Появление понятия «кибер-риска» стало первым шагом на пути понимания бизнесом важности кибербезопасности. Именно «кибер-риск» означает риск финансовых потерь (прямых и непрямых), полной или частичной остановки деятельности, а также ущерба репутации организации или частного лица. Часто после этого определения добавляют что-то вроде «в результате нарушения работы информационных сервисов и систем». Это не совсем верно, и мы сейчас объясним разницу такого подхода к работе с рисками и нашего.
Само понятие кибербезопасности намного шире информационных систем и ресурсов. Оно включает в себя все ресурсы компании или организации, в том числе, сотрудников, подрядчиков и партнеров. Любая сфера деятельности или активности, которая может влечь за собой угрозу реализации вышеописанных рисков, формирует полный охват уже кибер-рисков.
Управление кибер-рисками – это фундамент для любого действия в сфере безопасности, будь это внедрение систем или инструментов, или построение процессов и внедрение правил и политик. Проекты по управлению рисками часто недооценивают и не выделяют в отдельные. Хотя именно грамотное определение и управление кибер-рисками позволяет и бюджет на кибербезопасность распределить рационально и грамотно, и подготовиться к атакам и угрозам заранее.
Предпосылок для формализации процессов управления кибер-рисками несколько:
-
оцифровка (или «диджитализация») современного бизнеса. Уже практически не осталось отраслей, которые не вовлечены в киберпространство, и размер компаний уже также не играет роли;
-
попадание самого человека в охват применения кибер-рисков. Человек даже сам по себе уже является информационным активом, который необходимо защищать;
-
рост зависимости областей безопасности друг от друга. Например, физической безопасности от интернета вещей;
-
потребность топ-менеджеров в простом и понятном инструменте оценки безопасности и ее развития.