Che cos'è la tolleranza al rischio e la propensione al rischio

Anche se la tolleranza al rischio e la propensione al rischio sono usate in modo intercambiabile nella maggior parte dei casi, sono diverse l'una dall'altra in una certa misura. Con molti standard e regolamenti incentrati sul processo di gestione del rischio, solo alcuni di essi definiscono chiaramente le distinzioni tra i due termini in modo appropriato.

Tuttavia, devi sapere come distinguere tra tolleranza al rischio e propensione al rischio per aiutarti a sviluppare i controlli necessari per la protezione dei dati. Ciò ti aiuterà a sviluppare un programma di sicurezza informatica adatto.

Tolleranza al rischio contro appetito al rischio: qual è la differenza?

Propensione al rischio

Nel caso in cui tu stia adottando un approccio di gestione del rischio aziendale quando si tratta di sicurezza informatica, la tua propensione al rischio dovrebbe concentrarsi sull'importo o sul tipo di rischio che ritieni accettabile in base sia alle risorse che agli obiettivi aziendali.

Ad esempio, se operi come entità di elaborazione dei pagamenti, la tua attenzione potrebbe essere nella vendita al dettaglio. Tuttavia, parte della gestione del rischio aziendale (ERM) può comportare il trasferimento nello spazio sanitario. In tal caso, se sei disposto ad accettare tutti i rischi legali derivanti dall'Healthcare Portability and Accountability Act o HIPAA, allora hai creato la tua propensione al rischio.

Tolleranza al rischio

In alternativa, la tolleranza al rischio implica il modo in cui decidi il grado di rischio che vuoi accettare. Osservando l'esempio di elaborazione dei pagamenti, sebbene tu possa essere disposto ad assumerti il ​​rischio associato al passaggio all'assistenza sanitaria, potresti rifiutarti di riconoscere tutti i rischi inerenti al monitoraggio costante delle cartelle cliniche protette. Quindi, finirai per trasferire il rischio a un'altra entità, un fornitore di terze parti.

Quando hai appetito per la cena a base di bistecca, potresti non riuscire a consumare l'intero pezzo a causa del raggiungimento del tuo punto di tolleranza. Questo caso si applica anche ai rischi per la sicurezza informatica.

Cosa significa una dichiarazione di propensione al rischio?

Si tratta di un documento scritto che aiuta a spiegare le vostre decisioni di rischio. La dichiarazione non solo ti consente di informare gli stakeholder sia esterni che interni sulla tua propensione al rischio, ma innesca anche conversazioni più necessarie per guidare gli obiettivi strategici.

Come sviluppare una dichiarazione di propensione al rischio?

Nel 2018, l'ISO o altrimenti nota come International Organization for Standardization ha rivisto le linee guida per la gestione del rischio presenti nel popolare standard ISO 31000. Anche se questo particolare standard non utilizza la "propensione al rischio", allude al termine, in particolare sotto "stabilire l'importo e il tipo di rischio che può essere preso o meno".

Oltre a creare un framework di gestione del rischio, che consente di elaborare una dichiarazione di propensione al rischio, ISO 31000 aiuta a formalizzare il processo di gestione del rischio. Attraverso l'integrazione del processo e del framework, puoi sviluppare la giusta dichiarazione di propensione al rischio.

Passaggio 1: comunicazione e impegno

Parla degli obiettivi e delle strategie aziendali con gli altri leader della tua organizzazione. Ciò ti aiuterà a conoscere la quantità di rischio che sei disposto ad accettare e a determinare se tali rischi possono soddisfare gli obiettivi organizzativi più critici. La comunicazione all'interno dell'intera azienda consente di prendere in considerazione i punti di vista necessari per creare la proprietà e definire i criteri di rischio.

Passaggio 2: definizione dell'ambito, dei criteri e del contesto da integrare nell'organizzazione

Nel caso di gestione integrata del rischio, è necessario determinare la propria posizione nell'intera catena di approvvigionamento. Quindi, assicurati di rivedere l'intero ecosistema. Concentrandosi sui fattori di rischio esterni e interni, è possibile definire i criteri di valutazione e l'entità del rischio appropriati.

Passaggio 3: progettazione della valutazione del rischio

Puoi determinare, descrivere e valutare i tuoi rischi comunicando la strategia di gestione dei rischi della tua organizzazione in base alla tua posizione nella catena di approvvigionamento. Dopo averlo fatto, puoi sfruttare i controlli, i potenziali eventi, l'efficacia del controllo e la probabilità per determinare se i livelli di rischio corrispondono alla tua tolleranza al rischio.

Passaggio 4: implementazione di un trattamento del rischio

Implica la creazione di un piano con scadenze specifiche per identificare le ragioni e le decisioni che stanno alla base di esse. Tuttavia, parte di questa implementazione consiste nella scelta degli approcci per la gestione dei rischi. Dal momento che è necessario decidere se accettare, mitigare o rifiutare il rischio, è necessario creare un piano di trattamento che aiuti nell'attuazione di tali decisioni.

Passaggio 5: valutazione tramite monitoraggio

Come parte della dichiarazione di propensione al rischio dell'organizzazione, è necessario determinare se utilizzare un processo di valutazione combinato, qualitativo o quantitativo. Dopo aver impostato le metriche, monitorare regolarmente l'ecosistema e l'ambiente di dati per accertare la conformità con la valutazione interna del rischio dell'organizzazione.

Passaggio 6: apportare miglioramenti in base a report e record

Il monitoraggio costante può identificare le vulnerabilità nell'ambiente di controllo dell'organizzazione. Potenziare le tue attività di monitoraggio del rischio e comunicare tali punti deboli ti consente di mantenere un solido programma di gestione del rischio.

Passaggio 7: riepilogo dei risultati per il rilascio

Utilizza la tua propensione al rischio per promuovere la comunicazione con le parti interessate sia esterne che interne. Tuttavia, numerose dichiarazioni sulla propensione al rischio sono destinate al consumo pubblico, compresa la rendicontazione finanziaria.

Nota del redattore: Ken Lynch è un veterano delle startup di software aziendali, che è sempre stato affascinato da ciò che spinge i lavoratori a lavorare e da come rendere il lavoro più coinvolgente. Ken ha fondato Reciprocity per perseguire proprio questo. Ha promosso il successo di Reciprocity con questo obiettivo basato sulla missione di coinvolgere i dipendenti con gli obiettivi di governance, gestione del rischio e conformità della loro azienda al fine di creare cittadini aziendali più socialmente orientati. Ken ha conseguito la laurea in Informatica e Ingegneria Elettrica presso il MIT. Ulteriori informazioni su ReciprocityLabs.com.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

• Migliori pratiche per la gestione della conformità
• Processi di gestione dell'audit del flusso di lavoro efficaci
• Che cos'è la conformità e la gestione dei record
• Segmentazione della rete e conformità PCI
• Gestione del registro PCI DSS