Prevedendo accuratamente i rischi e le potenziali perdite, le organizzazioni IT possono acquisire agilità attraverso priorità ponderate e quindi ridurre ripetutamente le probabilità di perdite.
Recentemente abbiamo riunito un gruppo di esperti per esplorare nuove tendenze e soluzioni nel campo della anticipare il rischio d’impresa, per aiutare le organizzazioni a prendere piede su processi e strutture meglio gestiti per evitare debolezze identificabili.
L’obiettivo: aiutare le imprese a fornire risultati migliori valutazione del rischio e, si spera, difese, nell’attuale clima impegnativo sicurezza informatica e contro altre minacce aziendali incombenti. Prevedendo accuratamente i rischi e le potenziali perdite, le organizzazioni IT possono acquisire agilità attraverso priorità ponderate e quindi ridurre ripetutamente le probabilità di perdite.
Il pannello era composto da Jack Freund, responsabile della valutazione dei rischi per la sicurezza delle informazioni presso TIAA-CREF; Jack Jones
, preside a CXOWARE e un inventore del GIUSTO quadro di analisi del rischio e Jim Hietala, vicepresidente, Sicurezza, a Il Gruppo Aperto. La discussione è stata moderata da Dan Gardner, analista principale presso Soluzioni Interarbor.Questo speciale BriefingDirect il colloquio sulla leadership di pensiero viene fornito in concomitanza con La conferenza del gruppo aperto che si terrà a partire dal 15 luglio a Filadelfia. La conferenza è incentrata sulla trasformazione delle imprese nei settori finanziario, governativo e sanitario. Restano aperte le iscrizioni al convegno. Segui la conferenza su Twitter all'indirizzo #ogPHL.
Di seguito sono riportati alcuni estratti.
Jack Freund
amico: Stiamo entrando in una fase in cui ci sarà un maggiore controllo normativo su quasi tutto. Quando ciò accadrà, tutti gli occhi si rivolgeranno all'IT e alle funzioni di gestione del rischio IT per rispondere alla domanda se stiamo gestendo le cose giuste.
Senza quantificare il rischio, avrai molte difficoltà a dire al tuo consiglio di amministrazione che stai gestendo le cose giuste come dovrebbe fare un'azienda ragionevole.
Quando questi regolatori inizieranno a vedere e confrontare tra le altre società, scopriranno che queste società "qui" stanno quantificando il rischio, e tu no. Ti stai mettendo in una posizione di svantaggio competitivo non essendo in grado di fornire lo stesso tipo di servizi.
Quindi stai dicendo che il mercato in sé non è stato sufficiente a favorire tutto ciò e che è necessaria una regolamentazione?
amico: Probabilmente a questo punto è un fattore più forte delle forze di mercato. Ma soprattutto nel campo della sicurezza informatica, se non si verificano perdite primarie a causa di questo genere di cose, poi bisogna considerare le esternalità economiche, che sono in gran parte messe in gioco dalle forze di regolamentazione qui negli Stati Uniti Stati.
Jones: Per supportare l'affermazione di Jack secondo cui anche i regolatori stanno diventando sempre più interessati a questo, solo negli ultimi 60 giorni, ho dedicato del tempo a formare persone presso due agenzie di regolamentazione su FAIR. Stanno quindi diventando più consapevoli di questi metodi quantitativi e il loro livello di interesse è in aumento.
Hietala: Certamente, nel mondo della sicurezza informatica negli ultimi sei o nove mesi, abbiamo visto sempre più discussioni su le minacce che ci sono là fuori. Abbiamo tipologie di stati-nazione di minacce che sono molto preoccupanti, molto gravi e che le organizzazioni devono prendere in considerazione.
Con quello che sta succedendo, avete visto che l'amministrazione americana e il presidente Obama dirigono la situazione Istituto nazionale di standard e tecnologia (NIST) per svilupparne uno nuovo quadro di sicurezza informatica. Certamente, dal punto di vista governativo, c’è una maggiore attenzione su cosa possiamo fare per aumentare il livello di sicurezza informatica in tutto il Paese in infrastrutture critiche. Quindi la mia breve risposta sarebbe sì, c’è più interesse a trovare modi per misurare e valutare accuratamente il rischio in modo da poterlo poi affrontare.
Quantificazione del rischio
Vi preghiamo di fornirci una panoramica di alto livello di FAIR, noto anche come Analisi fattoriale del rischio informativo.
Jones: Innanzitutto, FAIR è un modello di cosa sia il rischio e di come funzioni. È una scomposizione dei fattori che compongono il rischio. Se riesci a misurare o stimare il valore di questi fattori, puoi ricavare il rischio quantitativamente in dollari e centesimi.
Si vede molta "quantificazione del rischio" basata su scale ordinali: scale 1, 2, 3, 4, 5, quel genere di cose. Ma in realtà non è una questione quantitativa. Se approfondisci, non c'è modo di difendere un'analisi matematica basata su questi approcci ordinali. Quindi, FAIR è questo modello di rischio che consente una vera analisi quantitativa in modo molto pragmatico.
Jim Hietala
Ad esempio, un'organizzazione con cui ho lavorato di recente presentava alcune carenze dal punto di vista della sicurezza di cui era a conoscenza, ma che sarebbe stato molto problematico risolvere. Avevano identificato soluzioni tecnologiche e di processo che, secondo loro, li avrebbero portati molto lontano verso una migliore posizione di rischio. Ma si trattava di un progetto molto costoso e non avevano soldi nel budget per l'IT o la sicurezza delle informazioni.
Quindi, abbiamo fatto un analisi dello stato attuale utilizzando FAIR, quanta esposizione alle perdite avevano su base annualizzata. Quindi, abbiamo detto: "Se si inserisce questa soluzione, dato il modo in cui influisce sulla frequenza e sull'entità della perdita che ci si aspetta di subire, ecco cosa sarebbe la tua nuova esposizione alle perdite annualizzate." Si è rivelata una riduzione multimilionaria dell'esposizione alle perdite annualizzate per poche centinaia di migliaia di dollari costo.
Quando hanno portato il business case al management, è stato un una folliae la direzione ha firmato l'assegno in fretta. Quindi finirono per trovarsi in una posizione molto migliore.
Se si fossero rivolti alla direzione esecutiva dicendo: "Beh, il nostro rischio è elevato e se compriamo questo insieme di cose, lo faremo" hanno un rischio basso o medio", sarebbe stato un business case molto meno convincente e comprensibile per il dirigenti. C'è motivo di aspettarsi che sarebbe stato difficile ottenere quel tipo di finanziamento data la ristrettezza dei budget aziendali e cose del genere. Può essere incredibilmente efficace in questi casi aziendali.
C'è molto da fare nel mondo IT. Forse la natura stessa dell'IT, i ruoli e le responsabilità, stanno cambiando. La valutazione e la gestione del rischio stanno diventando parte integrante delle competenze chiave dell'IT e si tratta di un cambiamento abbastanza significativo rispetto al passato?
Hietala: Sta diventando una specie di pratica standard all'interno dell'IT. Quando pensi di esternalizzare le tue operazioni IT a servizio cloud provider, è necessario considerare i rischi per la sicurezza in tale ambiente. Che aspetto hanno e come li misuriamo?
È la stessa cosa per cose come informatica mobile. Bisogna davvero considerare i rischi legati alle persone che trasportano tablet e smartphone e comprendere i rischi associati a quelle stesse cose per i big data. Per ognuno di questi cambiamenti su larga scala alla nostra infrastruttura IT, è necessario comprendere cosa significa dal punto di vista della sicurezza e del rischio.
amico: Dobbiamo trovare un modo per integrare meglio la valutazione del rischio [nelle imprese], che in realtà è solo un modo per informare le decisioni e come adattiamo tutti questi cambiamenti tecnologici per aumentare la posizione sul mercato e per migliorarci competitivo. È importante.
Che si tratti di una funzione incorporata all'interno dell'IT o di una funzione generale che esiste in più aziende unità, esistono diversi modelli che funzionano per aziende di diverse dimensioni e aziende di diversi tipi culturali. Ma deve essere lì. È assolutamente fondamentale.
Interesse a livello di consiglio
Jack Jones, come interpreti il ruolo del cambiamento dell'IT nelle questioni relative alla valutazione del rischio, qualcosa che è di loro responsabilità? Lo stanno abbracciando o forse lo desiderano?
Jones: Alcuni di loro vorrebbero sicuramente augurarselo. Non penso che il ruolo dell'IT in questa idea di valutazione del rischio sia realmente cambiato. Ciò che sta cambiando è il livello di visibilità e interesse all'interno dell'organizzazione, il lato business dell'organizzazione, nella posizione di rischio IT.
Jack Jones
In precedenza, erano più o meno nascosti in un angolo buio. La gente semplicemente ci buttava dentro dei soldi sperando che non accadessero cose brutte. Ora si sta riscontrando un interesse molto maggiore a livello di consiglio di amministrazione per il rischio IT e con questa visibilità deriva una responsabilità, ma anche una certa dose di pericolo. Se lo fanno davvero male, sono incredibilmente immaturi nel modo in cui affrontano il rischio.
Sembreranno piuttosto sciocchi davanti al tabellone. Sfortunatamente, l'ho visto accadere. Non è mai bello e non è mai una buona notizia per il personale IT. Si stanno rendendo conto che devono aggiornarsi un po' dal punto di vista del rischio, in modo da non fare la figura degli stupidi quando si trovano di fronte a questi dirigenti.
Sono abituati a vedere misure quantitative di opportunità e problemi operativi di rischio di varia natura. Se l’IT si presenta al tavolo con un grafico rosso, giallo e verde, il consiglio resta a chiedersi, in primo luogo, come interpretarlo e, in secondo luogo, se questi ragazzi lo capiscono davvero. Non sono sicuro che il ruolo sia cambiato, ma penso che le responsabilità e il livello delle aspettative stiano cambiando.
Esiste una relazione sinergica tra molti degli investimenti in big data e analisi che vengono realizzati per una serie di ragioni, e anche questa capacità di apportare più scienza e disciplina all’analisi del rischio?
Stiamo vedendo i punti collegati in queste grandi organizzazioni; che possono ottenere di più da ciò che ottengono dai big data e business intelligence (BI) e applicarlo a queste attività di valutazione del rischio? Sta già accadendo?
Jones: Sta appena cominciando a farlo. È una situazione molto embrionale e probabilmente ci sono solo un paio di organizzazioni là fuori che, direi, lo stanno facendo con un certo tipo di efficacia. Immagina: entrambi usano FAIR.
Ma quando si pensa alla BI o a qualsiasi tipo di analisi, ci sono in realtà due metà dell’equazione. Uno sono i dati e l'altro sono i modelli. Puoi avere tutti i dati del mondo, ma se i tuoi modelli fanno schifo, non puoi essere efficace. E, ovviamente, viceversa. Se hai un modello eccezionale e zero dati, anche lì devi affrontare delle sfide.
Essere in grado di combinare le due cose – dati validi e modelli efficaci – ti mette in una posizione molto migliore. Come industria, non siamo ancora arrivati a questo punto. Abbiamo alcune cose davvero interessanti in corso, e quindi c'è molto potenziale lì, ma le persone devono sfruttare questi dati in modo efficace e assicurarsi di utilizzare un modello che abbia senso.
Ci sono alcuni modelli là fuori che, francamente, sono così gravemente difettosi che tutti i dati del mondo non ti aiuteranno. I modelli ti disinformeranno gravemente. Quindi le persone devono stare attente, perché i dati sono ottimi, ma se li applichi a un modello scadente, allora sei nei guai.
Stiamo arrivando molto rapidamente La conferenza del gruppo aperto, a partire dal 15 luglio. Cosa dobbiamo aspettarci? [Restano aperte le iscrizioni al convegno. Segui la conferenza su Twitter all'indirizzo #ogPHL.]
Jones: Offriamo formazione FAIR come parte di una conferenza. Si tratta di una sessione di due giorni con la possibilità successivamente di sostenere l'esame di certificazione.
Se la storia è indicativa, le persone seguiranno la formazione. Riceviamo molti commenti molto positivi su una serie di cose diverse. Primo, non avrebbero mai immaginato che il rischio potesse essere interessante. Sono anche sorpresi che non lo sia, come un mio amico la chiama "intervento chirurgico missilistico". È roba relativamente semplice e intuitiva. È solo che, come professione, prima non avevamo questo quadro di riferimento, così come alcuni dei metodi che applichiamo per renderlo pratico e difendibile.
Quindi abbiamo ottenuto ottimi riscontri in passato e penso che le persone rimarranno piacevolmente sorprese da ciò che hanno vissuto.
amico: Una delle cose che dico sempre riguardo l'allenamento FAIR è che è un vero e proprio momento pillola rossa-blu, in riferimento al vecchio Matrice film. Ho seguito un corso FAIR diversi anni fa con Jack. Prendo sempre in giro Jack dicendogli che questo mi ha rovinato per altri metodi di valutazione del rischio. Una volta imparato come farlo nel modo giusto, diventa ovvio quali sono i metodi sbagliati e perché non è possibile utilizzarli per valutare il rischio e perché è problematico.
È un allenamento davvero fantastico e prezioso e ora lo uso tutti i giorni. Ti apre davvero gli occhi sui problemi e sulla parte di valutazione del rischio dell'IT oggi e dà una risposta molto cose pratiche e attuabili da fare per poter risolvere il problema e fornire valore al tuo organizzazione.
Ci sono aggiornamenti di cui dovremmo essere a conoscenza in termini di attività all’interno di The Open Group e di altre organizzazioni che lavorano su standard, tassonomia e definizioni quando si tratta di rischio?
Hietala: Presso The Open Group, abbiamo originariamente pubblicato a tassonomia del rischio standard basato su FAIR quattro anni fa. Nel corso del tempo, abbiamo assistito a una maggiore adozione da parte delle grandi aziende e abbiamo anche notato la necessità di estendere ciò che stiamo facendo lì. Così erano aggiornamento dello standard di tassonomia dei rischi, e la nuova versione dovrebbe essere pubblicata entro la fine dell'estate.
Abbiamo anche visto nel settore la necessità di un programma di certificazione per gli analisti del rischio, in modo che vengano formati nella valutazione quantitativa del rischio utilizzando FAIR. Stiamo lavorando a quel programma e ne parleremo di più a Filadelfia. Segui la conferenza su Twitter all'indirizzo #ogPHL.
Lungo il percorso, mentre stavamo costruendo il programma di certificazione, ci siamo resi conto che mancava un pezzo in termini di corpo di conoscenze. Quindi abbiamo creato un secondo standard che è complementare alla tassonomia. Questo sarà chiamato il Standard di analisi del rischio questo esamina più in dettaglio alcuni dei problemi del processo e come eseguire l'analisi dei rischi utilizzando FAIR. Anche questo standard sarà disponibile entro la fine dell’estate e, combinati, si formeranno questi due standard il corpo di conoscenze che testeremo nel programma di certificazione quando sarà attivo più avanti anno.
Forte impegno
Per quelle organizzazioni che desiderano iniziare, oltre a partecipare La conferenza del gruppo aperto O guardando alcune delle sessioni plenarie online, che consigli hai? Ci sono alcuni elementi costitutivi di base che dovrebbero essere predisposti o modi in cui avviare la procedura quando si tratta di una migliore analisi del rischio?
amico: In questo caso conta una forte personalità. Devono avere una sorta di evangelista nell'organizzazione che si preoccupi abbastanza di portarlo fino al completamento. È un paletto sul terreno per dire: "Qui è dove inizieremo, e qui è il percorso che seguiremo".
Quando inizi a fare questo genere di cose, anche se cambiano la leadership e accadono altre cose, hai un forte impegno da parte dell'organizzazione a continuare ad andare avanti su questo genere di cose.
Trascorro molto del mio tempo integrando FAIR con altre metodologie. Uno dei punti di messaggio che continuo a ripetere è che ciò che stiamo facendo è implementare una disciplina su come scegliamo le nostre classifiche di rischio. Questa è una delle grandi cose di FAIR. È universalmente compatibile con altre metodologie, programmi, standard e leggi di valutazione che lo consentono devi essere coerente e preciso riguardo al modo in cui ti connetti a tutto ciò che interessa alla tua organizzazione Di.
Anche le preoccupazioni relative all’integrazione del rischio operativo sono importanti. Ma portare tutto ciò fino al completamento nell'organizzazione ha molto a che fare con la ricerca di sponsorizzazioni e quindi semplicemente con la costruzione di un programma fino al completamento. Ma in assenza di quella sponsorizzazione di alto livello, poiché FAIR ti consente di costruire una disciplina attorno al modo in cui scegli le classifiche, puoi anche costruirla dal basso verso l’alto.
Puoi avere questi gruppi di persone addestrate FAIR in grado di costruire analisi del rischio o scegliere intervalli: 1, 2, 3, 4 o alto, medio, basso. Ma poi, quando interrogato, hai la capacità di dire: "Pensiamo che questo sia un mezzo, perché soddisfa i nostri criteri di frequenza e grandezza che abbiamo stabilito utilizzando FAIR".
Culturalmente diverse organizzazioni avranno modi diversi per implementare e strutturare l'analisi quantitativa del rischio. In fondo è un percorso interessante e ragionevole per arrivare a rischiare l'utopia.
Jones: Un buon punto di partenza è il materiale che The Open Group ha reso disponibile sulla tassonomia del rischio e sullo standard di analisi del rischio di prossima pubblicazione.
Un'altra fonte che consiglio a tutti quelli con cui parlo di altri tipi di cose è un libro intitolato Come misurare qualsiasi cosa di Douglas Hubbard. Se qualcuno è anche solo minimamente interessato a misurare effettivamente il rischio in termini quantitativi, deve leggere quel libro. Mette in parole povere alcuni concetti e approcci molto importanti che sono estremamente utili. Anche questa è una risorsa importante da considerare.
Per quanto riguarda l'interno delle organizzazioni, alcune organizzazioni avranno un programma di gestione del rischio aziendale relativamente maturo a livello aziendale, al di fuori dell'IT. Sfortunatamente, può essere incostante, ma possono esserci ottime risorse in termini di persone e processi che l'organizzazione ha già adottato. Ma bisogna stare attenti anche in questo caso, perché con alcuni di questi programmi di gestione del rischio aziendale, anche se potrebbero essere in atto da anni, e quindi, si potrebbe pensare col tempo e diventare maturi, tutto ciò che hanno fatto è stato scavare un fossato davvero profondo in termini di cattive pratiche e idee sbagliate.
Quindi vale la pena conversare con queste persone per valutare quanto sono intelligenti, ma non dare per scontato che solo perché loro sono in atto da un po’ e hanno un titolo specifico o qualcosa del genere per cui capiscono davvero il rischio livello.
Ascoltare al podcast. Trovalo su iTunes. Leggi un trascrizione completa O scaricamento una copia. Sponsor: Il Gruppo Aperto.
Divulgazione: Il Gruppo Aperto è sponsor di questo e altro BriefingDirect podcast.
Storie correlate:
La gestione della trasformazione verso la piattaforma 3.0 è uno degli argomenti principali della conferenza The Open Group Philadelphia del 15 luglio
Il panel della conferenza Open Group esplora come l'era dei Big Data ora sfida lo status quo dell'IT
La complessità derivante dai big data e dalle tendenze del cloud rende gli strumenti di architettura come ArchiMate e TOGAF più potenti, afferma il gruppo di esperti
L'utilizzo del cloud per i big data richiede una nuova ricetta
Il successo dei Big Data dipende da migliori pratiche di gestione del rischio come FAIR, affermano i relatori dell'Open Group
Il keynoter dell'Open Group vede l'analisi dei Big Data rafforzare la qualità, la produzione e i processi
L’Open Group Trusted Technology Forum sta aprendo la strada alla sicurezza delle catene di fornitura IT globali