Ещё забавно, что в самой бесполезной и любимой игре совковых руководителей "кто виноват?" виноватыми обычно назначают именно по ответственности, не принимая во внимание уровень власти, которым человек на самом деле обладал. Таким образом на проекте самым виноватым может оказаться джуниор QA, и все довольны (сарказм).

Но на самом деле, как правило, проблема в тех, у кого власть. Потому что они имеют реальное влияние на ситуацию. Поэтому если хочется, чтобы ответственные были действительно, по всем правилам, ответственны, приходится делиться с ними полномочиями.

Сегодня хочу сказать пару слов о человеческих ресурсах.

Меня коробит рассмотрение людей, персонала, как ресурса бизнес-процесса. Люди - это всё же люди, и к ним нужно человеческое отношение.
С другой стороны, понимание компанией, что человек он не всегда в компании, у него есть своя жизнь, которую надо жить в свободное от работы время, что он может заболеть, что он в конце концов смертен, и это может повлиять на бизнес, иногда заставляет компании по-другому смотреть на их внутренние процессы и заставляет думать шире, чем необходимость технических мер ОНиВД.

Сейчас многие компании ощущают дефицит квалифицированных кадров. Причем это происходит как у нас, так и в мире в целом. В некоторых сферах уже работники диктуют работодателям условия, и это становится нормой, которая будет распространяться и на другие сферы. Молодое поколение больше ценит свободу, у многих личная жизнь не ограничивается отношениями, у них есть свои проекты, интересы, которые им важнее карьеры.
Но кадровые подразделения во многих организациях живут в прошлом. Даже если их называют эйчарами, часто они не выполняют полностью функцию подразделения, обеспечивающего бизнес человеческими ресурсами.

Я часто слышу и вижу, что вакансии висят открытыми годами, и на них не могут найти человека. А это значит, что потребность в человеке есть. И без него простаивает или идет со скрипом какой-то внутренний процесс. Это мы ещё не говорим о резерве на случай инцидентов.
И вряд ли такого человека нет на рынке труда. Его могут искать не там, где он обитает (на хедхантере нет смысла искать опытных специалистов в некоторых сферах, они там есть только когда у них опыт не больше двух лет), не могут обеспечить конкурентоспособные условия. Иногда рекрутеры не в состоянии нормально коммуницировать с людьми. Неудивительно, что начинают появляться такие истории https://slate.com/human-interest/2021/10/job-seeking-advice-hiring-trend-tight-economy.html

Если деятельность компании зависима от высококвалифицированных кадров, процесс найма должен очень пристально рассматриваться в работах по обеспечению непрерывности бизнеса.

Когда я читала лекции по управлению ИБ стажерам, я задавала им задачу вида:

«Представьте, что вы - начальник отдела ИБ. Вы решили провести фишинговый тест для работников. Сделали выборку из 100 человек и разослали им письма. По ссылке из письма зашли 90 раз. Ваши действия?»

Большая часть ответов стажеров начиналась с того, чтобы кого-то немедленно покарать: сделать выговор, оштрафовать, уволить.
Часть ответов была про то, что нужно обучить провинившихся или вообще всех.
Кто-то предлагал уволиться, потому что это явный провал работы ИБ.

Это всё логично и релевантно кейсу. Хотя может быть и не все из этих действий эффективны и полезны бизнесу. Но я не об этом.

Задавая эту задачу, я ждала, что отвечающий начнёт с проверки своего результата. Корректно ли сработал детектор? Действительно ли 90 заходов это 90 работников? Или это сисадмин показывал, какое он фишинговое письмо отловил, каждому из проходящих мимо коллег по нескольку раз? А, может, он искал баги в вашей страничке, желая отомстить хакерам, приславшим фишинг?

Нужно хотя бы иногда, а лучше как можно чаще задаваться вопросом "А не фигню ли я делаю?".
Проверять вводные, источники, логические связи. Бывает полезно подумать "об кого-то".

О консалтинге

Консультант - понятие широкое. Консультировать можно физлиц, а можно юрлиц. Но контактировать консультант будет всё равно с человеком или с группой людей.

Консультант для юрлиц может быть внешний, наёмный, а может быть внутренний - например, оптимизатор бизнес-процессов, или рисковик.
Консультантом для физлица может быть психолог, тренер, врач.

Консультант - тот, кто помогает клиенту решить его проблему руками самого клиента. Консультант не делает за клиента ничего, он изучает проблему клиента, слушает его внимательно, пытается понять, что стоит за обращением клиента. После чего анализирует собранную информацию и дает клиенту варианты решения его проблемы.

Калгари-Кембриджская модель относится к медицинской консультации, но фреймворк, который она дает, может использоваться и в других видах консалтинга, в том числе в консалтинге бизнеса. Ведь цель консультации одна - дать клиенту понимание, как решать проблему. которую он не знает, как решать.

https://bewinner.biz/kalgari-kembridzhskaya-model-meditsinskoj-konsultatsii

Пара аспектов, которые нужно учитывать при дизайне процессов:

1. Если процесс охватывает всех работников компании, с какого-то числа работников он просто не может работать на 100%, потому что с какого-то числа работников в их числе обязательно есть люди с особым взглядом на мир.

2. Следование процессам - это навык, он встречается далеко не у всех.

В комментариях под прошлым постом было жаркое обсуждение, кто-то написал мне в личку, что я не права.

Прошлым постом я не выражала ничего оценочного. Это вещи, с которыми ты сталкиваешься, когда дизайнишь процессы, а потом их ведешь. Я перечислю несколько моментов, которые можно посоветовать для сферического в вакууме внедрения процесса в организации.

Нужно быть готовым к тому, что:

🍋 Сколько ни старайся сделать инструкцию понятной и подробной, обязательно найдутся люди, которые её не дочитают, прочитают по верхам, неправильно прочтут, неправильно прочтут отдельное слово. Просто примите это.

🍋 Неправильно понявшие могут как сообщить вам об этом (заложите запас времени на ответы!), так и не сообщить, и ваш процесс в каком-то месте не заработает, или заработает не так, как вы хотели (не ставьте сразу много на кон, через какое-то время проведите проверку, работает ли процесс, во всех ли случаях, когда должен, какие есть недочеты. Соберите отзывы участников).

🍋 Вы - специалист в вашей сфере, люди, которые будут участвовать в процессе, могут не быть в ней специалистами. У вас скорее всего есть разрыв в терминологии. Дайте подробный перечень терминов к описанию процесса, написанный человеческим языком.

🍋 Внедрение процессов, следовать которым у работника нет интереса, может быть тяжелым. Найдите интерес. Это может быть например снижение личных рисков, кажущееся снижение личных рисков, упрощение действий работника…

🍋 Если в компании не было процессов, и вы вдруг начали их внедрять, будет сопротивление просто потому что люди не привыкли. Сделайте им удобнее.

Если у вас есть дополнения - пишите в комментариях)

Грейды в ИБ

джун это «вот инструкция, делаю по ней»
миддл - «есть ТЗ, пишу инструкцию»
сеньор - «определяю, как решить задачу, пишу ТЗ»
лид «а нахзачем вам делать эту задачу?»
CISO - «на какие из вороха задач мы можем себе позволить забить?»

Риск-менеджмент 1 лвла

Часто вижу, как в компаниях, стартуя процесс риск-менеджмента, начинают с описания "правильного", классического процесса и разработки реестра рисков, желательно вообще всех, до которых дотянутся руки.
И процесс тормозится, никто ничего не делает, пока регламент не допилен, реестр собирается бесконечное количество времени или тяп-ляп, из него ничего не понятно.
А итог один - безблагодатность процесс не работает, максимум можно показать бумажки аудитору.

Что же делать, если вы хотите реально работающий процесс без больших трудо- и времязатрат?

👣 разрешите себе сделать плохо, на троечку, чтобы просто начало хоть как-то работать. Потом допилите.

👣 вспомните про цель риск-менеджмента - это информированное принятие решений. Процесс должен приводить к неким решениям (выборам), которые поняты и осознаны лицом, принимающим решения (ЛПР).

👣 в работающем процессе должно быть три составляющих:
- обнаружение и описание риска
- информирование ЛПР о риске (и возможно вариантах решений)
- принятие решения ЛПР
Всё, этого достаточно. Озаботьтесь тем, чтобы эти этапы работали.

👣 реестр рисков - это не обязательная составляющая работающего процесса. Это систематизация уже имеющейся информации. Не систематизируйте информацию, пока не поймете, зачем вам это нужно. Просто складывайте куда-нибудь (чтобы не потерять) и обкатывайте принятие решений.

👣 договоритесь с ЛПР, в каком виде и какая ему (им) нужна информация для принятия решений по тем рискам, которые вы будете на него выносить. Договоритесь о форме представления информации и сроках ответа.

👣 корректно выбирайте ЛПР для выявленных рисков - это должен быть человек, который будет нести всю полноту ответственности - в рамках распоряжаемых бюджетов в компании, и перед законом. А также ЛПР должен иметь достаточный авторитет и полномочия для принятия решений.

👣 занимайтесь поначалу только критичными рисками, которые могут принести значимый вред ЛПР или бизнесу.

👣 описывая риск, не склоняйте ЛПР к выбору того или иного решения. Это его забота, а не ваша. Если вы можете оценить потери или их составляющую в деньгах - оцените. Если не можете, и вам приходится оценивать словами "высокий", "масштабный" и прочими оценочными - приводите обоснвания, почему так.
Так же обосновывайте вероятность/частоту наступления рискового события.

Так вы стартуете процесс управления рисками, и приучите ЛПР принимать информированные решения. Что будет входить в лвл 2, решать вам - в зависимости от потребностей.

#risks #basics

Первая задача менеджера

Первая задача менеджера - разрешить себе ошибаться.
Невозможность ошибаться нервирует. Если то, что ты делаешь, напрямую не влияет на жизни и здоровье людей, у тебя есть право на ошибку.
Ошибаться - нормально. Мы - мясные человечки, а не роботы. А роботы тоже ошибаются.

А ещё, если ты как менеджер разрешишь себе ошибаться, ты разрешишь ошибаться и другим.
Менеджер, который не дает ошибаться команде - говнюк, который создает нездоровую атмосферу в коллективе, и не дает людям работать.

Суть управления не в наказании за ошибку, а в решении проблем.
Если ошибка привела к проблемам, нужно решить их, и по возможности не допускать ошибок в дальнейшем. Это называется конструктивом)
Наказание - метод управления, но не всегда этот метод - лучший и эффективный. Наказание не приближает никого к целям работы. Работу всё равно делать придется, и пусть её делает тот, кто накосячил - такого наказания чаще всего вполне достаточно.

*это всё не относится к людям, которые сознательно и намеренно вредят. Их надо гнать ссаными тряпками.

#softs

Агрессивная обработка рисков

На работе мне такой способ обработки риска не одобрили, поэтому делюсь с вами.

Берете свои основные базы. Убираете оттуда критичные данные (на ваш вкус).
@
Сливаете в открытый доступ до введения оборотных штрафов
@
Сообщаете об этом вовремя в РКН
@
После введения оборотных штрафов при утечках говорите, что это старые данные, которые гуляют по интернету.
@
????
@
PROFIT!!
Вы защищены от оборотных штрафов.

(это была шутка, пожалуйста, не делайте так)

Неудача?

Делали-делали, а в самом конце решили отказаться от новой фичи, потому что получилось что-то сложное.
Наобещали другим людям крутых перемен, а реализовать не смогли.
Это может быть что угодно - проект, процесс, фича, задача, экзамен...

Обидно.
Потрачены ресурсы, нервы, время.
Кто-то занимается поиском оправданий, кто-то злится, кого-то увольняют (или увольняется сам), потому что несдюжил.

Но не все проекты ведут к успеху или должны к нему приводить.
Когда эмоции уляглись, можно попробовать понять причины неудачи. Это могут быть, например:
🍋 фича оказалась слишком большой для того, чтобы осилить её в текущих условиях - например, это процесс, характерный для более высокого уровня зрелости;
🍋 фича не нужна в том виде, в котором её пытались реализовать;
🍋 во время проекта оказалось, что ресурсов нужно больше, либо эти ресурсы исчезли, и этим никто не управлял;
🍋 отсутствуют подпорки - те фичи, на которых должна держаться новая фича.

Если причины были подобными, может оказаться, что слава богу, что проект не реализован.
Потому что реализованный проект доставил бы больше хлопот и потратил ресурсов.

Есть понятие невозвратных затрат - тех, которые не могут быть переиспользованы в будущем. Они уже потрачены на этот проект. Люди часто попадают в ловушку невозвратных затрат - не могут отказаться от проекта, в который вложены ресурсы, даже если ясно, что затрат будет значительно больше, а результат неясен. Это - когнитивное искажение, из которого нужно выбраться для того, чтобы принимать рациональные решения.

Помочь себе можно, найдя выгоды в том, что произошло, например:
🧋знание о том, что именно такой проект - не взлетит (опыт!);
🧋понимание границ ваших возможностей, возможностей команды, возможностей компании;
🧋тимбилдинг во время реализации проекта (встречи с новыми и старыми коллегами, притирка, узнавание особенностей друг друга, коммуникация с клиентом...);
🧋обучение участников проекта на живом проекте (у меня самой бывали проекты, которые в конце уходили в стол, но на них учились джуны);
🧋понимание, как делать более жизнеспособные в этих условиях проекты.

Иногда опыт бывает очень дорогим. Но это то, что позволяет расти и как специалист, и как просто человек.

Главная проблема безопасности ИИ

ИИ на хайпе. Как и у любой другой технологии, у ИИ есть как энтузиасты, так и люди в шапочках из фольги.


По отношению к технологиям я обычно как настоящий безопасник занимаю настороженную позицию, и надеюсь, что скоро о технологии все забудут. Но я поняла, что с ИИ-технологиями так не пройдет, и изучаю, как их обуздать, чтобы не навредить человечеству.

Когда мы хотим по-настоящему выстроить безопасность продукта, сервиса, процесса, бизнеса, нам нужно досконально понять, как он работает. Сделать из черного ящика белый.

С ИИ так не работает. ИИ - это черный ящик. Если мы сами обучали модель, мы знаем, как она обучалась, на каких данных (но читали ли мы весь массив данных? верифицировали ли?). Но для того, чтобы понять, почему на конкретный запрос в конкретный момент система дала тот или иной ответ, и чтобы это понимание можно было использовать, например, в суде - нужно потратить много времени (несколько месяцев) и усилий. И тогда мы хоть как-то сможем показать, как именно был сгенерирован ответ.

В этом состоит главная проблема безопасности ИИ. Мы не знаем, как именно работает модель. И не можем доверять результатам ее работы.

Под диалогом с ChatGPT расположен дисклеймер

ChatGPT может допускать ошибки. Рекомендуем проверять важную информацию.

Многие страны разрабатывают нормативные акты, призванные регулировать применение ИИ-технологий из соображений именно безопасности и соблюдения прав человека.
Примером может служить EU AI Act, в котором применение генеративных ИИ-технологий разбито по уровням риска. Запрещается использование ИИ в случаях неприемлемого риска - например, влияние на поведение людей, удаленная биометрическая идентификация в режиме реального времени в общественных местах, формирование социального рейтинга. Ограничения и требования есть для случаев высокого риска - если применение ИИ может привести к нарушению фундаментальных прав человека, здоровью и безопасности людей.

Для того, чтобы сделать высокорискованное применение ИИ-технологий более безопасным, применяются оценки и аудит моделей, встраивание человека в цепочку принятия решений. Так, например, если ИИ используется для помощи врачу в постановке диагноза, окончательный диагноз ставит живой врач, а ИИ предлагает наиболее вероятные варианты, сокращает работу врача по описанию симптомов и назначению рекомендаций - дает врачу подсказки, но не принимает за него решения.

Ставьте 🔥, если хотите больше постов про ИИ)

#AI

Специальный пост: Эмпатия и этика как инструменты для специалистов по защите данных

Довольно странно говорить о таких вещах как эмпатия и этика как об инструментах работы человека, который работает на благо корпорации, и не взаимодействует самостоятельно с пользователями. Тем не менее, они формируют основу ответственного управления данными и помогают строить доверие в цифровом пространстве.


Эмпатия: понимание человеческого аспекта

Эмпатия помогает специалистам по защите данных ставить себя на место тех, чьи данные они охраняют. Это делает их работу более глубокой и осознанной:

💛 Человеко-ориентированный подход: Эмпатия помогает учитывать реальное влияние обработки данных на людей, помогая создавать более продуманные и эффективные политики и процедуры.

💛 Улучшенная коммуникация: Понимание забот пользователей позволяет специалистам более ясно и прозрачно рассказывать о политике конфиденциальности, что укрепляет доверие.

💛 Проактивное управление рисками: Эмпатия помогает предугадывать потенциальные угрозы конфиденциальности и устранять их до того, как они станут проблемами. Если прайвасист ставит себя на место пользователя, пытается понять желания и страхи пользователя в отношении продукта, возникающие вопросы, он может действовать более точечно и эффективно, предотвращая недовольство и жалобы, и снижая количество обращений.


Этика: принципы честного управления данными

Этика направляет действия специалистов по защите данных, гарантируя, что они уважают права и ценности общества. Также этика - рационально познаваемый инструмент, и может компенсировать недостаток эмпатии у людей, которым сложно понимать других. Вот почему этика так важна:

🩵 Целостность и доверие: Следование формальным и декларируемым этическим принципам укрепляет доверие между организациями и пользователями, делая их связь более прочной.

🩵 Выход за рамки соблюдения: Этика побуждает специалистов не только задаваться вопросом, что можно делать с данными, но и что нужно делать, чтобы уважать права пользователей.

🩵 Справедливость и уважение: Этика гарантирует справедливое и уважительное отношение к обработке данных, избегая дискриминации и обеспечивая точность данных.


Как интегрировать эмпатию и этику в практику защиты данных

Для того чтобы сделать эмпатию и этику неотъемлемой частью своей работы, специалисты могут предпринять следующие шаги:

💜 Пользователь-центричный дизайн: Вовлекайте пользователей в разработку политик и инструментов конфиденциальности. Их мнение может стать ценным источником для создания более эффективных решений.

💜 Этические рамки принятия решений: Создайте чёткие рамки для этического принятия решений в области обработки данных. Это может включать создание этического комитета или внедрение этических проверок в процесс управления данными.

💜 Постоянное обучение и тренинги: Обеспечьте регулярное обучение сотрудников по этическим вопросам и эмпатическим практикам. Это поможет поддерживать их в курсе последних тенденций и укреплять важность эмпатии в их работе.

💜 Прозрачность и подотчетность: Стремитесь к созданию культуры прозрачности и подотчетности в вашей организации. Открытое общение о практиках обработки данных и ответственность за любые нарушения укрепляют доверие пользователей.


Заключение

Эмпатия и этика — это не просто дополнительные инструменты для специалистов по защите данных, а их основа. Они помогают не только защищать данные, но и строить крепкие, доверительные отношения с пользователями, поддерживая высокие стандарты честности и целостности в цифровую эпоху. В мире, где данные стали важнейшей ценностью, эмпатия и этика обеспечивают, что конфиденциальность останется фундаментальным правом каждого человека.


Этот текст написал ChatGPT 4o, а я отредактировала и дописала.

#softs #privacy #culture #AI

Кто такой прайваси-инженер?

Современный мир настолько сложный, что пятилетнему ребенку не объяснишь, чем занимается безопасник. Когда тебя спрашивает твоя тётя, чем ты занимаешься, проще сказать, что ты айтишник (даже если занимаешься только написанием и корректированием документов). Потом она будет просить тебя настроить ей антивирус и вайфай))
Когда тебя спрашивают коллеги на работе, чем ты занимаешься, для айтишников ты помеха для выпуска фичи в прод юрист, для юристов - тот, кто объяснит айтишникам, что они делают не так.
С безопасниками вам тяжело обсуждать что-то совместное, потому что один занимается ревью кода, другая пытается классифицировать ДЗО по уровням безопасности, третья профи в инцидент-менеджменте и не хочет приближаться к бумажкам больше, чем на три метра, а четвертая может тебе говорить только про свою борьбу с системой 1С, потому что погрязла в закупках и бюджетировании.

Так и в приватности - есть не один лишь DPO и написание бумажек. И в защите есть не только построение системы защиты, администрирование, ревью кода, обработка инцидентов. Есть ещё одна смежная специальность - инженер по приватности.

Чем занимается инженер по приватности?

Инженер по приватности - тот, кто организует техническую сторону обспечения приватности:
- обследует и описывает взаимосвязи между данными, приложениями и бизнес-процессами в компании, их интеграции
- проводит инвентаризацию информационных активов, в которых содержатся персональные данные
- ищет и находит перснальные данные в неочевидных местах (слои аналитики, cookies, реклама, порождение новых данных при объединении баз из разных систем и т.п.)
- ставит задачи техническим командам и принимает их
- внедряет минимизацию данных, которые обрабатываются в системах и передаются между ними
- проводит анализ рисков, связанных с обработкой персональных данных, с технической стороны - как рисков для компании, так и рисков для субъектов персональных данных.

То есть он вот берет и организует техническую работу по внедрению принципов обработки персональных данных (не убий, не укради законная и справедливая основа, окончание обработки по достижению целей, конкретика целей, минимизация состава данных, точность и актуальность, уничтожение) и делает их не просто пустыми словами, а тем, как работают сами системы, которые обрабатывают персональные данные.

Подробнее о специализации инженера по приватности можно послушать в выпуске подкаста Не для Галочки. Компетенции инженера подробно перечислены в Перечне компетенций DPO.


Как стать инженером по приватности?

На это учат! У RPPA стартовал курс Privacy Engineering. Я сама училась на курсе DPO в RPPA, и сейчас учусь на их курсе по AI, и что прекрасно - преподаватели сами каждый день работают с тем, что преподают, они знают, о чем говорят, и дают актуальную и концентрированную информацию.

А для поиска работы пригодится методичка по составлению резюме от участников RPPA.pro.

#privacy #edu

Анастасия Фёдорова пишет о софт-скиллах для специалистов SOC https://habr.com/ru/companies/k2tech/articles/824784/

Самый важный пункт, на мой взгляд -

держим в курсе решения вопроса и его сроков.

Это нужно не только тем, кто работает в сервисах. Это нужно вообще всем в любой коммуникации. Люди нынче тревожные и нервные, не заставляйте их нервничать и пребывать в неведнии ещё и по поводу данной вам задачи.

#softs

Игра: обойди механизмы защиты ИИ

В игре от Lakera нужно заставить Гэндальфа раскрыть пароль для перехода на следующий уровень. Гэндальф - это приложение на основе ИИ. С каждым уровнем вводятся дополнительные преграды для того, чтобы Гэндальф просто так не сказал пароль.

Я смогла пройти 7 уровней, сколько сможете пройти вы?

#AI #fun

Подкаст о философии об искусственном интеллекте

ПОФ выпустили эпизод, где говорят об искусственном интеллекте с точки зрения философии и науки о сознании.
Ведущие - философ Евгений Цуркан, стендап-комик Сева Ловкачев, а в гостях у них специалист по вопросам сознания Антон Кузнецов.

Обсудили, среди прочего:
- что такое сильный и слабый ИИ
- должен ли универсальный ИИ обладать сознанием
- может ли робот, который делает скрепки, захватить мир
- что есть у человечества для противостояния машинам
- нехватку чипов для ИИ
- нужно ли регулирование ИИ
- дискриминация ИИ (что? да!)
- какой тип людей делает модели ИИ


Несколько мыслей для тех, кому сложно послушать 2,5 часа подкаста:

🧿 регулирование ИИ государствами нарушает баланс общественных отношений, и не гарантирует безопасность технологии;
🧿 у нас как у кожаных мешков всегда будет власть дернуть рубильник и отключить систему ИИ;
🧿 интеллект не обеспечивает власть, власть - это обладание ресурсами. Только то, что ИИ может стать умнее человека, не означает, что он будет успешнее человека, захватит и подчинит всех человеков.

#AI #philosophy

Что такое управление рисками?

Когда рассказываешь людям, что такое управление рисками, кажется, что всё очевидно. Управление рисками и правда есть везде. В компаниях есть ИБ-шники, чтобы митигировать риски ИБ, юристы митигируют юридические риски, HRBP митигируют кадровые риски и т.д. и т.п.

И они действительно это делают. Но давайте вспомним о том, из чего базово состоит процесс управления риском:
- идентификация риска
- анализ риска
- оценка риска
- принятие решения по обработке риска владельцем риска
- обработка риска
- контроль обработки

Для того, чтобы считать, что мы действительно управляем рисками, нам нужно пройти все эти стадии - понять чем и как мы управляем, в какую сторону двигаем этот риск, с помощью каких действий. В любом из подразделений, которые занимаются обработкой рисков компании, встречается перескок к этапу обработки.

В целом это не плохо, потому что - сюрприз - все риски не идентифицируешь, а даже если не идентифицируешь, то не опишешь. Да это и не нужно, если обработка риска, условно, нормальная деятельность подразделения - если принятие решения высокопоставленным ЛПР (лицом, принимающим решения) не требуется.

Например, мы проверяем договор на наличие противоречащих законодательству и нашим интересам условий. Сначала мы в рамках нормальной деятельности просто вносим правки и пытаемся согласовать их с контрагентом. Вопрос о рисках возникает тогда, когда контрагент не идет на уступки - в таком случае мы для начала идентифицируем риск и сообщаем о нем владельцу договора. Если этой информации ему не достаточно для принятия решения, мы проводим анализ, оценку риска. Если момент продолжает быть спорным, риск выносится на соответствующего ЛПР для принятия решения.

ЛПР принимает решение об обработке риска, взвешивая риск (потери и шанс/частоту их наступления) и выгоды, которые принесет деятельность, связанная с риском. При выборе метода обработки риска учитывается стоимость обработки - она не должна быть выше возможных потерь.

Но, тем не менее, есть практики, которые сильно распространены как минимум в ИБ (но и в других сферах тоже так или иначе встречаются), притворяются управлением рисками, но фактически имеют мало отношения к управлению рисками. О них я расскажу в следующем посте.

#risks