализованных процессов, обеспечивающих анализ и планирование, реализацию и эксплуатацию, мониторинг и аудит, корректировку и совершенствование механизмов управления рисками;
- стандарты и технологии управления рисками, представленные в виде нормативной и рабочей документации, включающей в себя политику управления рисками и методологию оценки рисков, а также еще около 20 рабочих документов, из которых самыми важными являются Реестр информационных рисков и План обработки рисков;
- организационную структуру управления рисками и соответствующим образом подготовленный персонал. Роли и ответственность за функционирование процессов управления рисками распределяются между руководством организации, управляющим комитетом по информационной безопасности, рабочей группой по оценке рисков, владельцами активов, пользователями и обслуживающим персоналом информационных систем, менеджером информационной безопасности, риск-менеджером и аудиторами.
Самым слабым звеном традиционно являются люди. Основная же проблема при работе с людьми — это проблема мотивации. Основная форма мотивации — материальное стимулирование. У многих ли менеджеров информационной безопасности и риск-менеджеров зарплата зависит от достижения целей управления рисками, целей информационной безопасности и возврата инвестиций? Чем тогда эти работники мотивированы на достижение результатов и как измерить эти результаты?
Это один из самых важных вопросов, затронутых в статье. В отсутствии эффективной и понятной мотивации рушится и вся система информационной безопасности.
Об этом и о многом другом читайте в свежем номере Information Security №1 январь-февраль 2010 г.