Кибер-риски: как понимать и управлять

Появление понятия «кибер-риска» стало первым шагом на пути понимания бизнесом важности кибербезопасности. Именно «кибер-риск» означает риск финансовых потерь (прямых и непрямых), полной или частичной остановки деятельности, а также ущерба репутации организации или частного лица. Часто после этого определения добавляют что-то вроде «в результате нарушения работы информационных сервисов и систем». Это не совсем верно, и мы сейчас объясним разницу такого подхода к работе с рисками и нашего.

Само понятие кибербезопасности намного шире информационных систем и ресурсов. Оно включает в себя все ресурсы компании или организации, в том числе, сотрудников, подрядчиков и партнеров. Любая сфера деятельности или активности, которая может влечь за собой угрозу реализации вышеописанных рисков, формирует полный охват уже кибер-рисков.

Управление кибер-рисками – это фундамент для любого действия в сфере безопасности, будь это внедрение систем или инструментов, или построение процессов и внедрение правил и политик. Проекты по управлению рисками часто недооценивают и не выделяют в отдельные. Хотя именно грамотное определение и управление кибер-рисками позволяет и бюджет на кибербезопасность распределить рационально и грамотно, и подготовиться к атакам и угрозам заранее.

Предпосылок для формализации процессов управления кибер-рисками несколько:

• оцифровка (или «диджитализация») современного бизнеса. Уже практически не осталось отраслей, которые не вовлечены в киберпространство, и размер компаний уже также не играет роли;

• попадание самого человека в охват применения кибер-рисков. Человек даже сам по себе уже является информационным активом, который необходимо защищать;

• рост зависимости областей безопасности друг от друга. Например, физической безопасности от интернета вещей;

• потребность топ-менеджеров в простом и понятном инструменте оценки безопасности и ее развития.

В мире существует множество методологий построения процессов управления рисками и первичной оценки рисков. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – это всего лишь малая часть перечня существующих практических методик. Есть унифицированные методики, есть отраслевые. Опытному консультанту не составит труда выстроить процессы оценки и управления кибер-рисками в рамках любой из них. Базовые принципы едины и их логический ряд выстроен единственно правильной цепочкой задолго до появления информационных технологий.

Если вы никогда ранее не касались управления рисками, в компании не знают, что такое карта рисков и для чего она нужно, то стоит начинать с анализа рисков. Его проводят даже при внедренных и отлаженных процессах управления, потому что кибер-риски – субстанция весьма живая и изменяются они довольно часто и сильно. При первичной оценке рисков необходимо в первую очередь определить цели управления кибербезопасностью компании. После этого важно определить критически важные элементы, которые влияют на ключевые бизнес-процессы компании. Каждый риск, в классическом понимании, оценивается по двум параметрам: вероятности и потенциальному ущербу. Исходя из этих количественных показателей формируется карта рисков и их приоритет. Такую оценку необходимо проводить регулярно, расширяя карту рисков, чтобы охватить как можно больше потенциальных рисков для компании.

На основании оценки кибер-рисков проводится их приоритезация для бизнеса. Как правило, это показатель финансовый, который понятен представителям топ-менеджмента и бизнес подразделений. И далее начинается самое интересное: работа с рисками. То есть, каждый риск после оценки подлежит анализу, чтобы выработать меры работы с ним. Есть классический набор таких мер: минимизация, принятие, уклонение, перевод и диверсификация. Однако, в разных методиках могут возникать новые термины или инструменты. Задача этого этапа работ состоит в выборе правильного инструмента управления для каждого риска (инструмент может быть пересмотрен в последствии и изменен). К примеру, иногда компании принимают риск потери клиента, понимая, что финансово им будет невыгодно бороться за него. Так и в кибербезопасности, может оказаться, что защита какого-то ресурса или актива нецелесообразна и легче застраховать его потерю или компрометацию.

Следующим этапом является применение выбранных инструментов и мер управления кибер-рисками и проверка их эффективности. В рамках следующего пересмотра карты рисков вполне может оказаться, что выбранный метод управления риском не оправдал ожиданий, или что у риска изменились его параметры (вероятность и ущерб), что требует более жесткого или, наоборот, мягкого и не затратного влияния на него.

Заключающим этапом является опять оценка, а вернее пересмотр процессов и карты кибер-рисков на регулярной основе. Именно такой, цикличный подход помогает работать с актуальной информацией и актуальными угрозами. Таким образом, компания поддерживает максимальный уровень киберустойчивости, управляя приоритетными рисками на сегодняшний день и управляя ими эффективно. Кибер угрозы не перестанут появляться, атак тоже меньше не станет, поэтому превентивная оценка и подготовка к наиболее опасным для вас событиям – правильный и уже просто необходимый шаг в современном мире.