Финансовый кризис 2008 года и снижение рыночной стоимости акций компаний на фондовых биржах практически на 60% подвергло сомнениям эффективность традиционного управления рисками. Современный рынок требует глубокого обновления указанной области и обращения к смежным профессиональным сферам для адекватного реагирования на потенциальные угрозы. Одним из радикальных путей переосмысления вопросов безопасности является концепция когнитивного управления.

Стоит ли менять мышление?

В последнее время кибер-безопасности уделяется большое внимание ввиду многомиллиардных инвестиций и отсутствия видимого успеха в предотвращении краж конфиденциальных данных компаний хакерами. Подобное несоответствие усилий и результатов получило название кибер-парадокса. Ответ на вопрос, почему дополнительные капиталовложения не влияют положительно на уменьшение числа кибер-рисков, заключается в том, что инвестиции были направлены на устранение неверно выбранной уязвимости.

Вряд ли кого-то удивит факт отсутствия универсального решения управления рисками для компаний в разных рыночных нишах. Хотя стоит отметить, что во многих отчетах о мошенничестве и операционных сбоях частой причиной провалов называют человеческие ошибки и поведенческие паттерны. Именно поведение сотрудников считается наиболее уязвимым аспектом в кибер-безопасности компании.

Традиционные структуры риска предназначены для обеспечения эффективности финансового и операционного контроля в соответствии с организационной стратегией. В отличие от них, когнитивный подход фокусирует внимание на редизайне человеческого мышления. При этом, когнитивное управление не конкурируют с консервативными инструментами, напротив, дополняет их основополагающие функции.

Психологи Д. Канеман и А. Тверски описывают атрибуты человеческого мышления с позиции интуиции, постулируя идею Г. Саймона об ограниченной рациональности нашего разума (Статья «Mastering Complexity Through Simplification: Four Steps to Creating Competitive Advantage» для BCG, 2017). Наблюдения ученых о лимитированности прагматических возможностей дает представление о том, как преодолеть собственные стереотипы. Ориентация исключительно на мышление Homo Economicus относится к одной из основных проблем в управлении рисками.

Переход от экономики ручного анализа данных 19-го века к цифровой трансформации требует новых структур, инструментов и, что наиболее важно, нового мышления о природе риска. Информационные технологии и наличие огромного объема информации способствуют лучшему анализу рискованных ситуаций, но понимание причин человеческих промахов создаст своеобразный эффект мультипликатора. Если современное программное обеспечение служит рычагом для повышения производительности, то сокращение вероятностей ошибки со стороны персонала выступает множителем результативности компании.

Исследователи, изучавшие тенденции кибер-рынка, пришли к выводу: попытки взломать усиленные средства защиты корпораций побуждают хакеров нацеливаться на человеческий разум как наиболее слабое звено в структуре предприятия. Когнитивные хаки, фишинговые атаки, вредоносное ПО, доставляемое ботнетами, добились большого успеха, чем специалисты по корпоративной и государственной безопасности.

Очень немногие компании создали продуманный подход для защиты персонала. Речь идет не о намеренной продаже конфиденциальных данных или корпоративном шпионаже. Обратите внимание на доступ к сведениям, который компания предоставляет посредством мобильных устройств, социальных сетей и интернет-серфинга. Когнитивные хаки по уровню успешности превосходят другие кибер-атаки, поскольку люди наименее защищены в большинстве систем. Когнитивный подход к управлению рисками призван создать сложные методологии предотвращения угроз, базирующихся на понимании несовершенства человеческой природы.

Когнитивное управление: введение в специализацию

Под когнитивным управлением понимают инновационный подход к осуществлению контроля со стороны топ-менеджеров и специалистов по рискам. Концепция Cognitive Risks Framework (CRFC) предлагает трехмерную структуру защиты против потенциальных угроз, с помощью научных методов и улучшения коммуникации о рисках. CRFC – это эволюционный шаг от интуиции и догадок к количественному анализу и измерению опасностей. Когнитивное управление включает 5 элементов:

  • Управление рисками разделяется на обязанности по собственно управлению угрозами и оценке потенциальных опасностей
  • Восприятие риска ориентировано на понимание различных взглядов и представлений об угрозах, которые препятствуют их эффективному управлению
  • Дизайн человеческого мышления учитывает когнитивную нагрузку, ситуационную осведомленность и взаимодействие человека с технологиями
  • Интеллект и моделирование ориентированы на бизнес-активность, эффективность, безопасность и риски
  • Структура капитала относится к скорректированной на риск доходности капитала и потерям прибыли ввиду косвенных юридических и договорных обязательств.

Пять столпов CRFC расширяют природу риска посредством концепций поведенческой науки, чтобы построить мост, соединяющий методологию принятия решений, технологии и управление угрозами. Существует возможность распространить структуру когнитивного риска на другие программы безопасности, наравне с кибер-средой.

Когнитивное управление предназначено для выявления слепых зон и недостатков, имеющих место в организациях, которые рассматривают управление рисками как отдельную задачу, отличную от основной бизнес-стратегии компании. Так, упрощенный пример когнитивного управления, приведенный Х. Сан, включал разработку алгоритма машинного обучения и COIN (анализ контрактов). Программа была направлена на выполнение работы адвокатов и кредитных специалистов в считанные секунды, на которую последние тратят около 360 000 часов в год (Статья «JPMorgan Software Does in Seconds What Took Lawyers 360,000 Hours» для Bloomberg, 2017).

Однако, большинству компаний не хватает ресурсов для инвестирования в искусственный интеллект, хотя они могут извлечь выгоду из сосредоточенности на когнитивном управлении через процесс упрощения. Речь идет о всестороннем раскрытии возможных рисков, скрытых в сложных производственных операциях.

Таким образом, когнитивное управление рисками, или CogSec, ориентируется на междисциплинарный подход на ранней стадии разработки проекта, который будет использовать вариативную информатику безопасности в оборонительной и наступательной стратегии в ответ на кибер-риски. «Разовых» решений недостаточно для борьбы с асимметричными угрозами кибер-безопасности. Когнитивные системы дают возможность обнаружить аномалии и ошибочную логику, а также снабжают разумными доводами на основе фактических данных, позволяя аналитикам взвешивать альтернативные результаты и улучшать процесс принятия решений.

Источник:

https://www.corporatecomplianceinsights.com/cognitive-governance-risk-framework/

Читайте также: