Киберпространство несет угрозы для бизнеса — чем успешней компания, тем выше риски. Потому так важно иметь план на случай возникновения киберугроз и делать периодические аудиты.
Давайте разберемся, какие виды периодических аудитов существуют.
1. Аудит текущих процессов, политик и процедур кибербезопасности. Главный результат этих аудитов – на выходе получить работающие инструменты, а не просто прописанные для галочки. Желательно проводить после переоценки текущих рисков бизнеса.
2. Аудит текущего уровня защищенности от киберугроз. Включает в себя поиск уязвимостей, моделирование хакерских атак, тесты на проникновение и т.п. Этот тип аудитов – уже как краш-тест или стресс-тест для бизнеса и/или технического персонала, проверка на реагирование персонала на киберугрозы, а также проверка реального внедрения политик, процессов и процедур. Во время таких аудитов также могут выявляться так называемые теневые IT-системы (Shadow IT), которые формально в компании не задокументированы и неизвестны IT-персоналу.
3. Аудит на соответствие требованиям регуляторов, стандартов (compliance). Здесь понятный аудит, который помогает компании получить сертификацию и/или лицензию. Считаются аудитами для галочки, но при внедрении всех требований регуляторов/стандартов бизнес однозначно становится безопаснее и киберустойчивее.
Зачем это нужно?
Кибераудит – это срез текущего состояния кибербезопасности, который позволит понять, где вы находитесь и куда нужно двигаться, чтобы стать безопаснее. Также с его помощью можно уменьшить киберриски и последствия их возникновения.
Так как риск – величина вероятностная, то есть может наступить, а может – и нет, то оправдать аудиты однозначными объективными расчетами очень сложно. В принципе, работа с рисками, риск-менеджмент – это показатель зрелости бизнеса, который мыслит стратегически. В доказательство этому – большинство крупных западных компаний проводит аудиты кибербезопасности на постоянной основе. Такие программы называются bug bounty, охота за ошибками. Их цель – находить проблемы кибербезопасности в продуктах или в кибербезопасности самой компании и получать за это вознаграждение. Важно понимать, что программы bug bounty действуют параллельно с другими типами аудитов, особенно с аудитами на соответствие, без которых сложно самостоятельно получить необходимые сертификаты/лицензии.
Сколько это стоит?
Стоимость аудитов варьируется от их типа, квалификации аудиторов и величины аудируемой компании, и может составлять как тысячи, так и десятки тысяч долларов. Экономический эффект от аудитов сложно посчитать напрямую, так же, как и эффект от проведения медосмотров или техосмотров.
Однако косвенно качественно проведенный аудит может вскрыть проблемы безопасности, которые зачастую приводят к прямым или непрямым финансовым потерям, простою отдельных бизнес-процессов или бизнеса в целом. Поэтому пренебрегать проведением периодических аудитов не стоит, а тип аудитов следует выбирать в зависимости от текущих условий и задач бизнеса.
