Джош Сокол, создатель и генеральный директор SimpleRisk
За каждым супергероем комиксов стоит история, описывающая, как они преодолели те или иные невзгоды, чтобы стать защитниками всего хорошего, всего того, что мы узнали и полюбили в борьбе с преступностью. Как и у этих поборников справедливости, у SimpleRisk тоже есть история происхождения. Все началось в 2012 году, когда Джошу Соколу было поручено запустить программу управления корпоративными рисками в National Instruments. Его первоначальное исследование указало ему на NIST SP 800-30 «Руководство по проведению оценки рисков» . Этот 95-страничный документ был наполнен весьма полезной информацией, которую можно было бы использовать для создания и реализации корпоративного плана управления рисками. В нем были приведены примеры того, как проводить оценку рисков, рекомендации по количественной оценке рисков, а также описан процесс планирования мер по смягчению последствий и проведению проверок. Однако данный документ не предоставил инструмента, который можно было бы использовать для систематизации, структурирования и отслеживания всего этого.
Первый этап управления рисками в National Instruments начался с простого шаблона документа Microsoft Word с формой оценки рисков и электронной таблицы Microsoft Excel для отслеживания всей документации по рискам. Это хорошо сработало для первых нескольких обнаруженных нами рисков, но по мере того, как число рисков росло, задача отслеживания и документирования рисков с помощью документов и электронных таблиц становилась все более и более сложной. Если нам приходилось таким образом управлять дюжиной рисков, то перспектива управления сотнями рисков не сулила нам ничего хорошего. Должен был существовать лучший способ.
Именно тогда я обнаружил, что предыдущий сотрудник National Instruments создал достаточно сырой реестр рисков в форме базы данных Lotus Notes. Хотя это значительно облегчило отслеживание большего объема рисков, это также означало, что я потерял гибкость в выборе средств. Я сам не являлся администратором Lotus Domino и был вынужден запрашивать помощь у смежного подразделения для каждого нового поля, которое мне нужно было добавить, или для каждой новой методологии оценки, которую я хотел опробовать. Это был шаг в правильном направлении, но я добился определенной масштабируемости, пожертвовав при этом гибкостью.
Прошло несколько месяцев с начала реализации мной корпоративного плана управления рисками. Я знал, как должен выглядеть мой план, но у меня были проблемы с инструментами, чтобы заставить его работать. Именно тогда я наткнулся на пакет программных инструментов под названием «GRC», что означает Governance, Risk и Compliance. Поначалу эти инструменты показались мне потрясающими. Я начал общаться с некоторыми популярными поставщиками и оценивать различные функции и возможности их программных платформ. Честно говоря, у них было все, что я только когда-либо мог пожелать, для управления рисками и даже намного больше. Я думал только об управлении своими рисками, но ведь возможность управлять нашими политиками и аудиторскими проверками не повредит, верно?
Итак, я сделал то, что сделал бы любой человек на моем месте. Я запросил цены и отнес их нашему вице-президенту по ИТ. В конце концов, именно она поручила мне разработать план управления рисками. Увидев цену в 500 тысяч долларов за GRC-систему, она начала смеяться. Оглядываясь назад, я понимаю, что должен был это предвидеть. В то время у моей команды безопасности был нулевой бюджет, и я пытался бежать, даже не научившись ходить.
Но раз проблема заключалась в деньгах, у меня возникла идея. Я привлек к обсуждению членов всех подразделений, имеющих отношение к вопросам управления рисками в нашей организации (соблюдение правил торговли, охрана труда, юриспруденция и т. д.). Продавец устроил им ту же самую выставку собак и пони, что и мне, и после того, как они ушли, я провел опрос, спрашивая их, заинтересуются ли они таким инструментом. Меня встретило громкое «Да!» Однако, мое вдохновение переросло в разочарование, после того, как я спросил каждого из этих людей, готовы ли они потратить часть своего бюджета на его покупку. Все они дружно сказали мне «Нет». Именно тогда я наконец отказался от идеи приобретения коммерческой GRC-системы.
Я знал, что не одинок в своей программе управления рисками. Я слышал много историй от друзей в отрасли инфобеза о том, как они либо использовали электронные таблицы и документы для управления своими рисками, либо, во многих случаях, полностью отказались от управления рисками. Именно в тот момент я решил, что вместо того, чтобы возвращаться к этим набившим оскомину методам, я собираюсь сделать что-нибудь, что упростит мою жизнь и жизнь моих друзей.
SimpleRisk начинался как веб-форма, основанная на шаблоне документа Word, который я использовал ранее. Я сделал одну веб-страницу для просмотра всех рисков в системе и еще одну страницу для редактирования рисков. Как только у меня появилось что-то, что, как мне казалось, работало, я представил доклад под названием «Убедите ваше руководство, ваших коллег и себя, что управление рисками — это не отстой» на конференции BSides в Остине 2013 года. Он сопровождался выпуском SimpleRisk 20130315-001, моего самого первого релиза. Я решил выпустить его под общественной лицензией Mozilla 2.0, поскольку это была наименее ограничительная лицензия, которую я смог найти. На выставке BSides Austin 2013 SimpleRisk был представлен миру под аплодисменты и овации. Публика аплодировала стоя.
Я никогда не мог предвидеть того, что произошло потом. Мой маленький бесплатный инструмент с открытым исходным кодом внезапно стал предметом широких обсуждений. Люди начали обращаться к нам и просить о новых и новых функциях, и именно тогда я начал создавать «Дополнения» SimpleRisk. Потом начали просить поддержку и, наконец, хостинг. Мне пришлось основать компанию SimpleRisk, чтобы должным образом поддерживать инструмент SimpleRisk. И сегодня то, что мы называем «SimpleRisk Core», все функции управления рисками, по-прежнему полностью бесплатны и имеют открытый исходный код под той же самой публичной лицензией Mozilla 2.0. Друзья мои, это история происхождения SimpleRisk.
Источник: https://www.simplerisk.com/blog/the-origin-of-simplerisk-a-founders-story
Показательная и правдивая история. Перекликается с моей статьей об упрощенном подходе к оценке рисков ИБ:
https://infosecportal.ru/blogi/uproshhennyj-podhod-k-oczenke-riskov-ib/