НОВИНИ ТА ТРЕНДИ

Кібер-ризики VS Бізнес-ризики

Cyber security Risk assessment ISO27001/ISMS

Чотири кроки до поліпшення управління безпекою.


Маючи можливість спілкуватися з практиками кібер-безпеки з багатьох галузей бізнесу, ми завжди наголошуємо людям про важливість поводження з процесом забезпечення кібербезпеки, як і з будь-якою іншою діловою діяльністю.

Зі збільшенням кількості та видів кібератак, а також зростаючої кількості компаній, що їх зазнають, кібер-ризик став рівнозначним бізнес-ризику. Таким чином, вразливість компанії до кіберзагроз є головною проблемою для керівників вищої ланки, що посилює тиск на CISO щодо забезпечення належного контролю безпеки. Але, як ми бачимо, існує велика різниця між тим, як компанії повинні працювати з кібер-ризиками, і тим, що вони насправді роблять.

Звідки ми це знаємо? Окрім розмов та співпраці з лідерами безпеки, які вказують на цю тенденцію, ми збираємо статистику від IT спільноти, нетворкінгу та співробітників клієнтів з якими працюємо. Як правило це – представники червоних та синіх команд, аудитори, керівники служб безпеки, а також особи, які представляють різні нетехнічні, керівні ролі, серед державних організацій, фінансових служб, транспорту, телекомунікацій, роздрібної торгівлі, охорони здоров'я, нафти та газу - це лише декілька, щоб проілюструвати цікавий перетин перспектив і точок зору.

Ось деякі показові результати. На питання - "Чи використовує ваше керівництво показники безпеки для прийняття бізнес-рішень?" 49% опитуваних відповіли, що вони "рідко чи ніколи" використовують показники безпеки для ділових рішень. Тоді як 51% сказали "в половині випадків", "зазвичай" або "завжди". Якщо другу половину можна вважати більш-менш позитивною статистикою, то перша свідчить про те, що є багато можливостей для вдосконалення. Наприклад, через допомогу керівникам підприємств зрозуміти вплив кібер-ризиків на фінансові, операційні та репутаційні ризики - та як цей вплив можна виміряти.

Ще одне дуже важливе питання - "Наскільки команда з безпеки вашої організації компетентна у відображенні впливу ризиків кібербезпеки на бізнес-ризики?". Виявляється, що 77% респондентів вважають, що їхні групи безпеки виконали незадовільну роботу щодо цього відображення. Цей показник свідчить про те, що, хоча безпека стає більш зрілою як галузь і відіграє все більшу роль у вирішальних бізнес-функціях, цього розвитку все ще недостатньо. Більшість топ-менеджерів ймовірно розуміють, що було б логічніше розглядати кібер-ризики як бізнес-ризики, і хочуть отримувати дані засновані на доказах, щоб кібербезпеку можна було оцінити, як і інші бізнес-підрозділи. Але зазвичай не вистачає знань та практичного досвіду, коли мова йде про те, як це зробити.

В той час, як компанії починають розуміти масштаби втрат від порушень лише після їх безпосереднього виникнення (втрата довіри до бренду, компрометація даних клієнтів, втрати мільйонів доларів через судові позови - це лише частина можливих втрат) - їм все одно не вистачає досвіду оцінки та розуміння кібер-ризиків та яких дій можна вжити, щоб покращити показники безпеки компанії.

Ми надаємо рекомендації щодо того, як команди з безпеки можуть краще зрозуміти кібер-ризики своєї компанії та продемонструвати керівництву, що робиться для зменшення виникаючого ризику для бізнесу.

1. Припиніть припускати і почніть вимірювати.
До недавнього часу було достатньо, щоб команди безпеки думали лише про продуктивність та швидкість при оцінці рішень безпеки. Зараз цього недостатньо, тому що в середовищі все складніше управляти, а також вимірювати і повідомляти про ефективність безпеки для решти організації (включаючи продажі, маркетинг, управління персоналом і фінанси). Ця звітність повинна ґрунтуватися на кількісних вимірах, заснованих на даних, а не на метриках, заснованих на припущеннях, для надання необхідних доказів, що підтверджують, що заходи безпеки працюють належним чином.

2. Проводьте і автоматизуйте тестування на постійній основі.
З урахуванням вище зазначеного пункту №1 можемо зробити висновок, що необхідні докази на постійній основі, щоб продемонструвати загальну працездатність системи безпеки. Як правило, компанії використовують для цього аудити та тестування на проникнення, але ці підходи обмежені - вони надають лише одноразовий знімок стану засобів управління безпекою, а не наскрізну картину. Існують варіанти тестування, які не тільки ідентифікують вразливості, але й наказують їх виправити і підтверджують, що виправлення пройшли успішно. Потім автоматизують процес для подальшої перевірки, особливо, коли відбуваються зміни у середовищі, щоб гарантувати, що діюча система залишається працездатною. Іншими словами, виправте це правильно, переконайтеся, що все виправлено, зафіксуйте і підтримуйте цей процес.

3. Переконайтеся, що ви оцінюєте і впроваджуєте правильні рішення безпеки.
При розгляді будь-якого рішення в області безпеки важливо знати, чи правильно ви оцінюєте продукти які підходять для вашої середовища, та чи сприяють вони бізнесу. Запитайте себе: які внутрішні процеси необхідно створити і впровадити, які додатки необхідно створити, яких людей потрібно найняти, та як ці дії підвищать загальну ефективність компанії. Безпека занадто довго виключалася з цього виду оцінки просто тому, що не було відповідних інструментів для раціоналізації інвестицій. Ці інструменти наразі існують і дають керівникам служб безпеки зрозуміти, як компоненти безпеки одночасно сприяють бізнесу і покращують його.

4. Надайте менеджменту інформацію про необхідні дії.
Якщо ви професіонал в області безпеки, ви, ймовірно, знаєте, що ключові зацікавлені сторони в компанії - комітет з аудиту, топ-менеджмент та наглядова рада - хочуть переконатися, що наявні засоби контролю безпеки ефективно захищають компанію і її цифрові активи. Шукайте і впроваджуйте системи та платформи, які надають практичні звіти, засновані на фактичних даних й доказах, які потрібні вашій керівній групі. З їх допомогою ви впевнено зможете повідомляти, що інфраструктура безпеки постійно контролюється і оптимізується для мінімізації бізнес-ризиків.

Якщо ви належите до тієї половини респондентів, які відповіли, що "рідко чи ніколи" використовує показники безпеки для ділових рішень, або якщо ви знаходитесь серед 77% людей, які кажуть, що їхні команди безпеки не дуже добре справляються із співвідношенням ризиків кібербезпеки до бізнес-ризиків, наведені вище кроки можуть допомогти вам краще керувати кібер-ризиками та бізнес-ризиками вашої організації, а в кінцевому рахунку - захистити компанію та зберегти її бренд, операційну діяльність та фінансовий стан.
Made on
Tilda