گزارش دهی و ارتباطات ریسک در چارچوب مدیریت فاوا

گزارش دهی و ارتباطات ریسک در چارچوب مدیریت فاوا

در مدیریت ریسک فاوا، ارتباطات و گزارش‌ دهی مؤثر ریسک در چارچوب ISAKA برای آگاهی، شفافیت و کاهش ریسک امنیت اطلاعات ضروری است.
  • مقالات

فهرست مطالب

آگاهی، گزارش دهی و ارتباطات ریسک

آگاهی از ریسک شامل پذیرش این موضوع است که عدم قطعیت یا ریسک، بخش جدایی ناپذیری از کسب وکار است. این به این معنا نیست که همه ریسک ها باید اجتناب یا حذف شوند، بلکه ریسک های مرتبط با I&T باید:

  • قابل شناسایی باشند
  • به خوبی درک و شناخته شوند
  • از طریق تخصیص منابع مناسب مدیریت شوند

گزارش دهی و ارتباطات ریسک بخش های کلیدی آگاهی از ریسک هستند. دریافت به موقع و دقیق اطلاعات ریسک برای تصمیم گیرندگان و ذینفعان (از جمله هیئت مدیره) که بتوانند بر اساس آن ها اقدام کنند، حیاتی است. افراد اغلب در مورد صحبت کردن درباره ریسک احساس راحتی نمی کنند؛ آن ها تمایل دارند بحث درباره ریسک را به تعویق بیندازند، زیرا شامل تأمل درباره عدم قطعیت آینده است و ممکن است در نهایت محقق نشود.

با این حال، با وجود این واکنش های ذهنی، ارتباطات خوب درباره ریسک یعنی قبل از اینکه به عنوان یک مسئله، حادثه یا بحران بزرگ ظاهر شود ضروری است.
دریافت به موقع و دقیق اطلاعات ریسک برای تصمیم گیرندگان و ذینفعان (از جمله هیئت مدیره) که بتوانند بر اساس آن ها اقدام کنند، حیاتی است.

مزایای آگاهی و ارتباطات ریسک

مزایای ارتباطات باز در مورد ریسک های مرتبط با I&T شامل دستیابی به موارد زیر است:

  • درک مشترک از مواجهه واقعی و تأثیرات بالقوه یک ریسک محقق شده، که امکان تصمیم گیری مناسب و آگاهانه در مورد پاسخ به ریسک را فراهم می کند
  • شفافیت برای همه ذینفعان در مورد سطح بالقوه مواجهه با ریسک و فرآیندها و قابلیت های مدیریت ریسک در استفاده

ارتباطات ضعیف درباره ریسک معمولاً منجر به موارد زیر می شود:

  • حس کاذب اعتمادبه نفس در مورد میزان واقعی مواجهه با ریسک
  • عدم جهت گیری به خوبی درک شده برای مدیریت ریسک از بالا به پایین
  • درک ضعیف ذینفعان در مورد سطح مواجهه با ریسک
  • تصور اینکه سازمان ریسک های شناخته شده را از ذینفعان، نهادهای نظارتی، سرمایه گذاران یا اشخاص ثالث (مثلاً مشتریان) پنهان می کند
  • ناتوانی در پاسخ به موقع به مسائلی که می توانند به ضرر یا آسیب منجر شوند
  • آسیب قابل توجه به اعتبار یا کاهش انتظارات ذینفعان زمانی که مدیریت ارشد مسئول تلقی می شود، اما اقدام اصلاحی انجام نمی دهد یا اقدام اصلاحی را به طور کافی به ذینفعان منتقل نمی کند

گزارش دهی و ارتباطات ریسک

ارتباطات ریسک مرتبط با I&T طیف گسترده ای از جریان های اطلاعاتی را پوشش می دهد. چارچوب Risk IT انواع اصلی ارتباطات ریسک مرتبط با I&T را که در شکل 7.1 نشان داده شده اند، متمایز می کند:

انتظارات در مورد استراتژی مدیریت ریسک، سیاست ها، رویه ها، آگاهی، آموزش و غیره:

سازمان ها باید به طور مداوم استراتژی را اطلاع رسانی کنند و اصول و غیره را در مورد استراتژی کلی سازمان برای ریسک های مرتبط با I&T تقویت کنند. ارتباطات واضح و منسجم از ریسک های شناخته شده، تمام تلاش های بعدی مدیریت ریسک را هدایت می کند، آگاهی را افزایش می دهد و انتظارات کلی برای رفتارهای مدیریت ریسک را تعیین می کند.

قابلیت مدیریت ریسک فعلی:

اطلاع رسانی درباره قابلیت مدیریت ریسک سازمانی نشان می دهد که سازمان تا چه حد ریسک را مدیریت می کند و مواجهه را کاهش می دهد، شفافیت در مورد هرگونه شکاف در شایستگی مدیریت ریسک را تسهیل می کند و به طور کلی یک شاخص کلیدی برای مدیریت خوب ریسک است.

وضعیت ریسک های شناسایی شده تحت مدیریت:

ارتباطات وضعیت ریسک می تواند شامل اطلاعاتی از موارد زیر مرتبط با ریسک باشد:

  • پروفایل ریسک: پرتفوی کلی ریسک های مرتبط با I&T شناسایی شده که سازمان در معرض آن ها قرار دارد، شامل معیارهای هر سناریوی ریسک در پرتفوی
  • شاخص های کلیدی ریسک (KRIs) برای پشتیبانی از گزارش دهی مدیریت در مورد ریسک
  • داده های رویداد/زیان در مورد ریسک های محقق شده
  • تحلیل علل ریشه ای رویدادهای زیان محقق شده
  • گزینه های کاهش (از نظر هزینه ها و فواید)

برای اینکه این اطلاعات مؤثر باشند، همه اطلاعاتی که تبادل می شوند – صرف نظر از نوع – باید واضح، مختصر، کامل، دقیق، به موقع و قابل فهم برای همه ذینفعان باشند. این معیارها به ویژه برای امنیت اطلاعات، فناوری و ریسک سایبری مهم هستند.

از اصطلاحات تخصصی و فنی مرتبط با ریسک باید اجتناب شود. اطلاعات غیرمرتبط یا بیش از حد جزئی، به جای اینکه دید روشنی از ریسک فراهم کنند، مانع آن می شوند – به ویژه اطلاعاتی درباره تهدیدات سایبری، آسیب پذیری ها و رویدادهایی که شواهد واقعی کمی برای نشان دادن علت ریشه ای یا میزان واقعی هرگونه زیان وجود دارد.

زمان حیاتی ممکن است بین شناسایی ریسک، تأثیر آن بر کسب وکار یا مأموریت و فعالیت های پاسخ دهی سپری شود. برای مثال، یک سناریوی ریسک ممکن است زمانی آغاز شود که یک سازمان IT ناکافی راه اندازی شده باشد.

تأثیر تجاری آن (در نهایت) به صورت عملیات و ارائه خدمات I&T ناکارآمد محقق می شود. سناریوی شکست پروژه IT ممکن است در نهایت منجر به تأخیر یا ناکامی در تکمیل ابتکارات کسب وکار شود. ارتباطات به موقع است وقتی که امکان اقدام در لحظات مناسب برای شناسایی و مدیریت ریسک را فراهم کند.

اطلاعات باید در سطح جزئیات مناسب و متناسب با مخاطب منتقل شوند. در این فرآیند، تجمیع نباید علل ریشه ای ریسک را پنهان کند. برای مثال، یک افسر امنیتی به داده های فنی I&T در مورد نفوذها و ویروس ها برای پیاده سازی راه حل ها نیاز دارد. یک کمیته هدایت I&T ممکن است به این سطح از جزئیات نیاز نداشته باشد، اما به اطلاعات تجمیع شده برای تصمیم گیری در مورد تغییرات سیاستی یا بودجه های اضافی برای مدیریت همان ریسک نیاز دارد.

اطلاعات باید در سطح جزئیات مناسب و متناسب با مخاطب منتقل شوند. اطلاعات باید در زمان مورد نیاز برای مخاطبان مناسب در دسترس باشد. توجه داشته باشید که ثبت ریسک (شامل همه ریسک های مستند) اطلاعات عمومی نیست و باید به درستی در برابر اشخاص داخلی و خارجی که نیازی به دسترسی به آن ندارند، محافظت شود. ارتباطات همیشه نیازی به رسمی بودن، از طریق گزارش ها یا پیام های کتبی، ندارد. جلسات حضوری به موقع بین ذینفعان نیز روش مهمی برای انتقال اطلاعات ریسک مرتبط با I&T هستند.

اشتراک گذاری:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *