НОВОСТИ И ТРЕНДЫ

Кибер-риски VS Бизнес-риски

Cyber security Risk assessment ISO27001/ISMS

Четыре шага к улучшению управления безопасностью.


Имея возможность общаться с практиками кибербезопасности из многих отраслей бизнеса, мы всегда подчеркиваем людям о важности обращения с процессом обеспечения кибербезопасности, как и с любой другой деловой деятельностью.

С увеличением количества и видов кибератак, а также растущего числа компаний, которые их испытывают, кибер-риск стал равнозначным бизнес-риску. Таким образом, уязвимость компании к киберугрозам является главной проблемой для руководителей высшего звена, усиливает давление на CISO по обеспечению надлежащего контроля безопасности. Но, как мы видим, существует большая разница между тем, как компании должны работать с кибер-рисками, и тем, что они действительно делают.

Откуда мы это знаем? Кроме разговоров и сотрудничества с лидерами безопасности, которые указывают на эту тенденцию, мы собираем статистику от IT сообщества, нетворкинга и сотрудников клиентов с которыми работаем. Как правило, это - представители красных и синих команд, аудиторы, руководители служб безопасности, а также лица, представляющие различные не технические, руководящие роли, среди государственных организаций, финансовых служб, транспорта, телекоммуникаций, розничной торговли, здравоохранения, нефти и газа - это лишь несколько, чтобы проиллюстрировать интересное пересечение перспектив и точек зрения.

Вот некоторые показательные результаты. На вопрос - "использует ли ваше руководство показатели безопасности для принятия бизнес-решений?" 49% опрошенных ответили, что они "редко или никогда" используют показатели безопасности для деловых решений. Тогда как 51% сказали "в половине случаев", "обычно" или "всегда". Если вторую половину можно считать более или менее положительной статистикой, то первая свидетельствует о том, что есть много возможностей для совершенствования. Например, через помощь руководителям предприятий понять влияние кибер-рисков на финансовые, операционные и репутационные риски - и как это влияние можно измерить.

Еще один очень важный вопрос - "Насколько команда по безопасности вашей организации компетентна в отображении влияния рисков кибербезопасности на бизнес-риски?". Оказывается, что 77% респондентов считают, что их группы безопасности выполнили неудовлетворительную работу в этом отображении. Этот показатель свидетельствует о том, что, хотя безопасность становится более зрелой как отрасль и играет все большую роль в решающих бизнес-функциях, этого развития все еще недостаточно. Большинство топ-менеджеров вероятно понимают, что было бы логичнее рассматривать кибер-риски как бизнес-риски, и хотят получать данные основанные на доказательствах, чтобы кибербезопасность можно было оценить, как и другие бизнес-подразделения. Но обычно не хватает знаний и практического опыта, когда речь идет о том, как это сделать.

В то время как компании начинают понимать масштабы потерь от нарушений только после их непосредственного возникновения (потеря доверия к бренду, компрометация данных клиентов, потери миллионов долларов на судебные иски - это лишь часть возможных потерь) - им все равно не хватает опыта оценки и понимания кибер-рисков и какие действий можно предпринять, чтобы улучшить показатели безопасности компании.

Мы предоставляем рекомендации относительно того, как команды по безопасности могут лучше понять кибер-риски своей компании и продемонстрировать руководству, что делается для уменьшения возникающего риска для бизнеса.

1. Прекратите предполагать и начните измерять.
До недавнего времени было достаточно, чтобы команды безопасности думали только о производительности и скорости при оценке решений безопасности. Сейчас этого недостаточно, так как в среде все сложнее управлять, а также измерять и сообщать об эффективности безопасности для остальных подразделений организации (включая продажи, маркетинг, управление персоналом и финансы). Эта отчетность должна основываться на количественных измерениях, основанных на данных, а не на метриках, основанных на предположениях, для предоставления необходимых доказательств, подтверждающих, что меры безопасности работают должным образом.

2. Проводите и автоматизируйте тестирование на постоянной основе.
С учетом вышеуказанного пункта №1 можем сделать вывод, что необходимы доказательства на постоянной основе, чтобы продемонстрировать общую работоспособность системы безопасности. Как правило, компании используют для этого аудиты и тестирование на проникновение, но эти подходы ограничены - они предоставляют только одноразовый снимок состояния средств управления безопасностью, а не сквозную картину. Существуют варианты тестирования, которые не только идентифицируют уязвимости, но и предписывают их исправить и подтверждают, что исправление прошли успешно. Затем автоматизируют процесс для дальнейшей проверки, особенно, когда происходят изменения в среде, чтобы гарантировать, что действующая система остается работоспособной. Иными словами, исправьте это правильно, убедитесь, что все исправлено, зафиксируйте и поддерживайте этот процесс.

3. Убедитесь, что вы оцениваете и внедряете правильные решения безопасности.
При рассмотрении любого решения в области безопасности важно знать, правильно ли вы оцениваете продукты, которые подходят для вашей среды, и способствуют ли они бизнесу. Спросите себя: какие внутренние процессы необходимо создать и внедрить, какие приложения необходимо создать, каких людей нужно нанять, и как эти действия повысят общую эффективность компании. Безопасность слишком долго исключалась из этого вида оценки просто потому, что не было соответствующих инструментов для рационализации инвестиций. Сейчас эти инструменты существуют и дают руководителям служб безопасности понять, как компоненты безопасности одновременно способствуют бизнесу и улучшают его.

4. Предоставьте менеджменту информацию о необходимых действиях.
Если вы профессионал в области безопасности, вы, вероятно, знаете, что ключевые заинтересованные стороны в компании - комитет по аудиту, топ-менеджмент и наблюдательный совет - хотят убедиться, что имеющиеся средства контроля безопасности эффективно защищают компанию и ее цифровые активы. Ищите и внедряйте системы и платформы, которые предоставляют практические отчеты, основанные на фактических данных и доказательствах, которые нужны вашей руководящей группе. С их помощью вы уверенно сможете сообщать, что инфраструктура безопасности постоянно контролируется и оптимизируется для минимизации бизнес-рисков.

Если вы принадлежите к той половине респондентов, ответивших, что "редко или никогда" используете показатели безопасности для деловых решений, или если вы находитесь среди 77% людей, которые говорят, что их команды безопасности не очень хорошо справляются с соотношением рисков кибербезопасности к бизнес-рискам, приведенные выше шаги могут помочь вам лучше управлять кибер-рисками и бизнес-рисками вашей организации, а в конечном счете - защитить компанию и сохранить ее бренд, операционную деятельность и финансовое состояние.
Made on
Tilda