Зачем организации нужен «главный специалист по управлению рисками»?
Необходимость введения в штатное расписание должности главного специалиста по управлению рисками обусловлено, прежде всего, растущими день ото дня киберугрозами. Многие эксперты полагают, что такой специалист должен не только анализировать, отслеживать, оценивать, прогнозировать, устранять такие риски, но и обеспечивать соответствие внутренних инструкций часто меняющимся правилам и требованиями к безопасности со стороны регуляторов, контролировать их исполнение.
Амир Мизхар, эксперт по противодействию киберпреступности, на сайте securitymagazine.com называет шесть объективных причин, вызывающих необходимость появления в штатном расписании такой должности как «главный специалист по управлению рисками» (Chief Risk Officer).
1. Возрастающее давление регуляторов
В последнее время в большинстве стран и на международном уровне постоянно принимаются документы, регламентирующие деятельность компаний и организаций относительно киберугроз, вводящие новые, все более строгие стандарты работы с данными. В результате организации вынуждены регулярно вносить те или иные коррективы в свою работу, учитывая нововведения регуляторов. Именно главный специалист по управлению рисками должен следить за соответствием внутренних правил требованиям национальных и международных регуляторов, своевременно вносить коррективы.
2. Развитие каналов передачи корпоративных данных
Сегодня с распространением мобильных девайсов дистанционное соединение с хранилищами данных вызвало к жизни новые и острые проблемы информационной защиты. Массовое увлечение социальными сетями породило еще одну реальную угрозу – непредумышленную утечку важной служебной информации. Позиция специалиста по рискам в организации – ключевая для выявления и минимизации таких угроз.
3. Мода на облачные вычисления
Зачастую компании слишком доверчиво относятся к передаче в «облака» информации и функций. Громкий скандал вокруг компрометации баз данных крупной торговой сети Target как раз связан с взломом «облачной» инфраструктуры. Опять же одна из ключевых задач специалиста по рискам – своевременно анализировать, идентифицировать и устранять «облачные» уязвимости.
4. Рост злоупотреблений внутри компаний
Угрозы приходят не только извне, но и внутри организаций. Согласно исследованиям в разных странах, компании ежегодно теряют до 5% своих доходов из-за хищений со стороны персонала. Особую опасность представляют потенциальные преступники из числа тех, кому по работе полагается знать пароли и коды, иметь доступ к финансовой информации. Например, пойманные за руку служащие банков, понимая, что незаконные трансакции привлекут внимание, обычно предпочитают воровать малыми суммами. Кто должен следить за этими преступлениями? Позиция специалиста по управлению рисками наилучшим образом подходит и здесь.
5. Создание новых рубежей информационной защиты
Роль специалиста по управлению рисками предполагает тесное взаимодействие с коллегами, партнерами, внешними экспертами на предмет разработки стратегии и тактики противодействия киберпреступности. Иметь в своем распоряжении рекомендации квалифицированных специалистов по разным аспектам кибербезопасности – значит уметь прогнозировать угрозы и их потенциальные последствия.
6. Многофункциональная безопасность
Сегодня бизнес вынужден вкладывать средства в приобретение различных программных приложений, рассчитанных по отдельности на защиту электронной почты, обмен файлами, мобильные средства связи, «облачных» вычислений… Главный специалист по управлению рисками должен координировать эту работу, стремясь к интеграции и унификации разных программных продуктов.
|