'

Кейс-стади: управление рисками в мире цифровых зависимостей

Понравилась презентация – покажи это...





Слайд 0

Кейс-стади: управление рисками в мире цифровых зависимостей Александра Савельева, ГУ-ВШЭ


Слайд 1

2 Краткое содержание кейса Сотрудник американского банка по запросу клиента отправляет его представителю отчёты по займу посредством электронной почты, но ошибается в адресе получателя. Кроме того, к письму он прикладывает файл с данными других клиентов, который ни под каким предлогом не должен был покидать пределы организации. Когда сотрудник обнаруживает свою ошибку, исправить ее уже поздно: имейл отправлен. На требование удалить письмо без прочтения и связаться с банком владелец злополучного имейла не отвечает. Представители почтовой службы встают на его защиту и отказываются выдать его личность без решения суда. Подача судебного иска приводит  к тому, чего опасался банк -  происходит огласка факта утечки данных о клиентах.


Слайд 2

3 Цель занятия Разобрать поведение компании и оценить правильность каждого из шагов Идентифицировать риски с использованием модели «условие-последствие» Предложить варианты того, как должна была действовать компания Разработать стратегию поведения, которые позволили бы вернуть компании репутацию и удержать существующих/не отпугнуть новых клиентов Обосновать меры с точки зрения формальных подходов к оптимизации планирования работы с рисками Проанализировать возможные пути развития ситуации, если бы она произошла в России (в т.ч. в свете требований ФЗ "О персональных данных")


Слайд 3

4 Основные определения Что такое управление рисками? “Систематизированный процесс идентификации и анализа рисков, а также определения стратегий реагирования” Что такое риск? “Риск – это некоторое событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие по меньшей мере на одну из целей организации.”


Слайд 4

5 Фокусирует внимание на областях, подверженных значительному риску Оценивает вероятность и воздействие для каждого риска Точность данных: выражение уровня понимания риска Качественный анализ рисков


Слайд 5

6 Основные риски Идеи? ?


Слайд 6

7 Модель «условие-последствие» Источник: Дмитрий Башакин, курс PM-021 «Управление рисками», © УЦ Luxoft, 2009


Слайд 7

8 3 кита информационной безопасности Конфиденциальность 1 Целостность 2 Доступность 3 2


Слайд 8

9 Гексада Паркера Конфиденциальность 1 Целостность 2 Доступность 3 Управляемость 4 Подлинность 3 Полезность 6 5 2


Слайд 9

10 Безопасность и финансовый хаос Человеческий фактор Злые инсайдеры Уволенные по сокращению сотрудники Потеря оборудования Кража ноутбуков Кража систем хранения Обеспечение ИБ! Задача CIO : как выбрать подходящую стратегию обеспечения информационной безопасности в условиях ограниченного бюджета и растущих рисков НСД к информационным активам?


Слайд 10

11 Как это бывает © Scott Adams


Слайд 11

12 Планирование работы с рисками Источник: Дмитрий Башакин, курс PM-021 «Управление рисками», © УЦ Luxoft, 2009


Слайд 12

13 Интерес к проблеме защиты персональных данных http://www.google.com/insights/search http://wordstat.yandex.ru/?cmd=words


Слайд 13

14 Количество поступивших обращений в Роскомнадзор (2008)


Слайд 14

15 Итоги занятия На конкретном примере оценили риски и угрозы, связанные с человеческим фактором в информационной безопасности Развили навыки применения моделей и методов управления рисками для решения проблем информационной безопасности, сопряженных с человеческим фактором Приобрели опыт профилактической и предупреждающей деятельности в области управления рисками


Слайд 15

16 Использованные источники Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных: http://pd.rsoc.ru/ Башакин Д. PM-021 Управление рисками, Luxoft, 2009 Holtzman D. PRIVACY LOST: How Technology Affects Privacy //Interop’2008 Moscow Руководство к своду знаний по управлению проектами, 4-е издание (PMBoK Guide 4th Ed.), 2008 Тимошенков А. Обзор законодательства РФ: типовые юридические и бизнес риски // Softline, 2009. Лирник Д. Организация и проведение работ по защите персональных данных // Softline, 2009. Савельева А. Курс «Организация и технологии защиты информации». ГУ-ВШЭ, 2009. Савельева А. Курс «Управление рисками». ГУ-ВШЭ, 2008.


Слайд 16

Управление рисками alexandra.savelieva@gmail.com Вопросы?


×

HTML:





Ссылка: