1

Cyber audit

Leider ist der Eintrag nur auf ru und ua verfügbar.

Киберпространство несет угрозы для бизнеса – чем успешней компания, тем выше риски. Потому так важно иметь план на случай возникновения киберугроз и делать периодические аудиты.

Давайте разберемся, какие виды периодических аудитов существуют.

1. Аудит текущих процессов, политик и процедур кибербезопасности.  Главный результат этих аудитов – на выходе получить работающие инструменты, а не просто прописанные для галочки. Желательно проводить после переоценки текущих рисков бизнеса.

2. Аудит текущего уровня защищенности от киберугроз. Включает в себя поиск уязвимостей, моделирование хакерских атак, тесты на проникновение и т.п. Этот тип аудитов – уже как краш-тест или стресс-тест для бизнеса и/или технического персонала, проверка на реагирование персонала на киберугрозы, а также проверка реального внедрения политик, процессов и процедур. Во время таких аудитов также могут выявляться так называемые теневые IT-системы (Shadow IT), которые формально в компании не задокументированы и неизвестны IT-персоналу.

3. Аудит на соответствие требованиям регуляторов, стандартов (compliance). Здесь понятный аудит, который помогает компании получить сертификацию и/или лицензию. Считаются аудитами для галочки, но при внедрении всех требований регуляторов/стандартов бизнес однозначно становится безопаснее и киберустойчивее.

Зачем это нужно?

Кибераудит – это срез текущего состояния кибербезопасности, который позволит понять, где вы находитесь и куда нужно двигаться, чтобы стать безопаснее. Также с его помощью можно уменьшить киберриски и последствия их возникновения.

Так как риск – величина вероятностная, то есть может наступить, а может – и нет, то оправдать аудиты однозначными объективными расчетами очень сложно. В принципе, работа с рисками, риск-менеджмент – это показатель зрелости бизнеса, который мыслит стратегически. В доказательство этому – большинство крупных западных компаний проводит аудиты кибербезопасности на постоянной основе. Такие программы называются bug bounty, охота за ошибками. Их цель – находить проблемы кибербезопасности в продуктах или в кибербезопасности самой компании и получать за это вознаграждение. Важно понимать, что программы bug bounty действуют параллельно с другими типами аудитов, особенно с аудитами на соответствие, без которых сложно самостоятельно получить необходимые сертификаты/лицензии.

Сколько это стоит?

Стоимость аудитов варьируется от их типа, квалификации аудиторов и величины аудируемой компании, и может составлять как тысячи, так и десятки тысяч долларов. Экономический эффект от аудитов сложно посчитать напрямую, так же, как и эффект от проведения медосмотров или техосмотров.

Однако косвенно качественно проведенный аудит может вскрыть проблемы безопасности, которые зачастую приводят к прямым или непрямым финансовым потерям, простою отдельных бизнес-процессов или бизнеса в целом. Поэтому пренебрегать проведением периодических аудитов не стоит, а тип аудитов следует выбирать в зависимости от текущих условий и задач бизнеса.

Related Posts

card__image

Security skills and certification gap behind intensified attack impacts

Leider ist der Eintrag nur auf en und ua verfügbar. Organizations are increasingly attributing security breaches to a skills gap, while as a validation of current cybersecurity skills and knowledge, certifications continue to be highly valued by employers, according to Fortinet’s recent report.   Fortinet surveyed over 1,850 IT and cybersecurity decision-makers for its 2024 […]

card__image

Survey Reveals Alarming Trend: half of cybersecurity professionals expect to burnout in the next 12 months

Leider ist der Eintrag nur auf en und ua verfügbar. MultiTeam Solutions, a leading human-centered cybersecurity teamwork development company, has shared a concerning statistic – half of cybersecurity professionals are expecting to experience burnout within the next year. This revelation comes from a new report titled “Stress & Burnout in Cybersecurity: The Risk of a […]