<
>

当今的首席执行官应该问的第一个问题(&知道答案)

作者:Rick McElroy,Carbon Black安全策略师

在我的 以前的博客,我通过一系列博客文章讨论了我的意图,以强调CEO应该问团队的10个最重要的问题。

作为本系列的第一个博客,让我们从首席执行官应该问的第一个问题开始:“负责团队的结构如何帮助我们更好地管理风险?”

通过回答此问题,您将了解组织中风险管理的总体结构和成熟度。以下是一些指导性问题,可帮助您启动实现明确定义的风险管理策略的过程:

谁真正负责组织中的管理和接受风险?

您有负责风险管理的人吗?是否有人负责信息安全?是否有人负责合规(如果适用)
这是分散的还是集中的?有多少工作人员致力于风险管理?

您的团队应该能够描述整个程序的管理和组织方式。

对于拥有准备好这些答案的组织的奖励积分,可供外部审核员或可能提出要求的客户使用。风险应对必须及时,及时,并且不需要长时间的数据收集工作。

我们的风险承受能力是什么?

CEO和董事会应推动组织接受可接受的风险承受能力。

“风险承受能力的定义是组织可以接受的风险水平或不确定性程度,是组织风险框架的关键要素。组织的风险承受能力级别是指可以承受风险到可接受水平的公司数据和系统的数量。拥有定义的风险承受能力等级意味着安全计划知道管理层要求组织受到保护以免受其所面临威胁的程度。”

为团队提供容忍度指导将确保他们符合指挥官的意图(描述您成功完成任务的想法的目的和条件),并允许他们在适当的水平上管理风险。

什么时候考虑风险?

是将其纳入上游决策流程,还是在整个业务生命周期中进行考虑?

您的团队应帮助您了解在何处做出风险决策,以及风险门是否与风险相称。这也将说明您的风险管理计划的成熟度。

当前的风险清单在哪里?

风险有各种各样的形式。有些风险实际上是等待利用的商机。可以很好地管理风险的组织不仅可以更好地保护自己免受网络威胁,还可以获得长期的竞争优势。风险并不总是天生就是坏事。

对于大多数组织而言,风险将属于以下类别:

  • 合规/监管风险

  • 安全风险

  • 财务风险

  • 隐私风险

  • 行业和竞争风险

  • 管理风险

知道在哪里及时获取适当的信息对于做出基于风险的准确决策至关重要。例如,成熟的组织已将必要的资源移至在线仪表板,以实时更新下游风险数据。

如何管理和沟通风险?会议的节奏是什么?

这个最后的问题将使您作为CEO能够了解您的组织是否接受公开透明的风险讨论,并确定未被适当检测,传达或管理的未知风险。这也将确保风险讨论是正在进行的业务流程的一部分,而不仅仅是在发现风险时。

分享我们的想法

0 Comment 登录 或者 登记 to post comments