Когда я пишу это, две вещи происходят одновременно: Конференция RSA Security в полном разгаре и COVID-19 (коронавирус). Это странное сопоставление. Географическая близость заключается в том, что конференция проходит в нескольких кварталах от того места, где мэр объявил чрезвычайное положение (во время события) из-за продолжающегося распространения вируса.
Существует также актуальное выравнивание, поскольку Конференция RSA, сама по себе опора в отрасли, тесно связанной с управлением рисками, четко дает понять решения по управлению рисками, принятые участниками на мероприятии (а также заметными не присутствующими, такими как IBM, AT & T). и Verizon.) Короче говоря, это интересный момент разделения экрана.
На первый взгляд может показаться болезненным — или сродни боязни — обсуждать эти две вещи одновременно. Тем не менее, я думаю, что распаковка и проверка этого имеют практическую ценность для специалистов по безопасности, особенно для тех, кто занимается более широкой темой риска.
В частности, он предоставляет нам редкое окно в решения по управлению рисками как крупных, так и малых фирм, и это напоминает специалистам по безопасности и рискам об основополагающих, но часто упускаемых из виду элементах планирования безопасности.
Учитывая, что оба эти аспекта могут помочь нам отточить наши усилия по управлению рисками и улучшить общее состояние безопасности.
Оценка вашего аппетита к риску
Давайте начнем с первого: что мы можем узнать о расчетах по управлению рисками, сделанных фирмами, которые решили посетить (или пропустить) конференцию RSA в этом году особенно со ссылкой на то, что говорится об их склонности к риску и нашей.
Совершенно очевидно, что решение об отказе от участия в мероприятии не могло быть легким для организаций, сделавших это. Например, IBM является одним из крупнейших игроков в области продуктов для обеспечения безопасности: уже одиннадцатый год подряд Gartner называет QRadar IBM в сегменте лидеров своего магического квадрата SIEM; IBM была выбрана платиновым спонсором мероприятия (второй по величине уровень спонсорства); и IBM владеет дочерними компаниями, которые имеют отношение к сообществу безопасности (в частности, Red Hat.)
Хотя только сама IBM наверняка знает все последствия своего решения о выходе из RSA для бизнеса, ее расчеты должны были быть учтены в значительной степени и косвенные финансовые потери. Существует не только прямая потеря уже сделанных инвестиций и уже выделенных ресурсов (например, затраты на печатные материалы, поездки сотрудников, доставка материалов и время, потраченное сотрудниками на планирование мероприятия), но также альтернативные затраты в форме бизнеса, не проведено, сделки не закрыты, а взаимодействие с клиентами пропущено.
Учитывая тот факт, что на момент принятия решения в США была подтверждена лишь небольшая часть инфекций COVID-19, это говорит нам о чем-то существенном в расчетах управления рисками, которые эти фирмы сделали.
Обратите внимание, что я не утверждаю, что они были правы или неправы в принятии решений, которые они сделали. Те же решения, возможно, были правильными для них, но неправильными для другой фирмы. Это то, что делает его таким интересным с точки зрения чистого управления рисками.
В частности, это интересно, потому что многие организации не перестают рассматривать свой собственный риск-аппетит, как в целом, так и систематически. Это заставляет их карабкаться, когда приходит время сделать тяжелый вызов, как этот. С одной стороны, это прямые финансовые затраты и длинный хвост альтернативных издержек; с другой стороны, есть потенциальные последствия ответственности, если один или несколько сотрудников заразятся.
Суть? Независимо от того, являетесь ли вы крупной многонациональной фирмой, использующей формализованный процесс управления рисками, или небольшим стартапом, выясняющим его по ходу дела, тщательный и квалифицированный анализ вашего аппетита к риску — это хорошо проведенное время.
Воспитание навыка готовности
Вторая область, где, я думаю, мы можем учиться, связана с идеей постоянной готовности. Это может быть само собой разумеющимся, но такой момент может послужить напоминанием и призывом к действию, если документация о готовности уже довольно долго лежала на полке, пылясь.
В частности, вполне возможно, что мы находимся на пороге серьезного нарушения бизнеса, как обычно. В зависимости от того, кого вы спрашиваете, «возможное» попадает куда угодно на очень отдаленном спектре, почти наверняка, но нельзя утверждать, что пандемия могла пройти через довольно короткий горизонт планирования.
Предварительное планирование и подготовка могут означать разницу между спокойным, рациональным принятием решений и борьбой в последнюю минуту или, что еще хуже, попыткой обойти это перед лицом некоторого кризиса. Поэтому сейчас самое время подвести итоги того, что именно представляет собой ваш план, если произойдет крупномасштабное отключение или сбои в работе.
Это правда, независимо от того, считаете ли вы лично, что это может произойти. Если окажется, что вы потратили некоторое время на обдумывание сценария, который не происходит, вам будет лучше в будущем.
Это относится к планированию непрерывности бизнеса в целом, а также к планированию пандемии в частности. Он может включать в себя соображения преемственности в аннотации: затрагивать такие вопросы, как «Как сотрудники будут выполнять свои обязанности, если они не смогут добраться до физического места?»
Также могут быть затронуты более конкретные вопросы, такие как «Каковы обязательства последствия того, чтобы сотрудники приходили в учреждение, где они могут заболеть? "
В любом случае, продумав все это заранее, мы будем готовы, если мы окажемся в наихудшем случае. .
Отметьте здесь, что я не предполагаю, что каждой фирме нужен план пандемии. Я также не предлагаю, чтобы вы бросили все и попытались втиснуть главное упражнение BCP прямо сейчас. Любой, кто сделал это, знает, что упражнение с супом до орехов занимает месяцы, и пытаться проводить его систематически, без адреналина до того, как COVID-19 разрешится, так или иначе, скорее всего, это невозможно.
Вместо этого мое более широкое послание состоит из двух частей: 1) Любое планирование — это хорошее планирование; и 2) То, что происходит в заголовках, является хорошим напоминанием почему. 
Мнения, высказанные в этой статье, принадлежат автору и не обязательно отражают точку зрения новостной сети ECT.
