انتقادها نسبت به چارچوب های مدیریت ریسک قدیمی افزایش می یابد

مدیریت ریسک در بسیاری از سازمان‌ها در چارچوبی غوطه‌ور است که نمی‌تواند با چالش‌هایی که اکثر تیم‌های ریسک سازمانی با آن مواجه هستند، همگام شود. نیاز به مدرن سازی دارد.

این حکمی است که تحلیلگران ارشد کودی اسکات و آلا والنت در وبلاگ اخیر Forrester Research صادر کردند که منتقد رویکرد سه خط دفاعی (3LOD) است که به طور گسترده برای ارزیابی ریسک سازمانی استفاده می شود.

تحلیلگران نوشتند: «وسایل متعارف مدیریت ریسک با تقاضا، سرعت یا فشاری که اکثر تیم‌های ریسک سازمانی با آن مواجه هستند همگام نبوده است».

آن‌ها ادامه دادند: «بدتر از آن، بسیاری از برنامه‌های حاکمیتی، ریسک و انطباق بر روی انطباق تمرکز می‌کنند، ریسک را کاملاً نادیده می‌گیرند و برای مقابله با هر خطر، فناوری یا تهدید جدیدی که در حال ظهور است، تلاش می‌کنند تا از حکومت دفاع کنند. مدل 3LOD برای حل این مشکل ساخته نشده است. “

آنها توضیح دادند که 3LOD به عنوان یک چارچوب حاکمیت شرکتی برای اجرای تفکیک الزامات وظایف تحت قانون سال 2002 Sarbanes-Oxley (SOX) توسعه یافته است. سپس، در سال 2013، موسسه حسابرسان داخلی (IIA) آن را به عنوان راه حلی برای ارتقای مدیریت ریسک تبلیغ کرد. تحلیلگران نوشتند: “اما همانطور که هر کسی که سعی کرده است آن را به عنوان پایه ای برای مدیریت ریسک سازمانی اجرا کند، به شما خواهد گفت، 3LOD مدلی برای مدیریت ریسک نیست.”

چارچوب سفت و سخت

ایان آمیت، بنیانگذار و مدیر عامل Gomboc، ارائه دهنده راه حل های امنیتی زیرساخت ابری خودکار در شهر نیویورک، خاطرنشان کرد: این چارچوب برای برآورده کردن الزامات انطباق تعیین شده توسط SOX طراحی شده است، نه مقابله با خطرات تجاری.

او به TechNewsWorld گفت: «این کار برای اکثر سازمان‌های مدرن به‌اندازه کافی سازگار نیست، جایی که خطوط گزارش و سلسله‌مراتب به اندازه سال 2000 سفت و سخت نیست.

برایان بترتون، مدیر اجرایی ریسک و خدمات استراتژیک در GuidePoint Security، ارائه‌دهنده خدمات امنیت سایبری در هرندون، ویرجینیا، افزود: «چارچوب 3LOD یک رویکرد نسبتاً قدیمی است که بخش مالی از آن استفاده می‌کند و احتمالاً هنوز هم استفاده می‌کند.

او به TechNewsWorld گفت: «3LOD چیزی نیست که من آن را رویکرد مدرن بنامم، اما برخی آن را دوست دارند زیرا جداسازی ایجاد می کند و بنابراین مدیریت ریسک را در سه عملکرد تقسیم می کند. برای من، 3LOD بیشتر یک رویکرد حسابرسی است تا ریسک.

وی همچنین خاطرنشان کرد که به دلیل ماهیت حسابرسی کنترل‌های آن، این کنترل دارای تمرکز لحظه‌ای است و نه رویکرد مستمر موجود در راه‌حل‌های متمرکز بر ریسک تجاری.

سازگاری ترامپ ریسک

بسیاری از برنامه های مدیریت ریسک به دلایلی بیش از حد بر روی انطباق با ریسک واقعی متمرکز هستند.

آمیت گفت: «رویکردهای مدیریت ریسک سنتی به جای ریسک واقعی تجاری، بر روی انطباق تمرکز دارند – گذراندن حسابرسی و بررسی کادرها. این رویکردها اغلب توسط سازمان‌هایی اتخاذ می‌شود که رهبری آن‌ها بیشتر به حفظ وضعیت موجود می‌پردازند تا ایجاد درآمد یا نوآوری.

نیکول ساندین، مدیر عامل شرکت Axio، یک شرکت مدیریت ریسک سایبری در شهر نیویورک، افزود: «اغلب برنامه‌های مدیریت ریسک بیشتر بر روی انطباق تمرکز می‌کنند، زیرا ملموس است و با اهداف روشن مرتبط است».

او به TechNewsWorld گفت: «کار انطباق معمولاً به یک هدف تجاری یا الزامات خارجی مرتبط است. “در این زمینه، انطباق به جای یک فرآیند مداوم برای شناسایی و کاهش خطرات در حال تحول، به تلاشی لحظه‌ای تبدیل می‌شود که هدف آن برآورده کردن یک نیاز تجاری خاص است.”

چاندراسخار بیلوگو، مدیر ارشد فناوری SureShield، یک شرکت نرم‌افزاری مدیریت امنیت، انطباق و یکپارچگی در آتلانتا، اضافه کرد: به‌علاوه، بیشتر برنامه‌های مدیریت ریسک توسط اهداف انطباق هدایت می‌شوند. او به TechNewsWorld گفت: «سازمان‌ها به ندرت مدیریت ریسک را به‌عنوان یک فرآیند مستقل و جدا از الزامات رعایت می‌پذیرند، زیرا فاقد حمایت اجرایی لازم است».

هیث رنفرو، CISO و یکی از بنیانگذاران Fenix24، یک شرکت بازیابی و بازیابی بلایا در چاتانوگا، ایالت تن، اظهار داشت که برنامه‌های مدیریت ریسک مبتنی بر انطباق چیزی بیش از تمرینات کاغذی بدون روش صحیح برای تعیین کمیت خطرات برای مدیران ارشد نیستند. تصمیمات مبتنی بر ریسک او به TechNewsWorld گفت: “شما نمی توانید ریسک هایی را که درک نمی کنید، مدیریت کنید.”

Betterton خاطرنشان کرد که در سازمان‌های کمتر بالغ، برنامه‌های مدیریت ریسک بر روی انطباق با ریسک تمرکز دارند. او گفت: «سازمان‌های کمتر بالغ، انطباق را به‌عنوان ریسک اصلی خود می‌بینند و به نوبه خود، تمام خطراتی را که ممکن است داشته باشند، از دست می‌دهند.»

برآوردن الزامات انطباق نیز برای بسیاری از سازمان ها آسان تر از ارزیابی نیازهای امنیتی است. “تطابق به این معنی است که شما از یک قانون یا مقرراتی پیروی می کنید که باید رعایت شود. ایرا وینکلر، CISO در CYE، یک شرکت بهینه‌سازی امنیت سایبری در تل‌آویو، اسرائیل، توضیح داد که تعاریف روشنی از آنچه باید دنبال شود، وجود دارد.

او به TechNewsWorld گفت: «با این حال، معنای ایمن بودن بسیار متفاوت است. “اگر شما نمی دانید امنیت برای سازمان خود چه معنایی دارد، در حالی که تعریف واضحی از معنای سازگار بودن دارید، بدیهی است که ابتدا به انطباق دست خواهید یافت زیرا زمانی که دقیقاً درک نمی کنید ایمن بودن دشوار است. این به چه معناست.”

بنیاد مدیریت ریسک مدرن

اسکات و والنته سه ستون را برای یک رویکرد مدرن در مدیریت ریسک ذکر کردند.

این رویکرد باید پویا و قادر به مقابله با ریسک در سه بعد باشد: ریسک سیستمی خارج از سازمان و خارج از کنترل آن. خطر اکوسیستم خارج از سازمان اما در درجات مختلف کنترل، مانند ریسک شخص ثالث و زنجیره تامین؛ و ریسک های سازمانی داخلی و مستقیماً قابل کنترل، مانند امنیت سایبری و ریسک مالی.

علاوه بر این، این رویکرد باید مستمر باشد زیرا ریسک ها و فرصت ها در طول زمان تغییر می کنند. تحلیلگران توضیح دادند که ارزیابی های ریسک ایستا در زمان، واقعیت را منعکس نمی کند. در عوض، تیم ها برای شناسایی زمینه ریسک، ارزیابی آن در حین توسعه برنامه ها و اهداف، تصمیم گیری و نظارت بر نتایج، نیازمند یک فرآیند مستمر هستند.

این رویکرد همچنین باید تشخیص دهد که ریسک سایبری ریسک تجاری است. تحلیلگران خاطرنشان کردند که به طور معمول، مدیر ارشد ریسک مدل مدیریت ریسک را انتخاب می کند، در حالی که CISO باید اطمینان حاصل کند که این مدل برای نیازهای امنیت سایبری سازمان کارایی دارد. بدون کار در قفل، متخصصان امنیت و ریسک از حسابرسی به حسابرسی دیگر در ترس زندگی می‌کنند در حالی که رویدادهای خطر قابل پیش‌بینی و قابل پیشگیری مکرراً تحقق می‌یابند.

سوندین مشاهده کرد: «افسر ارشد ریسک و افسر ارشد امنیت اطلاعات باید هنگام اجرای چارچوب ریسک در یک صفحه باشند، زیرا هر دو مسئول شناسایی و رسیدگی به جنبه‌های مختلف ریسک در سازمان هستند».

CRO معمولاً روی ریسک‌های تجاری و عملیاتی کلی تمرکز دارد، در حالی که CISO بر خطرات امنیت سایبری تمرکز دارد. با این حال، هر دو نقش در مدیریت ریسک دارای مسئولیت‌های همپوشانی هستند و تیم‌های آن‌ها دارای بینش‌های مهمی هستند که باید برای رسیدگی مؤثر و کاهش خطرات به اشتراک گذاشته شوند.

او گفت: «همکاری بین CRO و CISO یک رویکرد جامع را برای مدیریت ریسک تضمین می‌کند و سازمان را قادر می‌سازد تا تهدیدهای بالقوه را در همه حوزه‌ها شناسایی، ارزیابی و حل کند.» زمانی که تلاش‌های آن‌ها همسو باشد، یک استراتژی ریسک یکپارچه و جامع را تقویت می‌کند که آسیب‌پذیری‌ها را کاهش می‌دهد و انعطاف‌پذیری کلی کسب‌وکار را افزایش می‌دهد.»

مدل فارستر

اسکات و والنته همچنین از مدل مدیریت ریسک مستمر Forrester استفاده کردند که از آن به عنوان “نقشه ای برای مدیریت ریسک کل نگر” استقبال کردند.

آمیت خاطرنشان کرد که رویکرد Forrester کاملاً جدید نیست. او گفت: «این شبیه‌سازی است که سازمان‌های مدرن چگونه ریسک را مدیریت می‌کنند.

او توضیح داد: «معرفی ابزارهایی که به سازمان اجازه می‌دهد تا نقاط داده‌ای مکرر را در مورد کنترل‌ها و فرآیندهای داخلی خود و همچنین تهدیدات خارجی دریافت کند، امکان مدیریت دقیق‌تر ریسک را فراهم می‌کند که مستمرتر از دوره‌ای است.

وی همچنین خاطرنشان کرد که الزامات حسابرسی و انطباق، سازمان ها را مجبور می کند که گردآوری شواهد و کنترل های مستمر بیشتری را اجرا کنند، که به نوبه خود به آنها اجازه می دهد تا مدیریت ریسک واضح تری را به صورت مستمر انجام دهند.

وینکلر توصیه کرد اساساً مردم باید بدانند که مدیریت ریسک و امنیت چیست. “تعریف امنیت عاری از ریسک است و شما هرگز نمی توانید از هر خطری رها شوید.”

او ادامه داد: «متخصصان امنیتی باید درک کنند که کار آنها اساساً مدیریت ریسک است که شامل گرفتن بهترین تصمیم‌ها برای بهینه‌سازی هزینه‌های خود در مقایسه با میزان ضرر احتمالی است. این امر به علم تصمیم گیری خوب و ابزارهای ریاضی برای کمک نیاز دارد. این کار آنها را از یک هنر به یک علم سوق می دهد.»

منبع