Pull to refresh
  • by relevance
  • by date
  • by rating

Позитив в управлении рисками ;)

Lumber room
“In the middle of difficulty lies opportunity”
Albert Einstein

В книге [1] (список источников указан внизу) приведены уровни зрелости компаний и организаций с точки зрения управления рисками. Выделяют 5 уровней или стадий:
  • Problem stage — когда работа с рисками не ведется до тех пор, пока они не станут проблемами
  • Mitigation stage — когда людям знакомо понятие «риск», однако никто не знает, как управлять рисками на регулярной основе (концепция управления рисками была им представлена, но пока в очень ограниченных объемах). Зачастую единственной стратегией борьбы с рисками является уменьшение вероятности его появления
  • Prevention stage — когда управление рисками становится активностью команды в целом, в не только задачей менеджмента (проекта, отдела, компании); в процесс вовлекается все больше и больше заинтересованных людей, которые могут идентифицировать риски, однако их количественные оценка пока вызывают определенные трудности. Данная стадия является поворотной точкой от реактивного к проактивному методу управления рисками
  • Anticipation stage — данная стадия характеризуется сбором и анализом метрик, для того чтобы предугадывать будущие проблемы и предсказывать определенные события, связанные с проектом. В процесс управления рисками вовлекается и заказчик (клиент), что дает возможность более аккуратно проводить количественную оценку рисков, а также верно расставлять приоритеты
  • Opportunity stage — данная стадия представляет позитивное видение процесса управления рисками, когда в процесс вовлечены все заинтересованные стороны (менеджеры, проектная команда, представители заказчика). На данной стадии каждый риск трактуется (может трактоваться) еще как и некоторая возможность. Все осознают эти возможности и связанные с ними риски и могут выбирать различные пути движения дальше, находя компромиссы между уровнем риска и новыми возможностями

Понятно, что разные компании находятся на разных уровнях зрелости. На мой взгляд, моя компания сейчас находится где-нибудь между Anticipation и Opportunity уровнями зрелости, но мы продолжаем работать ;) А в какой стадии находится ваша компания?
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 1.5K
Comments 10

Учёт рисков при оценке трудоёмкости ПО и планировании проекта

Project management *

Поговорим о рисках


dice
Что такое риски? Что является риском, а что нет? Как учитывать риски при оценке трудоёмкости ПО и планировании проекта? Об этом я предлагаю поговорить в этом топике. В то же время, чтобы не раздувать топик и не повторяться, здесь не будут обсуждаться вопросы идентификации и митигации рисков — действий по выявлению, уменьшению вероятности возникновения рисков и минимизации их последствий.
После публикации статьи о смертных грехах в оценке трудоёмкости программного обеспечения мне указали, что ни автор, ни я ничего не сказали о рисках. Хочу исправить это досадное недоразумение и поведать вам немного о рисках и моём опыте работы с ними.
Читать дальше →
Total votes 32: ↑24 and ↓8 +16
Views 12K
Comments 26

ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?

Information Security *IT Standards *
Tutorial

*Виновен в разглашении конфиденциальной информации! Ваш ТЕЛЕФОН говорит только то, что говорите ВЫ...*

В последний раз я освещал вопрос обеспечения ИБ в США почти год назад в материале, посвящённом разработке Фреймворка управления рисками ИБ. Настало время более подробно рассказать о том, как устроена ИБ в Америке. По крайней мере на бумаге, изданной вполне авторитетной организацией NIST.
Стоит обратить отдельное внимание на то, что дальше речь пойдет о теоретической ИБ, так называемых best practices, которые, как известно большинству специалистов по практической безопасности, в жизни встречаются редко. Однако это не умаляет их значимости при построении реальной системы обеспечения ИБ.

Ссылки на все части статьи:
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?
ИБ по-американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views 34K
Comments 6

ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?

Information Security *IT Standards *
Tutorial

*Как ни посмотри, безопасность — это и твоя ответственность*

В прошлой своей статье «ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?» я рассказал об основе, вокруг которой и строится весь документ NIST SP 800-53, а именно о контролях безопасности. Т.е. тех самых мерах, реализация которых и позволяет снизить риски ИБ. Таким образом я, надеюсь, заинтересовал часть аудитории. Однако полноценный процесс работы с контролями безопасности гораздо шире и включает в себя массу других принципов, помимо самих мер. О том, как это всё должно работать мы сегодня и поговорим.

Ссылки на все части статьи:
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?
ИБ по-американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор
Подробности внутри...
Total votes 6: ↑5 and ↓1 +4
Views 13K
Comments 1

ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?

Information Security *IT Standards *
Tutorial

*Безопасность — это отнюдь не борьба с ветряными мельницами*

В предыдущих статьях я уже достаточно подробно рассказал о публикации NIST SP 800-53. Были успешно освещены разбиение контролей на семейства, подробное описание структуры контролей безопасности, процесс управления рисками в масштабах организации и даже вкратце отдельная публикация FIPS 200.
Из-за выхода в свет Geektimes пришлось немного задержаться, но мы продолжаем двигаться дальше, и сегодня речь пойдёт о базовых наборах контролей безопасности и об определении критичности информационных систем.
Ну и конечно в комплекте аутентичные американские плакаты, посвященные безопасности.

Ссылки на предыдущие статьи:
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?
ИБ по-американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор
Продолжаем разбираться...
Total votes 4: ↑4 and ↓0 +4
Views 13K
Comments 0

ИБ по-американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор

Information Security *IT Standards *
Tutorial

*Оставьте свою работу на рабочем месте!*

Итак, нелёгкий путь по обзиранию созданию краткого обзора NIST SP 800-53 подходит к логическому концу. Я рад, что мне удалось совершить задуманное и написать пусть небольшой, но законченный по содержанию цикл статей, не остановившись на первой или второй части. В дальнейшем, надеюсь, получится от случая к случаю делиться с общественностью своими соображениями на тему ИБ, ИТ и аудита.

Итак, в этой статье будет наконец-то поведано о выборе набора контролей безопасности, подгонке его под нужды конкретной организации и создании так называемых перекрытий «overlays», применимых вне масштабов отдельной организации.

Ссылки на предыдущие статьи:

ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей безопасности и как определять критичность информационных систем?
ИБ по-американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор

Продолжаем читать внутри
Total votes 10: ↑9 and ↓1 +8
Views 10K
Comments 3

Управление разработкой программного продукта на основе рисков

Website development *Programming *
image
Эта статья адресована тем, кто имеет отношение к разработке программного продукта. Понимание принципов управление процессом разработки не менее важно, чем фактические знания технологий программирования. Статья не адресована только тем, кто хочет стать или работает руководителем проекта (Project Manager), Понимание принципов управления принесет пользу на любой должности и в любой команде.
Читать дальше →
Total votes 16: ↑13 and ↓3 +10
Views 25K
Comments 14

Threat Horizon 2017-2019 от International Security Forum (выдержка для руководителей)

Information Security *
Translation
Привет, коллеги,

в конце прошлой недели International Security Forum опубликовал очередной ежегодный отчёт о грядущих трендах ИТ-угроз бизнесу Threat Horizon 2019. Отчёт содержит подробные описания девяти основных угроз, а также информацию об их воздействии на бизнес и рекомендуемые действия.

Я также добавил перевод результатов прошлогоднего отчёта (2018). Представленная информация должна помочь ИТ и риск-менеджерам, а так же руководителям бизнеса ознакомиться с набирающими силу рисками и оценить возможные последствия.

По ссылке вы можете скачать выдержку из отчёта на английском. Прошлогодняя, позапрошлогодняя, и более ранние выдержки находятся в открытом доступе. Тем же, кто хочет ознакомиться с переводом выводов и рекомендаций из отчётов последних трёх лет — прошу под кат.

В комментариях предлагаю описать актуальность приведённых выводов и рекомендаций для вашей организации.
Читать дальше →
Total votes 10: ↑7 and ↓3 +4
Views 2.4K
Comments 1

Мечтают ли госорганы об электрорисках?

SAS corporate blog Project management *
Риски. Они повсюду

Риск-менеджмент выручает нас каждый день. Когда мы переходим дорогу, наша естественная нейронная сеть оценивает обстановку, прикидывает скорость таксиста, яростно рвущегося на желтый свет, определяет вероятность сломать ключицу при падении с капота автомобиля и предлагает меру по минимизации риска — подождать секунд пять и только после этого двинуться вперед. Обработка угроз встроена в наши гены, даже если обычно мы называем это иначе.

Но стоит заговорить о «рисках» в приличном обществе, собеседники начинают рассуждать об инвестициях, кредитном портфеле, методах аллокации банковского капитала и стресс-тестировании — всё как-то о финансах. Да, банки были пионерами в применении передовых методов анализа рисков. Однако риски — это не только про деньги.

Риск-менеджмент — универсальная управленческая дисциплина, которая применима в любом процессе, где что-то происходит, есть какой-то ожидаемый результат и существует вероятность, что мы его не получим. Проще говоря, почти всегда и везде. И в работе государственных органов тоже.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 3K
Comments 0

Как выявляют риски в госконтроле и зачем для этого машинное обучение

SAS corporate blog Big Data *Project management *


В предыдущей статье на тему государственного риск-менеджмента мы прошлись по основам: зачем государственным органам управлять рисками, где их искать и какие существуют подходы к оценке. Сегодня поговорим о процессе анализа рисков: как выявить причины их возникновения и обнаружить нарушителей.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 3K
Comments 0

Выпускники IT-стажировок в Райффайзенбанке — о том, как это было

Райффайзенбанк corporate blog Java *Studying in IT IT career IT-companies
В 2018 году мы в Райффайзенбанке провели семь IT-школ в Москве и омском Raiffeisen TechCenter. К нам приходили ребята с разным образованием и опытом, всех их объединяло желание попробовать свои силы в больших серьёзных задачах и стать классными профессионалами. За месяцы стажировок 60 начинающих специалистов выросли в крепких джуниоров, большинство из них остались в команде и продолжают развивать цифровые продукты вместе с нами. Чем можно заняться на digital-стажировке в банке? Рассказывают выпускники.
Читать дальше →
Total votes 25: ↑21 and ↓4 +17
Views 9.9K
Comments 8

Как внедрение процессов безопасности помогает в переходе на удаленную работу

Information Security *Project management *
Sandbox
Статья описывает как мы использовали инфраструктуру безопасности для перевода всей нашей команды менеджеров и разработчиков на удаленную работу в период карантинных мероприятий и самоизоляции.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 2.2K
Comments 0

Почему управлять государством должен продуктовый менеджер?

Project management *Start-up development Product Management *

Потому что государство – это продукт. Со своими метриками, экономикой, жизненным циклом. У граждан-пользователей есть и лайфтайм, и отток, и средний чек. Да и цели те же: найти свою нишу на мировом рынке, решить боли пользователей, повысить выручку и капитализацию. Только вот чиновники, которые управляют нашими странами, угробили бы любой стартап примерно сразу.

Читать далее
Total votes 67: ↑47 and ↓20 +27
Views 14K
Comments 208

Бизнес-аналитика в управлении рисками: Некоторые последние достижения (2014 год)

Data Mining *Big Data *Business Models
Translation

На одном из интенсивов по BI-аналитике от коуча услышал высказывание: «BI-аналитика создает ценность для предприятия, но определить величину денежного эквивалента этой ценности невозможно».

Я не согласился с этим высказыванием так как, на мой взгляд, менеджмент создает систему метрик бизнес-аналитики с целью видеть векторы развития предприятия и скрытые проблемы, приводящие к снижению итоговых результатов. И если с помощью метрик вектора развития сложно конкретизировать, то кризисные явления идентифицируются достаточно надежно, при качественном исследовании исторических данных. То есть проявляется явная функция пространства метрик, показывающая зоны, в которые предприятию предпочтительно не попадать и система бизнес-метрик является инструментом риск-менеджмента. В настоящий момент технологии монетизации мероприятий риск-менеджмента хорошо отлажены. Так же ресурс «Reports and Data» прогнозирует объем рынка анализа рисков к 2026 в объеме 65 млрд. долл.

Посерфил обнаружил в сети, что существует всего лишь один университет, у которого есть программа обучения по данному курсу в The Hong Kong University of Science and Technology и нижепредставленную статью. После таких результатов мне стало ясно, что тема исследована слабо и причина в том, что риск-менеджмент отдельное направление с достаточно широким диапазоном и риски в операционной деятельности предприятия  - подраздел этих мероприятий.

Чтобы читатель мог представить широту задач даю ссылку на статью об инструментах в этой области «The 19 Best Risk Management Software of 2021».

После переведенной статьи изложил свои размышления о том, как сделать набор бизнес-метрик инструментом риск-менеджмента.

Читать далее
Total votes 7: ↑5 and ↓2 +3
Views 2.8K
Comments 0

Возможно ли отказаться от использования классического risk register?

Orion Innovation corporate blog Development Management *Project management *

Практика показывает, что во многих проектах, особенно работающих по методологии Agile, традиционный подход с полноценными выделенными шагами по идентификации, анализу, планированию, мониторингу и контролю рисков, не пользуется популярностью.

В сфере управления проектами в компании Orion Innovation я применял разные практики и сформулировал несколько выводов, которыми хотел бы поделиться.

Думаю, что многие пренебрегают процессом управления рисками, так как не понимают зачем уделять ему отдельное внимание и время. Кто-то может парировать, что вы просто не умеете готовить реестр рисков и на его обновление требуется совсем немного усилий, «минут 10». Так может быть и есть в небольшой сплоченной команде, в которой все друг друга хорошо понимают. Однако нужен ли формальный реестр рисков для такой команды? В большинстве же случаев эта активность, выполняемая по запросу сверху, превращается в нудный и затянутый процесс, в котором непросто увидеть пользу.  

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views 1.5K
Comments 25