Dovremmo cambiare la propensione al rischio quando intraprendiamo un viaggio di trasformazione digitale?

Naviga le tue risposte
2

La nostra organizzazione nel processo di implementazione di numerose iniziative di trasformazione digitale tra cui piattaforme online / cloud.

Ci sono argomenti nel nostro team di sicurezza delle informazioni in merito a "Appetito del rischio" dell'organizzazione. La squadra è divisa su questo argomento:

Una parte sostiene che passare al digitale significa che i rischi / minacce sono più elevati, quindi non dovrebbe esserci flessibilità nel livello di appetito del rischio a livello organizzativo e continuare lo stesso valore.

Altre parti sostengono che passare al digitale significa aumentare la flessibilità / efficienza / etc, quindi la sicurezza non dovrebbe limitare lo scopo del digitale. Quindi suggeriscono di aumentare il valore della propensione al rischio.

Sono sicuro, ci sono diverse organizzazioni che hanno attraversato questo viaggio già a livello globale. Mi piacerebbe sapere in che modo il settore si avvicina all '"Appetito del rischio" quando si passa alla trasformazione digitale?

    
posta Sayan 15.09.2018 - 19:59
fonte

1 risposta

3

L'appetito per il rischio riguarda il rischio che sei disposto ad assumere per raggiungere la tua missione. Le tue quotazioni delle diverse posizioni parlano sia di un solo lato del problema che non di Risk Appetite.

  1. "Passare al digitale significa aumentare il rischio" (una maggiore probabilità di impatti negativi maggiori e maggiori). Non posso esserne sicuro senza ulteriori dettagli, ma supponiamo di sì.

  2. "Passare al digitale significa aumentare le opportunità". Di nuovo, supponiamo di si.

Grande. Nessuna di queste affermazioni riguarda l'appetito del rischio.

La domanda che deve essere posta è se le maggiori opportunità valgono l'aumento del rischio . Il rischio aggiuntivo avrà un impatto sull'azienda in modi che non può o non vuole recuperare? I costi per trattare i maggiori rischi saranno maggiori di quanto la società possa permettersi? La perdita dell'opportunità influirà negativamente sulla società?

Queste domande sono più in linea con Appetito del rischio.

E non puoi guardare a Risk Appetite da solo a questi singoli progetti e non considerare il rischio complessivo per l'intera azienda.

Quindi trovo strano che il team di Information Security stia cercando di assegnare ciò che l' organizzazione dovrebbe impostare come propensione al rischio. Non sono le persone giuste a prendere questa decisione. Con tutti i mezzi, definire e analizzare i rischi, ma non sono sicuro che il team sia posizionato correttamente per valutare le opportunità oi rischi organizzativi più olistici nel contesto. Questo è il lavoro del business.

Per quanto riguarda gli "approcci industriali" che chiedi, il link wiki che hai fornito ti fornisce le basi:

Derived correctly the risk appetite is a consequence of a rigorous risk management analysis not a precursor. Simple risk management techniques deal with the impact of hazardous events, but this ignores the possibility of collateral effects of a bad outcome, such as for example becoming technically bankrupt. The quantity that can be put at risk depends on the cover available should there be a loss, and a proper analysis takes this into account. The "appetite" follows logically from this analysis. For example an organization should be "hungry for risk" if it has more than ample cover compared with its competitors and should therefore be able to gain greater returns in the market from high risk ventures.

  1. Quali sono i rischi?
  2. Quali sono i costi di rischio?
  3. Quali sono le opportunità?
  4. Quali sono i costi di opportunità?
  5. Quali sono i rischi, le opportunità e i costi nel contesto olistico?
  6. Quali sono gli impatti di fare qualcosa rispetto a non fare niente?
  7. Quale dovrebbe essere il nostro approccio per ridurre tali rischi e perseguire tali opportunità?
risposta data 16.09.2018 - 18:05
fonte

Leggi altre domande sui tag

Gestione dell'accesso chiave SSH ai server AWS dietro il bastione Strumenti forensi su server Linux