Уязвимость = возможному числу успешных атак в год

или

Уязвимость = полному числу атак х процент успешных атак.

К концу этого этапа у вас будет список активов с оценкой уязвимости и стоимости потерь для каждого из них.

Во-вторых, надо вычислить ежегодный риск для каждого сценария атаки. Это проще сделать, если у вас есть достоверная информация об атаках на вашу компанию и о ваших реакциях на эти атаки. Вы должны вычислить риск потенциальных ежегодных потерь в каждом сценарии с использованием таких уравнений:

Потенциальные ежегодные потери = стоимости ущерба х уязвимость.

Затем расставьте приоритеты в своем списке на основе уровня риска. Результатом этого этапа должен стать список ваших рисков, расставленных в порядке приоритетов.

В-третьих, определите ваши потенциальные возможности защиты и сбалансируйте их против возможных рисков. После того, как вы создали список потенциальных защит, проанализируйте каждую по четырем параметрам:

1) стоимость;

2) вогласованность с целями компании;

3) влияние на бизнес-процессы и стоимость их изменения, то есть, понадобится ли перестройка процессов;

4) влияние на нынешние и будущие инициативы управления риском. Потребуется ли вам поддерживать дорогие, трудноприобретаемые умения и знания? Будет ли необходимая защита ограничивать гибкость компании или ее способность снижать другие риски? Будет ли эта защита долгосрочной или локальным латанием дыр?

После того, как вы завершите этот процесс идентификации рисков, вам потребуется разделить их на категории, сравнить риски внутри категорий и между категориями и назначить ответственных за управление каждым конкретным риском. Кроме этого, вам нужны регулярные отчеты о положении дел с каждым конкретным риском и о мерах, принятых по управлению им. На каждом уровне компании управление должно фокусироваться на пяти-семи основных рисках в сферах своей компетенции и регулярно отчитываться (насколько часто – это зависит от уровня риска) менеджерам более высокого уровня. Даже если это не принято в вашей компании, вы должны установить самые высокие стандарты управления рисками. Это будет способствовать росту доверия к вам и к новой ИС организации.

Новый CIO-лидер должен управлять всеми рисками в компании в любой ситуации, если ИТ замешаны в этот риск или могут помочь его снизить, но все же один из них – самый важный, это информационная безопасность. Именно в этой сфере существуют самые большие угрозы, связанные с ИТ. Поскольку именно здесь можно ожидать самых крупных неприятностей, информационная безопасность несомненно является областью ответственности CIO и ИТ. Давайте разберемся, как обеспечивается управление риском, связанным с управлением безопасностью на основе целей компании.

Оптовая торговля в ВТ: управление ИТ-риском защищает бизнес-репутацию

Отдел оптовой торговли компании ВТ (British Telecom) встроил управление новыми ИТ-рисками в свою стратегию и процессы руководства. Компания предоставляет разнообразные сетевые услуги на территории Великобритании более чем пятистам коммуникационным компаниям, сетевым операторам и поставщикам услуг, включая и другие подразделения ВТ – ВТ Retail и ВТ Global Services.

Фил Дане (Phil Dance), CIO компании, так поясняет важность доверия со стороны общественности: «Вся деятельность ВТ основана на доверии людей. Абоненты уверены в том, что могут позвонить. Когда они берут трубку и набирают номер, они ожидают, что их соединят. Если вы потеряете контроль над своей сетью, так что люди не смогут позвонить, это станет очень большим огорчением для большого числа людей. Мы просто обязаны заботиться о нашей репутации».

Для защиты собственной репутации очень важно управлять рисками. Отдел оптовой торговли компании ВТ рассматривал риски в масштабе всей компании. Все представители руководства должны постоянно отслеживать все возможные риски в подведомственных им областях и разрабатывать стратегии снижения рисков, считает Дане: «Чтобы идентифицировать риски, мы проводим совещания по управлению рисками. Мы применяем целый ряд методик, включая «мозговой штурм», чтобы выявить основные риски и разработать планы действий по снижению этих рисков. После этого мы управляем рисками и документируем весь процесс обычным путем. Все это достаточно традиционное управление рисками и оно должно быть неотъемлемой частью культуры компании».

«Со временем управление рисками для нас изменилось», – говорит Дане. «С переходом к электронному ведению бизнеса появился новый источник риска. Вы открываете свою компанию новым рискам в виде кибер-атак, которые могут повлиять на ваш бизнес. При этом вы не можете вообразить, когда, откуда и в какой форме произойдет эта атака».

Отделу оптовой торговли ВТ предстояло разработать сложные решения, поскольку противостоять новым угрозам было все сложнее. Вместо того чтобы следовать традиционным путем, компания оценила возможные ответы на каждый тип риска. Например, отдел оптовой торговли ВТ тщательно изучил все возможные ответы на атаки сетевых вирусов. Поскольку никто не знает, когда и где начнется подобная атака, отдел оптовой торговли ВТ решил исходить из того, что вирус уже проник в сеть и надо действовать, чтобы ограничить вред от него.

Один из способов, примененных компанией, это сегментирование IP-сетей (Internet Protocol) в соответствии с приложениями, которые работают в этих сетях. Обработка данных, происходящая в сети, отделяется от программ, управляющих оборудованием (маршрутизаторами, переключателями), на котором работает сеть. Это позволило компании держать отключенную сеть в безопасном состоянии и существенно снизило риск проникновения извне в эту сеть. Естественно, по сути своей IP-сеть должна быть единой. Но с точки зрения управления рисками, это было бы опасно. В некоторых известных случаях провайдеры, которые недостаточно тщательно следили за своими основными магистральными коммуникациями, были заражены вирусами и теряли контроль над своей сетью. По мере того, как Дане стремился обеспечить управление рисками, связанными с информацией в ВТ, он понимал, что в управлении корпоративными рисками информационная безопасность – ключ к сетевой эффективности.