En tant que responsable des technologies de l'information, de la gestion des données ou de l'infosécurité et de la conformité, vous êtes chargé de détecter les risques potentiels, de les réduire, de gérer leurs conséquences et de rendre compte à votre PDG de ce que vous auriez dû faire ou de ce que vous avez fait à ce sujet.
Le risque du point de vue du PDG et du conseil d'administration, rédigé par deux anciens cadres de KPMG - Mary Pat McCarthy (actuellement membre du conseil d'administration de Micron et Palo Alto Networks) et Timothy P. Flynn (actuellement membre du conseil d'administration de JPMorgan Chase et Walmart) - contient des informations toujours pertinentes pour vous aider à améliorer votre planification des risques et à comprendre le point de vue de vos cadres supérieurs.
Quel est le niveau de risque que vous pouvez supporter ?
La première étape de l'amélioration du risque opérationnel consiste à reconnaître qu'il existe une forte probabilité de perte causée par des déficiences dans les systèmes informatiques, les processus d'entreprise et les contrôles internes. Une gestion des risques qui tient compte de ces trois éléments peut vous aider à améliorer votre profil de risque.
Questions de la direction
L'ouvrage suggère ces questions fondamentales que les cadres dirigeants devraient se poser lorsqu'ils intègrent le risque dans leurs plans d'entreprise et leurs programmes :
- Quel est votre point de vue ? La principale préoccupation est-elle le risque de réputation ? Quelles sont les relations complexes entre les risques ? Par exemple, comment l'expansion mondiale peut-elle affecter le risque opérationnel, et quel est le lien avec le risque de marché ?
- Quels sont les enjeux ? Nombreuses sont les entreprises qui ont échoué parce qu'elles n'ont pas su gérer les risques. Deux exemples : La banque britannique Barings, vendue à la banque néerlandaise ING pour une livre sterling en 1995, a échoué en raison de l'action d'un trader malhonnête et de l'insuffisance des contrôles internes. Cendant, née de la fusion de HFS et de CUC International, propriétaire de Century 21, Coldwell Banker, Avis, Days Inn, Howard Johnson, Ramada, Super 8, Travelodge et d'autres entreprises, a fait faillite en raison d'une erreur comptable qui a entraîné un rachat d'actions par les actionnaires et qui a été attribuée à une fraude commise au sein de CUC.
- Quel est votre goût du risque ? "L'appétit pour le risque d'une entreprise est en réalité celui des personnes responsables de ses conséquences : les dirigeants, les gestionnaires, les actionnaires et les parties prenantes", écrivent les auteurs.
- Qui gère les risques ? C'est peut-être le PDG qui est responsable en dernier ressort, mais la plupart des efforts de gestion des risques incombent à une autre personne : CSSO, CFO, CRO.
- Where are you on the risk continuum?
Stage 1: There is no formal process for finding and managing risk other than physical asset insurance policies.
Stage 2: Risk identification and management is a formal process flowing through the company’s silos and embedded to a degree in business and operational planning.
Stage 3: Enterprise risk management is integrated into business and operations processes that force alignment between the corporate vision and line-of-business goals. It includes knowledge of your goals, environment, strengths, weakness, options, and what you know and don’t know. - Quel est votre profil de risque ? Les auteurs citent David McNamee (actuellement professeur de leadership à l'université d'Arkansas Grantham). "Les dirigeants passent souvent tellement de temps à gérer les risques importants du présent qu'ils ont du mal à gérer les risques à plus long terme. Si la planification des risques englobe des horizons de planification plus longs, nous avons plus de chances de tirer parti des opportunités."
D'autres perles du livre :
Manquements, contrôles internes et possibilités d'amélioration de la gestion des risques
Les événements catastrophiques sont souvent précédés d'accidents évités de justesse qui offrent des possibilités d'amélioration. Plus votre organisation est à l'écoute des indicateurs de suivi, plus vous aurez de temps et de marge de manœuvre pour réagir lorsqu'un problème survient. Ce blog explique comment des incidents évités de justesse (violations de la conformité, vol de données, rétention de données ordonnée par un tribunal) ont été découverts grâce à la surveillance globale des journaux du système de fichiers. Le système a permis de mettre en évidence des événements périphériques (quasi-accidents) et de prévenir les problèmes.
Les auteurs citent l'obligation d'utiliser de meilleurs mots de passe comme un autre exemple de contrôle interne susceptible d'avoir un impact considérable sur le risque, en précisant que la sécurité du réseau peut être renforcée autant, voire plus, par ce contrôle que par l'installation de systèmes de détection de la sécurité valant des millions de dollars. Ils estiment que si l'on peut réduire les risques opérationnels internes, on peut au moins réduire la probabilité et la gravité d'événements externes désastreux.
Parrainage exécutif de la gestion des risques
Pour être efficace, tout projet de gestion des risques doit être parrainé par un cadre supérieur. Dans le cas contraire, les équipes peuvent facilement se perdre dans les détails tout en négligeant les questions d'ordre général. Un parrainage de haut niveau est également nécessaire parce que de nombreux risques - en particulier ceux qui pourraient affecter vos données - peuvent toucher plusieurs fonctions et départements. Le bon dirigeant sera aussi celui qui aura la meilleure perception des risques plus larges, tels que l'impact d'un virus paralysant sur votre marque et votre réputation. Cette personne devrait également être en mesure de donner des conseils sur les éventuelles conséquences financières.
Les processus et la communication font la différence en matière de gestion des risques
La gestion du risque opérationnel nécessite que l'ensemble de l'organisation comprenne que le risque est géré par des processus liés à la stratégie de l'entreprise et à la capacité de générer des rendements. Les entreprises qui savent exprimer leurs objectifs globaux, qui encouragent la communication et la coopération internes (collaboration) et qui utilisent des mécanismes de contrôle pour la prise de décision sont moins susceptibles d'être prises au dépourvu. Bien entendu, la planification de l'examen des risques et de la réponse à y apporter implique une myriade de compromis en matière de sécurité, de coûts et de commodité.
Plans d'urgence pour le traitement des données et les risques opérationnels connexes
Les plans de continuité des activités sont, bien entendu, essentiels. Et à multiples facettes. En cas de tremblement de terre, ce ne sont pas seulement les bâtiments qui sont menacés. La direction devra décider si l'organisation a souscrit une police d'assurance immobilière d'un milliard de dollars ou non. De votre côté, comment une catastrophe pourrait-elle affecter l'accès aux données et votre capacité à faire fonctionner l'entreprise, à continuer à développer et à produire vos produits et services ? Entre autres problèmes, sans une planification adéquate, votre entreprise pourrait se retrouver défenderesse dans une action en justice intentée par des actionnaires.
Il est évident que les plans d'urgence les plus importants sont ceux qui couvrent vos actifs les plus importants. Vos données et l'accès à celles-ci figurent en bonne place sur cette liste. Les mesures d'urgence suivantes, relatives à la continuité des activités et à la protection des données, sautent aux yeux. Si vous n'avez pas étudié l'espace de gestion des fichiers récemment, sachez que les nouvelles innovations visant à améliorer la gestion des données contribuent à la productivité de l'entreprise, à l'efficacité, à l'optimisation des coûts à long terme, à la résilience aux ransomwares, à la flexibilité multi-cloud et à la portabilité de l'archivage des données.
Les risques de perte de données, de dégradation du temps d'accès aux données et de mauvaise qualité des données
Avec le système de fichiers global Panzura CloudFS, il n'y a aucun risque de perte de données provenant de sources externes. Comment pouvons-nous affirmer cela ? Grâce aux instantanés de réseau qui capturent l'état du contenu de l'ensemble du réseau, au magasin d'objets sécurisé dans le nuage et aux métadonnées stockées partout, les fichiers non structurés sont toujours sûrs et sécurisés.
En outre, le système permet aux membres de l'équipe, où qu'ils se trouvent, d'accéder au même document et/ou de travailler dessus en même temps, sans risque de perdre ou de diviser les données en plusieurs copies. Outre le contrôle visant à préserver la sécurité des données (voir la section "Near Misses" ci-dessus), les capacités de contrôle des versions et de partage des fichiers réduisent considérablement le risque de perte de données internes et externes et contribuent à préserver l'intégrité des données tout en maintenant des temps d'accès similaires à ceux d'un local.
Le risque de cybermenaces
La sécurité de niveau "US Department of Defense", de la périphérie au cœur du système et au nuage, la gouvernance permanente, la gestion complète des données et les rapports détaillés sur l'activité des fichiers sont quelques-uns des outils nécessaires aux audits réglementaires et à la surveillance et à la protection de la cybersécurité.
Le risque de catastrophe
La reprise après sinistre (DR) sans duplication des données est un nouveau concept. Pourquoi dupliquer votre stockage de données et payer pour ce stockage s'il existe une meilleure solution ? Le nuage hybride est idéal pour la reprise après sinistre et d'autres problèmes. En cas de sinistre, des instantanés fréquents du réseau, une réplication locale continue et un cryptage complet peuvent garantir que rien n'est jamais perdu. Avec les dernières versions de vos fichiers critiques sécurisées hors site dans le nuage, et avec l'aide des équipes d'assistance Panzura , en cas de sinistre, vous pouvez rapidement mettre en place un accès et une récupération d'urgence.
Le risque de pannes du nuage et du site
Les magasins d'objets en nuage subissent parfois des pannes. La mise en miroir du nu age double la disponibilité du nuage en écrivant simultanément des données dans plusieurs magasins d'objets. En outre, la commodité d'une archive totalement portable et neutre par rapport au fournisseur (VNA) vous permet de déplacer vos données vers n'importe quel nuage ou multi-cloud. Les nœuds de haute disponibilité (HA) pour le basculement local et global offrent une protection contre les arrêts brusques.
Le risque de ransomware
Vous pouvez vous protéger contre la perte de données et les dommages causés par les ransomwares en renforçant la résilience des données dans le stockage en nuage. Au lieu de restaurer à partir d'un référentiel de sauvegarde, les instantanés de réseau légers permettent une restauration rapide grâce à un processus simple de sélection d'un état avant le début de l'attaque. Panzura snapshots fournissent un temps de récupération/objectif de point de récupération (RTO/RPO) de 60 secondes.
Le risque d'une augmentation constante des coûts de stockage
Sans qu'il soit nécessaire de dupliquer les données pour le stockage différé ou la sauvegarde, ou de créer plusieurs versions d'un fichier, les coûts de stockage sont réduits. En outre, grâce à la déduplication et à la compression continues des fichiers, ainsi qu'au stockage des seules modifications (dans des métadonnées légères), l'empreinte de stockage augmente beaucoup plus lentement à mesure que le volume de vos données augmente.
Abordée avec les personnes, les outils et les politiques appropriés, la gestion des risques permet d'atteindre les objectifs de l'entreprise avec moins de surprises. La seule alternative est la gestion de crise, beaucoup plus embarrassante, coûteuse et chronophage.
Le risque est aussi omniprésent que vos données, l'un de vos actifs les plus précieux. Gérer le risque de cybermenaces et de ransomware n'est qu'un début. Tirez pleinement parti de votre trésor de données en les rendant visibles, rapidement accessibles, utilisables et toujours disponibles. Regardez ce webinaire sur la sécurisation, la visibilité et la conformité des données non structurées.