Architec.Ton is a ecosystem on the TON chain with non-custodial wallet, swap, apps catalog and launchpad.
Main app: @architec_ton_bot
Our Chat: @architec_ton
EU Channel: @architecton_eu
Twitter: x.com/architec_ton
Support: @architecton_support
Last updated 2 weeks, 4 days ago
Канал для поиска исполнителей для разных задач и организации мини конкурсов
Last updated 1 month ago
⬆️начало в предыдущем посте
В общем
Не мешайте субъектов риска в один котёл.
🥘 Ваших ЛПР будут интересовать только последствия для вашей компании и для них самих. Всем остальным можно посочувствовать, но не более того – если это не приносит выгоду компании или не уменьшает ее убытки.
Соответственно, в вашем реестре рисков должны быть только риски, где субъект - ваша компания.
🥘 Реакции других лиц, которые будут влиять на вас при реализации риска, возникнут не со 100% вероятностью. И последствия этих реакций (вторичный риск) тоже для вас наступят не всегда. То есть шанс наступления вторичного риска - доля от шанса наступления основного события.
Субъект риска
Часто, когда говорят о рисках, мешают в одну кучу последствия для компании с последствиями, например, для клиентов компании и работников. Это встречается в том числе у специалистов, которые занимаются вопросами приватности, у которых душа болит за субъектов персональных данных. Но не только у них.
Поэтому я предлагаю подумать о том, кто в вашем риске - субъект риска.
Кому будет нанесен ущерб в сценарии, который вы рассматриваете? Это может быть:
- ваша компания
- клиент(ы)-ФЛ - можно рассматривать как совокупность, если последствия будут примерно одинаковые
- клиент-ЮЛ
- головная компания группы (например, как владелец вашего бренда)
- дочерняя компания группы
...
- лично руководитель вашей компании
- лично ЛПР - владелец риска
Нужно выбрать одного субъекта риска. Потому что для разных типов субъектов негативные последствия одного и того же события будут разными. И шанс наступления этих событий тоже может быть разный!
Рассмотрим пример:
утечка персональных данных клиентов у дочерней компании группы.
Здесь есть субъекты риска:
- 🏠 компания (у которой утекли данные)
- 🏢 материнская компания
- 🧑⚕️ клиент-ФЛ - субъект персональных данных
- 🏡 другие дочерние компании группы (если, например, имеют тот же бренд)
🏠 Компания:
в любом случае
- должна отреагировать на инцидент и расследовать его
- могут взломать аккаунты ее 🧑⚕️клиентов и привести к дальнейшим потерям - нужно это предотвратить
- отвечает перед 🧑⚕️клиентами по закону
- должна отчитаться перед 🏛РКН, далее возможна проверка со стороны РКН
в случае, если узнает 🏢 материнская компания без огласки
- отработать реакцию материнской компании (зависит от влияния, выстроенности процессов и т.п - например, пройти внеочередной аудит, или доказать, что повторение инцидента невозможно) - это называется вторичным риском
в случае огласки (что случается не всегда)
- несет свой репутационный ущерб (отток пострадавших клиентов, снижение притока новых, влияние на b2b-контракты)
- в случае получения претензий от 🧑⚕️клиентов (не всегда получит при огласке, и получит только от части клиентов) - отработать претензии, принести извинения, выплатить компенсации и т.п. - это называется вторичным риском
🏢 Материнская компания и 🏡 дочерние с тем же брендом
в случае огласки (не всегда)
- несет репутационный ущерб бренду
🧑⚕️Клиент-ФЛ
в любом случае
- получает ущерб приватности в зависимости от утекших данных
в случае, если узнал об утечке
- может что-то предпринять для защиты себя или получения компенсации (но вряд ли)
🏠 Компания при рассмотрении риска будет принимать в расчет только последствия для этой самой компании. И последствия, как видно выше, дополняются, если об инциденте узнают сторонние для компании лица. Из этого будет строиться стратегия компании по обработке этого риска.
Нормативка по ПДн склоняет компанию к тому, чтобы риски 🧑⚕️клиента-ФЛ (субъекта ПДн) тоже принимались ей во внимание при принятии решений о мерах защиты. Для этого при моделировании угроз используется параметр последствий для 🧑⚕️субъекта ПДн. Не для 🏠компании!
Поэтому модель угроз ПДн не может быть полноценной базой для построения ИБ в компании. Это - взгляд с одной из сторон. Да, направленный на защиту КЦД так же, как и модель угроз в целом по системе. Но результат говорит только об опасности для 🧑⚕️субъекта - а это совсем не то, на основании чего принимает решения бизнес.
Да и бизнес не будет читать модель угроз. Особенно по БДУ. Её уже и безопасники не читают. И не пишут. Автоматизируют.
А ущерб 🏢 материнской и 🏡 сестринским компаниям вообще не в вашей зоне ответственности, если не будет реакции с их стороны.
#risks
⬇️
Проблемы оценки рисков
Меня часто спрашивают, как оценивать риски.
И я долго думала, как подступиться к ответу на этот вопрос, потому что короткий ответ на него будет "так, как вам удобно, и как вы можете достичь целей, которые вы ставите перед этим процессом".
Но из такого ответа не получится понять, что именно нужно делать. А более развернутый ответ тянет как минимум на серию постов.
Чтобы мои посты были полезны, я хочу понять, откуда возникает вопрос о том, как оценивать и вообще управлять рисками. В интернете полно статей, курсов, в том числе бесплатных. Во многих компаниях уже есть и процесс управления рисками, и методики. Есть книги, стандарты, фреймворки. И как будто всё не то.
Я предположу, что вопросы об оценке рисков могут быть связаны со следующими проблемами:
Непонятно, как оценивать. Что такое высокий, средний и низкий, как это пощупать? Но больше проблем даже с тем, чтобы объяснить кому-то другому, что это и как оценить.
Просто оценки риска владельцу риска часто не достаточно для принятия решения по риску - он просит дополнительную информацию и основывается уже на ней.
Реестр рисков очень большой, и мы уже задолбались их оценивать. Вот бы сделать какую-то тулзу или AI, чтобы оценить автоматически - но какую логику туда запихнуть?
Реестр рисков после оценки и выбора стратегий кладется в тумбочку. Достается через год для обновления или не достается вовсе, потому что через год пишется новый. Результаты оценки ни на что по сути не влияют, потому что обо всех проблемах мы и так знаем.
Риски оценивали консультанты. И не оставили методику / оставленная методика очень сложная и непонятная.
Руководство не хочет снижать высокие риски и принимает их или не выделяет деньги на их снижение. Хотя в регламенте по управлению рисками написано, что высокие риски надо снижать. А зачем тогда это упражнение?
Очень хотим оценить все риски количественно, в деньгах. Во-первых, это наглядно, а во-вторых, можно сложить и получить общую сумму информационного риска.
Невозможно посчитать последствия, потому что их может быть очень много разных. Непонятно, что из последствий выстрелит. При реализации риска НСД к инфраструктуре нас хакер пошифрует или угонит базу клиентов? Или и то и другое сразу?
Невозможно понять вероятность события - просто неясно, как ее оценить. Если мы берем максимальные последствия, то и вероятность оцениваем для наступления максимальных последствий? Или для реализации риска в целом с любыми последствиями?
Пишите в комментариях, если что-то совпало. Разберем проблему, если она актуальна.
А если не совпало - пишите, с чем сталкивались вы.
Специальный пост: Эмпатия и этика как инструменты для специалистов по защите данных
Довольно странно говорить о таких вещах как эмпатия и этика как об инструментах работы человека, который работает на благо корпорации, и не взаимодействует самостоятельно с пользователями. Тем не менее, они формируют основу ответственного управления данными и помогают строить доверие в цифровом пространстве.
Эмпатия: понимание человеческого аспекта
Эмпатия помогает специалистам по защите данных ставить себя на место тех, чьи данные они охраняют. Это делает их работу более глубокой и осознанной:
? Человеко-ориентированный подход: Эмпатия помогает учитывать реальное влияние обработки данных на людей, помогая создавать более продуманные и эффективные политики и процедуры.
? Улучшенная коммуникация: Понимание забот пользователей позволяет специалистам более ясно и прозрачно рассказывать о политике конфиденциальности, что укрепляет доверие.
? Проактивное управление рисками: Эмпатия помогает предугадывать потенциальные угрозы конфиденциальности и устранять их до того, как они станут проблемами. Если прайвасист ставит себя на место пользователя, пытается понять желания и страхи пользователя в отношении продукта, возникающие вопросы, он может действовать более точечно и эффективно, предотвращая недовольство и жалобы, и снижая количество обращений.
Этика: принципы честного управления данными
Этика направляет действия специалистов по защите данных, гарантируя, что они уважают права и ценности общества. Также этика - рационально познаваемый инструмент, и может компенсировать недостаток эмпатии у людей, которым сложно понимать других. Вот почему этика так важна:
? Целостность и доверие: Следование формальным и декларируемым этическим принципам укрепляет доверие между организациями и пользователями, делая их связь более прочной.
? Выход за рамки соблюдения: Этика побуждает специалистов не только задаваться вопросом, что можно делать с данными, но и что нужно делать, чтобы уважать права пользователей.
? Справедливость и уважение: Этика гарантирует справедливое и уважительное отношение к обработке данных, избегая дискриминации и обеспечивая точность данных.
Как интегрировать эмпатию и этику в практику защиты данных
Для того чтобы сделать эмпатию и этику неотъемлемой частью своей работы, специалисты могут предпринять следующие шаги:
? Пользователь-центричный дизайн: Вовлекайте пользователей в разработку политик и инструментов конфиденциальности. Их мнение может стать ценным источником для создания более эффективных решений.
? Этические рамки принятия решений: Создайте чёткие рамки для этического принятия решений в области обработки данных. Это может включать создание этического комитета или внедрение этических проверок в процесс управления данными.
? Постоянное обучение и тренинги: Обеспечьте регулярное обучение сотрудников по этическим вопросам и эмпатическим практикам. Это поможет поддерживать их в курсе последних тенденций и укреплять важность эмпатии в их работе.
? Прозрачность и подотчетность: Стремитесь к созданию культуры прозрачности и подотчетности в вашей организации. Открытое общение о практиках обработки данных и ответственность за любые нарушения укрепляют доверие пользователей.
Заключение
Эмпатия и этика — это не просто дополнительные инструменты для специалистов по защите данных, а их основа. Они помогают не только защищать данные, но и строить крепкие, доверительные отношения с пользователями, поддерживая высокие стандарты честности и целостности в цифровую эпоху. В мире, где данные стали важнейшей ценностью, эмпатия и этика обеспечивают, что конфиденциальность останется фундаментальным правом каждого человека.
Этот текст написал ChatGPT 4o, а я отредактировала и дописала.
Агрессивная обработка рисков
На работе мне такой способ обработки риска не одобрили, поэтому делюсь с вами.
Берете свои основные базы. Убираете оттуда критичные данные (на ваш вкус).
@
Сливаете в открытый доступ до введения оборотных штрафов
@
Сообщаете об этом вовремя в РКН
@
После введения оборотных штрафов при утечках говорите, что это старые данные, которые гуляют по интернету.
@
????
@
PROFIT!!
Вы защищены от оборотных штрафов.
(это была шутка, пожалуйста, не делайте так)
Первая задача менеджераПервая задача менеджера - разрешить себе ошибаться.
Невозможность ошибаться нервирует. Если то, что ты делаешь, напрямую не влияет на жизни и здоровье людей, у тебя есть право на ошибку.
Ошибаться - нормально. Мы - мясные человечки, а не роботы. А роботы тоже ошибаются.
А ещё, если ты как менеджер разрешишь себе ошибаться, ты разрешишь ошибаться и другим.
Менеджер, который не дает ошибаться команде - говнюк, который создает нездоровую атмосферу в коллективе, и не дает людям работать.
Суть управления не в наказании за ошибку, а в решении проблем.
Если ошибка привела к проблемам, нужно решить их, и по возможности не допускать ошибок в дальнейшем. Это называется конструктивом)
Наказание - метод управления, но не всегда этот метод - лучший и эффективный. Наказание не приближает никого к целям работы. Работу всё равно делать придется, и пусть её делает тот, кто накосячил - такого наказания чаще всего вполне достаточно.
*это всё не относится к людям, которые сознательно и намеренно вредят. Их надо гнать ссаными тряпками.
Риск-менеджмент 1 лвлаЧасто вижу, как в компаниях, стартуя процесс риск-менеджмента, начинают с описания "правильного", классического процесса и разработки реестра рисков, желательно вообще всех, до которых дотянутся руки.
И процесс тормозится, никто ничего не делает, пока регламент не допилен, реестр собирается бесконечное количество времени или тяп-ляп, из него ничего не понятно.
А итог один - ~~безблагодатность~~ процесс не работает, максимум можно показать бумажки аудитору.
Что же делать, если вы хотите реально работающий процесс без больших трудо- и времязатрат?
? разрешите себе сделать плохо, на троечку, чтобы просто начало хоть как-то работать. Потом допилите.
? вспомните про цель риск-менеджмента - это информированное принятие решений. Процесс должен приводить к неким решениям (выборам), которые поняты и осознаны лицом, принимающим решения (ЛПР).
? в работающем процессе должно быть три составляющих:
- обнаружение и описание риска
- информирование ЛПР о риске (и возможно вариантах решений)
- принятие решения ЛПР
Всё, этого достаточно. Озаботьтесь тем, чтобы эти этапы работали.
? реестр рисков - это не обязательная составляющая работающего процесса. Это систематизация уже имеющейся информации. Не систематизируйте информацию, пока не поймете, зачем вам это нужно. Просто складывайте куда-нибудь (чтобы не потерять) и обкатывайте принятие решений.
? договоритесь с ЛПР, в каком виде и какая ему (им) нужна информация для принятия решений по тем рискам, которые вы будете на него выносить. Договоритесь о форме представления информации и сроках ответа.
? корректно выбирайте ЛПР для выявленных рисков - это должен быть человек, который будет нести всю полноту ответственности - в рамках распоряжаемых бюджетов в компании, и перед законом. А также ЛПР должен иметь достаточный авторитет и полномочия для принятия решений.
? занимайтесь поначалу только критичными рисками, которые могут принести значимый вред ЛПР или бизнесу.
? описывая риск, не склоняйте ЛПР к выбору того или иного решения. Это его забота, а не ваша. Если вы можете оценить потери или их составляющую в деньгах - оцените. Если не можете, и вам приходится оценивать словами "высокий", "масштабный" и прочими оценочными - приводите обоснвания, почему так.
Так же обосновывайте вероятность/частоту наступления рискового события.
Так вы стартуете процесс управления рисками, и приучите ЛПР принимать информированные решения. Что будет входить в лвл 2, решать вам - в зависимости от потребностей.
Architec.Ton is a ecosystem on the TON chain with non-custodial wallet, swap, apps catalog and launchpad.
Main app: @architec_ton_bot
Our Chat: @architec_ton
EU Channel: @architecton_eu
Twitter: x.com/architec_ton
Support: @architecton_support
Last updated 2 weeks, 4 days ago
Канал для поиска исполнителей для разных задач и организации мини конкурсов
Last updated 1 month ago