Возможно ли эффективно управлять киберрисками
Если у бизнеса не хватает своих ресурсов, нужно передать оценку на аутсорсинг
На фоне постоянно меняющегося ландшафта киберугроз и растущей цифровизации хочется поговорить о том, как киберриски могут оказывать негативное влияние на бизнес-цели. Возможно ли эффективно управлять этим, а главное, трезво оценивать?
Лидерам бизнеса, не приглашающим ИБ-руководителей в первый уровень управления под собой, зачастую непонятно, как планировать бюджет на безопасность и как оценить риски ИБ. При этом они считают, что про управление другими рисками для бизнеса знают все. Но в кибербезопасности управление рисками – это особый процесс. В ходе оценки этих рисков результаты интегрируются с экономикой, ходом развития бизнеса, юридическими последствиями – для принятия решений по инвестициям в ИБ-решения.
Оценка рисков кибербезопасности позволяет:
- Выявлять события типа «что может пойти не так», которые часто являются результатом злонамеренных действий субъектов угроз, халатности, инсайда либо промышленного кибершпионажа.
- Определять уровни риска и набор недопустимых событий.
- Сформировать действия и выделить ресурсы для устранения рисков, имеющих наивысший приоритет.
- Привлечь сотрудников к размышлениям о технологических рисках и о том, как они соотносятся с бизнес-целями.
Что даст оценка рисков вашей компании?
- Понимание того, где находятся ваши наиболее ценные ИТ-активы.
- Возможность сосредоточиться на рисках с максимальным воздействием и наибольшей вероятностью.
- Выявление и устранение уязвимостей.
- Разумное использование бюджета для ИБ-инициатив.
- Соответствие нормативным требованиям.
- Повышение доверия клиентов.
Важно помнить, что недостаточное финансирование киберзащиты точно приведет к провалам в обучении ИБ и неравномерному, непоследовательному охвату оценки рисков.
Но почему же оценки рисков терпят неудачу?
- Организация пыталась провести оценку рисков, но утечка данных случилась быстрее.
- Организация не смогла адекватно оценить риски, связанные с бизнесом и данными.
- Недостаточная осведомленность о киберрисках сыграла роль в несоблюдении требований, поскольку организация не была готова к новейшим векторам риска и субъектам угроз «в дикой природе».
Процесс оценки ИБ-рисков тесно связан с ответом на следующие вопросы (помимо очевидного):
- Какие активы наиболее важны с точки рения ИТ?
- Какой тип утечки данных окажет существенное влияние на ваш бизнес – вредоносное ПО, кибератака или человеческая ошибка?
- Какой уровень риска устраивает вашу организацию?
- Есть ли шаблон оценки рисков поставщика?
Тот, кто корректно может ответить на эти вопросы, претендует на контроль средств ИТ-безопасности и стратегии защиты данных для устранения рисков. В идеале бизнесу необходимо нанять партнера, занимающегося оценкой рисков. Это означает наличие ИТ-персонала, понимающего, как работает ваша цифровая и сетевая инфраструктура, руководителей, осознающих, как происходит передача информации, и любых собственных организационных знаний, которые могут пригодиться во время оценки.
Организационная прозрачность является ключом к тщательной оценке киберрисков, и, если у бизнеса не хватает своих ресурсов, нужно передать оценку на аутсорсинг. Также бизнес с продвинутой ИБ и службами комплаенса может использовать GRC-решения для этих задач. Разработайте план снижения рисков, чтобы убедиться, что вы готовы к любой ситуации. Поговорите со своими сотрудниками о рисках и о персональном вкладе каждого члена команды в обеспечение безопасности бизнеса.
Подписывайтесь на нашу страницу в Facebook
