Ведущая подкаста Анастасия Харыбина и приглашенный гость Александр Кондратенко, заместитель директора департамента информационной безопасности, руководитель управления рисков и процессов ИБ и Agile-команды Росбанка, обсудили крайне актуальную тему «Управление рисками ИБ».
В рамках часового выпуска ведущая и гость поговорили, на ком лежит ответственность по управлению рисками в организации, как между собой перекликаются операционные риски и риски ИБ.
Александр акцентировал внимание на тех преимуществах, которые дает функции ИБ качественное управление рисками. Одним из которых является фокусировка усилий на предотвращении ключевых рисковых событий в части ИБ для конкретной организации.
Гость рассказал о том, из чего должен состоять качественный риск-анализ, чтобы стать эффективным инструментов принятия управленческих решений. Он подчеркнул типовые ошибки, которые допускают специалисты по информационной безопасности, занимаясь данной аналитикой.
Отдельно спикеры подискутировали о том, как выстроить процессы управления рисками эффективно? Александр поделился опытом Росбанка и рассказал, как компетенции по рискам встраивались в службу ИБ, как выстраивался диалог между смежными подразделениями и ИБ, как была создана собственная SGRC-система и как она далее трансформировалась в GRS для управления рисками для всего Росбанка. Гость дал советы, где взять аналитику для построения качественных моделей при риск-анализе, как создать базы знаний и внедрить механизм ее постоянного обогащения.
Смотрите выпуск, и вы узнаете:
• Зачем службе ИБ управлять рисками и какие преимущества это дает
• Могут ли компетенции по управлению рисками жить в ИБ и как выстроить диалог со смежными подразделениями
• Как эффективно выстроить и автоматизировать процессы управления рисками
• Из чего состоит качественный риск-анализ и какие вопросы он позволяет решать
• Где взять аналитику для построения моделей при риск-анализе и может ли организация опираться только на свой опыт в данном вопросе
Слушать подкаст на Podster: clck.ru/3BWbxX
Тайм-коды
00:01 - Начало
00:21 - Приветствие
01:40 - Личные новости
04:21 - Блок 1 - Зачем управлять ИБ-рисками
09:22 - Кто заинтересован в анализе рисков
10:30 - Зачем функции ИБ управлять рисками
14:43 - Что ТОП-менеджмент ожидает от рисков
15:38 - Блок 2 - Как эффективно управлять ИБ-рисками?
16:33 - Опыт Росбанка
18:15 - Как выстроить взаимодействие с другими подразделениями
21:53 - Что должно стоять за анализом рисков
24:48 - Из чего состоит качественный риск-анализ
26:46 - Блок 3 - Методики работы с ИБ-рисками
27:13 - Какую методологию взять в качестве базы
28:30 - Нюанс внедрения риск-анализа
30:20 - Глубина риск-анализа
32:28 - Где взять аналитику для риск-анализа
35:36 - Блок 4 - Автоматизация управления ИБ-рисками
36:41 - Разница между SGRС и GRC-системами
41:06 - Заменят ли SGRC-системы SIEM и SOC
43:33 - Когда выгодней свое решение, а когда коробочный продукт
45:03 - Блок 5 - Зрелость вопросов управления рисками ИБ
45:42 - Почему актуальность управления рисками возросла
47:38 - Почему в банках выше культура управления рисками
50:35 - Как ускорить внедрение процесса управления рисками
54:34 - Кадровый вопрос
57:49 - Заключение
58:11 - Прогноз гостя
58:59 - Прощание
Полезные ссылки:
TG-канал AKTIV.CONSULTING - t.me/aktivcons
TG-канал компании «Актив» - t.me/aktivcompany
VK компании «Актив» - aktiv_company
Сайт AKTIV.CONSULTING - aktiv.consulting
Сайт компании «Актив» - www.aktiv-company.ru
26 июн 2024
