Управление рисками ИБ

Ведущая подкаста Анастасия Харыбина и приглашенный гость Александр Кондратенко, заместитель директора департамента информационной безопасности, руководитель управления рисков и процессов ИБ и Agile-команды Росбанка, обсудили крайне актуальную тему «Управление рисками ИБ». В рамках часового выпуска ведущая и гость поговорили, на ком лежит ответственность по управлению рисками в организации, как между собой перекликаются операционные риски и риски ИБ. Александр акцентировал внимание на тех преимуществах, которые дает функции ИБ качественное управление рисками. Одним из которых является фокусировка усилий на предотвращении ключевых рисковых событий в части ИБ для конкретной организации. Гость рассказал о том, из чего должен состоять качественный риск-анализ, чтобы стать эффективным инструментов принятия управленческих решений. Он подчеркнул типовые ошибки, которые допускают специалисты по информационной безопасности, занимаясь данной аналитикой. Отдельно спикеры подискутировали о том, как выстроить процессы управления рисками эффективно? Александр поделился опытом Росбанка и рассказал, как компетенции по рискам встраивались в службу ИБ, как выстраивался диалог между смежными подразделениями и ИБ, как была создана собственная SGRC-система и как она далее трансформировалась в GRS для управления рисками для всего Росбанка. Гость дал советы, где взять аналитику для построения качественных моделей при риск-анализе, как создать базы знаний и внедрить механизм ее постоянного обогащения. Смотрите выпуск, и вы узнаете: • Зачем службе ИБ управлять рисками и какие преимущества это дает • Могут ли компетенции по управлению рисками жить в ИБ и как выстроить диалог со смежными подразделениями • Как эффективно выстроить и автоматизировать процессы управления рисками • Из чего состоит качественный риск-анализ и какие вопросы он позволяет решать • Где взять аналитику для построения моделей при риск-анализе и может ли организация опираться только на свой опыт в данном вопросе Слушать подкаст на Podster: Тайм-коды 00:01 – Начало 00:21 – Приветствие 01:40 – Личные новости 04:21 – Блок 1 – Зачем управлять ИБ-рисками 09:22 – Кто заинтересован в анализе рисков 10:30 – Зачем функции ИБ управлять рисками 14:43 – Что ТОП-менеджмент ожидает от рисков 15:38 – Блок 2 – Как эффективно управлять ИБ-рисками? 16:33 – Опыт Росбанка 18:15 – Как выстроить взаимодействие с другими подразделениями 21:53 – Что должно стоять за анализом рисков 24:48 – Из чего состоит качественный риск-анализ 26:46 – Блок 3 – Методики работы с ИБ-рисками 27:13 – Какую методологию взять в качестве базы 28:30 – Нюанс внедрения риск-анализа 30:20 – Глубина риск-анализа 32:28 – Где взять аналитику для риск-анализа 35:36 – Блок 4 – Автоматизация управления ИБ-рисками 36:41 – Разница между SGRС и GRC-системами 41:06 – Заменят ли SGRC-системы SIEM и SOC 43:33 – Когда выгодней свое решение, а когда коробочный продукт 45:03 – Блок 5 – Зрелость вопросов управления рисками ИБ 45:42 – Почему актуальность управления рисками возросла 47:38 – Почему в банках выше культура управления рисками 50:35 – Как ускорить внедрение процесса управления рисками 54:34 – Кадровый вопрос 57:49 – Заключение 58:11 – Прогноз гостя 58:59 – Прощание Полезные ссылки: TG-канал - TG-канал компании «Актив» - VK компании «Актив» – Сайт - Сайт компании «Актив» -