Клиенты часто спрашивают нас, существует ли шаблон или дорожная карта, которую можно использовать для создания основополагающей программы GRC. За прошедшие годы мы поняли, что каждая организация уникальна и не существует единого подхода для всех.
Хотя Governance, Risk Management и Compliance взаимосвязаны, мы считаем, что «управление рисками» является движущей силой любой успешной программы GRC, и существуют определенные ключевые компоненты управления рисками предприятия. Мы обнаружили, что эти компоненты универсальны.
1) Как определить риск?
Существует множество способов выявления риска, поэтому может быть сложно понять, с чего начать. Мы рекомендуем начать с выявления наиболее очевидных потенциальных проблем для вашего бизнеса, которые могут привести к наиболее значительным негативным последствиям. Ниже приведены некоторые способы выявления рисков. Вы можете организовывать, назначать и отслеживать все риски на уровне корпорации, бизнес-подразделения и/или отдела.
- Проведите самооценку с помощью CIS Critical Security Controls, чтобы
выявить потенциальные риски – это просто и эффективно. - Если был проведен пентест, вручную добавьте или автоматически импортируйте в GRC-систему все выявленные риски.
- Поощряйте всех сотрудников вводить риски в GRC-систему. Ограничьте объем информации, необходимой для представления риска: основная цель — выявить риски, а подробности можно добавить позже.
- Выполните оценку пробелов в средствах контроля и установите базовый уровень безопасности с помощью NIST Cybersecurity Framework.
- Выполните оценку рисков третьих сторон, чтобы определить, где существуют пробелы в соблюдении требований и как риски поставщиков могут отрицательно повлиять на вашу организацию.
- Импортируйте уязвимости, устраняйте дубликаты и объединяйте их в единый риск, связанный с активами.
2) Как можно побудить сотрудников документировать риски, которые они могут обнаружить?
- Установите кодексы поведения и активно обучайте сотрудников важности управления рисками, чтобы все сотрудники были осведомлены об ожиданиях вашей организации.
- Сохраняйте простоту, сводя к минимуму объем информации, необходимой для сообщения о риске, и полагайтесь на то, что ваши специалисты по безопасности заполнят детали.
- Вовлекайте руководство в процесс управления рисками и попросите его донести до членов своей команды важность учета рисков.
3) Как я могу эффективно ранжировать риски, чтобы определить приоритетность усилий по смягчению последствий?
После создания реестра рисков следующим шагом будет планирование усилий по снижению рисков. Хотя это не обязательно, когда вы только начинаете, по мере развития вашей GRC-программы мы рекомендуем добавлять количественную оценку рисков, которая дает вам более точную картину. Ниже приведены краткие описания шести методологий оценки, поддерживаемых в SimpleRisk, которые можно использовать взаимозаменяемо в зависимости от типа риска, а система автоматически нормализует все оценки по шкале от 1 до 10.
- Классика: это ваша формула CISSP: РИСК = ВЕРОЯТНОСТЬ x ВОЗДЕЙСТВИЕ.
- CVSS: Это относительно сложный метод оценки, обычно используемый CVE.
- DREAD: Это более легкий метод оценки, разработанный Microsoft.
- OWASP: лучше всего использовать для оценки безопасности приложений.
- Пользовательский: это базовое значение от 0 до 10, предназначенное для тех, у кого есть собственные методики оценки.
- Сопутствующие риски: это позволяет пользователям устанавливать взвешенную вероятность среди нескольких сопутствующих факторов риска.
4) Как настроить процесс снижения рисков?
Чтобы спланировать меры по смягчению последствий, сначала свяжите свои риски со средствами контроля и добавьте даты смягчения. Затем вы сможете регулярно анализировать свои риски вместе с руководством, чтобы определить приоритетность действий и определить, следует ли одобрить риск или отклонить и закрыть его. В случае одобрения вы можете определить следующий шаг, который обычно попадает в одну из этих четырех категорий:
- Примите риск до следующей проверки, включая любые выявленные вами исключения, в которых вы не соблюдаете свои политики или средства контроля.
- Рассмотрите реализацию проекта по минимизации риска.
- Представьте риск как производственную проблему и передайте риск внешней стороне.
- Создайте исключение риска и соответствующим образом отслеживайте его, чтобы продемонстрировать аудиторам обоснование исключения.
После добавления дат проверки мы рекомендуем систематизировать риски по следующей дате проверки, а затем по шкале неотъемлемого риска. Это поможет вам расставить приоритеты при анализе рисков и усилиях по их снижению. В качестве передового опыта ниже приведены три категории рисков, которые следует использовать для классификации ваших рисков.
- Непроверенные риски (риски, которые были добавлены недавно и никогда не проверялись)
- Просроченные риски (риски, которые были рассмотрены в какой-то момент, но сейчас просрочены)
- Будущие риски (риски, которые подлежат пересмотру в какой-то момент в будущем)
Другая эффективная стратегия — сосредоточиться на снижении рисков, которые имеют высокий уровень риска и требуют минимальных усилий для устранения. SimpleRisk предоставляет «Отчет о рисках», который автоматически оценивает и информирует вас, какие риски попадают в эту категорию.
5) Кто должен нести ответственность за снижение рисков?
Несмотря на то, что руководство не несет ответственности за снижение риска, определение того, как управлять риском, в конечном итоге должно стать его обязанностью. В зависимости от размера организации специалисты по безопасности часто несут ответственность за усилия по смягчению последствий, тогда как более крупные или более зрелые организации могут иметь специального риск-менеджера, который активно участвует в процессе и может предоставить информацию и рекомендации по наиболее эффективным способам снижения риска. Ваша основная функция как специалиста по безопасности заключается в следующем:
- Помогите выявить проблемы
- Посоветуйте, как их смягчить
- Убедитесь, что все заинтересованные стороны осведомлены и образованы, чтобы они могли принять наиболее обоснованное решение для бизнеса.
Основными задачами риск-менеджера являются:
- Обеспечить видимость и подотчетность рисков, которые принимает организация.
- Свяжите риски с заинтересованными сторонами, которые их принимают.
6) Как можно эффективно отслеживать жизненный цикл снижения рисков?
Управление рисками — это циклический процесс, а жизненный цикл снижения рисков требует, чтобы он был повторяемым и масштабируемым. В SimpleRisk это можно сделать следующим образом:
- Определение нужных заинтересованных сторон и назначение им правильных ролей и
разрешений. - Использование дополнительных уведомлений SimpleRisk по электронной почте для напоминания заинтересованным сторонам о предстоящих сроках и сроках выполнения работ.
- Планирование регулярных проверок, по которым можно будет предоставлять качественную и количественную отчетность, чтобы сосредоточиться на отслеживании и определении приоритетности усилий по снижению рисков.
- Мониторинг активов с большим количеством рисков, которые могут быть кандидатами на исправление или прекращение использования.
- Анализ рисков и всех связанных с ними активов, чтобы определить, какие активы являются
кандидатами на исправление или списание.
7) Как часто следует пересматривать риски?
Мы рекомендуем ежемесячно проверять все риски, и эти проверки следует выполнять в следующей последовательности:
- Риски, подлежащие рассмотрению в текущем месяце
- Любые новые риски, которые не были рассмотрены
- Любые риски, срок действия которых истек и просрочен с момента вашего предыдущего рассмотрения.
Хотя временные рамки могут различаться, мы рекомендуем использовать оценку неотъемлемого риска в качестве ключевого показателя, позволяющего определить, как часто следует проверять каждый риск. Например, вы можете автоматически установить даты проверки рисков следующим образом:
- Высокие риски каждые 90 дней
- Средние риски каждые 180 дней
- Низкие/незначительные риски один раз в год
8) Как сообщить о риске руководству?
Одна из распространенных дилемм, с которыми сталкиваются специалисты по безопасности, заключается в том, как преодолеть разрыв в общении, который часто существует между ними и руководством. Учитывая, что руководство имеет право выделять бюджет на мероприятия по снижению рисков, специалисты по безопасности обязаны привлечь ключевых заинтересованных сторон и руководство к ответственности за риск. Ниже приведены три способа сделать это:
- Выявляйте, ранжируйте и расставляйте приоритеты рисков, а также предоставляйте советы о том, как их смягчить.
- Предоставьте владельцам бизнеса и другим членам управленческой команды возможность принимать решения на основе данных, сообщая о рисках с точки зрения бизнеса, а не технических терминов, чтобы риск можно было легко осознать.
- Обеспечьте поддержку и подотчетность всех заинтересованных сторон, чтобы каждый понимал, почему в него следует инвестировать.
Заключение
При создании программы GRC необходимо учитывать множество вопросов и вариантов выбора. После того, как вы определите, какие фреймворки кибербезопасности вам необходимо применять, внедрение эффективного процесса управления рисками станет основополагающим фундаментом, который связывает воедино Governance, Risk Management и Compliance.
Источник: https://www.simplerisk.com/blog/8-simple-ways-effectively-launch-your-grc-program