No Security

Description
Алиса Сабо пишет об ИБ и смежном:
- риски,
- непрерывность,
- управление,
- документация,
- приватность,
- работа с персоналом,
- безопасность и комплаенс ИИ
Advertising
We recommend to visit
HAYZON
HAYZON
6,053,581 @hayzonn

لا اله الا الله محمد رسول الله

👤 𝐅𝐨𝐮𝐧𝐝𝐞𝐫: @Tg_Syprion
🗓 ᴀᴅᴠᴇʀᴛɪsɪɴɢ: @SEO_Fam
Мои каналы: @mazzafam

Last updated 3 weeks, 3 days ago

Architec.Ton is a ecosystem on the TON chain with non-custodial wallet, swap, apps catalog and launchpad.

Main app: @architec_ton_bot
Our Chat: @architec_ton
EU Channel: @architecton_eu
Twitter: x.com/architec_ton
Support: @architecton_support

Last updated 2 weeks, 4 days ago

Канал для поиска исполнителей для разных задач и организации мини конкурсов

Last updated 1 month ago

3 months, 1 week ago

⬆️начало в предыдущем посте

В общем
Не мешайте субъектов риска в один котёл.

🥘 Ваших ЛПР будут интересовать только последствия для вашей компании и для них самих. Всем остальным можно посочувствовать, но не более того – если это не приносит выгоду компании или не уменьшает ее убытки.
Соответственно, в вашем реестре рисков должны быть только риски, где субъект - ваша компания.

🥘 Реакции других лиц, которые будут влиять на вас при реализации риска, возникнут не со 100% вероятностью. И последствия этих реакций (вторичный риск) тоже для вас наступят не всегда. То есть шанс наступления вторичного риска - доля от шанса наступления основного события.

#risks

3 months, 1 week ago

Субъект риска

Часто, когда говорят о рисках, мешают в одну кучу последствия для компании с последствиями, например, для клиентов компании и работников. Это встречается в том числе у специалистов, которые занимаются вопросами приватности, у которых душа болит за субъектов персональных данных. Но не только у них.

Поэтому я предлагаю подумать о том, кто в вашем риске - субъект риска.

Кому будет нанесен ущерб в сценарии, который вы рассматриваете? Это может быть:
- ваша компания
- клиент(ы)-ФЛ - можно рассматривать как совокупность, если последствия будут примерно одинаковые
- клиент-ЮЛ
- головная компания группы (например, как владелец вашего бренда)
- дочерняя компания группы
...
- лично руководитель вашей компании
- лично ЛПР - владелец риска

Нужно выбрать одного субъекта риска. Потому что для разных типов субъектов негативные последствия одного и того же события будут разными. И шанс наступления этих событий тоже может быть разный!

Рассмотрим пример:
утечка персональных данных клиентов у дочерней компании группы.

Здесь есть субъекты риска:
- 🏠 компания (у которой утекли данные)
- 🏢 материнская компания
- 🧑‍⚕️ клиент-ФЛ - субъект персональных данных
- 🏡 другие дочерние компании группы (если, например, имеют тот же бренд)

🏠 Компания:
в любом случае
- должна отреагировать на инцидент и расследовать его
- могут взломать аккаунты ее 🧑‍⚕️клиентов и привести к дальнейшим потерям - нужно это предотвратить
- отвечает перед 🧑‍⚕️клиентами по закону
- должна отчитаться перед 🏛РКН, далее возможна проверка со стороны РКН

в случае, если узнает 🏢 материнская компания без огласки
- отработать реакцию материнской компании (зависит от влияния, выстроенности процессов и т.п - например, пройти внеочередной аудит, или доказать, что повторение инцидента невозможно) - это называется вторичным риском

в случае огласки (что случается не всегда)
- несет свой репутационный ущерб (отток пострадавших клиентов, снижение притока новых, влияние на b2b-контракты)
- в случае получения претензий от 🧑‍⚕️клиентов (не всегда получит при огласке, и получит только от части клиентов) - отработать претензии, принести извинения, выплатить компенсации и т.п. - это называется вторичным риском

🏢 Материнская компания и 🏡 дочерние с тем же брендом
в случае огласки (не всегда)
- несет репутационный ущерб бренду

🧑‍⚕️Клиент-ФЛ
в любом случае
- получает ущерб приватности в зависимости от утекших данных

в случае, если узнал об утечке
- может что-то предпринять для защиты себя или получения компенсации (но вряд ли)

🏠 Компания при рассмотрении риска будет принимать в расчет только последствия для этой самой компании. И последствия, как видно выше, дополняются, если об инциденте узнают сторонние для компании лица. Из этого будет строиться стратегия компании по обработке этого риска.

Нормативка по ПДн склоняет компанию к тому, чтобы риски 🧑‍⚕️клиента-ФЛ (субъекта ПДн) тоже принимались ей во внимание при принятии решений о мерах защиты. Для этого при моделировании угроз используется параметр последствий для 🧑‍⚕️субъекта ПДн. Не для 🏠компании!

Поэтому модель угроз ПДн не может быть полноценной базой для построения ИБ в компании. Это - взгляд с одной из сторон. Да, направленный на защиту КЦД так же, как и модель угроз в целом по системе. Но результат говорит только об опасности для 🧑‍⚕️субъекта - а это совсем не то, на основании чего принимает решения бизнес.
Да и бизнес не будет читать модель угроз. Особенно по БДУ. Её уже и безопасники не читают. И не пишут. Автоматизируют.

А ущерб 🏢 материнской и 🏡 сестринским компаниям вообще не в вашей зоне ответственности, если не будет реакции с их стороны.

#risks
⬇️

3 months, 1 week ago

Проблемы оценки рисков

Меня часто спрашивают, как оценивать риски.
И я долго думала, как подступиться к ответу на этот вопрос, потому что короткий ответ на него будет "так, как вам удобно, и как вы можете достичь целей, которые вы ставите перед этим процессом".

Но из такого ответа не получится понять, что именно нужно делать. А более развернутый ответ тянет как минимум на серию постов.

Чтобы мои посты были полезны, я хочу понять, откуда возникает вопрос о том, как оценивать и вообще управлять рисками. В интернете полно статей, курсов, в том числе бесплатных. Во многих компаниях уже есть и процесс управления рисками, и методики. Есть книги, стандарты, фреймворки. И как будто всё не то.

Я предположу, что вопросы об оценке рисков могут быть связаны со следующими проблемами:

  1. Непонятно, как оценивать. Что такое высокий, средний и низкий, как это пощупать? Но больше проблем даже с тем, чтобы объяснить кому-то другому, что это и как оценить.

  2. Просто оценки риска владельцу риска часто не достаточно для принятия решения по риску - он просит дополнительную информацию и основывается уже на ней.

  3. Реестр рисков очень большой, и мы уже задолбались их оценивать. Вот бы сделать какую-то тулзу или AI, чтобы оценить автоматически - но какую логику туда запихнуть?

  4. Реестр рисков после оценки и выбора стратегий кладется в тумбочку. Достается через год для обновления или не достается вовсе, потому что через год пишется новый. Результаты оценки ни на что по сути не влияют, потому что обо всех проблемах мы и так знаем.

  5. Риски оценивали консультанты. И не оставили методику / оставленная методика очень сложная и непонятная.

  6. Руководство не хочет снижать высокие риски и принимает их или не выделяет деньги на их снижение. Хотя в регламенте по управлению рисками написано, что высокие риски надо снижать. А зачем тогда это упражнение?

  7. Очень хотим оценить все риски количественно, в деньгах. Во-первых, это наглядно, а во-вторых, можно сложить и получить общую сумму информационного риска.

  8. Невозможно посчитать последствия, потому что их может быть очень много разных. Непонятно, что из последствий выстрелит. При реализации риска НСД к инфраструктуре нас хакер пошифрует или угонит базу клиентов? Или и то и другое сразу?

  9. Невозможно понять вероятность события - просто неясно, как ее оценить. Если мы берем максимальные последствия, то и вероятность оцениваем для наступления максимальных последствий? Или для реализации риска в целом с любыми последствиями?

Пишите в комментариях, если что-то совпало. Разберем проблему, если она актуальна.

А если не совпало - пишите, с чем сталкивались вы.

#risks

6 months ago
6 months ago

Специальный пост: Эмпатия и этика как инструменты для специалистов по защите данных

Довольно странно говорить о таких вещах как эмпатия и этика как об инструментах работы человека, который работает на благо корпорации, и не взаимодействует самостоятельно с пользователями. Тем не менее, они формируют основу ответственного управления данными и помогают строить доверие в цифровом пространстве.

Эмпатия: понимание человеческого аспекта

Эмпатия помогает специалистам по защите данных ставить себя на место тех, чьи данные они охраняют. Это делает их работу более глубокой и осознанной:

? Человеко-ориентированный подход: Эмпатия помогает учитывать реальное влияние обработки данных на людей, помогая создавать более продуманные и эффективные политики и процедуры.

? Улучшенная коммуникация: Понимание забот пользователей позволяет специалистам более ясно и прозрачно рассказывать о политике конфиденциальности, что укрепляет доверие.

? Проактивное управление рисками: Эмпатия помогает предугадывать потенциальные угрозы конфиденциальности и устранять их до того, как они станут проблемами. Если прайвасист ставит себя на место пользователя, пытается понять желания и страхи пользователя в отношении продукта, возникающие вопросы, он может действовать более точечно и эффективно, предотвращая недовольство и жалобы, и снижая количество обращений.

Этика: принципы честного управления данными

Этика направляет действия специалистов по защите данных, гарантируя, что они уважают права и ценности общества. Также этика - рационально познаваемый инструмент, и может компенсировать недостаток эмпатии у людей, которым сложно понимать других. Вот почему этика так важна:

? Целостность и доверие: Следование формальным и декларируемым этическим принципам укрепляет доверие между организациями и пользователями, делая их связь более прочной.

? Выход за рамки соблюдения: Этика побуждает специалистов не только задаваться вопросом, что можно делать с данными, но и что нужно делать, чтобы уважать права пользователей.

? Справедливость и уважение: Этика гарантирует справедливое и уважительное отношение к обработке данных, избегая дискриминации и обеспечивая точность данных.

Как интегрировать эмпатию и этику в практику защиты данных

Для того чтобы сделать эмпатию и этику неотъемлемой частью своей работы, специалисты могут предпринять следующие шаги:

? Пользователь-центричный дизайн: Вовлекайте пользователей в разработку политик и инструментов конфиденциальности. Их мнение может стать ценным источником для создания более эффективных решений.

? Этические рамки принятия решений: Создайте чёткие рамки для этического принятия решений в области обработки данных. Это может включать создание этического комитета или внедрение этических проверок в процесс управления данными.

? Постоянное обучение и тренинги: Обеспечьте регулярное обучение сотрудников по этическим вопросам и эмпатическим практикам. Это поможет поддерживать их в курсе последних тенденций и укреплять важность эмпатии в их работе.

? Прозрачность и подотчетность: Стремитесь к созданию культуры прозрачности и подотчетности в вашей организации. Открытое общение о практиках обработки данных и ответственность за любые нарушения укрепляют доверие пользователей.

Заключение

Эмпатия и этика — это не просто дополнительные инструменты для специалистов по защите данных, а их основа. Они помогают не только защищать данные, но и строить крепкие, доверительные отношения с пользователями, поддерживая высокие стандарты честности и целостности в цифровую эпоху. В мире, где данные стали важнейшей ценностью, эмпатия и этика обеспечивают, что конфиденциальность останется фундаментальным правом каждого человека.

Этот текст написал ChatGPT 4o, а я отредактировала и дописала.

6 months ago
1 year ago

Агрессивная обработка рисков

На работе мне такой способ обработки риска не одобрили, поэтому делюсь с вами.

Берете свои основные базы. Убираете оттуда критичные данные (на ваш вкус).
@
Сливаете в открытый доступ до введения оборотных штрафов
@
Сообщаете об этом вовремя в РКН
@
После введения оборотных штрафов при утечках говорите, что это старые данные, которые гуляют по интернету.
@
????
@
PROFIT!!
Вы защищены от оборотных штрафов.

(это была шутка, пожалуйста, не делайте так)

1 year, 3 months ago

Первая задача менеджераПервая задача менеджера - разрешить себе ошибаться.
Невозможность ошибаться нервирует. Если то, что ты делаешь, напрямую не влияет на жизни и здоровье людей, у тебя есть право на ошибку.
Ошибаться - нормально. Мы - мясные человечки, а не роботы. А роботы тоже ошибаются.

А ещё, если ты как менеджер разрешишь себе ошибаться, ты разрешишь ошибаться и другим.
Менеджер, который не дает ошибаться команде - говнюк, который создает нездоровую атмосферу в коллективе, и не дает людям работать.

Суть управления не в наказании за ошибку, а в решении проблем.
Если ошибка привела к проблемам, нужно решить их, и по возможности не допускать ошибок в дальнейшем. Это называется конструктивом)
Наказание - метод управления, но не всегда этот метод - лучший и эффективный. Наказание не приближает никого к целям работы. Работу всё равно делать придется, и пусть её делает тот, кто накосячил - такого наказания чаще всего вполне достаточно.

*это всё не относится к людям, которые сознательно и намеренно вредят. Их надо гнать ссаными тряпками.

1 year, 5 months ago

Риск-менеджмент 1 лвлаЧасто вижу, как в компаниях, стартуя процесс риск-менеджмента, начинают с описания "правильного", классического процесса и разработки реестра рисков, желательно вообще всех, до которых дотянутся руки.
И процесс тормозится, никто ничего не делает, пока регламент не допилен, реестр собирается бесконечное количество времени или тяп-ляп, из него ничего не понятно.
А итог один - ~~безблагодатность~~ процесс не работает, максимум можно показать бумажки аудитору.

Что же делать, если вы хотите реально работающий процесс без больших трудо- и времязатрат?

? разрешите себе сделать плохо, на троечку, чтобы просто начало хоть как-то работать. Потом допилите.

? вспомните про цель риск-менеджмента - это информированное принятие решений. Процесс должен приводить к неким решениям (выборам), которые поняты и осознаны лицом, принимающим решения (ЛПР).

? в работающем процессе должно быть три составляющих:
- обнаружение и описание риска
- информирование ЛПР о риске (и возможно вариантах решений)
- принятие решения ЛПР
Всё, этого достаточно. Озаботьтесь тем, чтобы эти этапы работали.

? реестр рисков - это не обязательная составляющая работающего процесса. Это систематизация уже имеющейся информации. Не систематизируйте информацию, пока не поймете, зачем вам это нужно. Просто складывайте куда-нибудь (чтобы не потерять) и обкатывайте принятие решений.

? договоритесь с ЛПР, в каком виде и какая ему (им) нужна информация для принятия решений по тем рискам, которые вы будете на него выносить. Договоритесь о форме представления информации и сроках ответа.

? корректно выбирайте ЛПР для выявленных рисков - это должен быть человек, который будет нести всю полноту ответственности - в рамках распоряжаемых бюджетов в компании, и перед законом. А также ЛПР должен иметь достаточный авторитет и полномочия для принятия решений.

? занимайтесь поначалу только критичными рисками, которые могут принести значимый вред ЛПР или бизнесу.

? описывая риск, не склоняйте ЛПР к выбору того или иного решения. Это его забота, а не ваша. Если вы можете оценить потери или их составляющую в деньгах - оцените. Если не можете, и вам приходится оценивать словами "высокий", "масштабный" и прочими оценочными - приводите обоснвания, почему так.
Так же обосновывайте вероятность/частоту наступления рискового события.

Так вы стартуете процесс управления рисками, и приучите ЛПР принимать информированные решения. Что будет входить в лвл 2, решать вам - в зависимости от потребностей.

We recommend to visit
HAYZON
HAYZON
6,053,581 @hayzonn

لا اله الا الله محمد رسول الله

👤 𝐅𝐨𝐮𝐧𝐝𝐞𝐫: @Tg_Syprion
🗓 ᴀᴅᴠᴇʀᴛɪsɪɴɢ: @SEO_Fam
Мои каналы: @mazzafam

Last updated 3 weeks, 3 days ago

Architec.Ton is a ecosystem on the TON chain with non-custodial wallet, swap, apps catalog and launchpad.

Main app: @architec_ton_bot
Our Chat: @architec_ton
EU Channel: @architecton_eu
Twitter: x.com/architec_ton
Support: @architecton_support

Last updated 2 weeks, 4 days ago

Канал для поиска исполнителей для разных задач и организации мини конкурсов

Last updated 1 month ago