Оригинальное видение бизнесом управления рисками

Оригинальное видение бизнесом управления рисками. Не хотел бы я работать в компании, где вероятность пожара 3 раза в год, а сбои бывают через день

2 days ago

Ruslan Pakhomov, Konstantin D and 3 others like this

You, Ruslan Pakhomov, Konstantin D and 3 others like this

16 comments

Vladimir Gninyuk Не рекомендуется к прочтению лицами не имеющими опыта "оценки рисков". =)

К замечанию Володи, добавлю, что автор не правильно трактует понятие "избежать риск". Терминологию лучше заучивать сразу правильно, переучивать сложнее

Konstantin D >>Vladimir Gninyuk • Не рекомендуется к прочтению лицами не имеющими опыта "оценки рисков". =)
Поддерживаю :)

Автор, покинув пост руководителя в одном контакт-центре и получив этот же пост в другом, побудил два события:
Большинство сотрудников из первого, вздохнули с облегчением
Большинство (3из4) ИТшников покинули вторую компанию.

Не стоит, удивляется данной статье автора, безопасность не его конек.

Volodymyr Styran С одной стороны согласен с замечаниями, с другой оцениваю тенденцию положительно. При надлежащей консультационной поддержке "первый блин" может эволюционировать. В любом случае, менеджеру, написавшему такое, уже можно приводить аргументы в терминах управления рисками.

Есть, правда, опасность того, что ознакомившись с темой поверхностно, менеджер решит, что он эксперт в предметной области. Тогда все гораздо сложнее.

Vladimir Matviychuk, CISA, CISM 2 Konstantin D: Я перепостил не для обсуждения конкретных личностей, но для обсуждения видения безопасности со стороны бизнеса.

Согласен с Владимиром, тенденция положительная. Генеральный директор должен понимать суть, а терминологию и моменты должны подсказать более узкопрофильные специалисты.

Вот, кстати мнение автора на комментарии по вероятности:
"Любая оценка вероятности весьма субъективна. Основная цель оценки - определить, какие риски стоит предотвращать заранее, а какие стоит игнорировать."

Alexey Trofimenko Спасибо за ссылку. Прочитал. Прослезился :)

Alex Grebenyuk Жуть....оказывается, все риски в контакт центре связаны с непрерывностью бизнеса....Рисков утечки информации в этом канале по мнению автора просто не существует....

Vladimir Matviychuk, CISA, CISM Alex, риск утечки данных указан. Причем с вероятностью в 70%

Alex Grebenyuk Я увидел. Только подача началась с проблемс BCP (в таблице вероятность практически нулевая), а основной риск - утечка данных которой предлагается - "избежать". Интересно - как? Не минимизировать, а избежать! А человек - самое малопредсказуемое звено в любой системе ИБ. И как выявить эту утечку оперативно? И каков план немедленных действий....? То есть каша с маслом в голове автора. ИМХО - начинают с главного, а не с второстепенного и с реальных рекомендаций, а не с размышлизмов на тему прочтенных статей по оценке рисков

Vladimir Matviychuk, CISA, CISM Автор путает избегание риска и контроль риска.
Главное, что задумывается. Ведь, опять же поторюсь, автор не специалист в области ИБ. Это размышления директора колл-центра.

Alex Grebenyuk У меня есть знакомые начальники колл-центров, которые верно оперируют понятиями ИБ. именно потому и смутило это все - начали с второстепенного, матрицу заполнили как нибудь... а из "и так сойдет" часто и вытекают основные проблемы в ИБ - из опыта

Alexey Trofimenko Alex, иногода лучше пусть будет плохая политика, плохая матрица, чем вообще их не будет. Опять же, знания, опыт и практика необходимы.

Alex Grebenyuk не соглашусь. Если человек считает,то самого значимого риска можно избежать - он может считать, что он лично его избежал. И все дальнейшие действия будут неверными в корне
Именно потому я против создания документов по принципу "и так сойдет"

Vladimir Gninyuk То, что автор демонстрирует формальный подход к процессу принятия решения – безусловно, хорошо. Что его сподвигло делать именно так? Что необходимо делать, что бы и остальные так поступали?

Я так же склонен думать, что плохой документ лучше чем никакого.

А то, что автор больше внимания уделил «доступности» (а не «конфиденциальности») так это логично, такие действия напрямую вытекают из его оценки рисков.

Volodymyr Styran Добавлю от себя, что нельзя забывать о том, на что нацелена деятельность CEO. А она нацелена на получение прибыли. В этом смысле доступность и качество услуг, естественно, ближе и роднее.

Относительно конфиденциальности: разъяснить сопряженные риски -- задача ИБ.

Volodymyr Styran Я тут вот о чем подумал. Раз уж этот пост вызвал такую реакцию в группе, может быть стоит пригласить Валерия на UISG#6? На моей памяти он первый украинский менеджер, затронувший тему управления рисками в блоге: мог бы получиться неплохой panel discussion.

Vladimir Matviychuk, CISA, CISM Отличная мысль. Главное, чтобы тема встречи была ему понятна :).
Если будем обсуждать технические детали мигаюбщих коробочек - мы его быстро потеряем.

2Alex Grebenyuk. Еще раз повторюсь, что автор путает понятия. Напротив "избегания" в списке мероприятий указано "Внедрить систему информационной безопасности. Возможно, согласно стандарту ISO-27001." То есть все таки "контролировать"

Comments