My-library.info
Все категории

Управление рисками - Harvard Business Review (HBR)

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Управление рисками - Harvard Business Review (HBR). Жанр: Менеджмент и кадры / Маркетинг, PR, реклама год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Управление рисками
Дата добавления:
11 сентябрь 2023
Количество просмотров:
28
Читать онлайн
Управление рисками - Harvard Business Review (HBR)

Управление рисками - Harvard Business Review (HBR) краткое содержание

Управление рисками - Harvard Business Review (HBR) - описание и краткое содержание, автор Harvard Business Review (HBR), читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

Harvard Business Review – ведущий деловой журнал с многолетней историей. В этот сборник вошли лучшие статьи авторов HBR на тему риск-менеджмента.
Инсайдерские атаки, саботаж, нарушение цепочек поставок, техногенные катастрофы и политические кризисы влияют на устойчивость организаций. Пытаясь их предотвратить, большинство руководителей вводят все новые и новые правила и принуждают сотрудников их выполнять. Однако переоценка некоторых рисков и невозможность предусмотреть скрытые угрозы приводят к тому, что компании нерационально расходуют ресурсы, а это может нанести серьезный, а то и непоправимый ущерб бизнесу. Прочитав этот сборник, вы узнаете о категориях рисков и внедрении процессов по управлению ими, научитесь использовать неопределенность для прорывных инноваций и сможете избежать распространенных ошибок прогнозирования, чтобы получить конкурентное преимущество.
Статьи Нассима Талеба, Кондолизы Райс, Роберта Каплана и других авторов HBR помогут вам выстроить эффективную стратегию управления рисками и подготовиться к будущим вызовам.
Способность компании противостоять штормам во многом зависит от того, насколько серьезно лидеры воспринимают свою функцию управления рисками в то время, когда светит солнце и горизонт чист.
Иногда попытки уклониться от риска в действительности его увеличивают, а готовность принять на себя больше риска позволяет более эффективно им управлять.
Все организации стремятся учиться на ошибках. Немногие ищут возможность почерпнуть что-то из событий, которые могли бы закончиться плохо, но все обошлось благодаря удачному стечению обстоятельств. Руководители должны понимать и учитывать: если люди спаслись, будучи на волосок от гибели, они склонны приписывать это устойчивости системы, хотя столь же вероятно, что сама эта ситуация сложилась из-за уязвимости системы.
Для кого
Для руководителей, глав компаний, генеральных директоров и собственников бизнеса.

Управление рисками читать онлайн бесплатно

Управление рисками - читать книгу онлайн бесплатно, автор Harvard Business Review (HBR)
а чего нельзя: это будет своего рода преграда против неосторожности, небрежности или ошибок сотрудников, подвергающих компанию риску. Правила должны быть краткими и доступными для всех (а не только для специалистов по безопасности и компьютерным технологиям), чтобы их можно было понять, принять и соблюдать. Они должны относиться ко всем уровням организации, в том числе и к высшему руководству.

Сотрудникам следует предоставить инструменты, которые помогут им придерживаться этих правил. Например, можно разработать систему предупреждений, которые будут появляться на экране при попытке зайти туда, где хранятся конфиденциальные материалы. При этом система может запрашивать подтверждение права доступа пользователя к этим данным, а также отслеживать тех, у кого таких полномочий нет.

Нарушение этих правил должно сопровождаться наказанием. Разумеется, если сотрудник совершает серьезное правонарушение (скажем, торгует личными данными клиентов или сознательно внедряет вирусы в компьютерные системы компании), он должен быть уволен и привлечен к ответственности. При первом, менее серьезном нарушении – например, при передаче коллегам паролей для доступа к корпоративным системам, – можно ограничиться предупреждением с занесением в личное дело сотрудника.

Кроме того, необходимо донести до сотрудников, как можно безопасно выполнять повседневные задачи. В дополнение к этому своду правил следует регулярно проводить информационные собрания и внутренние разъяснительные мероприятия – например, размещать на рабочих местах постеры. В некоторых компаниях демонстрируют видеоролики – как нарушение установленных правил может способствовать кибератакам и как их можно предотвратить с помощью простых методов обеспечения безопасности.

Общепринятые подходы, которые не работают

НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ меры кибербезопасности гораздо эффективнее работают против внешних угроз, чем против инсайдеров.

Контроль доступа

Правила, которые запрещают использовать корпоративные устройства в личных целях, не удержат сотрудников от кражи активов.

Управление уязвимостями

Своевременные обновления системы безопасности и проверки на вирусы не позволят ни предотвратить, ни даже «засечь» доступ злоумышленников из числа авторизованных сотрудников или третьих лиц, использующих украденные учетные данные.

Надежная защита границ

Хранение наиболее важных активов внутри защищенного периметра не предотвратит кражу, если у вора есть доступ к защищенным системам.

Установка паролей

Использование сложных или часто меняющихся паролей приводит к тому, что их часто записывают на стикерах, которые легко могут увидеть те, у кого есть физический доступ в помещение.

Информационно-разъяснительные программы

От простого требования – ежегодно перечитывать правила информационной безопасности компании – в сотрудниках волшебным образом не зародятся навыки информационной безопасности. Кроме того, это никак не помешает им предпринимать сознательные вредоносные действия.

Повысить бдительность

Откровенно говорите о возможных угрозах, чтобы сотрудники могли их распознать и оставаться настороже – кто бы ни попытался заручиться их помощью для нападения на компанию. Выстраивайте обучение с учетом того, с какими типами атак могут столкнуться работники при выполнении той или иной операции. К самым распространенным способам проникновения в компьютерную систему организации относится фишинг: посредством фальшивых электронных писем мошенники обманом вынуждают сотрудников делиться личными данными, кодами доступа или переходить по ссылке, которая загружает вредоносные программы (многие не понимают, что поле «От» в электронном письме легко подделать). Проверить уязвимость ваших сотрудников к подобным угрозам можно как самостоятельно, так и с помощью привлечения внешней службы безопасности.

Что вы можете предпринять?

ВОТ СПИСОК НАИБОЛЕЕ ВАЖНЫХ мероприятий, которые должны обсудить с IT-отделами руководители, непосредственно не занимающиеся технологиями:

● мониторинг всего исходящего трафика как через интернет, так и через мобильное оборудование, и оперативное информирование о любых нестандартных или нарушающих установленные правила действиях;

● отслеживание передового опыта в области кибербезопасности для разработки стратегии и правил, действующих в компании;

● последовательное внедрение процедур и протоколов защиты сети с учетом текущих приоритетов бизнеса;

● систематическое обновление учетных записей сотрудников, гарантирующее, что никто из них не имеет более широкого доступа к конфиденциальным компьютерным системам, чем необходимо;

● регулярная оценка угроз и информирование о них руководителей компании.

Однако иногда бывает непросто защитить сотрудников компании от упорного чужака. В апреле 2013 года французская многонациональная компания стала мишенью продуманной атаки. Одна из помощниц вице-президента по административным вопросам получила по электронной почте письмо со ссылкой на счет в облачном файлообменном сервисе. Она не собиралась открывать этот файл, но через несколько минут раздался звонок. Собеседник убедительно заявил, что он другой вице-президент компании, и распорядился, чтобы сотрудница скачала и обработала присланный счет. Она подчинилась. Документ содержал троянскую программу, которая позволила преступному предприятию – судя по всему, украинскому – удаленно взять под контроль ее компьютер, фиксировать нажатия клавиш и воровать интеллектуальную собственность компании.

Поощряйте сотрудников сообщать о нестандартных или запрещенных технологиях (например, использование внешнего жесткого диска в офисе с сетевым доступом к данным и программному обеспечению) и подозрительном поведении (поставщики или сотрудники без допуска, которые запрашивают файлы с конфиденциальными данными) – точно так же, как они сообщали бы о наличии бесхозного багажа в зале вылета аэропорта.

Быть внимательней при приеме на работу новых сотрудников

Сейчас как никогда важно задействовать технологии отбора и методы проведения собеседований, разработанные для оценки честности соискателей. Взять, к примеру, проверку наличия судимостей, выявление ложных сведений в резюме, а также вопросы на собеседовании, непосредственно раскрывающие моральные ориентиры кандидата. Наша команда разрабатывает тесты, которые позволят работодателям выяснять, обладают ли предполагаемые работники опасными чертами личности, схожими с теми, о которых говорится в исследовании CPNI.

Во время собеседования следует также оценить степень осведомленности соискателя в вопросах кибербезопасности. Знает ли он, что такое инсайдерская угроза? В каких случаях он способен передать пароли коллегам? При каких обстоятельствах он может позволить коллеге воспользоваться своим компьютером? Если соискатель силен во всех остальных отношениях, вы можете нанять его, но проследите, чтобы он сразу же прошел обучение правилам безопасности вашей организации и связанным с ними процедурам. Но если этому кандидату предстоит работать в уязвимой среде, хорошенько подумайте, стоит ли брать его на работу.

Внедрить жесткие требования к субподрядным процессам

Как показывает инцидент с Target, важно следить, чтобы поставщики или дистрибьюторы не подвергали вас риску: например, следует свести к минимуму вероятность, что внешние IT-провайдеры найдут «черный ход» к вашим системам. Если риск подвергнуться кибератаке у поставщика значительно ниже, чем у вас, он может и не применять мер контроля, которые требуются вам. Ищите партнеров и поставщиков с тем же отношением к риску и той же культурой, что и в вашей организации, – в этом случае вам будет гораздо легче выработать общий подход к кибербезопасности.

В ходе предварительных обсуждений условий договоров поинтересуйтесь у потенциальных подрядчиков, как они решают вопросы, связанные с инсайдерским риском. Если вы привлекаете их к


Harvard Business Review (HBR) читать все книги автора по порядку

Harvard Business Review (HBR) - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Управление рисками отзывы

Отзывы читателей о книге Управление рисками, автор: Harvard Business Review (HBR). Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.