Quản Lý Rủi Ro Trong Công Nghệ Thông Tin

Cách đây không lâu, rủi ro dựa trên CNTT là một hoạt động khá quan trọng tập trung vào việc liệu CNTT có thể phân phối các dự án thành công và duy trì các ứng dụng của nó hoạt động hay không. Nhưng với việc mở ra các ranh giới của tổ chức đối với các đối tác và nhà cung cấp dịch vụ bên ngoài, giao tiếp điện tử bên ngoài và các dịch vụ trực tuyến, việc quản lý rủi ro dựa trên CNTT đã biến thành một việc đầy may rủi. Không chỉ phạm vi của công việc lớn hơn, mà còn là trách nhiệm cao hơn nhiều. Khi các công ty trở nên phụ thuộc nhiều hơn vào CNTT, chi phí cho sự gián đoạn dịch vụ đã leo thang theo cấp số nhân. Bây giờ, khi một hệ thống ngừng hoạt động, công ty thực sự ngừng hoạt động và khách hàng không thể được phục vụ. Và bọn tội phạm thường xuyên tìm cách phá hoại dữ liệu của công ty, ứng dụng và trang web. Các quy định mới để bảo vệ quyền riêng tư và tăng trách nhiệm cũng khiến các giám đốc điều hành nhạy cảm hơn nhiều với hậu quả của các hoạt động bảo mật CNTT không đầy đủ, trong nội bộ hoặc từ các nhà cung cấp dịch vụ. Ngoài ra, nguy cơ mất hoặc làm tổn hại thông tin công ty đã tăng mạnh. Không còn là một tập tin công ty bị khóa và chỉ có thể truy cập bởi nhân viên công ty. Ngày nay, thông tin công ty có thể được tiếp xúc với công chúng theo hàng trăm cách. Tính di động ngày càng tăng của chúng tôi, tính di động của các thiết bị lưu trữ và độ tinh vi ngày càng tăng của các mối đe dọa mạng chỉ là một vài trong số các phương tiện đáng chú ý.

Do đó, công việc quản lý rủi ro  CNTT đã trở nên rộng lớn và phức tạp hơn rất nhiều, và giờ đây nó được công nhận rộng rãi như một phần không thể thiếu của bất kỳ công việc dựa trên công nghệ nào cho dù là nhỏ. Do đó, nhiều tổ chức CNTT đã được giao trách nhiệm không chỉ quản lý rủi ro trong các hoạt động của mình (ví dụ: phát triển dự án, vận hành và phân phối chiến lược kinh doanh) mà còn quản lý rủi ro CNTT trong mọi hoạt động của công ty (ví dụ: di động điện toán, chia sẻ tập tin và truy cập trực tuyến vào thông tin và phần mềm). Trong khi trước đây, các công ty đã tìm cách đạt được bảo mật thông qua các phương tiện vật lý hoặc công nghệ (ví dụ: phòng bị khóa, máy quét vi rút), hiện đang phát triển rằng quản lý rủi ro  CNTT phải là một hoạt động chiến lược và toàn diện không chỉ là trách nhiệm của một nhóm nhỏ các chuyên gia CNTT nhưng cũng là một phần của tư duy mở rộng từ các đối tác và nhà cung cấp cho nhân viên và khách hàng. Bài viết này tìm hiểu cách các tổ chức giải quyết và đối phó với rủi ro  CNTT ngày càng tăng. Đầu tiên, nó nhìn vào những thách thức mà các nhà quản lý CNTT phải đối mặt trong lĩnh vực quản lý rủi ro và đề xuất một cái nhìn toàn diện về rủi ro. Tiếp theo, nó xem xét một số đặc điểm và thành phần cần thiết để phát triển một khung quản lý rủi ro hiệu quả và trình bày một khung chung để tích hợp số lượng ngày càng tăng của các yếu tố liên quan đến nó. Cuối cùng, nó mô tả một số thực tiễn thành công mà các tổ chức có thể sử dụng để cải thiện khả năng quản lý rủi ro của họ.

Một cái nhìn toàn diện về rủi ro dựa trên CNTT

Với sự bùng nổ trong thập kỷ vừa qua của các rủi ro mới dựa trên CNTT, người ta ngày càng nhận ra rằng rủi ro có ý nghĩa nhiều hơn là chỉ đơn giản là khả năng thua lỗ hoặc tiếp xúc với mất mát  hoặc thậm chí là rủi ro, không chắc chắn hoặc cơ hội . Ngày nay, rủi ro là một khái niệm nhiều lớp, ngụ ý nhiều thứ đang bị đe dọa.

Rủi ro CNTT đã thay đổi. Sự cố rủi ro CNTT gây tổn hại cho các bên liên quan trong và ngoài công ty. Họ làm tổn hại danh tiếng của công ty và phơi bày những điểm yếu trong các nhóm quản lý của công ty. Quan trọng nhất, rủi ro CNTT làm giảm khả năng cạnh tranh của tổ chức.

Do đó, các công ty hiện đang tập trung vào quản lý rủi ro doanh nghiệp như một cách tiếp cận toàn diện và tích hợp hơn để đối phó với rủi ro. Mặc dù, không phải mọi rủi ro ảnh hưởng đến doanh nghiệp sẽ là rủi ro dựa trên CNTT, nhưng thực tế là ngày càng có nhiều rủi ro ảnh hưởng đến doanh nghiệp có thành phần dựa trên CNTT. Ví dụ, một chính sách quản lý rủi ro CNTT của một công ty lưu ý rằng mục tiêu của quản lý rủi ro là đảm bảo rằng các lỗi công nghệ hoặc tính toàn vẹn dữ liệu không ảnh hưởng đến các mục tiêu chiến lược của công ty, danh tiếng và các bên liên quan của công ty, hoặc thành công và danh tiếng của công ty.

Tuy nhiên, mặc dù số lượng ngày càng tăng và sự phức tạp của các mối đe dọa dựa trên CNTT và các bằng chứng liên quan đến quản lý rủi ro với thành công của dự án CNTT , vẫn khó để các giám đốc điều hành cấp cao dành sự chú ý của họ (và cam kết các nguồn lực cần thiết) để quản lý hiệu quả những rủi ro này. Một cuộc khảo sát toàn cầu gần đây đã ghi nhận, trong khi cộng đồng bảo mật nhận ra rằng bảo mật thông tin là một phần của quản lý kinh doanh hiệu quả, quản lý rủi ro bảo mật thông tin vẫn được xem là trách nhiệm CNTT trên toàn thế giới. Một nghiên cứu khác của một số tổ chức cho thấy không ai có cái nhìn tốt về tất cả các rủi ro chính và 75% có những lỗ hổng lớn trong cách tiếp cận quản lý rủi ro dựa trên CNTT .Nói tóm lại, trong khi CNTT ngày càng trở thành trọng tâm trong thành công kinh doanh, nhiều doanh nghiệp vẫn chưa điều chỉnh quy trình của mình để kết hợp quản lý rủi ro CNTT.

 

Biết được những gì đang bị đe doạ, quản lý rủi ro luôn nằm trong mười ưu tiên hàng đầu của CIO và những nỗ lực đang được thực hiện để đưa các khả năng và quy trình hiệu quả vào các tổ chức CNTT. Tuy nhiên, chỉ có 5 phần trăm các công ty đang ở mức trưởng thành cao trong lĩnh vực này và hầu hết (80 phần trăm) vẫn đang trong giai đoạn đầu của công việc này. Giải quyết rủi ro một cách chuyên nghiệp, có trách nhiệm và minh bạch hơn là một sự phát triển từ công việc bảo mật CNTT truyền thống. Tại một hội nghị chuyên đề của Gartner, những điều sau đây đã được chỉ ra:

Theo truyền thống, bảo mật CNTT đã được phản ứng, đặc biệt và tập trung vào kỹ thuật … .

Việc chuyển sang quản lý rủi ro đòi hỏi phải chấp nhận rằng bạn có thể bảo vệ bản thân khỏi mọi thứ, vì vậy bạn cần đo lường rủi ro và đưa ra quyết định tốt về việc bạn sẽ bảo vệ tổ chức bao xa.

Các công ty trong nhóm phần lớn phản ánh trạng thái chuyển tiếp này. Bảo mật thông tin là trọng tâm chính của chiến lược quản lý rủi ro của chúng tôi, một nhà quản lý cho biết. Nó rất, rất rõ ràng nhưng doanh nghiệp của chúng tôi vẫn chưa cam kết giải quyết các vấn đề rủi ro. Một tuyên bố khác, Chúng tôi có một nhóm quản lý rủi ro tập trung vào rủi ro CNTT, nhưng rất nhiều nhóm khác cũng tập trung vào nó. Do đó, có nhiều quan điểm khác nhau và chồng chéo, và chúng tôi đang thiếu tích hợp các quan điểm này. Chúng tôi liên tục cố gắng xác định các lỗ hổng trong thực tiễn quản lý rủi ro của chúng tôi và để đóng chúng, một phần ba nói.

Tuy nhiên, không có sự do dự về việc xác định các nguồn rủi ro. Mỗi công ty trong nhóm đều có danh sách kiểm tra riêng về các hạng mục rủi ro và các chuyên gia đã phát triển một số khung và phân loại khác nhau nhằm mục đích toàn diện. Điều mà mọi người đều đồng ý là mọi cách tiếp cận để đối phó với rủi ro dựa trên CNTT phải là toàn diện, mặc dù đó là một công việc khó khăn để đóng gói toàn bộ. Mỗi loại rủi ro có một từ vựng khác nhau, giải thích một người quản lý nhóm tập trung. Tài chính, phần mềm, bảo mật thông tin, lập kế hoạch khắc phục thảm họa, quản trị và pháp lý mỗi quan điểm đều có ý nghĩa, nhưng kéo chúng lại với nhau là rất khó. Rủi ro thường được quản lý trong các silo trong các tổ chức, dẫn đến các cách tiếp cận không phù hợp với quản lý của nó và đưa ra quyết định kết hợp rủi ro. Đây là lý do tại sao nhiều tổ chức, bao gồm một số trong nhóm tập trung, đang cố gắng tích hợp nhiều vấn đề khác nhau liên quan đến một chiến lược quản lý rủi ro doanh nghiệp toàn diện sử dụng ngôn ngữ chung để giao tiếp.

Sự kết nối giữa tất cả các quan điểm rủi ro khác nhau là doanh nghiệp. Bất kỳ vấn đề CNTT nào xảy ra, cho dù với một ứng dụng, mạng, hệ thống mới, nhà cung cấp hoặc tin tặc (chỉ kể tên một vài) thì có khả năng gia tăng rủi ro cho doanh nghiệp. Do đó, một cái nhìn toàn diện về rủi ro dựa trên CNTT phải đặt mặt trận và trung tâm doanh nghiệp vào bất kỳ khuôn khổ hoặc chính sách nào. Rủi ro đối với doanh nghiệp bao gồm mọi thứ (cả nội bộ hoặc bên ngoài) ảnh hưởng đến thương hiệu, uy tín, khả năng cạnh tranh, giá trị tài chính hoặc trạng thái kết thúc (nghĩa là hiệu quả, hiệu quả và thành công chung của nó).

Hình 1 cung cấp một cái nhìn tổng thể, toàn diện về rủi ro từ góc độ doanh nghiệp. Một loạt các rủi ro cả bên trong và bên ngoài CNTT có thể ảnh hưởng đến doanh nghiệp.Ngoài ra, rủi ro có thể đến từ những điều sau đây:

  • Các bên thứ ba, chẳng hạn như đối tác, nhà cung cấp phần mềm, nhà cung cấp dịch vụ, nhà cung cấp hoặc khách hàng
  • Các mối nguy hiểm, như thiên tai, đại dịch, biến động địa chính trị hoặc môi trường cân nhắc
  • Các vấn đề pháp lý và quy định, chẳng hạn như không tuân thủ luật pháp và quy định ảnh hưởng đến công ty, bao gồm quyền riêng tư, báo cáo tài chính, báo cáo môi trường và khám phá điện tử

Hình 1. Một cái nhìn toàn diện về rủi ro  CNTT

Trong nội bộ, một số rủi ro được biết đến, chẳng hạn như những rủi ro truyền thống liên quan đến hoạt động CNTT (tính khả dụng, khả năng truy cập) và phát triển hệ thống (không đáp ứng lịch biểu hoặc ngân sách hoặc cung cấp giá trị). Những người khác mới hơn và, mặc dù họ phải được quản lý từ bên trong tổ chức, họ có thể bao gồm cả các thành phần bên trong và bên ngoài. Chúng bao gồm những điều sau đây:

  • Rủi ro thông tin, chẳng hạn như những rủi ro ảnh hưởng đến quyền riêng tư, chất lượng, độ chính xác và bảo vệ
  • Rủi ro con người, chẳng hạn như những rủi ro do sai lầm hoặc thiếu tuân thủ các giao thức bảo mật
  • Rủi ro quy trình, chẳng hạn như các vấn đề gây ra bởi quy trình kinh doanh được thiết kế kém hoặc do không thích ứng quy trình kinh doanh với các thay đổi dựa trên CNTT
  • Rủi ro văn hóa, như ác cảm rủi ro và thiếu nhận thức về rủi ro
  • Kiểm soát, chẳng hạn như kiểm soát không hiệu quả hoặc không đầy đủ để ngăn ngừa hoặc giảm thiểu sự cố rủi ro
  • Quản trị, chẳng hạn như cấu trúc, vai trò hoặc trách nhiệm không hiệu quả hoặc không đầy đủ để đưa ra các quyết định dựa trên rủi ro phù hợp

Cuối cùng, có nguy cơ can thiệp hình sự, từ bên trong hoặc bên ngoài tổ chức. Không giống như các loại rủi ro khác, thường là vô tình, các hành động tội phạm là các cuộc tấn công có chủ ý vào doanh nghiệp, thông tin của công ty hoặc đôi khi là nhân viên hoặc khách hàng của công ty. Những mối đe dọa như vậy chắc chắn không phải là mới. Mọi người đều quen thuộc với virus và tin tặc. Tuy nhiên, điều mới là nhiều nhóm và cá nhân khác đang nhắm mục tiêu vào các tổ chức và mọi người. Chúng bao gồm các chính phủ quốc gia khác, tội phạm có tổ chức, gián điệp công nghiệp và khủng bố. Những người này không cố gắng hạ thấp hệ thống, như trong quá khứ, đã giải thích một thành viên trong nhóm. Họ đang cố gắng để có được thông tin.

Quản lý rủi ro toàn diện: Một bức chân dung

Xử lý rủi ro theo cách toàn diện là một thách thức và xây dựng một khuôn khổ hiệu quả cho việc quản lý của nó là một thách thức. Thật thú vị khi lưu ý rằng có nhiều thỏa thuận hơn từ nhóm tập trung và các nhà nghiên cứu khác về việc quản lý rủi ro hiệu quả trông như thế nào hơn là cách thực hiện. Với suy nghĩ này, chúng tôi phác thảo một số đặc điểm và thành phần của chương trình quản lý rủi ro toàn diện, hiệu quả:

  1. Tập trung vào những gì quan trọng. Rủi ro không thể tránh khỏi. Câu hỏi đầu tiên chúng ta phải hỏi là chúng ta đang cố gắng bảo vệ cái gì? nói khác. Không có gì là hoàn hảo, và một số rủi ro còn lại phải luôn được thực hiện. Một rủi ro được thêm vào từ bên  thứ ba là không thể tránh khỏi, nhưng đó là cách mà họ đã quản lý phản ứng của chúng tôi, kế hoạch dự phòng, sự sẵn sàng của nhóm và khả năng thích ứng của điều đó tạo nên sự khác biệt. Nói tóm lại, rủi ro là sự không chắc chắn là vấn đề, điều gì đó có thể làm tổn thương hoặc trì hoãn doanh nghiệp đạt được mục tiêu của mình . Mặc dù nhiều nhà quản lý nhận ra rằng đã đến lúc để có một cái nhìn chiến lược hơn về rủi ro, chúng tôi vẫn không thể nắm bắt được những gì quan trọng và những gì chúng ta nên theo dõi và bảo vệ . Do đó, quản lý rủi ro không phải là dự đoán tất cả các rủi ro mà là cố gắng giảm rủi ro đáng kể đến mức có thể quản lý và biết cách đánh giá và ứng phó với nó. Tuy nhiên, hơn cả việc bảo vệ doanh nghiệp, quản lý rủi ro cũng cho phép CNTT chấp nhận rủi ro nhiều hơn theo cách an toàn nhất có thể . Do đó, trọng tâm của quản lý rủi ro hiệu quả không phải là nói không với rủi ro, mà là làm thế nào để nói có, từ đó xây dựng một doanh nghiệp nhanh nhẹn hơn .
  2. Mong đợi sự thay đổi theo thời gian. Rất ít công ty nắm bắt tốt việc quản lý rủi ro vì CNTT là một ngành  đang phát triển nhanh chóng . Do đó, sẽ là một sai lầm khi mã hóa các thông lệ và tiêu chuẩn rủi ro quá nhanh, theo nhóm tập trung. Những nỗ lực để làm điều này thường dẫn đến giấy tờ mà không có ngữ cảnh, một người quản lý cho biết. Trong một danh mục rủi ro cụ thể, các hành động quản lý rủi ro phải liên tục, lặp lại và có cấu trúc, các thành viên nhóm đã đồng ý. Để nhận ra thực tế này, hầu hết các tổ chức tham gia đều có đánh giá rủi ro bắt buộc ở các giai đoạn quan trọng trong quy trình phát triển hệ thống để nắm bắt bức tranh rủi ro liên quan đến một dự án cụ thể tại nhiều thời điểm và nhiều người đã đánh giá thường xuyên, liên tục các kiểm soát hoạt động cần thiết cơ sở hàng năm hoặc sáu tháng để làm điều tương tự. Ngoài ra, khi sự cố xảy ra, cần phải luôn có một quy trình đánh giá những gì đã xảy ra, đánh giá tác động của nó và ngăn chặn nếu các điều khiển hoặc các quy trình quản lý khác cần được điều chỉnh . Cuối cùng, các tổ chức cũng nên liên tục cố gắng đơn giản hóa và hợp lý hóa các biện pháp kiểm soát bất cứ nơi nào có thể để giảm thiểu gánh nặng của họ. Đây là một quá trình thường bị bỏ lỡ, thừa nhận một người quản lý.

    Tuy nhiên, mặc dù thực tế rằng mỗi bước này đều hữu ích, nhưng cũng cần thiết phải đứng lại khỏi các sáng kiến ​​này và xem hình ảnh rủi ro toàn diện đang phát triển như thế nào. Chính quan điểm chiến lược và toàn diện hơn này thường bị thiếu trong các tổ chức và các công ty thường không giao tiếp với nhân viên của họ. Một trong những rủi ro lớn nhất đối với các tổ chức đến từ chính các nhân viên, không nhất thiết phải thông qua các hành động có chủ ý của họ, mà bởi vì họ không nhận ra những rủi ro liên quan đến hành động của họ . Do đó, nhiều người tin rằng đã đến lúc nhận ra rằng rủi ro không thể được quản lý chỉ thông qua kiểm soát, thủ tục và công nghệ nhưng tất cả nhân viên phải hiểu các khái niệm và mục tiêu của quản lý rủi ro vì doanh nghiệp sẽ luôn cần dựa vào phán đoán của họ ở một mức độ nào đó. Trong cùng một hướng, nhiều nhà quản lý thường không hiểu được quy mô và bản chất của các rủi ro liên quan và do đó tài nguyên quản lý của họ không phù hợp. Kết quả là họ có xu hướng ủy thác nhiều khía cạnh của quản lý rủi ro cho các cấp thấp hơn trong tổ chức, do đó ngăn chặn sự phát triển của bất kỳ tầm nhìn dài hạn, tổng thể nào .

  3. Xem rủi ro từ nhiều cấp độ và ngóc nhìn. Thay vì xử lý các sự cố bảo mật theo cách một lần, điều quan trọng là phải phân tích nguyên nhân gốc rễ để hiểu rủi ro theo cách nhiều mặt hơn. Đến nay, quản lý rủi ro có xu hướng tập trung phần lớn vào cấp độ hoạt động và chiến thuật và không được xem xét một cách chiến lược.  Chúng ta cần đánh giá xu hướng rủi ro và phát triển các chiến lược để đối phó với chúng. Chiến thuật đối phó với các mối đe dọa trong tương lai sau đó sẽ hiệu quả hơn và dễ dàng hơn để đưa vào vị trí.  Chúng ta phải nhắm đến sự dư thừa của bảo vệ, đó là, nhiều lớp, để đảm bảo rằng nếu một lớp bị lỗi, các lớp khác sẽ bắt gặp bất kỳ vấn đề nào.

     

    Hơn nữa, rủi ro, bảo mật và tuân thủ thường được trộn lẫn trong tâm trí mọi người. Mỗi trong số này là một ống kính hợp lệ và duy nhất để xem rủi ro và không nên được coi là giống nhau. Ví dụ, một chuyên gia lưu ý rằng 70 phần trăm ngân sách bảo mật thông thường được dành cho các vấn đề tuân thủ, không phải để bảo vệ và bảo vệ tổ chức (Hiệp hội quản lý thông tin 2008), và sự mất cân đối này có nghĩa là chi tiêu chung ở nhiều công ty bị sai lệch. Một công ty sử dụng quy tắc người đàn ông thận trọng để đối phó với rủi ro, trong đó khuyến nghị sự đa dạng của các phương pháp tiếp cận, chủ động, phòng ngừa, siêng năng, đáng tin cậy và thúc đẩy nhận thức, bảo đảm rằng nó được bảo vệ đầy đủ và tất cả các bên liên quan đều được bảo vệ đúng cách. Theo dõi và thích ứng với các tiêu chuẩn và luật pháp quốc tế mới, hoàn thành kiểm tra sức khỏe tổng thể và phân tích rủi ro tiềm ẩn là những khía cạnh rủi ro mới khác cần được đưa vào cách tiếp cận tổng thể của công ty trong quản lý rủi ro.

Phát triển khung quản lý rủi ro

Với một bức tranh tổng thể trong tâm trí, các tổ chức có thể bắt đầu phát triển một khuôn khổ để điền vào các chi tiết. Mục tiêu của khung quản lý rủi ro (RMF) là tạo ra sự hiểu biết chung về rủi ro, đảm bảo các rủi ro đúng đang được giải quyết ở mức phù hợp và liên quan đến đúng người trong việc đưa ra quyết định rủi ro. Một RMF cũng phục vụ để hướng dẫn xây dựng các chính sách rủi ro và tích hợp các tiêu chuẩn và quy trình rủi ro phù hợp vào thực tiễn hiện tại (ví dụ: SDLC). Không có công ty nào trong nhóm tập trung chưa phát triển một khuôn khổ toàn diện để giải quyết rủi ro dựa trên CNTT, mặc dù nhiều công ty đã có những phần quan trọng tại chỗ hoặc đang phát triển. Trong phần này, chúng tôi cố gắng ghép những thứ này lại với nhau để phác thảo những gì một RMF có thể chứa.

Một RMF sẽ đóng vai trò là một tổng quan cấp cao về cách quản lý rủi ro trong doanh nghiệp và cũng có thể đóng vai trò như một cấu trúc để báo cáo rủi ro ở các mức độ chi tiết khác nhau. Hiện nay, nhiều công ty đã tạo ra các chính sách quản lý rủi ro và yêu cầu tất cả nhân viên đọc và ký tên. Thật không may, các chính sách như vậy thường quá dài và phức tạp đến mức quá tải và không hiệu quả. Chính sách bảo mật của chúng tôi chỉ có hai trăm trang. Làm thế nào nó có thể thi hành được? Một người khác lưu ý rằng ngôn ngữ trong chính sách của công ty của ông là kỹ thuật cao. Do đó, sự không tuân thủ của người dùng trong việc tuân theo các thực tiễn tốt nhất được đề xuất là đáng kể. Hơn nữa, rất nhiều cam kết, hội đồng đánh giá, hội đồng và trung tâm kiểm soát thường được thiết kế để đối phó với một hoặc nhiều khía cạnh của quản lý rủi ro, nhưng chúng thực sự góp phần vào sự phức tạp chung của việc quản lý rủi ro dựa trên CNTT trong một tổ chức.

Không có gì đáng ngạc nhiên khi tình trạng này tồn tại, do sự nhanh chóng mà các công nghệ, giao diện, mối quan hệ bên ngoài và sự phụ thuộc đã phát triển trong thập kỷ qua. Các tổ chức đã đấu tranh để đơn giản theo kịp các làn sóng luật pháp, quy định, toàn cầu hóa, tiêu chuẩn và chuyển đổi dường như liên tục đe dọa nhấn chìm họ. Do đó, một RMF là điểm khởi đầu để cung cấp một cái nhìn tổng hợp về rủi ro từ trên xuống, xác định nó, xác định những người chịu trách nhiệm đưa ra các quyết định quan trọng về nó và lập bản đồ các chính sách và tiêu chuẩn áp dụng cho từng khu vực. May mắn thay, công nghệ hiện tại giúp dễ dàng cung cấp nhiều chế độ xem và nhiều cấp độ của thông tin này, cho phép các nhóm hoặc cá nhân khác nhau hiểu được trách nhiệm và chính sách cụ thể của họ và xem các liên kết đến các công cụ, thực tiễn và mẫu cụ thể, đồng thời tạo điều kiện cho các loại báo cáo khác nhau cho các bên liên quan khác nhau ở các cấp độ khác nhau. Bằng cách ánh xạ các nhóm, chính sách và hướng dẫn hiện có vào một RMF, sẽ dễ dàng hơn để xem các khoảng trống tồn tại và nơi phức tạp trong các quy trình nên được sắp xếp hợp lý.

Một RMF cơ bản bao gồm:

  • Loại rủi ro. Khu vực chung của rủi ro doanh nghiệp liên quan (ví dụ: hình sự, hoạt động, bên thứ ba).
  • Chính sách và tiêu chuẩn. Ở cấp độ cao, các nguyên tắc chung để hướng dẫn các quyết định rủi ro và họ xác định bất kỳ tiêu chuẩn chính thức nào của công ty, ngành, quốc gia hoặc quốc tế nên áp dụng cho từng loại rủi ro. Ví dụ: chính sách của một công ty liên quan đến mọi người sau đây, một phần:

Bảo vệ tính toàn vẹn và bảo mật của thông tin khách hàng và doanh nghiệp là trách nhiệm                               của mỗi nhân viên. Báo cáo kịp thời và hiệu quả về các sự cố riêng tư thực tế và bị nghi ngờ                             là   một thành phần chính của việc đáp ứng trách nhiệm này. Quản lý dựa vào kinh nghiệm                                tập thể và sự đánh giá của nhân viên.

Một chính sách khác của công ty liên quan đến văn hóa, Chúng ta cần phải tập trung quản lý                          rủi ro và nhận thức vào tất cả các quy trình, chức năng, công việc và cá nhân.

  • Loại rủi ro. Mỗi loại rủi ro liên quan đến từng loại (ví dụ: mất thông tin, không tuân thủ luật pháp cụ thể, không có khả năng làm việc do ngừng hoạt động hệ thống) cần phải được xác định. Mỗi loại nên có một tên chung và định nghĩa, liên kết lý tưởng với một tác động kinh doanh. Việc xác định tất cả các loại rủi ro sẽ mất thời gian và có thể đòi hỏi nhiều lần lặp lại vì có nhiều rủi ro cụ thể đáng kinh ngạc . Tuy nhiên, phát triển danh sách và định nghĩa là bước khởi đầu tốt  và đã là một thông lệ phổ biến trong các công ty nhóm tập trung, ít nhất là đối với một số loại rủi ro nhất định.
  • Quyền sở hữu rủi ro. Mỗi loại rủi ro nên có một chủ sở hữu, trong CNTT hoặc trong doanh nghiệp. Đồng thời, có khả năng sẽ có một số bên liên quan sẽ bị ảnh hưởng bởi các quyết định dựa trên rủi ro. Ví dụ, nhà tài trợ kinh doanh chính có thể là chủ sở hữu của các quyết định rủi ro liên quan đến việc phát triển hoặc mua hệ thống CNTT mới, nhưng hoạt động và kiến ​​trúc CNTT cũng như người quản lý dự án rõ ràng sẽ là các bên liên quan chính. Ngoài các chức năng CNTT chuyên dụng, chẳng hạn như chức năng bảo mật, kiểm toán và quyền riêng tư trong doanh nghiệp có thể sẽ liên quan đến nhiều quyết định dựa trên rủi ro CNTT. Chủ sở hữu và các bên liên quan nên có trách nhiệm và trách nhiệm rõ ràng. Trong nhóm tập trung, một số loại rủi ro chính thuộc sở hữu của các ủy ban, chẳng hạn như ủy ban rủi ro doanh nghiệp, hoặc kiểm toán nội bộ, ủy ban quản trị rủi ro và quản trị rủi ro hoặc hội đồng đánh giá rủi ro dự án mà các nhóm bên liên quan được đại diện.
  • Giảm thiểu rủi ro. Khi một RMF được phát triển, mỗi loại rủi ro phải được liên kết với các biện pháp kiểm soát, thực hành và các công cụ để giải quyết nó một cách hiệu quả. Chúng thuộc một trong hai loại: bắt buộc và không bắt buộc. Các thành viên trong nhóm nhấn mạnh rằng quá coi trọng việc giảm thiểu có thể dẫn đến tê liệt tổ chức hoặc nhạy cảm với rủi ro cao. Thay vào đó, những người tham gia nhấn mạnh vai trò của sự phán xét trong các hoạt động giảm thiểu đúng kích cỡ bất cứ khi nào có thể. Một người quản lý cho biết khuôn khổ phát triển công nghệ của chúng tôi không cho bạn biết bạn phải làm gì, nhưng nó cung cấp cho bạn những điều cần xem xét trong từng giai đoạn. Trước tiên, chúng tôi xem xét rủi ro doanh nghiệp tổng thể do một dự án đưa ra và phát triển các biện pháp kiểm soát dựa trên đánh giá của chúng tôi về mức độ và loại rủi ro liên quan. Mục tiêu, tất cả mọi người đều đồng ý, là cung cấp một phương tiện để rủi ro có thể được quản lý một cách nhất quán, hiệu quả và phù hợp.
  • Báo cáo và giám sát rủi ro. Đây là một chủ đề gây tranh cãi trong nhóm tập trung. Mặc dù mọi người đều đồng ý rằng điều quan trọng là làm cho rủi ro và quản lý của nó trở nên rõ ràng hơn trong tổ chức, theo dõi và báo cáo về rủi ro có xu hướng làm cho quản lý không thích rủi ro cao.

” Chúng tôi đã dành một năm cố gắng để định lượng rủi ro và phát triển một báo cáo tổng hợp, nhưng chúng tôi đã ném nó đi vì kiểm toán đã không hiểu nó và chỉ thấy một rủi ro lớn. Điều này dẫn đến cuộc thảo luận bất tận và không tin tưởng rằng CNTT đang xử lý rủi ro tốt. Bây giờ chúng tôi sử dụng một khung báo cáo rất đơn giản thể hiện rủi ro là cao, trung bình hoặc thấp. Đây là ngôn ngữ tất cả chúng ta đều hiểu.” Một nhà quản lý CNTT cho biết .

Chắc chắn có những áp lực để cải thiện việc đo lường rủi ro , nhưng phải chú ý rõ ràng về cách thức các số liệu này được báo cáo. Ví dụ, một công ty sử dụng nhiều biện pháp tự bảo đảm để đảm bảo rằng các rủi ro đã được xác định đúng và đưa ra các biện pháp kiểm soát phù hợp. Tuy nhiên, khi các quy trình quản lý rủi ro được hiểu rõ hơn và được mã hóa nhiều hơn, báo cáo rủi ro cũng có thể trở nên chính thức hơn. Điều này đặc biệt là trường hợp hiện tại với các điều khiển quy trình hoạt động và bảo mật CNTT cơ bản, chẳng hạn như phát hiện virus hoặc xâm nhập.

Tuy nhiên, giám sát rủi ro là một quá trình liên tục vì mức độ và loại rủi ro đang thay đổi liên tục. Do đó, một RMF phải là một tài liệu động vì các loại rủi ro mới được xác định, các tác động kinh doanh được hiểu rõ hơn và các hoạt động giảm thiểu phát triển. Chúng tôi cần liên tục theo dõi tất cả các loại rủi ro và hỏi giám đốc điều hành của chúng tôi nếu mức độ rủi ro vẫn như nhau, một thành viên nhóm tập trung cho biết. Rõ ràng là việc không hiểu được rủi ro đang thay đổi như thế nào là một rủi ro đáng kể trong chính nó . Do đó, điều đặc biệt quan trọng là phải có một quy trình để phân tích những gì xảy ra khi có rủi ro không lường trước xảy ra. Trừ khi những nỗ lực được thực hiện để tìm hiểu nguyên nhân gốc rễ của một vấn đề, không chắc là các biện pháp giảm thiểu hiệu quả có thể được đưa ra.

Cải thiện khả năng quản lý rủi ro

Quản lý rủi ro trong hầu hết các lĩnh vực chưa có các thông lệ hoặc tiêu chuẩn tốt nhất được ghi chép lại. Tuy nhiên, nhóm tập trung đã xác định một số hành động có thể dẫn đến việc phát triển các khả năng quản lý rủi ro hiệu quả:

  • Nhìn xa hơn rủi ro kỹ thuật. Một trong những yếu tố ức chế lớn nhất của quản lý rủi ro hiệu quả là quá tập trung vào rủi ro kỹ thuật, thay vì rủi ro kinh doanh . Một cách tiếp cận bảo mật truyền thống, ví dụ, có xu hướng chỉ tập trung vào các mối đe dọa kỹ thuật hoặc các hệ thống hoặc nền tảng cụ thể.
  • Phát triển ngôn ngữ chung về rủi ro. Một sự hiểu biết rõ ràng hơn về rủi ro kinh doanh đòi hỏi tất cả các bên liên quan.
  • Đơn giản hóa việc trình bày. Có một cách tiếp cận chung để thảo luận hoặc mô tả rủi ro là rất hiệu quả, một số thành viên nhóm tập trung cho biết. Mặc dù công việc đằng sau một bài thuyết trình đơn giản có thể phức tạp, nhưng việc trình bày quá nhiều phức tạp có thể phản tác dụng. Các cách tiếp cận hiệu quả nhất rất đơn giản: tường thuật, bảng điều khiển, báo cáo điểm dừng hoặc một phong cách báo cáo đồ họa khác.
  • Đúng kích cỡ. Quản lý rủi ro phải phù hợp với mức độ rủi ro liên quan. Thực tiễn hiệu quả hơn cho phép điều chỉnh các điều khiển trong khi vẫn đảm bảo rằng các quyết định đưa ra có thể nhìn thấy và lý do được truyền đạt.
  • Chuẩn hóa cơ sở công nghệ. Đây là một trong những cách hiệu quả nhất để giảm rủi ro, theo nghiên cứu, nhưng nó cũng là một trong những cách đắt nhất .
  • Diễn tập. Nhiều công ty hiện có một đội phản ứng khẩn cấp để xử lý nhanh chóng các mối nguy hiểm chính. Tuy nhiên, điều ít phổ biến hơn là nhóm này thực sự diễn tập khắc phục thảm họa, liên tục kinh doanh hoặc các loại kế hoạch giảm thiểu rủi ro khác.
  • Làm rõ vai trò và trách nhiệm. Với rất nhiều nhóm trong tổ chức hiện đang tham gia quản lý rủi ro theo một cách nào đó, điều quan trọng là vai trò và trách nhiệm phải được ghi lại và truyền đạt. Lý tưởng nhất, điều này nên trong bối cảnh của một RMF. Tuy nhiên, ngay cả khi không có RMF, các nỗ lực nên được thực hiện để ghi lại các nhóm trong tổ chức chịu trách nhiệm về loại rủi ro doanh nghiệp nào.
  • Tự động hóa khi thích hợp. Khi thực hành quản lý rủi ro trở thành tiêu chuẩn hóa và sắp xếp hợp lý, các điều khiển tự động bắt đầu có ý nghĩa. Một số công cụ có thể rất hiệu quả, lưu ý nhóm tập trung, miễn là chúng được áp dụng theo cách tạo thuận lợi cho quản lý rủi ro, thay vì trở thành một trở ngại cho năng suất.
  • Đào tạo và giao truyền thông. Mỗi tổ chức có văn hóa riêng, và hầu hết cần phải làm việc với nhân viên, quản lý doanh nghiệp và giám đốc điều hành để họ nhận thức rõ hơn về rủi ro và nhu cầu đầu tư vào quản lý phù hợp. Tuy nhiên, một số tổ chức, như một công ty bảo hiểm trong nhóm tập trung, rất sợ rủi ro đến mức họ cần giáo dục để cho phép họ chấp nhận rủi ro nhiều hơn. Các công ty như vậy có thể được hưởng lợi từ việc hiểu rõ hơn danh mục rủi ro của các dự án . Cách tiếp cận như vậy thường có thể giúp khuyến khích các công ty thực hiện các sáng kiến ​​đổi mới rủi ro hơn với sự tự tin hơn.

Phần kết luận

Các tổ chức nhạy cảm với rủi ro hơn bao giờ hết. Nền kinh tế, pháp lý và môi trường pháp lý; kinh doanh phức tạp; sự cởi mở ngày càng tăng của các mối quan hệ kinh doanh; và công nghệ thay đổi nhanh chóng tất cả đã kết hợp để thúc đẩy các nhà quản lý tìm kiếm sự hiểu biết toàn diện hơn về rủi ro và quản lý của nó. Trong khi trước đây, rủi ro được quản lý trong các túi biệt lập bởi các chức năng như bảo mật CNTT, kiểm toán nội bộ và pháp lý, ngày nay sự công nhận đang gia tăng khiến các đấu trường này giao nhau và ảnh hưởng lẫn nhau. Và rủi ro CNTT rõ ràng liên quan đến nhiều loại rủi ro kinh doanh ngày nay. Hoạt động tội phạm, trách nhiệm pháp lý, quyền riêng tư, đổi mới và năng suất hoạt động, chỉ là một số ít, tất cả đều có ý nghĩa rủi ro CNTT. Do đó, các tổ chức cần một cách tiếp cận mới để mạo hiểm với một người có bản chất toàn diện hơn và cung cấp một khung tích hợp để hiểu rủi ro và đưa ra quyết định liên quan đến nó.Hoàn thành điều này không phải là nhiệm vụ đơn giản, vì vậy việc phát triển một khung như vậy có thể sẽ là một hoạt động đang diễn ra, khi các chuyên gia về CNTT và những người khác bắt đầu vật lộn với cách tiếp cận một hoạt động đa chiều và phức tạp như vậy. Do đó, chương này đã không cố gắng trình bày một cách tiếp cận dứt khoát để quản lý rủi ro. Có thỏa thuận chung rằng các tổ chức chưa sẵn sàng cho việc này. Thay vào đó, nó đã cố gắng phác thảo một ấn tượng về cách tiếp cận quản lý rủi ro và chương trình quản lý rủi ro hiệu quả có thể trông như thế nào. Các nhà quản lý CNTT và những người khác đã được để lại để điền vào các chi tiết và hoàn thành bức chân dung trong các tổ chức của riêng họ.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *