Рискът не е само в техниката
6 мин
Киберрискът не стои само в устройства, акаунти и системи. Той често се натрупва в зависимостите между екипи, външни доставчици и слабо подредени процеси.
Когато критичен доставчик, човек или стъпка от процеса отпадне без ясен резервен вариант, последствията могат да бъдат също толкова сериозни, колкото и при технически инцидент.
Практичен фокус
Колкото по-скрита е зависимостта, толкова по-изненадващо спира работата, когато нещо се обърка.
- Кои външни услуги са критични
- Къде няма ясна ескалация
- Кои процеси зависят от един човек или един доставчик
Подредените процеси и отговорности не премахват риска, но правят последствията по-управляеми и реакцията по-бърза.
Защо зависимостите и процесите са част от киберриска
Организацията може да има добри технологии, но ако работата зависи от един доставчик, неясни роли или липса на процес, прекъсването пак остава реален риск.
Много критични дейности минават през външни услуги, облачни системи, споделени отговорности и хора с трудно заменима оперативна роля.
Когато тези зависимости не са описани и управлявани, проблемът не се вижда навреме и реакцията става бавна, объркана или твърде зависима от импровизация.
Какво трябва да бъде ясно
Тук най-често се вижда дали организацията управлява процесите и зависимостите си или разчита на навик.
Критични зависимости
Външни услуги, платформи и хора, без които ключови процеси спират или се забавят сериозно.
Договори и отговорности
Кой за какво отговаря, какво е обещаното време за реакция и как се ескалира проблем.
Комуникация и ескалация
Контакти, канали и ред за действие, когато ключова услуга или процес бъде засегнат.
Процеси и резервни варианти
Как бизнесът продължава работа, ако дадена услуга, човек или стъпка от процеса не е налична.
Къде обикновено се появява рискът
Тези ситуации често изглеждат нормални, докато не дойде моментът, в който една липсваща връзка спира работата.
Един доставчик държи критична услуга без резервен вариант
Когато няма алтернативен процес, външният проблем бързо става ваш оперативен проблем.
Отговорностите са неясни
Никой не знае кой трябва да ескалира, кой комуникира и кой взема решение при прекъсване.
Знанието е концентрирано в един човек
Ако ключов процес зависи от един човек без заместимост, рискът расте дори без технически срив.
Няма ръчен или временен резервен вариант
Без временен вариант дори кратко прекъсване може да спре работа, обслужване или координация.
Какво да проверите
Погледнете тези въпроси, ако искате да видите къде зависимостите вече са станали риск за бизнеса.
- Кои външни услуги и доставчици могат директно да спрат ключови процеси.
- Кой вътрешно отговаря за връзката, ескалацията и решението при проблем с доставчик.
- Има ли ясно документирани очаквания за реакция, достъп и комуникация.
- Кои процеси могат да продължат временно ръчно или по алтернативен начин.
- Как се контролират достъпите на външни доставчици и кога се преразглеждат.
Какво да направите като следваща стъпка
Подредете зависимостите така, че проблемът при един доставчик или процес да не ви изненада в най-лошия момент.
- 1 Картографирайте критичните външни услуги, хора и процеси, от които зависи работата.
- 2 Прегледайте договори, контакти и ескалационни пътища за критичните доставчици.
- 3 Определете къде е нужен временен резервен вариант, ако услуга или процес отпадне.
- 4 Включете зависимостите от доставчици и процеси в оценката на риска, а не само технологиите.
Проверете къде зависимостите вече носят реален риск
Ако не е ясно кои доставчици, процеси и роли са критични, оценката е най-доброто място за по-подреден старт.