Тема 2. Цифрова безпека бізнесу та кібер ризики підприємств в умовах цифрової економіки

Існує багато підходів до роботи з кіберзагрозами. Найбільш поширеними сьогодні є: 

 - Avoid (піти від ризику) – це оптимізація бізнес-процесів таким чином, щоб не використовувати дані, втрата яких стане критичною для компанії. Наприклад, збір та збереження персональних даних клієнтів. Якщо компанія може надавати товар, послугу тощо, без отримання таких даних - краще це зробити та убезпечити себе від вірогідності їх викрадення.
 - Except (якщо кібер-ризик має невеликий вплив на бізнес). В такому випадку ви розуміючи це, приймаєте таку вірогідність та продовжує працювати без зміни бізнес-підходів. Оскільки, виключення такого ризику може бути дорожчим, ніж його прийняття.
 - Mitigation (пом'якшення кібер-ризиків та їх впливу на компанію). Проведення аудиту та визначення, наскільки є вразливою ваша IT-архітектура перед хакерами. Після проведення такого тестування, варто оцінити, чи вистачить отриманої інформації та даних для зниження кібер-ризиків. Якщо цього не достатньо, компанії варто застрахуватися. На випадок, якщо компанія зазнає збитків, кошти від страховки допоможуть покрити, наприклад, штрафи та витрати на відновлення певних процесів в компанії.
 - Transfer (передача відповідальності за кібер-ризик). Передача команді або компанії (аутсорсинг) відповідальність за питання кібербезпеки вашого бізнесу.

Крім зазначених вище механізмів, компанія може впровадити розробку додаткових елементів захисту інженерами безпеки. Вони вже на етапі розробки аналізуватимуть моделі загроз, екстрені випадки тощо, та виставлятимуть вимоги, які будуть використовувати розробники. Після цього платформу захисту можна також перевірити, виставивши її на публічний хакінг, для тестування на вразливість незалежними експертами. Для того щоб максимально захистити компанію від кіберзагроз, варто на постійній основі займатись інформаційною безпекою. Для цього можна найняти відповідного співробітника, створити власні відділи/департаменти з кібербезпеки або ж віддати цей напрямок спеціалізованій компанії, яка проведе аудит інформаційної безпеки компанії та на основі отриманих даних збудує стратегію кіберзахисту відповідну даному бізнесу. 

Моніторинг і контроль ризиків – це процес ідентифікації, аналізу, планування нових ризиків, слідкування за ідентифікованими ризиками, а також за тими, які занесено в список для постійного нагляду, перевірки і виконання операцій реагування на ризики та оцінки їх ефективності впродовж життєвого циклу проекту. Після виявлення ризиків та розроблення превентивних заходів по їх подоланню ризик повинен покращити свої параметри. В процесі моніторингу і управління ризиками виконуються різні методики, наприклад аналіз трендів і відхилень, для виконання яких необхідні дані по виконанню, що були зібрані в процесі виконання проєкту.

Моніторинг і управління ризиками, а також інші процеси управління ризиками є безперервним процесом, що триває на протязі всього життєвого циклу проекту. Інші цілі процесу моніторингу і управління ризиками можуть бути визначені, якщо:

 - припущення проекту ще дійсні;
 - аналіз трендів показав, що з моменту первісної оцінки стан ризику змінився;
 - належним чином виконуються правила і процедури управління ризиками;
 - резерви вартості і розпису оновлюються одночасно із змінами ризиків проєкту.

Моніторинг і контроль ризиків може включати в себе вибір альтернативних стратегій, виконання плану на випадок появи непередбачених обставин і запасного плану, виконання дій коригування і оновлення плану управління проектом. Відповідальний за реагування на ризик повинен періодично звітувати менеджеру проекту щодо ефективності виконання плану, щодо всіх непередбачених ефектів і коригувань, які необхідні для належного управління ризиками. Моніторинг і управління ризиками також включає в себе оновлення активів організаційних процесів, включаючи бази даних накопичених знань проекту і шаблони управління ризиками, які знадобляться для майбутніх проектів. Хоча цілком ліквідувати ризики неможливо, багато з них можна буде завчасно попередити шляхом :

 - зменшення ризику;
 - мінімізації ризику;
 - оптимізації ризиків.

Для цього проектній команді слід виконати такі дії і дати відповідь на такі запитання:

                                                Табл. 1 Дії команди проекту по попередженню ризиків

Дія	Перелік питань до вирішення
Дослідження (research)	Чи достатньо ми знаємо про даний конкретний ризик? Чи повинні ми краще вивчити його, щоб отримати про нього більше інформації і визначити його характеристики до того, як ми зробимо які-небудь дії?
Ухвалення (accept)	Чи можемо ми пережити наслідки ризиків, якщо вони все-таки настануть? Чи можемо ми прийняти ризики і не здійснювати з цього приводу ніяких подальших дій?
Уникнення (avoid)	Чи можемо ми уникнути ризиків, змінивши спосіб дії?
Перенесення (transfer)	Чи можемо ми перенести ризик на інший проект, проектну групу, організацію або приватних осіб?
Запобігання (mitigation)	Чи можна зробити щось заздалегідь для зменшення вірогідності ризику або його загрози?
Пом’якшення наслідків (contingency)	Чи може загроза ризику бути зменшена шляхом планування деякої реакції на нього?

Дослідження ризиків дозволяє чітко визначити ризик, його наслідки та ймовірність, виробити стратегію його попередження. На даному етапі повинен бути вироблений план боротьби з ризиками на основі оцінки ймовірностей (табл. 1). Варто розробити як обов’язкові заходи, так і заходи для тих випадків, коли деякий ризик почав негативно впливати (запасний план). Необхідно передбачити часовий і ресурсний резерв з урахуванням впливу ризиків.

Ухвалення – збереження відповідальності за ризик, готовність і здатність покрити всі можливі збитки за рахунок власних коштів.

Вибір методу зниження ризику здійснюється в результаті порівняння необхідних засобів на зниження ризиків з вигодами від запобігання збитку. Це співвідношення визначається за допомогою коефіцієнта ризику.

Оптимальний коефіціент ризику – 0,3.

Тепер широкого поширення набирає метод перенесення ризиків шляхом передачі управління ризиком третій стороні, що безпосередньо не бере участь в проекті. Прикладами таких випадків є:

 - страхування;
 - найм сторонніх консультантів з великим досвідом роботи;
 - купівля готової компоненти результату (продукту) проекту замість її створення власними силами;
 - залучення зовнішніх субпідрядників. 

При виборі конкретного методу зниження ризику власник проекту повинний виходити з таких принципів:

 - не можна ризикувати більше, ніж це може дозволити власний капітал (включаючи майбутні вигоди по проекту);
 - треба думати про наслідки ризику;
 - не можна ризикувати великим заради малого.

Внаслідок моніторингу і контролю ризиків в план проекту вносяться зміни. План проекту може і повинен піддаватися змінам в результаті пошуку й усунення ризиків. Призначення процесу моніторингу і контролю ризиків – розробка варіантів і дій, які підвищували б можливості та знижували загрози для цілей проєкту.