О чём брошюра
За последние десятилетия организации существенно повысили зрелось функции управления рисками с оглядкой на банкротства таких корпораций как Enron, Nothern Rock и других. Были ли эти случаи вызваны неспособностью распознать риски в меняющихся внешних факторах, либо сбоями во управлении и коммуникациях, важно одно – корпорациям требовался новый подход в оценке широкого спектра рисков, способных повлиять на достижение бизнесом своих целей, а также в управлении этими рисками с учетом конкретных условий деятельности организации.
В результате, организации стали применять различные системы управления рисками, чтобы справиться с неопределенностью. Будь то NIST-SP800-37, OCEG GRC Capability Model, COSO ERM Integrated Framework или собственная система, разработанная с нуля, - у всех систем есть общие черты: ориентированность на процесс и итеративность. Причина в том, что организации вынуждены непрерывно идентифицировать риски и управлять ими с учетом постоянно меняющейся среды, как внешней, так и внутренней.
Помимо организационных ролей, структур и процессов, компании также определяют ключевые задачи: идентификация угроз, способных повлиять на цели бизнеса, вычисление связанных рисков, определение средств и методов контроля, внедрение контролей и непрерывное наблюдение за их эффективностью с тем, чтобы риски становились и оставались управляемыми. Задача мониторинга вызывает больше всего трудностей, она и является фокусом данного документа. Он описывает методы, позволяющие перейти от разового/мгновенного тестирования контролей к непрерывному итеративному процессу так, чтобы проверка контролей выполнялась согласованно с остальными процессами управления рисками, реализуемыми в соответствии с принятой в организации системой управления рисками, и с той же регулярностью.
Для реализации концепции непрерывной проверки методов контроля риска, требуется новый подход, основанный на автоматизации процессов. Данный документ описывает новое звено эволюции методов проверки – автоматизированное тестирование на проникновение.
Использование автоматизированного тестирования на проникновение позволяет реализовать множество бизнес-выгод для организаций: повысить скорость проверки контролей, своевременно формировать отчеты об эффективности средств защиты и методов контроля с учетом рисков, встроить проверку контролей в существующие процессы управления рисками.
В конечном счете данный подход позволяет предоставлять нужные данные нужным людям в нужное время, обеспечивая принятие решений, снижающих риск и повышающих манёвренность для бизнеса.
С полной версией документа (англ) можно ознакомиться здесь.
Документ разработан командой Pentera Security (https://www.pentera.io)
