Рыночная волатильность, геополитическая турбулентность и киберкриминал создают серьёзные риски для организаций. ИТ-системы остаются уязвимыми для внешних атак и внутренних угроз. Это значит, что критически важным фактором стабильной и эффективной работы становится эффективное управление рисками.
- Введение
- Разновидности рисков
- Ключевые индикаторы риска (КИР)
- 3.1. Риски для информационной безопасности
- 3.2. Финансовые риски
- 3.3. Операционные риски
- 3.4. Репутационные риски
- Управление рисками для информационной безопасности
- Современные системы управления операционными рисками (СУОР)
- Интегрированные системы управления рисками
- Big Data и нейросети в риск-менеджменте
- Выводы
Введение
В эпоху цифровизации, когда изменения на рынке происходят с небывалой скоростью, организации сталкиваются с новыми вызовами, которые ставят под угрозу их стабильность и эффективность. Геополитические потрясения, экономическая нестабильность и растущие угрозы кибербезопасности создают сложную среду, в которой компании должны адаптироваться и находить способы защиты своих активов.
ИТ-системы, являющиеся важными элементами современного бизнеса, постоянно подвергаются вредоносным воздействиям как извне (кибератаки и технические сбои), так и изнутри (ошибки пользователей и несоответствие требованиям безопасности). Эти риски могут привести к значительным финансовым потерям и урону репутации, что делает управление рисками критически важным для любой организации делом.
В условиях волатильности на рынке и роста угроз со стороны мошенников компаниям необходимы надёжные инструменты для эффективной борьбы с этими вызовами. На сегодняшний день существует множество систем для управления рисками, предлагающих различные подходы и решения. В этой статье мы рассмотрим ключевые аспекты управления рисками в эпоху цифровизации и проанализируем современные ИТ-системы, способные минимизировать угрозы и обеспечить безопасность бизнеса.
Разновидности рисков
Для удобства мы будем использовать категории риска, которые выделяют регуляторы. Обычно в эти категории попадает весьма широкий спектр рисков: и финансовые, и управленческие, и связанные с сетевой безопасностью.
Риск реализации угроз информационной безопасности
Речь идёт о том, что недостатки в прикладном ПО, автоматизированных системах и приложениях, ошибки при реализации технологических мероприятий могут привести к краже конфиденциальных сведений, ПДн и финансовой информации, незаконному изменению и искажению данных, вводу ложных сведений.
Риск отказов или нарушения функционирования применяемых информационных систем
Есть вероятность того, что информационные системы, используемые организацией, перестанут функционировать или будут работать со сбоями, что приведёт к замедлению процессов, утрате данных или финансовым потерям. Весьма актуальный для России риск, учитывая, что многие сервисы перестают работать из-за санкций либо из-за неподчинения требованиям российских регуляторов. Но, разумеется, причины могут быть не только политическими, но и банально техническими.
Правовые риски
Вероятно возникновение правовых проблем, которые могут привести к финансовым потерям, штрафам, судебным искам, репутационному ущербу.
Риски связанные с управлением
Ошибки в управленческих процессах способны приводить к неэффективности работы, финансовым потерям, репутационным рискам. Сюда можно отнести такие факторы, как недостаток специалистов, финансирования или времени, несогласованные изменения требований. Речь также идёт о неправильной оценке сроков, недопонимании между участниками проекта, недостаточной информированности, отсутствии системы контроля, слабом реагировании на отклонения от плана.
Риск потери средств клиентов
Средства могут быть утрачены в результате мошенничества, ошибки, кражи или других негативных событий. Здесь речь идёт о несанкционированных операциях, ошибках в программном обеспечении, сбоях в работе системы платежей, а иногда даже о стихийных бедствиях.
Операционный риск для платёжной системы
Следует учитывать вероятность возникновения ошибок, сбоев, нарушений в работе платёжной системы, которые могут привести к финансовым потерям, репутационным рискам, неудобствам для клиентов. Это может быть вызвано изъянами в системе обработки платежей, отказами в обработке операций, нестабильным интернет-соединением, сбоями в работе оборудования.
Ошибки в работе ПО
Ошибка в программном обеспечении может привести к системным сбоям, утрате данных, финансовым потерям. Речь идёт о логических ошибках, изъянах в коде, неправильной реализации алгоритмов, неправильных настройках программного обеспечения, несовместимости версий. Сюда же можно отнести бреши в безопасности и (косвенно) эксплойты.
Многие из описанных выше рисков перечислены в Положении Банка России № 716-П. Хотя документ регламентирует требования к банкам, другие типы организаций также сталкиваются с подобными проблемами, и системы управления рисками там используются похожие.
Ключевые индикаторы риска (КИР)
Ключевые индикаторы риска (КИР) — это метрики, которые помогают организациям отслеживать риски, анализировать их и управлять ими. Важно понимать, что КИР не универсальны. Они должны быть специфичны для каждой организации, отражая её уникальную структуру, бизнес-модель и отрасль. Тем не менее можно рассмотреть ряд типовых метрик, которые используются организациями в самых разных областях.
Риски для информационной безопасности
Вот примеры метрик, которые используются для оценки рисков по части кибербезопасности:
- Количество попыток несанкционированного доступа (измеряет уровень угрозы информационной безопасности).
- Количество обнаруженных уязвимостей (показывает эффективность системы защиты информации).
- Время реагирования на инциденты (отражает скорость отклика на угрозы).
Примечательно, что метрики рисков в области информационной безопасности более-менее однородны у разных типов организаций.
Финансовые риски
Метрик для оценки финансовых рисков существует огромное количество. Вот некоторые возможные примеры.
- Доля просроченной дебиторской задолженности показывает, насколько эффективно компания управляет своими долгами.
- Коэффициент рентабельности собственного капитала (ROE) измеряет эффективность использования активов.
- Изменение кредитного рейтинга отражает сдвиги в финансовой устойчивости компании.
Метрики оценки финансовых рисков могут сильно различаться в зависимости от используемой финансовой модели.
Операционные риски
Метрики для оценки операционного риска — это инструменты, которые помогают компаниям измерять и контролировать риск потерь из-за ошибок, сбоев или мошенничества.
- Количество ошибок в производстве показывает уровень качества операционной деятельности.
- Время простоя оборудования позволяет понять, насколько эффективно оно работает.
- Количество несчастных случаев отражает уровень безопасности труда.
Метрики операционных рисков тоже сильно варьируются в зависимости от рода деятельности организации.
Репутационные риски
Метрики для оценки репутационного риска — это количественные показатели, которые измеряют вероятность наступления и степень воздействия негативных событий, влияющих на имидж и репутацию организации.
- Количество жалоб клиентов показывает уровень их удовлетворённости.
- Оценка бренда в социальных медиа служит индикатором общественного мнения о компании.
- Количество негативных публикаций в СМИ может сигнализировать о необходимости обратить внимание на репутацию.
В идеале, оценка репутационных рисков должна быть привязана к специфике каждой отдельно взятой целевой аудитории, так как одни и те же решения организации могут быть по-разному восприняты разными людьми.
Управление рисками для информационной безопасности
В вопросах управления рисками по части кибербезопасности популярными подходами являются применение SIEM (Security Information and Event Management) и SOAR (Security Orchestration, Automation and Response). Системы этих классов часто рассматриваются как взаимозаменяемые, но на самом деле играют разные роли в защите организации. SIEM предоставляет информацию о потенциальных угрозах, а SOAR использует эти сведения для автоматизации действий по реагированию на инциденты.
SIEM
SIEM — это инструмент для управления рисками в области сетевой безопасности, предоставляющий комплексный обзор ИБ-событий. SIEM собирает и хранит логи из различных систем, включая сетевые устройства, серверы, рабочие станции и облачные сервисы.
SIEM нормализовывает данные из разных источников, упрощая анализ и поиск корреляций между событиями, чтобы выявлять подозрительную активность. Используя правила корреляции и алгоритмы машинного обучения, SIEM определяет аномальное поведение, подозрительные действия и возможные угрозы, генерируя оповещения о подозрительной активности и предоставляя аналитикам информацию для быстрого реагирования.
SIEM также хранит историю событий для восстановления хронологии инцидента и определения его причины, создаёт отчёты о безопасности для оценки эффективности систем ИБ и выполнения требований регуляторов.
SOAR
SOAR — это комплексная платформа, которая автоматизирует и оптимизирует процессы реагирования на инциденты, позволяя командам безопасности работать более эффективно и оперативно.
SOAR объединяет в себе три ключевых компонента.
- Оркестровка: SOAR-платформы связывают различные инструменты безопасности и создают единый рабочий процесс. Это означает, что вместо ручного старта каждого инструмента по отдельности ИБ-команда может использовать SOAR для автоматического запуска цепочек действий, таких как сбор данных, анализ угроз, блокировка подозрительных IP-адресов и т. д.
- Автоматизация: SOAR использует искусственный интеллект и машинное обучение для решения рутинных задач, таких как анализ журналов, выявление подозрительных действий и выполнение стандартных процедур, без участия людей. Это освобождает специалистов по безопасности от рутинной работы, позволяя им сосредоточиться на более сложных задачах, требующих анализа и принятия решений.
- Реагирование: SOAR-платформы предоставляют единую точку контроля для всех инструментов безопасности, что позволяет быстро и эффективно реагировать на инциденты. Вместо того чтобы переключаться между различными инструментами, команда может использовать SOAR для получения полного контекста инцидента и запуска необходимых действий.
Можно сказать, что SOAR — это не просто инструмент, а стратегия. Он даёт командам безопасности мощный набор инструментов, позволяющих автоматизировать рутину и оптимизировать действия по реагированию на угрозы.
Современные системы управления операционными рисками (СУОР)
Операционные риски возникают из-за проблем с процессами, людьми, системами или вследствие внешних событий, которые могут нарушить нормальную деятельность организации и привести к негативным последствиям.
В России хорошим примером правовой базы по управлению операционными рисками опять же является Положение Банка России № 716-П, о котором говорилось выше. Согласно этому документу, оценка таких рисков должна проводиться не реже раза в год и выполняться либо особым подразделением организации, либо привлечёнными внешними экспертами.
Современные тренды развития в области СУОР — примерно такие же, как в вышеописанных смежных областях. Речь идёт об использовании аналитических платформ и систем бизнес-аналитики для автоматизированной обработки данных, мониторинга и анализа рисков. Также подразумевается применение технологий искусственного интеллекта и машинного обучения для выявления аномалий, предупреждения о возможных рисках и оптимизации процессов в СУОР.
Интегрированные системы управления рисками
Интегрированные системы управления рисками (Enterprise Risk Management, ERM) — это плод ещё одного популярного систематического подхода, направленного на выявление рисков, их анализ и управление ими. Основная цель ERM — создать единую платформу для эффективного управления рисками на всех уровнях компании, от руководства до отдельных подразделений.
Назовём ключевые аспекты ERM.
- Риск-карта: визуальное представление рисков и их взаимосвязей, определяющее приоритеты и помогающее в управлении портфелем рисков.
- Риск-аппетит: уровень риска, который организация готова принимать для достижения своих целей. Он определяет рамки, за которые не следует выходить, и помогает сохранить баланс между риском и доходностью.
- Выявление потенциальных источников риска: широкий спектр методов, таких как SWOT-анализ, мозговой штурм, анализ конкурентной среды и внутренних процессов, помогает определить все возможные угрозы и негативные события.
- Оценка вероятности и последствий: каждому риску присваиваются уровень вероятности и уровень воздействия (какие будут последствия, если он реализуется). Для этого используются разнообразные методы анализа, включая матрицы рисков, методы стоимостного анализа и даже стохастическое моделирование (например, метод Монте-Карло).
ERM — это не просто набор инструментов, а философия управления, которая позволяет организациям не только снизить риски, но и превратить их в возможности для роста и развития.
Big Data и нейросети в риск-менеджменте
Революционное влияние больших данных и нейросетей на риск-менеджмент весьма заметно. Давайте углубимся в конкретные примеры того, как эти технологии применяются на практике.
Примеры использования искусственного интеллекта и машинного обучения в управлении рисками
Сейчас ИИ для управления рисками очень активно стали использовать банки. Они применяют алгоритмы МО для анализа данных о заёмщиках, включая кредитную историю, поведение при оплате и даже социальные сети. Это позволяет более точно оценивать вероятность невозврата кредита. Кроме того, системы на базе ИИ в режиме реального времени анализируют транзакции, выявляя подозрительные операции. Это позволяет предотвратить финансовые потери — например, путём автоматической блокировки подозрительных транзакций на основе исторических данных о мошенничестве.
Другими возможными областями применения ИИ для работы с рисками можно назвать автоматический поиск уязвимостей в информационных системах, прогнозирование изменений на рынках, оптимизацию инвестиционных портфелей.
Как «большие данные» оптимизируют отслеживание ключевых индикаторов риска
Big Data — это огромные массивы структурированных и неструктурированных данных из различных источников. С ними организация может эффективнее отслеживать КИР. Примеры использования «больших данных» в риск-менеджменте:
- Анализ данных о волатильности рынка, изменении процентных ставок и других экономических показателях позволяет более точно оценивать финансовые риски.
- Анализ данных о производственных процессах помогает выявить узкие места и потенциальные сбои. Например, компания может использовать IoT-устройства для мониторинга оборудования и прогнозирования поломок на основе исторических данных.
Другие сценарии применения Big Data для снижения рисков включают в себя анализ данных о киберугрозах, моделирование сценариев для принятия решений в условиях неопределённости и пр.
Выводы
Современные системы управления рисками становятся неотъемлемой частью стратегического управления в условиях цифровизации. Прежде всего необходимо определиться с КИР, для того чтобы применение каких-либо методологий стало возможным. Эти показатели могут меняться в зависимости от специфики организации.
В области кибербезопасности выделяются два генеральных направления: SIEM и SOAR. Когда речь идёт о рыночных рисках, хорошим примером комплексного подхода к управлению становятся интегрированные системы класса ERM.
Современные системы управления рисками также характеризуются активным использованием нейросетей, что позволяет значительно повысить точность прогнозирования и эффективность реагирования на угрозы. Однако важно помнить, что в сфере кибербезопасности наблюдается постоянная гонка вооружений. Злоумышленники также осваивают новые приёмы и применяют нейросети для своих целей.
Организациям необходимо держать руку на пульсе и быть готовыми к появлению новых систем и технологий, чтобы эффективно противостоять возникающим угрозам. Управление рисками в эпоху цифровизации — это динамичный процесс, требующий постоянного внимания и адаптации к меняющимся условиям.
