Шаг 1. Начните с определения используемых ИТ-систем, автоматизированных сервисов и процессов, поймите их критичность для бизнеса, а также присущие данным технологиям риски.
Шаг 2. Понимая специфику каждого технологического решения и присущих им рисков, разработайте контрольные процедуры, направленные на снижение выявленных рисков. Реализуйте регулярность исполнения и способы оценки эффективности внедренных процедур.
Шаг 3. Зафиксируйте «правила игры» в различных регламентирующих документах. При описании процедур старайтесь придерживаться следующих вопросов: «Кто делает?», «Что делает?», «Как часто делает?», «Каков результат?» и самое главное «Зачем и какую цель достигает?».
Общайтесь открыто и конструктивно, заручитесь поддержкой владельцев ИТ-систем, автоматизированных сервисов и процессов, постарайтесь понять и учесть потребности, мнение, возможности и ограничения всех участников, в этом вам помогут следующие вопросы:
• какие цели могут быть у владельцев систем и сервисов?
• какие могут быть препятствия для достижения этих целей?
• как преодолеть препятствия и достичь цели?
Автор успел поработать в рамках каждой из линий защиты и убедился на собственном опыте, насколько важен открытый и эффективный диалог между всеми линиями, а также понимание важности управления рисками как высшим руководством организации, так и руководителями и владельцами процессов и сервисов. По убеждению автора, от этого выигрывают участники всех линий защиты
