1

Кибер-риски: как понимать и управлять

Появление понятия «кибер-риска» стало первым шагом на пути понимания бизнесом важности кибербезопасности. Именно «кибер-риск» означает риск финансовых потерь (прямых и непрямых), полной или частичной остановки деятельности, а также ущерба репутации организации или частного лица. Часто после этого определения добавляют что-то вроде «в результате нарушения работы информационных сервисов и систем». Это не совсем верно, и мы сейчас объясним разницу такого подхода к работе с рисками и нашего.

Само понятие кибербезопасности намного шире информационных систем и ресурсов. Оно включает в себя все ресурсы компании или организации, в том числе, сотрудников, подрядчиков и партнеров. Любая сфера деятельности или активности, которая может влечь за собой угрозу реализации вышеописанных рисков, формирует полный охват уже кибер-рисков.

Управление кибер-рисками – это фундамент для любого действия в сфере безопасности, будь это внедрение систем или инструментов, или построение процессов и внедрение правил и политик. Проекты по управлению рисками часто недооценивают и не выделяют в отдельные. Хотя именно грамотное определение и управление кибер-рисками позволяет и бюджет на кибербезопасность распределить рационально и грамотно, и подготовиться к атакам и угрозам заранее.

Предпосылок для формализации процессов управления кибер-рисками несколько:

  • оцифровка (или «диджитализация») современного бизнеса. Уже практически не осталось отраслей, которые не вовлечены в киберпространство, и размер компаний уже также не играет роли;

  • попадание самого человека в охват применения кибер-рисков. Человек даже сам по себе уже является информационным активом, который необходимо защищать;

  • рост зависимости областей безопасности друг от друга. Например, физической безопасности от интернета вещей;

  • потребность топ-менеджеров в простом и понятном инструменте оценки безопасности и ее развития.

В мире существует множество методологий построения процессов управления рисками и первичной оценки рисков. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – это всего лишь малая часть перечня существующих практических методик. Есть унифицированные методики, есть отраслевые. Опытному консультанту не составит труда выстроить процессы оценки и управления кибер-рисками в рамках любой из них. Базовые принципы едины и их логический ряд выстроен единственно правильной цепочкой задолго до появления информационных технологий.

Если вы никогда ранее не касались управления рисками, в компании не знают, что такое карта рисков и для чего она нужно, то стоит начинать с анализа рисков. Его проводят даже при внедренных и отлаженных процессах управления, потому что кибер-риски – субстанция весьма живая и изменяются они довольно часто и сильно. При первичной оценке рисков необходимо в первую очередь определить цели управления кибербезопасностью компании. После этого важно определить критически важные элементы, которые влияют на ключевые бизнес-процессы компании. Каждый риск, в классическом понимании, оценивается по двум параметрам: вероятности и потенциальному ущербу. Исходя из этих количественных показателей формируется карта рисков и их приоритет. Такую оценку необходимо проводить регулярно, расширяя карту рисков, чтобы охватить как можно больше потенциальных рисков для компании.

На основании оценки кибер-рисков проводится их приоритезация для бизнеса. Как правило, это показатель финансовый, который понятен представителям топ-менеджмента и бизнес подразделений. И далее начинается самое интересное: работа с рисками. То есть, каждый риск после оценки подлежит анализу, чтобы выработать меры работы с ним. Есть классический набор таких мер: минимизация, принятие, уклонение, перевод и диверсификация. Однако, в разных методиках могут возникать новые термины или инструменты. Задача этого этапа работ состоит в выборе правильного инструмента управления для каждого риска (инструмент может быть пересмотрен в последствии и изменен). К примеру, иногда компании принимают риск потери клиента, понимая, что финансово им будет невыгодно бороться за него. Так и в кибербезопасности, может оказаться, что защита какого-то ресурса или актива нецелесообразна и легче застраховать его потерю или компрометацию.

Следующим этапом является применение выбранных инструментов и мер управления кибер-рисками и проверка их эффективности. В рамках следующего пересмотра карты рисков вполне может оказаться, что выбранный метод управления риском не оправдал ожиданий, или что у риска изменились его параметры (вероятность и ущерб), что требует более жесткого или, наоборот, мягкого и не затратного влияния на него.

Заключающим этапом является опять оценка, а вернее пересмотр процессов и карты кибер-рисков на регулярной основе. Именно такой, цикличный подход помогает работать с актуальной информацией и актуальными угрозами. Таким образом, компания поддерживает максимальный уровень киберустойчивости, управляя приоритетными рисками на сегодняшний день и управляя ими эффективно. Кибер угрозы не перестанут появляться, атак тоже меньше не станет, поэтому превентивная оценка и подготовка к наиболее опасным для вас событиям – правильный и уже просто необходимый шаг в современном мире.

Related Posts

card__image

Survey Reveals Alarming Trend: half of cybersecurity professionals expect to burnout in the next 12 months

Извините, этот текст доступен только на “en” и “ua”. MultiTeam Solutions, a leading human-centered cybersecurity teamwork development company, has shared a concerning statistic – half of cybersecurity professionals are expecting to experience burnout within the next year. This revelation comes from a new report titled “Stress & Burnout in Cybersecurity: The Risk of a Thousand […]

card__image

Атаки на цепочки поставок являются главной киберугрозой до 2030 года – ENISA

Агентство Европейского Союза по вопросам сетевой и информационной безопасности прогнозирует, что цепочки поставок ПО занимают первое место среди 10 главных киберугроз до 2030 года. То есть атаки на цепочки поставок программного обеспечения представляют собой наибольшую угрозу, с которой могут столкнуться организации ЕС до 2030 года, согласно обновленному отчету Foresight 2030 Threats за 2024 год от […]

card__image

Advanced Cybersecurity Boosts Higher Returns For Shareholders

Извините, этот текст доступен только на “en” и “ua”.   The study by Diligent and Bitsight points to advanced security and strong risk or audit committees as good predictors of an enterprise’s financial success.   Cybersecurity preparedness and financial success are strongly correlated with companies that maintain strong security measures, outperforming peers with only basic […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *