1

Кібер-ризики: як розуміти та управляти

Поява поняття «кібер-ризику» стало першим кроком на шляху розуміння бізнесом важливості кібербезпеки. Саме «кібер-ризик» означає ризик фінансових втрат (прямих і непрямих), повної або часткової зупинки діяльності, а також шкоди репутації організації або приватної особи. Часто після цього визначення додають щось на кшталт «в результаті порушення роботи інформаційних сервісів і систем». Це не зовсім вірно, і ми зараз пояснимо різницю між таким підходом до роботи з ризиками та нашим.

Саме поняття кібербезпеки набагато ширше інформаційних систем і ресурсів. Воно включає в себе всі ресурси компанії або організації, в тому числі, співробітників, підрядників і партнерів. Будь-яка сфера діяльності або активності, яка може притягнути загрозу реалізації вищезазначених ризиків, формує повне охоплення вже кібер-ризиків.

Управління кібер-ризиками – це фундамент для будь-якої дії у сфері безпеки, чи то впровадження систем або інструментів, або побудова процесів і впровадження правил і політик. Проекти з управління ризиками часто недооцінюють і не відокремлюють. Хоча саме грамотне визначення та управління кібер-ризиками дозволяє розподілити раціонально бюджет на кібербезпеку і грамотно підготуватися до атак і загроз заздалегідь.

Передумов для формалізації процесів управління кібер-ризиками кілька:

  • оцифровка (або «діджіталізація») сучасного бізнесу. Вже практично не залишилося галузей, які не залучені в кіберпростір, і розмір компаній вже також не має значення;

  • потрапляння самої людини до охоплення застосування кібер-ризиків. Людина навіть сама по собі вже є інформаційним активом, який необхідно захищати;

  • зростання залежності областей безпеки одна від одної. Наприклад, фізичної безпеки від інтернету речей;

  • потреба топ-менеджерів у простому й зрозумілому інструменті оцінки безпеки та її розвитку.

У світі існує безліч методологій побудови процесів управління ризиками і первинної оцінки ризиків. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – це лишень мала частина переліку існуючих практичних методик. Є уніфіковані методики, є галузеві. Досвідченому консультанту не важко вибудувати процеси оцінки й управління кібер-ризиками в рамках будь-якої з них. Базові принципи єдині, а їхній логічний ряд збудовано єдиним правильним ланцюжком до появи інформаційних технологій.

Якщо ви ніколи раніше не були дотичні до управління ризиками, в компанії не знають, що таке карта ризиків і для чого вона потрібна, то варто починати з аналізу ризиків. Його проводять навіть за умови впроваджених і налагоджених процесів управління, тому що кібер-ризики – субстанція дуже жива і змінюються вони досить часто і сильно. Під час первинної оцінки ризиків необхідно в першу чергу визначити цілі управління кібербезпекою компанії. Після цього необхідно визначити критично важливі елементи, які впливають на ключові бізнес-процеси компанії. Кожен ризик, у класичному розумінні, оцінюється за двома параметрами: ймовірності й потенційного збитку. Виходячи з цих кількісних показників формується карта ризиків і їхній пріоритет. Таку оцінку необхідно проводити регулярно, розширюючи карту ризиків, щоб охопити якомога більше потенційних ризиків для компанії.

На підставі оцінки кібер-ризиків проводиться їхня пріоритезація для бізнесу. Як правило, це показник фінансовий, який зрозумілий представникам топ-менеджменту і бізнес підрозділів. І далі починається найцікавіше: робота з ризиками. Тобто, кожен ризик після оцінки підлягає аналізу, щоб опрацювати заходи роботи з ним. Є класичний набір таких заходів: мінімізація, прийняття, ухилення, перекладання і диверсифікація. Проте в різних методиках можуть виникати нові терміни або інструменти. Завдання цього етапу робіт полягає у виборі правильного інструменту управління для кожного ризику (інструмент може бути переглянутий згодом та змінений). Наприклад, іноді компанії беруть ризик втрати клієнта, розуміючи, що фінансово їм буде невигідно боротися за нього. Так і в кібербезпеці може виявитися, що захист якогось ресурсу або активу є недоцільним, отже простіше застрахувати його втрату або компрометацію.

Наступним етапом є застосування обраних інструментів та заходів управління кібер-ризиками та перевірка їхньої ефективності. В рамках наступного перегляду карти ризиків цілком може виявитися, що обраний метод управління ризиком не виправдав очікувань, або у ризику змінилися його параметри (ймовірність і збитки), що вимагає більш жорсткого або, навпаки, м’якого і не витратного впливу на нього.

Заключним етапом є знову оцінка, а точніше перегляд процесів і карти кібер-ризиків на регулярній основі. Саме такий, циклічний підхід допомагає працювати з актуальною інформацією та актуальними погрозами. Таким чином, компанія підтримує максимальний рівень кіберстійкості, керуючи пріоритетними ризиками на сьогоднішній день і керуючи ними ефективно. Кібер загрози не перестануть з’являтися, атак теж менше не стане, тому превентивна оцінка і підготовка до найбільш небезпечних для вас подій – правильний і вже просто необхідний крок у сучасному світі.

Related Posts

card__image

Майже дві третини CISO мали справу з втратою конфіденційних даних за останні 12 місяців — звіт Proofpoint

Компанія з кібербезпеки Proofpoint опублікувала щорічний звіт Voice of the CISO, у якому досліджуються ключові проблеми, очікування та пріоритети директорів з інформаційної безпеки (CISO).   CISO ВИЗНАЮТЬ, ЩО ЇХНІМ ОРГАНІЗАЦІЯМ ЗАГРОЖУЄ СУТТЄВА КІБЕРАТАКА ПРОТЯГОМ НАСТУПНИХ 12 МІСЯЦІВ   Згідно з новим опитуванням 1600 CISO з усього світу, 68% респондентів вважають, що їхній організації загрожує атака […]

card__image

Ваш пароль можна зламати за лічені секунди

    Коли ви востаннє оновлювали свої паролі? Експерти з кібербезпеки кажуть, що 95% кібератак відбуваються через людський фактор.   Зараз всюди потрібен логін і пароль. Тож ні для кого не є секретом, що в Інтернеті є люди, які готові «розсекретити» будь-які паролі. Звичайно, якщо ви не високопоставлений політик або знаменитість, вам немає про що […]

card__image

Понад 40% ІТ-фахівців приховують інформацію про кіберінциденти

Оскільки фішинг та атаки програм-вимагачів набирають обертів, половина компаній мали справу з тим чи іншим видом кіберзагроз за останній рік.   Уявіть, що у вашій компанії стався серйозний витік даних, але замість того, щоб поінформувати відповідні сторони та вжити необхідних заходів, вам наказали мовчати!   Нове дослідження, проведене компанією з кібербезпеки Bitdefender, показало, що це […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *