1

Кібер-ризики: як розуміти та управляти

Поява поняття «кібер-ризику» стало першим кроком на шляху розуміння бізнесом важливості кібербезпеки. Саме «кібер-ризик» означає ризик фінансових втрат (прямих і непрямих), повної або часткової зупинки діяльності, а також шкоди репутації організації або приватної особи. Часто після цього визначення додають щось на кшталт «в результаті порушення роботи інформаційних сервісів і систем». Це не зовсім вірно, і ми зараз пояснимо різницю між таким підходом до роботи з ризиками та нашим.

Саме поняття кібербезпеки набагато ширше інформаційних систем і ресурсів. Воно включає в себе всі ресурси компанії або організації, в тому числі, співробітників, підрядників і партнерів. Будь-яка сфера діяльності або активності, яка може притягнути загрозу реалізації вищезазначених ризиків, формує повне охоплення вже кібер-ризиків.

Управління кібер-ризиками – це фундамент для будь-якої дії у сфері безпеки, чи то впровадження систем або інструментів, або побудова процесів і впровадження правил і політик. Проекти з управління ризиками часто недооцінюють і не відокремлюють. Хоча саме грамотне визначення та управління кібер-ризиками дозволяє розподілити раціонально бюджет на кібербезпеку і грамотно підготуватися до атак і загроз заздалегідь.

Передумов для формалізації процесів управління кібер-ризиками кілька:

  • оцифровка (або «діджіталізація») сучасного бізнесу. Вже практично не залишилося галузей, які не залучені в кіберпростір, і розмір компаній вже також не має значення;

  • потрапляння самої людини до охоплення застосування кібер-ризиків. Людина навіть сама по собі вже є інформаційним активом, який необхідно захищати;

  • зростання залежності областей безпеки одна від одної. Наприклад, фізичної безпеки від інтернету речей;

  • потреба топ-менеджерів у простому й зрозумілому інструменті оцінки безпеки та її розвитку.

У світі існує безліч методологій побудови процесів управління ризиками і первинної оцінки ризиків. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – це лишень мала частина переліку існуючих практичних методик. Є уніфіковані методики, є галузеві. Досвідченому консультанту не важко вибудувати процеси оцінки й управління кібер-ризиками в рамках будь-якої з них. Базові принципи єдині, а їхній логічний ряд збудовано єдиним правильним ланцюжком до появи інформаційних технологій.

Якщо ви ніколи раніше не були дотичні до управління ризиками, в компанії не знають, що таке карта ризиків і для чого вона потрібна, то варто починати з аналізу ризиків. Його проводять навіть за умови впроваджених і налагоджених процесів управління, тому що кібер-ризики – субстанція дуже жива і змінюються вони досить часто і сильно. Під час первинної оцінки ризиків необхідно в першу чергу визначити цілі управління кібербезпекою компанії. Після цього необхідно визначити критично важливі елементи, які впливають на ключові бізнес-процеси компанії. Кожен ризик, у класичному розумінні, оцінюється за двома параметрами: ймовірності й потенційного збитку. Виходячи з цих кількісних показників формується карта ризиків і їхній пріоритет. Таку оцінку необхідно проводити регулярно, розширюючи карту ризиків, щоб охопити якомога більше потенційних ризиків для компанії.

На підставі оцінки кібер-ризиків проводиться їхня пріоритезація для бізнесу. Як правило, це показник фінансовий, який зрозумілий представникам топ-менеджменту і бізнес підрозділів. І далі починається найцікавіше: робота з ризиками. Тобто, кожен ризик після оцінки підлягає аналізу, щоб опрацювати заходи роботи з ним. Є класичний набір таких заходів: мінімізація, прийняття, ухилення, перекладання і диверсифікація. Проте в різних методиках можуть виникати нові терміни або інструменти. Завдання цього етапу робіт полягає у виборі правильного інструменту управління для кожного ризику (інструмент може бути переглянутий згодом та змінений). Наприклад, іноді компанії беруть ризик втрати клієнта, розуміючи, що фінансово їм буде невигідно боротися за нього. Так і в кібербезпеці може виявитися, що захист якогось ресурсу або активу є недоцільним, отже простіше застрахувати його втрату або компрометацію.

Наступним етапом є застосування обраних інструментів та заходів управління кібер-ризиками та перевірка їхньої ефективності. В рамках наступного перегляду карти ризиків цілком може виявитися, що обраний метод управління ризиком не виправдав очікувань, або у ризику змінилися його параметри (ймовірність і збитки), що вимагає більш жорсткого або, навпаки, м’якого і не витратного впливу на нього.

Заключним етапом є знову оцінка, а точніше перегляд процесів і карти кібер-ризиків на регулярній основі. Саме такий, циклічний підхід допомагає працювати з актуальною інформацією та актуальними погрозами. Таким чином, компанія підтримує максимальний рівень кіберстійкості, керуючи пріоритетними ризиками на сьогоднішній день і керуючи ними ефективно. Кібер загрози не перестануть з’являтися, атак теж менше не стане, тому превентивна оцінка і підготовка до найбільш небезпечних для вас подій – правильний і вже просто необхідний крок у сучасному світі.

Related Posts

card__image

Кібератаки на критичну інфраструктуру: цифрове поле бою

Кібератаки стають все більшою загрозою для критичних секторів, таких як енергетика та охорона здоров’я. Нещодавні попередження від CISA, NSA та ФБР вказують на вразливості, які використовуються в активностях, пов’язаних з Китаєм.   У сучасному світі важко уникнути постійного обговорення кіберзагроз, особливо коли вони вражають критичну інфраструктуру, зокрема, енергетику, сферу охорони здоров’я та транспорт. Ці атаки […]

card__image

Кіберзагрози зростають, а спеціалістів стає дедалі менше

Ключовим питанням, яке порушує дослідження ринку праці в кібербезпеці ISC2 2024 є необхідність для організацій збільшити можливості для розвитку робочої сили в цій сфері, а також забезпечити більше можливостей для початківців увійти в професію та розвивати необхідні навички за підтримки досвідчених колег.   Згідно з новими даними, глобальне зростання спеціалістів в кібербезпеці вперше за шість […]

card__image

Зростання кількості DDoS-атак на 46% у першому півріччі 2024 року

Моніторинг тенденцій DDoS, що розвиваються, важливий для передбачення загроз і адаптації стратегій захисту. Комплексний звіт Gcore Radar за перше півріччя 2024 року надає детальну інформацію по DDoS-атаках, демонструючи зміни в моделях атак і ширшому ландшафті кіберзагроз. Нижче ми ділимося низкою результатів з повного звіту.   Ключові висновки   Кількість DDoS-атак у першому півріччі 2024 року […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *