مدیریت ریسک در بسیاری از سازمانها در چارچوبی غوطهور است که نمیتواند با چالشهایی که اکثر تیمهای ریسک سازمانی با آن مواجه هستند، همگام شود. نیاز به مدرن سازی دارد.
این حکمی است که تحلیلگران ارشد کودی اسکات و آلا والنت در وبلاگ اخیر Forrester Research صادر کردند که منتقد رویکرد سه خط دفاعی (3LOD) است که به طور گسترده برای ارزیابی ریسک سازمانی استفاده می شود.
تحلیلگران نوشتند: «وسایل متعارف مدیریت ریسک با تقاضا، سرعت یا فشاری که اکثر تیمهای ریسک سازمانی با آن مواجه هستند همگام نبوده است».
آنها ادامه دادند: «بدتر از آن، بسیاری از برنامههای حاکمیتی، ریسک و انطباق بر روی انطباق تمرکز میکنند، ریسک را کاملاً نادیده میگیرند و برای مقابله با هر خطر، فناوری یا تهدید جدیدی که در حال ظهور است، تلاش میکنند تا از حکومت دفاع کنند. مدل 3LOD برای حل این مشکل ساخته نشده است. “
آنها توضیح دادند که 3LOD به عنوان یک چارچوب حاکمیت شرکتی برای اجرای تفکیک الزامات وظایف تحت قانون سال 2002 Sarbanes-Oxley (SOX) توسعه یافته است. سپس، در سال 2013، موسسه حسابرسان داخلی (IIA) آن را به عنوان راه حلی برای ارتقای مدیریت ریسک تبلیغ کرد. تحلیلگران نوشتند: “اما همانطور که هر کسی که سعی کرده است آن را به عنوان پایه ای برای مدیریت ریسک سازمانی اجرا کند، به شما خواهد گفت، 3LOD مدلی برای مدیریت ریسک نیست.”
چارچوب سفت و سخت
ایان آمیت، بنیانگذار و مدیر عامل Gomboc، ارائه دهنده راه حل های امنیتی زیرساخت ابری خودکار در شهر نیویورک، خاطرنشان کرد: این چارچوب برای برآورده کردن الزامات انطباق تعیین شده توسط SOX طراحی شده است، نه مقابله با خطرات تجاری.
او به TechNewsWorld گفت: «این کار برای اکثر سازمانهای مدرن بهاندازه کافی سازگار نیست، جایی که خطوط گزارش و سلسلهمراتب به اندازه سال 2000 سفت و سخت نیست.
برایان بترتون، مدیر اجرایی ریسک و خدمات استراتژیک در GuidePoint Security، ارائهدهنده خدمات امنیت سایبری در هرندون، ویرجینیا، افزود: «چارچوب 3LOD یک رویکرد نسبتاً قدیمی است که بخش مالی از آن استفاده میکند و احتمالاً هنوز هم استفاده میکند.
او به TechNewsWorld گفت: «3LOD چیزی نیست که من آن را رویکرد مدرن بنامم، اما برخی آن را دوست دارند زیرا جداسازی ایجاد می کند و بنابراین مدیریت ریسک را در سه عملکرد تقسیم می کند. برای من، 3LOD بیشتر یک رویکرد حسابرسی است تا ریسک.
وی همچنین خاطرنشان کرد که به دلیل ماهیت حسابرسی کنترلهای آن، این کنترل دارای تمرکز لحظهای است و نه رویکرد مستمر موجود در راهحلهای متمرکز بر ریسک تجاری.
سازگاری ترامپ ریسک
بسیاری از برنامه های مدیریت ریسک به دلایلی بیش از حد بر روی انطباق با ریسک واقعی متمرکز هستند.
آمیت گفت: «رویکردهای مدیریت ریسک سنتی به جای ریسک واقعی تجاری، بر روی انطباق تمرکز دارند – گذراندن حسابرسی و بررسی کادرها. این رویکردها اغلب توسط سازمانهایی اتخاذ میشود که رهبری آنها بیشتر به حفظ وضعیت موجود میپردازند تا ایجاد درآمد یا نوآوری.
نیکول ساندین، مدیر عامل شرکت Axio، یک شرکت مدیریت ریسک سایبری در شهر نیویورک، افزود: «اغلب برنامههای مدیریت ریسک بیشتر بر روی انطباق تمرکز میکنند، زیرا ملموس است و با اهداف روشن مرتبط است».
او به TechNewsWorld گفت: «کار انطباق معمولاً به یک هدف تجاری یا الزامات خارجی مرتبط است. “در این زمینه، انطباق به جای یک فرآیند مداوم برای شناسایی و کاهش خطرات در حال تحول، به تلاشی لحظهای تبدیل میشود که هدف آن برآورده کردن یک نیاز تجاری خاص است.”
چاندراسخار بیلوگو، مدیر ارشد فناوری SureShield، یک شرکت نرمافزاری مدیریت امنیت، انطباق و یکپارچگی در آتلانتا، اضافه کرد: بهعلاوه، بیشتر برنامههای مدیریت ریسک توسط اهداف انطباق هدایت میشوند. او به TechNewsWorld گفت: «سازمانها به ندرت مدیریت ریسک را بهعنوان یک فرآیند مستقل و جدا از الزامات رعایت میپذیرند، زیرا فاقد حمایت اجرایی لازم است».
هیث رنفرو، CISO و یکی از بنیانگذاران Fenix24، یک شرکت بازیابی و بازیابی بلایا در چاتانوگا، ایالت تن، اظهار داشت که برنامههای مدیریت ریسک مبتنی بر انطباق چیزی بیش از تمرینات کاغذی بدون روش صحیح برای تعیین کمیت خطرات برای مدیران ارشد نیستند. تصمیمات مبتنی بر ریسک او به TechNewsWorld گفت: “شما نمی توانید ریسک هایی را که درک نمی کنید، مدیریت کنید.”
Betterton خاطرنشان کرد که در سازمانهای کمتر بالغ، برنامههای مدیریت ریسک بر روی انطباق با ریسک تمرکز دارند. او گفت: «سازمانهای کمتر بالغ، انطباق را بهعنوان ریسک اصلی خود میبینند و به نوبه خود، تمام خطراتی را که ممکن است داشته باشند، از دست میدهند.»
برآوردن الزامات انطباق نیز برای بسیاری از سازمان ها آسان تر از ارزیابی نیازهای امنیتی است. “تطابق به این معنی است که شما از یک قانون یا مقرراتی پیروی می کنید که باید رعایت شود. ایرا وینکلر، CISO در CYE، یک شرکت بهینهسازی امنیت سایبری در تلآویو، اسرائیل، توضیح داد که تعاریف روشنی از آنچه باید دنبال شود، وجود دارد.
او به TechNewsWorld گفت: «با این حال، معنای ایمن بودن بسیار متفاوت است. “اگر شما نمی دانید امنیت برای سازمان خود چه معنایی دارد، در حالی که تعریف واضحی از معنای سازگار بودن دارید، بدیهی است که ابتدا به انطباق دست خواهید یافت زیرا زمانی که دقیقاً درک نمی کنید ایمن بودن دشوار است. این به چه معناست.”
بنیاد مدیریت ریسک مدرن
اسکات و والنته سه ستون را برای یک رویکرد مدرن در مدیریت ریسک ذکر کردند.
این رویکرد باید پویا و قادر به مقابله با ریسک در سه بعد باشد: ریسک سیستمی خارج از سازمان و خارج از کنترل آن. خطر اکوسیستم خارج از سازمان اما در درجات مختلف کنترل، مانند ریسک شخص ثالث و زنجیره تامین؛ و ریسک های سازمانی داخلی و مستقیماً قابل کنترل، مانند امنیت سایبری و ریسک مالی.
علاوه بر این، این رویکرد باید مستمر باشد زیرا ریسک ها و فرصت ها در طول زمان تغییر می کنند. تحلیلگران توضیح دادند که ارزیابی های ریسک ایستا در زمان، واقعیت را منعکس نمی کند. در عوض، تیم ها برای شناسایی زمینه ریسک، ارزیابی آن در حین توسعه برنامه ها و اهداف، تصمیم گیری و نظارت بر نتایج، نیازمند یک فرآیند مستمر هستند.
این رویکرد همچنین باید تشخیص دهد که ریسک سایبری ریسک تجاری است. تحلیلگران خاطرنشان کردند که به طور معمول، مدیر ارشد ریسک مدل مدیریت ریسک را انتخاب می کند، در حالی که CISO باید اطمینان حاصل کند که این مدل برای نیازهای امنیت سایبری سازمان کارایی دارد. بدون کار در قفل، متخصصان امنیت و ریسک از حسابرسی به حسابرسی دیگر در ترس زندگی میکنند در حالی که رویدادهای خطر قابل پیشبینی و قابل پیشگیری مکرراً تحقق مییابند.
سوندین مشاهده کرد: «افسر ارشد ریسک و افسر ارشد امنیت اطلاعات باید هنگام اجرای چارچوب ریسک در یک صفحه باشند، زیرا هر دو مسئول شناسایی و رسیدگی به جنبههای مختلف ریسک در سازمان هستند».
CRO معمولاً روی ریسکهای تجاری و عملیاتی کلی تمرکز دارد، در حالی که CISO بر خطرات امنیت سایبری تمرکز دارد. با این حال، هر دو نقش در مدیریت ریسک دارای مسئولیتهای همپوشانی هستند و تیمهای آنها دارای بینشهای مهمی هستند که باید برای رسیدگی مؤثر و کاهش خطرات به اشتراک گذاشته شوند.
او گفت: «همکاری بین CRO و CISO یک رویکرد جامع را برای مدیریت ریسک تضمین میکند و سازمان را قادر میسازد تا تهدیدهای بالقوه را در همه حوزهها شناسایی، ارزیابی و حل کند.» زمانی که تلاشهای آنها همسو باشد، یک استراتژی ریسک یکپارچه و جامع را تقویت میکند که آسیبپذیریها را کاهش میدهد و انعطافپذیری کلی کسبوکار را افزایش میدهد.»
مدل فارستر
اسکات و والنته همچنین از مدل مدیریت ریسک مستمر Forrester استفاده کردند که از آن به عنوان “نقشه ای برای مدیریت ریسک کل نگر” استقبال کردند.
آمیت خاطرنشان کرد که رویکرد Forrester کاملاً جدید نیست. او گفت: «این شبیهسازی است که سازمانهای مدرن چگونه ریسک را مدیریت میکنند.
او توضیح داد: «معرفی ابزارهایی که به سازمان اجازه میدهد تا نقاط دادهای مکرر را در مورد کنترلها و فرآیندهای داخلی خود و همچنین تهدیدات خارجی دریافت کند، امکان مدیریت دقیقتر ریسک را فراهم میکند که مستمرتر از دورهای است.
وی همچنین خاطرنشان کرد که الزامات حسابرسی و انطباق، سازمان ها را مجبور می کند که گردآوری شواهد و کنترل های مستمر بیشتری را اجرا کنند، که به نوبه خود به آنها اجازه می دهد تا مدیریت ریسک واضح تری را به صورت مستمر انجام دهند.
وینکلر توصیه کرد اساساً مردم باید بدانند که مدیریت ریسک و امنیت چیست. “تعریف امنیت عاری از ریسک است و شما هرگز نمی توانید از هر خطری رها شوید.”
او ادامه داد: «متخصصان امنیتی باید درک کنند که کار آنها اساساً مدیریت ریسک است که شامل گرفتن بهترین تصمیمها برای بهینهسازی هزینههای خود در مقایسه با میزان ضرر احتمالی است. این امر به علم تصمیم گیری خوب و ابزارهای ریاضی برای کمک نیاز دارد. این کار آنها را از یک هنر به یک علم سوق می دهد.»