Управление рисками ИБ

Ведущая подкаста Анастасия Харыбина и приглашенный гость Александр Кондратенко, заместитель директора департамента информационной безопасности, руководитель управления рисков и процессов ИБ и Agile-команды Росбанка, обсудили крайне актуальную тему «Управление рисками ИБ».

В рамках часового выпуска ведущая и гость поговорили, на ком лежит ответственность по управлению рисками в организации, как между собой перекликаются операционные риски и риски ИБ.

Александр акцентировал внимание на тех преимуществах, которые дает функции ИБ качественное управление рисками. Одним из которых является фокусировка усилий на предотвращении ключевых рисковых событий в части ИБ для конкретной организации.
Гость рассказал о том, из чего должен состоять качественный риск-анализ, чтобы стать эффективным инструментов принятия управленческих решений. Он подчеркнул типовые ошибки, которые допускают специалисты по информационной безопасности, занимаясь данной аналитикой.

Отдельно спикеры подискутировали о том, как выстроить процессы управления рисками эффективно? Александр поделился опытом Росбанка и рассказал, как компетенции по рискам встраивались в службу ИБ, как выстраивался диалог между смежными подразделениями и ИБ, как была создана собственная SGRC-система и как она далее трансформировалась в GRS для управления рисками для всего Росбанка. Гость дал советы, где взять аналитику для построения качественных моделей при риск-анализе, как создать базы знаний и внедрить механизм ее постоянного обогащения.

Смотрите выпуск, и вы узнаете:

• Зачем службе ИБ управлять рисками и какие преимущества это дает
• Могут ли компетенции по управлению рисками жить в ИБ и как выстроить диалог со смежными подразделениями
• Как эффективно выстроить и автоматизировать процессы управления рисками
• Из чего состоит качественный риск-анализ и какие вопросы он позволяет решать
• Где взять аналитику для построения моделей при риск-анализе и может ли организация опираться только на свой опыт в данном вопросе

Слушать подкаст на Podster: https://clck.ru/3BWbxX

Тайм-коды
00:01 – Начало
00:21 – Приветствие
01:40 – Личные новости
04:21 – Блок 1 – Зачем управлять ИБ-рисками
09:22 – Кто заинтересован в анализе рисков
10:30 – Зачем функции ИБ управлять рисками
14:43 – Что ТОП-менеджмент ожидает от рисков
15:38 – Блок 2 – Как эффективно управлять ИБ-рисками?
16:33 – Опыт Росбанка
18:15 – Как выстроить взаимодействие с другими подразделениями
21:53 – Что должно стоять за анализом рисков
24:48 – Из чего состоит качественный риск-анализ
26:46 – Блок 3 – Методики работы с ИБ-рисками
27:13 – Какую методологию взять в качестве базы
28:30 – Нюанс внедрения риск-анализа
30:20 – Глубина риск-анализа
32:28 – Где взять аналитику для риск-анализа
35:36 – Блок 4 – Автоматизация управления ИБ-рисками
36:41 – Разница между SGRС и GRC-системами
41:06 – Заменят ли SGRC-системы SIEM и SOC
43:33 – Когда выгодней свое решение, а когда коробочный продукт
45:03 – Блок 5 – Зрелость вопросов управления рисками ИБ
45:42 – Почему актуальность управления рисками возросла
47:38 – Почему в банках выше культура управления рисками
50:35 – Как ускорить внедрение процесса управления рисками
54:34 – Кадровый вопрос
57:49 – Заключение
58:11 – Прогноз гостя
58:59 – Прощание

Полезные ссылки:

TG-канал AKTIV.CONSULTING - https://t.me/aktivcons
TG-канал компании «Актив» - https://t.me/aktivcompany
VK компании «Актив» – https://vk.com/aktiv_company
Сайт AKTIV.CONSULTING - https://aktiv.consulting
Сайт компании «Актив» - https://www.aktiv-company.ru