编者按: 以下是Hyperproof赞助的博客文章.
随着我们生活的世界不断变化,风险也越来越大,领导者希望更加主动,而不是被动. 每年因数据泄露而被罚款的公司总计达数十万美元,有时甚至高达数百万美元, 安全性和合规性从来没有像现在这样被放在首要位置.
我们和老迈克·考德威尔坐了下来. GRC的项目经理 外展, 领先的对外销售执行平台, 看看他的团队是如何向领导层传达风险的. 在GRC领域工作了十多年之后, 包括为政府工作的时间,使风险与关键业务目标保持一致, Mike明白,关键是要能够根据目标来量化风险.
建立风险基线
说到领导力,通常很难知道他们真正关心的是什么. 不是每个人都有发言权,也很难知道关起门来发生了什么. 但是迈克去过那里.
据迈克说, 外联公司的领导希望了解当前业务的内在风险以及未来一年的潜在风险. 为了建立基线, 迈克和他的团队每年进行一次风险调查,询问员工, 新的和终身的, 询问与公司可能存在的不同风险相关的问题,看看他们如何应对.
该调查侧重于ISO风险领域内的开放式问题,因为它们遵循 ISO 27001 和ISO 27701框架 Nist sp 800-30 需求. 外展的团队包括所有员工都可以访问的问题,因此即使是非技术员工也可以理解并提供反馈. 一个例子是安全操作:Mike的团队定义了它的含义, 提供特定于外展的场景, 然后询问员工如何确保他们正在报告安全物品的丢失(例如.e.(如安全徽章或手机).
在调查之后,Mike和他的团队为CISO和CFO创建了一个风险评估演示. 他们通过点量表来量化风险, 而是因为大多数事情都是过程和工作流程,而不是定量数据, 它需要大量的主观经验和知识来告知规模.
从那里, 基于可能性和影响, 他们使用带有权重表的公式计算每个风险处理计划的点数. 风险处理计划本质上是帮助我们识别和实施控制以减少风险的项目. 一个计划可能比另一个更有影响力,所以它会有更高的权重. 通常,风险方程会给他们1-5分.
一旦完成, 报告先交给首席信息安全官,然后交给首席财务官, 他们可以在哪里讨论哪些风险应该优先考虑. 有些人可能会在层级中移动,但最大的风险不会改变. 然后,每季度向高管和领导层报告这些最大的风险.
商务用语沟通
每个季度,Mike都会介绍目前针对外展公司最大风险的风险处理计划的现状. 用商业术语与高管沟通是至关重要的, 迈克从调查中列出风险,并将其与领导层关心的业务目标结合起来. 领导主要关注以下方面:
- 年初的剩余风险是多少
- 如果所有的风险处理计划都完成了,我们会处于什么样的风险状态呢
- 我们现在在哪里
- 哪些风险处理计划已经完成或推迟,原因是什么
调查工作为本年度的主要风险处理计划提供了信息, 因为它显示了整个公司的影响. 这也是他们如何量化风险,以便将其纳入关键绩效指标,并通过风险登记册全年跟踪.
迈克说:“我无法想象自己带着一个问题去董事会或高管层. 相反,迈克带来了解决方案. “我们识别风险, 展示我们认为有助于消除风险的项目, 然后,我们将如何实施这些控制措施,迈克解释道.
当有人传达风险时, 它“给(领导层)一种温暖而模糊的感觉,,这会让他们感觉更好,因为有人在照顾公司. 风险正在被管理,而不是在问题出现之前被忽视——这对他们来说是最重要的.
科技的作用
当迈克传达公司的风险态势时,他使用 Hyperproof平台 来表明他们的立场. 通常,指示板是向首席信息安全官传达当前风险状态的最佳方式. 虽然外展的所有风险治疗计划都在吉拉进行追踪, Hyperproof仪表盘 首席信息安全官更容易快速浏览并立即了解他们当前的风险状况. 在仪表板中,Mike可以在一个地方显示领导关心的所有kpi.
要主动,不要被动
风险管理在当今世界仍是一种趋势. 人们正在学习,如果一个事件或事件发生, 事后清理的成本比积极主动要高得多. 所以,积极主动要便宜得多,也划算得多.
领导团队宁愿确信有人在关注和处理风险,也不愿因为没有适当的控制而容易受到潜在的违规或审计失败的影响. 而且,客户可以放心,他们的数据和隐私受到高标准的保护.
沟通是一个重要而强大的工具,它使Mike和他的团队能够确保公司了解如何最好地减轻业务风险. 通过用商业术语清楚地传达风险, 他们可以确保整个公司步调一致, 这样有助于建立一种合规的文化. 紧密的一致性使澳门赌场官方下载能够从下至上地全面处理风险.
