Книги

Управление рисками

22
18
20
22
24
26
28
30

РОБИН ВОЛАНЕР, основательница журнал Parenting, отталкивалась от мысли: высокообразованные женщины в основном стали рожать детей гораздо позже, уже сделав карьеру. Собрав небольшой стартовый капитал для продвижения своей идеи журнала, она решила потратить его на поиск ответа на один вопрос, без которого не имело смысла изучать остальные риски: существует ли особая потребность в таком продукте и реальный спрос на него?

Воланер разослала рекламные карточки прямого отклика, в которых описывался журнал – ориентированный на обоих родителей, с редакционной политикой, соответствующей самым высокоинтеллектуальным запросам. Ранние исследования рынка, как правило, дают 3–4 % ответов. Ее карточки получили более 7 %. Таким образом, риск, критически важный для бизнес-проекта, был изначально снят с повестки дня, и оценка стоимости резко выросла: до опроса – менее $500 000, после опроса – более $5 млн.

____________________________________

Создание новых предприятий – всегда рискованное дело. Мы не утверждаем, что планомерный подход к выявлению и смягчению рисков позволит полностью их устранить. Но мы опровергаем утверждение, что именно риск приносит прибыль. Как десятилетиями наглядно показывает кейс Боба Райсса и как подтверждает наш опыт, великие предприниматели не берут на себя риски, а управляют ими. Быстро определить с помощью ключевых предположений, что правильно, а что нет, а затем оперативно внести коррективы – это зачастую и отделяет провал от успеха. Научившись этому, предприимчивые руководители изгибают кривую «риск – вознаграждение» так, как им нужно, и побеждают, несмотря на риски.

Впервые опубликовано в выпуске за май 2010 года.

Внутренняя угроза

Дэвид Аптон, Сейди Криз

ВСЕ ЗНАЮТ О КИБЕРАТАКЕ 2013 ГОДА на Target, когда злоумышленники похитили номера платежных карт около 40 млн и персональные данные около 70 млн покупателей. Это бросило тень на репутацию компании, вызвало падение ее прибыли и привело к увольнению генерального директора и директора по информационным технологиям. Менее известен другой факт: хотя воры и были для компании посторонними, они получили доступ к системам розничной сети, используя учетные данные одного из сотрудников. Им оказался продавец холодильного оборудования.

Случай с Target – лишь один из примеров явления, которое в последнее время набирает обороты. Нападения извне – постоянные хакерские атаки из Китая на интеллектуальную собственность, вирус Stuxnet, выходки восточноевропейских преступных группировок – привлекают всеобщее внимание. Однако гораздо бо́льшую угрозу представляют атаки с участием сотрудников самой компании или связанных с ней организаций. «Внутренние враги» способны причинить куда более серьезный вред, чем внешние хакеры, – у них значительно больше возможностей и легкий доступ к системам. Вызванный ими ущерб – это и приостановка деятельности, и нарушение прав интеллектуальной собственности, и урон репутации, и недоверие как инвесторов, так и клиентов, не говоря уже об утечке конфиденциальной информации третьим лицам, включая СМИ. По разным оценкам, ежегодно в США происходит не менее 80 млн инсайдерских атак, причем реальная цифра может быть существенно выше: о подобных инцидентах часто умалчивают. Очевидно, что на сегодня общий объем убытков от них составляет десятки миллиардов долларов в год.

Многие руководители признают, что у них до сих пор нет необходимых средств защиты для обнаружения или предотвращения инсайдерских атак. Одна из причин – организации по-прежнему не желают признавать масштаб угрозы.

На протяжении последних двух лет мы возглавляем международный исследовательский проект, который финансируется Центром по защите национальной инфраструктуры (CPNI), входящим в структуру британской Службы безопасности МI5, и ставит своей целью существенно повысить способность организаций обнаруживать и предотвращать угрозы, идущие изнутри. Наша команда состоит из 16 человек, в нее входят специалисты по компьютерной безопасности, преподаватели бизнес-школ по корпоративному управлению, преподаватели менеджмента, специалисты по визуализации информации, психологи и криминалисты из Оксфордского, Лестерского и Кардиффского университетов.

Междисциплинарный подход привел нас к выводам, которые позволяют оспорить общепринятые взгляды и методы (см. раздел «Общепринятые подходы, которые не работают»). Так, многие компании сегодня пытаются помешать сотрудникам использовать офисные компьютеры для доступа к интернет-ресурсам, не связанным напрямую с их рабочими задачами, – к Facebook, сайтам знакомств, порталам политических новостей. Мы же считаем, что вместо этого стоит предоставить сотрудникам свободу действий в интернете, но установить на компьютеры легкодоступные программы безопасности для отслеживания активности: это даст важную информацию о поведении и личных особенностях пользователей – и тем самым поможет распознать потенциальную опасность. В этой статье мы расскажем о результатах наших исследований относительно эффективных способов свести к минимуму вероятность инсайдерских атак.

Идея вкратце

Угроза

Кибератаки с участием инсайдеров – сотрудников, поставщиков или других компаний, которые на законных основаниях имеют доступ к компьютерным системам компании, – случаются все чаще и причиняют серьезный ущерб. На их долю приходится более 20 % всех кибератак. Широко используемые средства защиты против них неэффективны.

Ключ к решению проблемы

Чтобы снизить уязвимость к инсайдерским атакам, компаниям следует придерживаться того же подхода, что и для повышения эффективности работы и уровня безопасности: сделать эту задачу неотъемлемой частью работы каждого.

Необходимые действия

Необходимо внимательно отслеживать действия сотрудников и объяснять им, с какими угрозами они могут столкнуться и о каких подозрительных событиях они должны сообщать. От поставщиков и дистрибьюторов следует требовать минимизации рисков, при этом и тех и других нужно регулярно проверять. Руководители должны работать в тесном контакте со своими IT-отделами над обеспечением безопасности основных активов.

Недооцененный риск

Внутренние угрозы исходят от тех, кто использует санкционированный доступ к корпоративным ресурсам в несанкционированных злонамеренных целях или непреднамеренно создает в них уязвимые места. Такими людьми могут быть штатные сотрудники (от уборщиков до топ-менеджеров), подрядчики или сторонние организации – поставщики баз данных и других компьютерных услуг (Эдвард Сноуден, прославившийся кражей конфиденциальной информации Агентства национальной безопасности США, работал на одного из подрядчиков АНБ). Пользуясь предоставленным им доступом, они могут выводить из строя компьютерные системы, похищать или искажать данные, но при этом не попадают в зону внимания обычных средств по обеспечению безопасности, которые направлены на охрану внешнего периметра: они сосредоточены на точках входа, а не на том, что происходит внутри системы.

По данным компании Vormetric, лидирующей в области компьютерной безопасности, 54 % управленческого персонала в крупных и средних организациях разделяют мнение, что обнаруживать и предотвращать инсайдерские атаки сегодня сложнее, чем в 2011 году. При этом подобных атак становится все больше – как в количественном выражении, так и в процентах от всех кибератак, о которых сообщают организации: исследование, проведенное компанией KPMG, показало, что их число увеличилось с 4 % в 2007 году до 20 % в 2010 году. Результаты нашего анализа показывают, что этот процент продолжает расти. Кроме того, внешние атаки могут включать в себя помощь изнутри – как осознанную, так и непреднамеренную. Случай с Target – наглядный тому пример.