Systémy pre automatizáciu riadenia rizík (GRC, IRM)

GRC je strategický rámec, ktorý integruje rôzne aspekty riadenia, rizík a dodržiavania predpisov do jednej koherentnej stratégie. Jeho hlavným cieľom je zabezpečiť, aby boli organizácie efektívne riadené, identifikovali a riadili riziká a dodržiavali platné zákony a predpisy.

Riadenie (Governance): Riadenie sa vzťahuje na spôsob, akým je organizácia riadená, a na úlohy a zodpovednosti definované na rôznych úrovniach. Zahŕňa definovanie cieľov organizácie, strategické plánovanie, rozhodovanie a monitorovanie výkonnosti. Efektívne riadenie zvyšuje transparentnosť, zodpovednosť a integritu organizácie. 
 
Riziko (Risk): Riziko je pravdepodobnosť výskytu udalosti, ktorá by mohla negatívne ovplyvniť dosiahnutie cieľov organizácie. GRC prístup pomáha identifikovať a kvantifikovať riziká a poskytuje nástroje na ich aktívne riadenie a minimalizáciu. Dôkladné posúdenie rizík je kľúčom k zníženiu potenciálnych negatívnych vplyvov na organizáciu. 
 
Dodržiavanie pravidiel (Compliance): Dodržiavanie pravidiel sa vzťahuje na dodržiavanie príslušných zákonov, predpisov a interných pravidiel organizácie. Niektoré odvetvia, ako napríklad financie alebo zdravotníctvo, majú prísne požiadavky na dodržiavanie predpisov. GRC systém zabezpečuje, aby organizácia plnila všetky zákonné povinnosti a etické normy.

GRC nástroje zastrešujú podporu pre riadenie, riziká a dodržiavanie predpisov organizácie a predstavujú komplexné riešenie, ktoré poskytuje každej organizácii podporu na zlepšenie jej bezpečnostnej pozície. Jadrom nástroja je databáza informačných aktív a sofistikovaný proces riadenia informačných rizík, nad ktorými sú vystavané ďalšie agendy, ako je riadenie zhody, riadenie vzťahov s dodávateľmi, riadenie incidentov a zraniteľností atď.

Okrem toho majú nástroje GRC širokú škálu integračných a automatizačných možností na udržiavanie aktuálnosti a úplnosti dát. 
V rámci našej dodávky sa však nikdy nezameriavame len na implementáciu GRC nástroja. Primárne sa zameriavame na preskúmanie a zlepšovanie procesov. Uvedomujeme si, že kvalitný proces je základom transformácie údajov na hodnotné výstupy.

Pamätáte si ešte, keď sa objavila zraniteľnosť Heartbleed a ohrozila vašu organizáciu? Teraz môžu podobné hrozby spôsobiť technológie od spoločností Huawei a ZTE. V oboch prípadoch išlo o riziká, takže je ľahké sa pýtať, ako ich vaša analýza rizík rieši. Dokáže reflektovať novo identifikovanú hrozbu a v zajtrajšej správe uvidíte, o koľko väčšie riziko predstavuje nedostupnosť alebo odpočúvanie vami spravovanej infraštruktúry? Nie? Potom vaša analýza rizík určite nie je dostatočne flexibilná. 

Kontaktoval nás jeden z našich dlhoročných zákazníkov v súvislosti s kompromitujúcou technologickou kampaňou spoločnosti Huawei. V krátkom čase túto hrozbu zohľadnil vo svojej analýze rizík. Požiadavkou zákazníka bolo vyhovieť úradu a zároveň zistiť, či je potrebné riešiť túto hrozbu prioritne v porovnaní s inými hrozbami. Naši konzultanti najprv analyzovali existujúci prístup k riadeniu informačných rizík a zohľadnili túto hrozbu. Zamerali sa však aj na slabé stránky procesu, ako je pravidelná aktualizácia zoznamov aktív, nedostatočné prepojenie medzi aktívami a vymedzenie zodpovednosti jednotlivých používateľov v rámci procesu riadenia rizík. Prvým kľúčovým poznatkom pre zákazníka bol výstup z analýzy rizík, na základe ktorého dospeli k záveru, že aktuálna hrozba nepatrí v celkovom kontexte organizácie medzi najzávažnejšie a časom sa dá vyriešiť.

Druhým dôležitým zistením bolo naše odporúčanie na zavedenie integrovaného systému riadenia GRC (Governance, Risk, Compliance), ktorý by odstránil slabé miesta v procese riadenia rizík a umožnil flexibilne reagovať na novo vznikajúce riziká. V priebehu šiestich mesiacov sme túto novú technológiu u zákazníka implementovali a integrovali do nej celý proces riadenia rizík. Zákazníkovi sa nový prístup k riadeniu rizík natoľko zapáčil, že sa rozhodol rozšíriť GRC nástroj aj na oblasť auditu a dodržiavania GDPR. 

GRC sa ukázalo ako vhodný nástroj na pokrytie nielen procesov riadenia informačných aktív a rizík, ale aj ďalších činností súvisiacich s riadením organizácie. Pomocou neho spoločnosť zdieľa a využíva informácie v ňom uložené naprieč oddeleniami. Informácie sa pravidelne aktualizujú, čo vedie k zefektívneniu všetkých činností v spoločnosti a v dôsledku toho k úspore nákladov.