1

Кибер-риски: как понимать и управлять

Появление понятия «кибер-риска» стало первым шагом на пути понимания бизнесом важности кибербезопасности. Именно «кибер-риск» означает риск финансовых потерь (прямых и непрямых), полной или частичной остановки деятельности, а также ущерба репутации организации или частного лица. Часто после этого определения добавляют что-то вроде «в результате нарушения работы информационных сервисов и систем». Это не совсем верно, и мы сейчас объясним разницу такого подхода к работе с рисками и нашего.

Само понятие кибербезопасности намного шире информационных систем и ресурсов. Оно включает в себя все ресурсы компании или организации, в том числе, сотрудников, подрядчиков и партнеров. Любая сфера деятельности или активности, которая может влечь за собой угрозу реализации вышеописанных рисков, формирует полный охват уже кибер-рисков.

Управление кибер-рисками – это фундамент для любого действия в сфере безопасности, будь это внедрение систем или инструментов, или построение процессов и внедрение правил и политик. Проекты по управлению рисками часто недооценивают и не выделяют в отдельные. Хотя именно грамотное определение и управление кибер-рисками позволяет и бюджет на кибербезопасность распределить рационально и грамотно, и подготовиться к атакам и угрозам заранее.

Предпосылок для формализации процессов управления кибер-рисками несколько:

  • оцифровка (или «диджитализация») современного бизнеса. Уже практически не осталось отраслей, которые не вовлечены в киберпространство, и размер компаний уже также не играет роли;

  • попадание самого человека в охват применения кибер-рисков. Человек даже сам по себе уже является информационным активом, который необходимо защищать;

  • рост зависимости областей безопасности друг от друга. Например, физической безопасности от интернета вещей;

  • потребность топ-менеджеров в простом и понятном инструменте оценки безопасности и ее развития.

В мире существует множество методологий построения процессов управления рисками и первичной оценки рисков. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – это всего лишь малая часть перечня существующих практических методик. Есть унифицированные методики, есть отраслевые. Опытному консультанту не составит труда выстроить процессы оценки и управления кибер-рисками в рамках любой из них. Базовые принципы едины и их логический ряд выстроен единственно правильной цепочкой задолго до появления информационных технологий.

Если вы никогда ранее не касались управления рисками, в компании не знают, что такое карта рисков и для чего она нужно, то стоит начинать с анализа рисков. Его проводят даже при внедренных и отлаженных процессах управления, потому что кибер-риски – субстанция весьма живая и изменяются они довольно часто и сильно. При первичной оценке рисков необходимо в первую очередь определить цели управления кибербезопасностью компании. После этого важно определить критически важные элементы, которые влияют на ключевые бизнес-процессы компании. Каждый риск, в классическом понимании, оценивается по двум параметрам: вероятности и потенциальному ущербу. Исходя из этих количественных показателей формируется карта рисков и их приоритет. Такую оценку необходимо проводить регулярно, расширяя карту рисков, чтобы охватить как можно больше потенциальных рисков для компании.

На основании оценки кибер-рисков проводится их приоритезация для бизнеса. Как правило, это показатель финансовый, который понятен представителям топ-менеджмента и бизнес подразделений. И далее начинается самое интересное: работа с рисками. То есть, каждый риск после оценки подлежит анализу, чтобы выработать меры работы с ним. Есть классический набор таких мер: минимизация, принятие, уклонение, перевод и диверсификация. Однако, в разных методиках могут возникать новые термины или инструменты. Задача этого этапа работ состоит в выборе правильного инструмента управления для каждого риска (инструмент может быть пересмотрен в последствии и изменен). К примеру, иногда компании принимают риск потери клиента, понимая, что финансово им будет невыгодно бороться за него. Так и в кибербезопасности, может оказаться, что защита какого-то ресурса или актива нецелесообразна и легче застраховать его потерю или компрометацию.

Следующим этапом является применение выбранных инструментов и мер управления кибер-рисками и проверка их эффективности. В рамках следующего пересмотра карты рисков вполне может оказаться, что выбранный метод управления риском не оправдал ожиданий, или что у риска изменились его параметры (вероятность и ущерб), что требует более жесткого или, наоборот, мягкого и не затратного влияния на него.

Заключающим этапом является опять оценка, а вернее пересмотр процессов и карты кибер-рисков на регулярной основе. Именно такой, цикличный подход помогает работать с актуальной информацией и актуальными угрозами. Таким образом, компания поддерживает максимальный уровень киберустойчивости, управляя приоритетными рисками на сегодняшний день и управляя ими эффективно. Кибер угрозы не перестанут появляться, атак тоже меньше не станет, поэтому превентивная оценка и подготовка к наиболее опасным для вас событиям – правильный и уже просто необходимый шаг в современном мире.

Related Posts

card__image

Зафиксирован трёхлетний рекорд по фишингу

Участники Антифишинговой рабочей группы (APWG) выявили 266,4 тыс. сайтов-ловушек в период с июля по сентябрь 2019 года. Этот показатель значительно выше, чем в предыдущем квартале — почти на 84 тыс. Такую высокую активность кибермошенников эксперты последний раз засекли в 4 квартале 2016 года (277,7 тыс.). И хотя показатель достаточно пугающий, исследователи напоминают, что уровень фишинга в прошлом году побил рекорд […]

card__image

Почти 90% пользователей интернета находятся под слежкой

Аналитики Freedom House пришли к выводу, что около 3 млрд человек — 89% интернет-пользователей — находятся под той или иной формой слежки. Правительства используют все более совершенные технологии для мониторинга поведения своих граждан в социальных сетях. Согласно отчету, рынок слежки вырос, предоставляя разведывательным и правоохранительным органам новые инструменты для анализа огромных объемов информации. По меньшей […]

card__image

Инвестиции в информбезопасность: факты и прогнозы

По итогам 2019 года компании потратят на защиту данных почти $107 млрд, что на 10,7% превышает прошлогодние показатели. Такой прогноза эксперты IDC сделали в отчете агентства о мировых инвестициях в информационную безопасность.   На что компании пустят бюджет ИБ Больше всего денег уйдет на такие услуги: — управление процессами кибербезопасности; —  услуги по интеграции; — консультационные услуги; — обучение и тренинги в […]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *