1

Кибер-риски: как понимать и управлять

Появление понятия «кибер-риска» стало первым шагом на пути понимания бизнесом важности кибербезопасности. Именно «кибер-риск» означает риск финансовых потерь (прямых и непрямых), полной или частичной остановки деятельности, а также ущерба репутации организации или частного лица. Часто после этого определения добавляют что-то вроде «в результате нарушения работы информационных сервисов и систем». Это не совсем верно, и мы сейчас объясним разницу такого подхода к работе с рисками и нашего.

Само понятие кибербезопасности намного шире информационных систем и ресурсов. Оно включает в себя все ресурсы компании или организации, в том числе, сотрудников, подрядчиков и партнеров. Любая сфера деятельности или активности, которая может влечь за собой угрозу реализации вышеописанных рисков, формирует полный охват уже кибер-рисков.

Управление кибер-рисками – это фундамент для любого действия в сфере безопасности, будь это внедрение систем или инструментов, или построение процессов и внедрение правил и политик. Проекты по управлению рисками часто недооценивают и не выделяют в отдельные. Хотя именно грамотное определение и управление кибер-рисками позволяет и бюджет на кибербезопасность распределить рационально и грамотно, и подготовиться к атакам и угрозам заранее.

Предпосылок для формализации процессов управления кибер-рисками несколько:

  • оцифровка (или «диджитализация») современного бизнеса. Уже практически не осталось отраслей, которые не вовлечены в киберпространство, и размер компаний уже также не играет роли;

  • попадание самого человека в охват применения кибер-рисков. Человек даже сам по себе уже является информационным активом, который необходимо защищать;

  • рост зависимости областей безопасности друг от друга. Например, физической безопасности от интернета вещей;

  • потребность топ-менеджеров в простом и понятном инструменте оценки безопасности и ее развития.

В мире существует множество методологий построения процессов управления рисками и первичной оценки рисков. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – это всего лишь малая часть перечня существующих практических методик. Есть унифицированные методики, есть отраслевые. Опытному консультанту не составит труда выстроить процессы оценки и управления кибер-рисками в рамках любой из них. Базовые принципы едины и их логический ряд выстроен единственно правильной цепочкой задолго до появления информационных технологий.

Если вы никогда ранее не касались управления рисками, в компании не знают, что такое карта рисков и для чего она нужно, то стоит начинать с анализа рисков. Его проводят даже при внедренных и отлаженных процессах управления, потому что кибер-риски – субстанция весьма живая и изменяются они довольно часто и сильно. При первичной оценке рисков необходимо в первую очередь определить цели управления кибербезопасностью компании. После этого важно определить критически важные элементы, которые влияют на ключевые бизнес-процессы компании. Каждый риск, в классическом понимании, оценивается по двум параметрам: вероятности и потенциальному ущербу. Исходя из этих количественных показателей формируется карта рисков и их приоритет. Такую оценку необходимо проводить регулярно, расширяя карту рисков, чтобы охватить как можно больше потенциальных рисков для компании.

На основании оценки кибер-рисков проводится их приоритезация для бизнеса. Как правило, это показатель финансовый, который понятен представителям топ-менеджмента и бизнес подразделений. И далее начинается самое интересное: работа с рисками. То есть, каждый риск после оценки подлежит анализу, чтобы выработать меры работы с ним. Есть классический набор таких мер: минимизация, принятие, уклонение, перевод и диверсификация. Однако, в разных методиках могут возникать новые термины или инструменты. Задача этого этапа работ состоит в выборе правильного инструмента управления для каждого риска (инструмент может быть пересмотрен в последствии и изменен). К примеру, иногда компании принимают риск потери клиента, понимая, что финансово им будет невыгодно бороться за него. Так и в кибербезопасности, может оказаться, что защита какого-то ресурса или актива нецелесообразна и легче застраховать его потерю или компрометацию.

Следующим этапом является применение выбранных инструментов и мер управления кибер-рисками и проверка их эффективности. В рамках следующего пересмотра карты рисков вполне может оказаться, что выбранный метод управления риском не оправдал ожиданий, или что у риска изменились его параметры (вероятность и ущерб), что требует более жесткого или, наоборот, мягкого и не затратного влияния на него.

Заключающим этапом является опять оценка, а вернее пересмотр процессов и карты кибер-рисков на регулярной основе. Именно такой, цикличный подход помогает работать с актуальной информацией и актуальными угрозами. Таким образом, компания поддерживает максимальный уровень киберустойчивости, управляя приоритетными рисками на сегодняшний день и управляя ими эффективно. Кибер угрозы не перестанут появляться, атак тоже меньше не станет, поэтому превентивная оценка и подготовка к наиболее опасным для вас событиям – правильный и уже просто необходимый шаг в современном мире.

Related Posts

card__image

10Guards: Cyberattacks through social engineering are inevitable

Извините, этот текст доступен только на “Английский”. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. Looking at the posts and comments in our LinkedIn Security Industry Group, it is clear that cybersecurity is a key topic for many of […]

card__image

Черные лебеди, Канарейки и кибербезопасность

Кому-то юмор помог стать президентом, а мне он однажды помог на мероприятии Startup Crash Test выиграть бумажную книгу Нассима Талеба «Черный лебедь». В то время я читал электронные книги, и эта книга пропылилась на полке примерно год, пока у меня не сломалась электронная «читалка». Пробежав глазами по книжной полке, заметил ценник на книге Талеба, подумал: «Дорогая […]

card__image

Управление ИТ активами — больше, чем инвентаризация

Информационные технологии (ИТ) и департаменты, ответственные за их эксплуатацию в компании, долгое время было принято воспринимать как расходы и только. О том, чтобы совместить слово «актив» и ИТ даже речи быть не могло. Директора по ИТ привычно боролись на совещаниях и советах директоров за право на существование и развитие, поскольку всем заправляли бизнес подразделения. Прошли […]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *