1

Кибер-риски: как понимать и управлять

Появление понятия «кибер-риска» стало первым шагом на пути понимания бизнесом важности кибербезопасности. Именно «кибер-риск» означает риск финансовых потерь (прямых и непрямых), полной или частичной остановки деятельности, а также ущерба репутации организации или частного лица. Часто после этого определения добавляют что-то вроде «в результате нарушения работы информационных сервисов и систем». Это не совсем верно, и мы сейчас объясним разницу такого подхода к работе с рисками и нашего.

Само понятие кибербезопасности намного шире информационных систем и ресурсов. Оно включает в себя все ресурсы компании или организации, в том числе, сотрудников, подрядчиков и партнеров. Любая сфера деятельности или активности, которая может влечь за собой угрозу реализации вышеописанных рисков, формирует полный охват уже кибер-рисков.

Управление кибер-рисками – это фундамент для любого действия в сфере безопасности, будь это внедрение систем или инструментов, или построение процессов и внедрение правил и политик. Проекты по управлению рисками часто недооценивают и не выделяют в отдельные. Хотя именно грамотное определение и управление кибер-рисками позволяет и бюджет на кибербезопасность распределить рационально и грамотно, и подготовиться к атакам и угрозам заранее.

Предпосылок для формализации процессов управления кибер-рисками несколько:

  • оцифровка (или «диджитализация») современного бизнеса. Уже практически не осталось отраслей, которые не вовлечены в киберпространство, и размер компаний уже также не играет роли;

  • попадание самого человека в охват применения кибер-рисков. Человек даже сам по себе уже является информационным активом, который необходимо защищать;

  • рост зависимости областей безопасности друг от друга. Например, физической безопасности от интернета вещей;

  • потребность топ-менеджеров в простом и понятном инструменте оценки безопасности и ее развития.

В мире существует множество методологий построения процессов управления рисками и первичной оценки рисков. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – это всего лишь малая часть перечня существующих практических методик. Есть унифицированные методики, есть отраслевые. Опытному консультанту не составит труда выстроить процессы оценки и управления кибер-рисками в рамках любой из них. Базовые принципы едины и их логический ряд выстроен единственно правильной цепочкой задолго до появления информационных технологий.

Если вы никогда ранее не касались управления рисками, в компании не знают, что такое карта рисков и для чего она нужно, то стоит начинать с анализа рисков. Его проводят даже при внедренных и отлаженных процессах управления, потому что кибер-риски – субстанция весьма живая и изменяются они довольно часто и сильно. При первичной оценке рисков необходимо в первую очередь определить цели управления кибербезопасностью компании. После этого важно определить критически важные элементы, которые влияют на ключевые бизнес-процессы компании. Каждый риск, в классическом понимании, оценивается по двум параметрам: вероятности и потенциальному ущербу. Исходя из этих количественных показателей формируется карта рисков и их приоритет. Такую оценку необходимо проводить регулярно, расширяя карту рисков, чтобы охватить как можно больше потенциальных рисков для компании.

На основании оценки кибер-рисков проводится их приоритезация для бизнеса. Как правило, это показатель финансовый, который понятен представителям топ-менеджмента и бизнес подразделений. И далее начинается самое интересное: работа с рисками. То есть, каждый риск после оценки подлежит анализу, чтобы выработать меры работы с ним. Есть классический набор таких мер: минимизация, принятие, уклонение, перевод и диверсификация. Однако, в разных методиках могут возникать новые термины или инструменты. Задача этого этапа работ состоит в выборе правильного инструмента управления для каждого риска (инструмент может быть пересмотрен в последствии и изменен). К примеру, иногда компании принимают риск потери клиента, понимая, что финансово им будет невыгодно бороться за него. Так и в кибербезопасности, может оказаться, что защита какого-то ресурса или актива нецелесообразна и легче застраховать его потерю или компрометацию.

Следующим этапом является применение выбранных инструментов и мер управления кибер-рисками и проверка их эффективности. В рамках следующего пересмотра карты рисков вполне может оказаться, что выбранный метод управления риском не оправдал ожиданий, или что у риска изменились его параметры (вероятность и ущерб), что требует более жесткого или, наоборот, мягкого и не затратного влияния на него.

Заключающим этапом является опять оценка, а вернее пересмотр процессов и карты кибер-рисков на регулярной основе. Именно такой, цикличный подход помогает работать с актуальной информацией и актуальными угрозами. Таким образом, компания поддерживает максимальный уровень киберустойчивости, управляя приоритетными рисками на сегодняшний день и управляя ими эффективно. Кибер угрозы не перестанут появляться, атак тоже меньше не станет, поэтому превентивная оценка и подготовка к наиболее опасным для вас событиям – правильный и уже просто необходимый шаг в современном мире.

Related Posts

card__image

Nearly two thirds of CISOs have had to deal with the loss of sensitive data in the past 12 months — Proofpoint report

Извините, этот текст доступен только на “Английский” и “Украинский”. For the sake of viewer convenience, the content is shown below in one of the available alternative languages. You may click one of the links to switch the site language to another available language. Cybersecurity company Proofpoint released its annual Voice of the CISO report, which […]

card__image

Your password can be exposed in seconds

Извините, этот текст доступен только на “Английский” и “Украинский”. For the sake of viewer convenience, the content is shown below in one of the available alternative languages. You may click one of the links to switch the site language to another available language. When did you last update your passcodes? Cybersecurity experts say 95% of […]

card__image

Более 40% ИТ-специалистов скрывают информацию о киберинцидентах

Поскольку фишинг и атаки программ-вымогателей набирают обороты, половина компаний столкнулись с тем или иным видом киберугроз за последний год.   Представьте, что в вашей компании произошла серьезная утечка данных, но вместо того, чтобы проинформировать соответствующие стороны и принять необходимые меры, вам приказали молчать!   Новое исследование, проведенное компанией по кибербезопасности Bitdefender, показало, что это реальная […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *