Top-alati za upravljanje rizicima: Svakoj tvrtki trebaju kristalna kugla i digitalno oružje

Tvrtke bez obzira na veličinu moraju upravljati rizicima, ali o njihovoj veličini ovisi koje će digitalne alate pritom upotrebljavati. Oni pomažu da se rizik ne ostvari ili da se njegove posljedice svedu na najmanju moguću mjeru. Ima ih mnogo, od softvera, aplikacija, raznih programa do tehnika virtualne simulacije. Stručnjaci za digitalne alate za upravljanje rizikom najboljim rješenjima smatraju GRC i alate XDR, SIEM, ERM, RiskWatch, LogicGate Risk Cloud te ZenGRC.

Ako se dogodi

Ipak, koliko je god važno znati odabrati koji alat tvrtki treba, treba ga znati i pravilno upotrijebiti da bi se izbjegli rizici.

– Za upravljanje rizikom preporučujemo najbolje prakse s pomoću specijaliziranoga GRC (engl. governance, risk and compliance) rješenja. Koristeći se takvim rješenjem, rizicima se upravlja u sklopu živog sustava u obliku aplikacije, a u procesu aktivno sudjeluju vlasnici rizika i ostali sudionici koji su dužni pratiti i bilježiti koje se sigurnosne kontrole primjenjuju za adresiranje sigurnosnih zahtjeva – objašnjava Dalibor Uremović, voditelj tima za GRC u tvrtki King ICT, i dodaje da gotovo sve tvrtke moraju biti usklađene s velikim brojem standarda i zakona kao što su NIS2, DORA, ISO27001, PCI DSS i drugi, a GRC sustav omogućuje im mapiranje pojedinih sigurnosnih kontrola te jasan pregled stanja i trendova sigurnosne razine.

Prema Uremovićevim riječima, King ICT koristi se vlastitim rješenjem AlterRisk GRC-om koje su prepoznali i brojni klijenti te tvrtke iz raznih sektora. AlterRisk GRC omogućuje upravljanje informacijskom imovinom i procjenu rizika, bazu znanja i konfiguracija, katalog IT servisa i procesa te procjenu usklađenosti, podršku upravljanju usklađenošću s raznim standardima, zakonima i regulativama, vođenje registra evidencije obrade osobnih podataka, moguću vezu s drugim sustavima – API i fleksibilan izvještaj. Osim toga, kao pružatelj sigurnosnih rješenja i usluga tvrtka održava najvišu moguću razinu sigurnosti. Voditelj Odjela za kibernetičku sigurnost te King ICT-ja Nino Talian tvrdi da ta tvrtka i mnogo njezinih stručnjaka imaju i održavaju sigurnosne certifikate i standarde prolazeći redovite i stroge kontrole.

– Cilj je da se rizična situacija uopće ne dogodi, o čemu se brinu naši djelatnici, ali i niz sigurnosnih sustava u objektima, na perimetru informacijskog sustava prema internetu, računalima, mobitelima, mreži, sustavu elektroničke pošte. Redovito testiramo svoje kontrole i nastojimo unaprijediti i optimirati sustav. Od alata i usluga koji su se pokazali najkorisnijim za pravodobnu detekciju i suzbijanje prijetnje izdvojili bismo XDR alate za detekciju i odgovor na kibernetičke prijetnje na računalima (EDR, endpoint detection & response) i na mreži (NDR, network detection & response) te kvalitetan SIEM alat (security information & event management). Alati jesu važni, ali znati s njima raditi još je važnije. Zato bismo svakomu tko nema dovoljno sigurnosnih stručnjaka u organizaciji preporučili specijaliziranu uslugu koju mogu pružiti specijalizirani timovi SOC-a (security operations center) – navodi Talian.

Strateška odluka

Prema riječima COO-a Rearma Jeremije Hranjeca, jedna od najboljih mjera za upravljanje rizicima poslovanja uvođenje je jedinstvenoga poslovnog sustava.

– Rearm nudi sustav upravljanja poslovanjem razvijen po mjeri svakoga poduzeća s AI odlikama, zbog čega menadžmentu pruža odličan alat za upravljanje operativnim rizicima u sklopu ERM-a (enterprise risk management). Cjelovit sustav upravljanja poslovanjem osigurava ažuran izvor informacija i analize u stvarnom vremenu, čime omogućuje donošenje informiranih odluka. Uvid u stvarno stanje financijskih pokazatelja, klijenata i dobavljača, isporuka i zaliha te mogućnost prepoznavanja rizika prediktivnom analitikom i s pomoću AI asistenata osiguravaju pravodobno otkrivanje strateških, tržišnih i financijskih rizika – objašnjava Hranjec i dodaje da na operativnoj razini automatizacija složenih i rutinskih zadataka s pomoću AI asistenta umanjuje mogućnosti ljudskih pogrešaka i propusta u poslovanju, a napredne metode enkripcije i jednostavno upravljanje pristupom podacima znatno unaprjeđuju sigurnost podataka.

Za velike, srednje i male

Stručnjak za digitalnu tehnologiju i partner Best Advisoryja Vedran Antoljak misli da ulaganje u digitalne alate za upravljanje rizikom nije pitanje samo tehnološke nadogradnje, to je i strateška odluka koja može znatno povećati tvrtkinu otpornost i konkurentnost. Prema njegovim riječima, tvrtke koje na vrijeme prepoznaju važnost tih alata i uvedu ih u poslovanje postavljaju temelje za dugoročan uspjeh i sigurnost. Digitalni alati za upravljanje rizicima, napominje, mogu biti osmišljeni za velika, srednje i manja poduzeća.

– Za velike su tvrtke IBM OpenPages with Watson i SAP GRC dva izvanredna rješenja koja upotrebljavaju umjetnu inteligenciju za procjenu i upravljanje rizicima. IBM OpenPages koristi se Watsonovom tehnologijom za analizu podataka i predviđanje potencijalnih rizika, omogućujući integraciju različitih rizika u jedinstven sustav. SAP GRC pomaže u procjeni financijskih, operativnih, IT sigurnosnih i regulatornih rizika te automatizira procese usklađivanja, pružajući sveobuhvatan pregled nad rizicima u tvrtki. Srednje velike tvrtke mogu se osloniti na alate poput RiskWatcha i LogicGate Risk Clouda. RiskWatch koristi se AI-jem za procjenu sigurnosnih rizika i usklađivanje s industrijskim standardima, što omogućuje tvrtkama zadržati kontrolu nad sigurnosnim prijetnjama. LogicGate Risk Cloud personalizira rješenja za upravljanje rizicima upotrebljavajući umjetnu inteligenciju, omogućavajući srednje velikim tvrtkama prilagodbu upravljanja rizicima prema specifičnim potrebama i sektorima. Za male tvrtke ZenGRC pristupačan je i jednostavan alat koji upotrebljava AI za automatizaciju procesa usklađivanja i upravljanja rizicima. Taj alat nudi intuitivno sučelje i prilagodljive značajke pomažući malim tvrtkama efikasno upravljati operativnim, sigurnosnim i regulatornim rizicima – objašnjava Antoljak.

Ističe da je alat ZenGRC koristan i kad se tvrtka suočava s izazovima povezanima s usklađenošću s novim regulativnim zahtjevima jer omogućuje bržu i učinkovitiju procjenu usklađenosti i prepoznavanje područja koja zahtijevaju poboljšanja te pomaže smanjiti operativne rizike i osigurati usklađenost s propisima na jednostavan i automatiziran način.

Mogućnost automatizacije

Potpredsjednik Hrvatske udruge menadžera sigurnosti i konzultant za informacijsku sigurnost Alen Delić tvrdi da je iznimno važno da se alat može integrirati s postojećim sustavima i procesima u tvrtki, kao i da nudi mogućnosti automatizacije procesa i otkrivanja rizika.

– Mnogi alati nude napredne analitičke mogućnosti i izradu specifičnih izvještaja koji pomažu u odlučivanju. Sigurnost podataka u alatima iznimno je važna jer ti podaci često sadržavaju sve slabosti sustava – navodi Delić.

Nadalje objašnjava da je osnovna ideja korištenja tih alata omogućiti ranije prepoznavanje potencijalnih prijetnji kontinuiranim praćenjem i analizom podataka, što rezultira aktivnim razumijevanjem rizika.

– Efikasno upravljanje rizicima omogućuje primjenu mjera za njihovo minimiziranje i postavljanje mjera za ublažavanje različitih šteta u slučaju incidenata ili kriza. Neki alati dodatno omogućuju usklađenost s određenim regulativnim zahtjevima. Kao i pri svakoj digitalizaciji i korištenju alata u poslovanju, ubrzavaju obradu podataka i informacija, što ubrzava rad i pruža širu sliku o razumijevanju rizika – objašnjava Delić.

Minimiziranje rizika

Prema riječima CTO-a DataBoxa Vladimira Olujića, procedure zaštite sigurnosti, povjerljivosti i integriteta informacija složenije su što su tvrtke veće i njihova organizacija kompleksnija. Veće tvrtke u pravilu imaju i mnogo veći proračun za informacijsku sigurnost koji im osigurava višeslojan pristup zaštiti svojih podataka i informacijskoj sigurnosti.

– Kao pružatelj usluga podatkovnog centra, telekomunikacijskih i usluga u oblaku kontinuirano unaprjeđujemo politike sigurnosti, metode šifriranja podataka, konfiguracije vatrozidova, razne oblike antivirusnih, EDR i sandbox-alata te svu infrastrukturu redovito i izvanredno održavamo i ažuriramo. Nastavno na sve spomenuto, primjenjujemo uvedenu kontrolu pristupa integriranu s kontrolom fizičkih uvjeta sve svoje opreme i videonadzorom specijaliziranu za našu djelatnost te svakodnevno educiramo svoje korisnike i zaposlenike – nabraja Olujić.

Prema njegovim riječima, kako bi minimizirale rizik od mogućih neželjenih događaja, vanjske tvrtke više puta na godinu analiziraju takav sustav, pri čemu provode i razne oblike penetracijskog testiranja. Kao posljednja točka u slučaju gubitka podataka, jedino na što se bilo koji korisnik može osloniti sigurnosna je kopija podataka koju za vlastite i korisničke potrebe DataBox izrađuje automatizirano na više lokacija, redovito testira mogućnosti oporavka sustava te mjeri trajanje tog postupka.