Comment les professionnels de la gestion des risques peuvent-ils collaborer avec les TI pour atténuer les cyber-risques ?

Généré par l’IA et la communauté LinkedIn

Les cyber-risques font partie des défis les plus complexes et les plus dynamiques auxquels les organisations sont confrontées aujourd’hui. Ils peuvent affecter tous les aspects de l’entreprise, de la réputation et de la confiance des clients à la performance financière et à la conformité réglementaire. Pour gérer efficacement ces risques, les professionnels de la gestion des risques doivent collaborer avec le service informatique, le service responsable de la mise en œuvre et de la maintenance des défenses techniques contre les cybermenaces. Dans cet article, nous allons explorer comment les professionnels de la gestion des risques peuvent travailler avec l’informatique pour atténuer les cyber-risques, en suivant ces quatre étapes :

Des experts chevronnés contribuent à cet article

Sélectionnés par la communauté pour 31 contributions. En savoir plus

1 Identifier le profil de risque cyber

La première étape consiste à déterminer le profil de cyberrisque de l’organisation, qui comprend les actifs, les vulnérabilités, les menaces et les impacts qui pourraient résulter d’un cyberincident. Les professionnels de la gestion des risques peuvent utiliser divers outils et cadres, tels que le cadre de cybersécurité du NIST, la série ISO 27000 ou le cadre ERM du COSO, pour évaluer l’état actuel de la cyberrésilience et de la maturité de l’organisation. Ils peuvent également consulter le service informatique pour comprendre les politiques, les procédures et les contrôles en place pour protéger les systèmes d’information et les données.

Ajoutez votre point de vue

Himanshu Arora

Associate Director @ KPMG | CA | CIA | CISA | CFE | Governance, Risk & Compliances
Signaler la contribution
Based on what I have seen, in order to identify the cyber risk profile for a client, it is essential to conduct a thorough assessment of their current cybersecurity measures and practices. Above includes evaluating their network infrastructure, data protection protocols, employee training programs, and incident response plans. Additionally, analyzing their industry-specific vulnerabilities and regulatory compliance requirements can provide valuable insights into their overall cyber risk profile.

Texte traduit

J’aime
Ahsan Habib, MBA, FIS

Anti Financial Crime (AFC) Practitioner. Bangladeshi-Canadian career banker. ACAMS AFC Professional of the Year 2021. AFC Content Writer ✍️. Regulations alone can’t combat FinCrime if WE don’t do our part.
Signaler la contribution
Risk Managers require to understand the organization’s enterprise-wide vulnerabilities—among people, processes, and technology—internally and for third parties. They may collaborate with IT department to build risk-based cybersecurity model to prevent data loss. Risk Managers may compile the data available to the organization to determine key risk indicators for the cyber threats they consider most pressing, set exceedance thresholds for each one that would trigger action. IT professionals may enable in-house systems trigger in the event thresholds are exceeded.

Texte traduit

J’aime
Kinesh Shah

Consultant - Audit & Assurance | Company Secretary | Lawyer | Diploma - Cyber Law | IIBF (AML & KYC) | CFA IIFC | Certified Lean Six Sigma Black Belt | Content Creater | Writer | Learner | 2 Lakhs++ Impressions
Signaler la contribution
Begin with understanding your organization's cyber risk profile. Evaluate assets, vulnerabilities, threats, and potential impacts using tools like NIST Cybersecurity Framework or ISO 27000 series. Collaborate with IT to grasp existing policies and controls. This snapshot guides risk management professionals in assessing and enhancing cyber resilience. A proactive approach to cybersecurity ensures a robust defense against evolving threats

Texte traduit

J’aime
Srinath M

Enterprise Risk Management (Views expressed are personal)
Signaler la contribution
Risk management professionals can collaborate with IT by fostering open communication, conducting joint risk assessments, aligning cybersecurity measures with business objectives, and staying abreast of evolving threats. Engage in regular training to enhance cyber awareness, establish incident response plans, and perform regular audits. By integrating risk management into IT processes, professionals can proactively identify and mitigate cyber risks, ensuring a comprehensive and resilient cybersecurity strategy.

Texte traduit

J’aime
Mohammad Salman Khan

Risk Management Transformation Strategist, Advisor & Corporate Trainer - Operational Risk | ERM | Fraud Risk | Technology Risk | Risk Appetite Framework Development
Signaler la contribution
There’s no such thing as one-size-fits-all cybersecurity. Every organization faces a unique set of security risks, and needs to take its own unique approach to cybersecurity risk assessment. Organizations should use a cybersecurity risk assessment to identify and prioritize opportunities for improvement in existing information security programs.You must align the organization’s information security and cybersecurity goals with its business objectives. You will need to get input from across the enterprise about how each function uses data and IT systems, to assess and evaluate your cybersecurity risk exposure.

Texte traduit

J’aime

Charger plus de contributions

2 Analyser et hiérarchiser les risques cyber

La deuxième étape consiste à analyser et à hiérarchiser les cyberrisques, en fonction de leur probabilité et de leur gravité. Les professionnels de la gestion des risques peuvent utiliser des méthodes qualitatives ou quantitatives, telles que des matrices de risques, des cartes thermiques ou des modèles de risque, pour évaluer et comparer les conséquences potentielles de différents scénarios cybernétiques. Ils peuvent également collaborer avec le service informatique pour identifier les lacunes et les faiblesses des cyberdéfenses actuelles, et pour estimer les coûts et les avantages de la mise en œuvre de mesures supplémentaires.

Ajoutez votre point de vue

Himanshu Arora

Associate Director @ KPMG | CA | CIA | CISA | CFE | Governance, Risk & Compliances
Signaler la contribution
In my understanding, prioritizing cyber risks involves assessing the potential impact and likelihood of each risk. It is important to consider the potential financial, reputational, and operational consequences of a cyber attack. Results of VAPT testing should also be good importance in prioritization. Additionally, organizations should evaluate the existing security measures in place and identify any vulnerabilities that may increase the likelihood or impact of certain risks.

Texte traduit

J’aime
Kinesh Shah

Consultant - Audit & Assurance | Company Secretary | Lawyer | Diploma - Cyber Law | IIBF (AML & KYC) | CFA IIFC | Certified Lean Six Sigma Black Belt | Content Creater | Writer | Learner | 2 Lakhs++ Impressions
Signaler la contribution
Next up, analyze and prioritize cyber risks by weighing their likelihood and severity. Leverage risk matrices or models to evaluate potential consequences across different scenarios. Collaborate with IT to pinpoint gaps in current defenses and assess the costs and benefits of bolstering security measures. This strategic approach empowers risk management professionals to focus efforts where they matter most, ensuring a targeted and effective cyber risk mitigation strategy.

Texte traduit

J’aime
François BRAULT

SAS (Senior Architecture Student)
Signaler la contribution
Collaboration with IT is key, but an independant assessment of their effectiveness, compliance with their own procedures and vulnerabilities of your organization's weaknesses is absolutely mandatory in my eyes.

Texte traduit

J’aime
Mohammad Salman Khan

Risk Management Transformation Strategist, Advisor & Corporate Trainer - Operational Risk | ERM | Fraud Risk | Technology Risk | Risk Appetite Framework Development
Signaler la contribution
You should think about all the scenarios that threaten the safety of your customer and employee data and the function of your products and services. Hackers can bypass security measures to gain unauthorized access, bypass mechanisms and exploit vulnerabilities to steal or modify critical data assets, or run rogue programs inside your IT infrastructure.

Texte traduit

J’aime
Roberto Castro Elordi

Risk management Top Voice | Management control | Corporate finance | Entrepreneurship
Signaler la contribution
En mi experiencia, se debe analizar en profundidad los riesgos para poder determinar su probabilidad de ocurrencia y el impacto que pueden provocar, en especial, riesgos tan cambiantes como los cibernéticos, que son los que tienen la tasa de crecimiento más alta a nivel mundial. Además, la mayoría de las veces estos riesgos se materializan porque grupos organizados ejecutan ataques contra empresas y/o particulares con la finalidad de obtener beneficios económicos o perjudicar al atacado. El análisis permite priorizar las medidas a tomar, así como el presupuesto que se va a emplear para proteger a la empresa /persona y sus activos tangibles o intangibles, generalmente datos, aunque también puede afectar la operación de la empresa

Texte traduit

J’aime

Charger plus de contributions

3 Mettre en œuvre et suivre le plan d’atténuation des cyber-risques

La troisième étape consiste à mettre en œuvre et à surveiller le plan d’atténuation des cyberrisques, qui consiste en des actions et des ressources allouées pour réduire les cyberrisques à un niveau acceptable. Les professionnels de la gestion des risques peuvent utiliser les quatre stratégies d’évitement des risques, de réduction des risques, de transfert des risques et d’acceptation des risques, selon la nature et l’ampleur des risques. Ils peuvent également se coordonner avec le service informatique pour s’assurer que le plan est aligné sur les objectifs et les priorités de l’entreprise, et qu’il est exécuté et révisé régulièrement.

Ajoutez votre point de vue

Roberto Castro Elordi

Risk management Top Voice | Management control | Corporate finance | Entrepreneurship
Signaler la contribution
El control de los riesgos cibernéticos es una tarea compleja, que se debe ir adaptando a medida que surgen nuevos métodos para vulnerar las defensas de la empresa Dentro de los sistemas más utilizados están: 1. Uso de "firewalls" 2. Antivirus 3. Obligación de contraseñas fuertes y cambios obligatorios de las mismas cada cierto tiempo 4. Monitoreo del uso de las cuentas para controlar que se utilicen en horarios no comunes, lo que podría indicar un ataque 5. Actualización de todos los sistemas 6. Adiestramiento de todo el personal de la empresa para detectar los intentos de ataque más comunes y que puedan ser reportados de inmediato. Al final, el control de los riesgos cibernéticos depende de todos los empleados de la empresa

Texte traduit

J’aime
Himanshu Arora

Associate Director @ KPMG | CA | CIA | CISA | CFE | Governance, Risk & Compliances
Signaler la contribution
According to me, to effectively monitor a cyber risk mitigation plan, it is essential to establish clear metrics and key performance indicators (KPIs) that align with the objectives of the plan. These metrics can include the number of security incidents detected and resolved, the time taken to respond to and recover from an incident, and the overall effectiveness of implemented controls. By regularly reviewing and analyzing these metrics, organizations can stay proactive in their approach to cyber risk mitigation and make informed decisions to strengthen their security posture.

Texte traduit

J’aime
Ray Ramsay

Risk Management Professional | CPRM | Behavioural Risk and Risk Culture Specialist | Behavioural Psychologist | Veteran - Ex Reservist | Best Selling Author
Signaler la contribution
I don't necessarily agree with this, an IT audit would identify any holes in the firewall and these type of testings should be part of the standard IT BAU. The biggest hits are backdoors, created by hackers, that use staff to accidently create a hole in security. Training is the key, and consistent reminders and communications on the psychology of hackers, and how they target companies.

Texte traduit

J’aime

4 Communiquer et signaler l’état des cyber-risques

La quatrième étape consiste à communiquer et à signaler l’état du cyberrisque, ce qui implique le partage des informations et des idées dérivées des étapes précédentes avec les parties prenantes concernées, telles que la haute direction, les membres du conseil d’administration, les auditeurs, les organismes de réglementation, les clients et les partenaires. Les professionnels de la gestion des risques peuvent utiliser divers formats et canaux, tels que des tableaux de bord, des rapports, des présentations ou des bulletins d’information, pour transmettre les messages clés et les recommandations concernant le processus de gestion des cyberrisques. Ils peuvent également solliciter des commentaires et des commentaires de la part du service informatique afin d’améliorer l’exactitude et la crédibilité de la communication et des rapports.

En suivant ces quatre étapes, les professionnels de la gestion des risques peuvent collaborer avec les TI afin d’atténuer les cyberrisques et de créer une culture de sensibilisation et de responsabilisation en matière de cybersécurité dans l’ensemble de l’organisation.

Ajoutez votre point de vue

Tấn Nguyễn

IT Risk at ACB - Asia Commercial Bank
Signaler la contribution
In my experience, each unit will have different skills and deep understanding in a specific field. The risk team will have a vision, skills, and information very close to the business, the cyber security team will also have a vision, skills and information very close to the forms of cyber attacks. Therefore, if performed well and effectively in the sharing and evaluation of cyber security risks among different teams, it will reduce cyber security risks effectively.

Texte traduit

J’aime
Ray Ramsay

Risk Management Professional | CPRM | Behavioural Risk and Risk Culture Specialist | Behavioural Psychologist | Veteran - Ex Reservist | Best Selling Author
(modifié)
Signaler la contribution
Just have IT create the agreed reports, and the Risk Manager can present to management, thanking the IT department. Use whatever presentation tools you have agreed with your leadership team. Don't make it complicated. Keep the reporting simple and easy to understand. It's not rocket science.

Texte traduit

J’aime
Benjamin Azinogo( PhD, Accounting Sciences)

(Financial and IT Governance Expert)
Signaler la contribution
I'm not clear with the question, Risk management professionals collaborating with IT to mitigate..... Risk management is an integral aspect of corporate governance(CG). Thus those in charge of CG must ensure effective function of risk management. To do that, staff of internal audit function must possess accounting, auditing and IT skills and knowledge. Also, external auditors must possess similar skills and knowledge for effective risk management function as most organisations are faced with complex risks.

Texte traduit

J’aime

5 Voici ce qu’il faut prendre en compte d’autre

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre ?

Ajoutez votre point de vue

Flamur Abdyli

Principal Security Assurance at Amazon Web Services (AWS)
Signaler la contribution
Collaboration is the key when it comes to risk management. The initial step includes aligning the risk management strategy with the IT strategy and jointly developing and implementing requirements across the entire company. Often, challenges arise due to various circumstances, with a common factor being the placement of individuals in roles that may not be the best fit for the task at hand.

Texte traduit

J’aime
Amandeep Sabharwal, ARM

PGDM (Risk)| ARM | Insurtech | Exposure Management | Solutioning
Signaler la contribution
In my experience fostering open communication channels to understand technological vulnerabilities. Regular risk assessments, joint training sessions, and developing incident response plans together can enhance collaboration and help mitigate risks effectively.

Texte traduit

J’aime
Yoskarlys Espinoza

ISO 31000 Lead Risk Manager | ISO 22301 Lead Implementer | SPOPC | SMPC | Gobierno Corporativo | Gestión de Riesgos | Compliance | Auditoría Interna | Continuidad del Negocio
Signaler la contribution
La colaboración entre profesionales de riesgo y TI es esencial para mitigar los riesgos cibernéticos. Eliminar los silos de trabajo y fomentar la sinergia entre ambos equipos es clave ya que la comunicación abierta, genera las instancias necesarias para identificar y priorizar de manera efectiva los riesgos relevantes, fortaleciendo así nuestra defensa contra las amenazas digitales.

Texte traduit

J’aime
Rahul Bakshi

Driving Process Excellence, Efficiency Optimization & Continuous Improvement | Internal Controls | SAP Concur | Oracle Apps
Signaler la contribution
To enhance cyber risk mitigation, risk management professionals should consider key factors such as legal compliance, effective third-party risk management, robust data protection measures, and regular testing of business continuity plans. Cyber insurance can provide financial protection, while engagement with leadership and staying updated on emerging technologies is crucial for adapting strategies. These efforts bolster collaboration with IT and improve overall cyber risk management.

Texte traduit

J’aime
Xavier Vila i Espinosa

Privacy & InfoSec Watchdog & Trainer | Eur Ing, CISM, CRISC, CDPP, CDPSE, CISA, ISO22301 & ISO27k1 LA, CPCC, CTFO, BSAFE, Private security manager
Signaler la contribution
Mandatory, management support. Is there is not managemnet support usually there is no voluntary collaboration. Only showing that this will help them to improve, IT will invest time and effort. ALWAYS show the positive part of the tasks.

Texte traduit

J’aime

Charger plus de contributions

Gestion des risques

+ Suivre

Notez cet article

Nous avons créé cet article à l’aide de l’intelligence artificielle. Qu’en pensez-vous ?

Il est très bien Ça pourrait être mieux

Signaler cet article

Tout voir

Comment les professionnels de la gestion des risques peuvent-ils collaborer avec les TI pour atténuer les cyber-risques ?

1

2

3

4

5

1 Identifier le profil de risque cyber

2 Analyser et hiérarchiser les risques cyber

3 Mettre en œuvre et suivre le plan d’atténuation des cyber-risques

4 Communiquer et signaler l’état des cyber-risques

5 Voici ce qu’il faut prendre en compte d’autre

Gestion des risques

Notez cet article

Nous vous remercions de votre feedback

Plus d’articles sur Gestion des risques

Lecture plus pertinente

Comment les professionnels de la gestion des risques peuvent-ils collaborer avec les TI pour atténuer les cyber-risques ?

1

2

3

4

5

1 Identifier le profil de risque cyber

2 Analyser et hiérarchiser les risques cyber

3 Mettre en œuvre et suivre le plan d’atténuation des cyber-risques

4 Communiquer et signaler l’état des cyber-risques

5 Voici ce qu’il faut prendre en compte d’autre

Gestion des risques

Notez cet article

Nous vous remercions de votre feedback

Explorer d’autres compétences