За последние годы зависимость уровня корпоративных рисков от принятой в компании культуры кибербезопасности устойчиво растёт. По результатам опроса McKinsey Global Survey, топ-менеджеры большинства компаний признают управление информационными рисками важной частью своей операционной деятельности.
В условиях быстрого развития цифровых систем рациональное использование бюджетов на инвестиции в ИБ становится для компании стратегическим приоритетом. Всё чаще при обсуждении планов по развитию ИБ звучат аргументы в пользу перехода от реактивного стиля управления информационными рисками, продиктованного горящими запросами операционных процессов, к методам, основанным на анализе рискообразующих компонентов цифровых продуктов, потребностей клиентов, рисков третьих сторон, динамики развития нормативной базы.
Решения о том, как наилучшим образом управлять информационным риском, достигаются при участии как минимум трёх заинтересованных сторон — бизнес-подразделения или «владельца риска», ИТ- и ИБ-отделов. И парадокс ситуации в том, что каждая сторона будет отстаивать собственный интерес. ИТ будет сфокусировано на наборе конкретных мероприятий и проектных инициатив, которые гарантированно снизят риски до приемлемого уровня. ИБ будет максимально интересовать качество, управляемость и прозрачность этих мероприятий. Бизнес-руководители и владельцы цифровых продуктов будут принимать решение о затратах на реализацию инициатив, оценивая стоимость решений и приоритетность их реализации в терминах оптимизации затраченного времени, денег и операционных усилий.
КЛАССИЧЕСКИЙ ПОДХОД
В настоящее время подходы к управлению информационными рисками, основанные на оценке моделей зрелости, по-прежнему являются самыми распространёнными, «золотым стандартом качества». Эти подходы направлены на достижение зрелости путём создания определённых функций обеспечения защиты. Например, для достижения одного из уровней зрелости организация может создать центр управления безопасностью (SOC), чтобы улучшить оценку, мониторинг и реагирование на потенциальные угрозы для корпоративных информационных систем и приложений. Или внедрить многофакторную аутентификацию (MFA) по всему перечню активов, чтобы повысить уровень зрелости контроля доступа.
Подход к управлению рисками, основанный на оценке зрелости, может быть полезен в ситуациях, когда требуется запустить программу обеспечения ИБ «с нуля», но для организаций, которые продвинулись дальше «нулевого уровня», этот подход уже неприменим.
В данном случае проявляется классическая проблема «органического роста» практически любой компании: по мере усложнения бизнеса в какой-то момент происходит неуправляемое увеличение контрольных и надзорных процедур. Особенно это показательно в мониторинге процессов ИБ, когда у компании возникает желание максимально реализовать принцип «контролировать всё». Результат чаще всего плачевный: когда количество приложений в мониторинге превысит возможности аналитиков и технических инструментов, автоматизация контрольных сред затормозит операционные процессы компании. Но в реальности только некоторые приложения содержат в себе серьёзные уязвимости с высоким потенциалом риска. Поэтому для снижения риска необходимо перейти от позиции «контроля всего» к выборочному мониторингу наиболее критичных приложений или функций.
Объём способов контроля растёт из года в год, поскольку планирование программ кибербезопасности по-прежнему требует увеличения расходов на дополнительные средства. К тому же такие программы часто создают парализующий эффект, когда вынуждают и без того перегруженные практическими мероприятиями команды параллельно внедрять и совершенствовать большое количество процессов обеспечения ИБ. В результате ни один проект никогда не реализуется полностью, а на информационных панелях программ постоянно отображается «жёлтый» статус для всего набора инициатив.
УПРАВЛЕНИЕ НА ОСНОВЕ АНАЛИЗА РИСКОВ
На фоне внешнего роста киберугроз всё больше компаний начинают анализировать возможности по снижению информационных рисков и оценивать свой «аппетит к риску» (уровень риска, который организация готова принять, не принимая дополнительных действий для его снижения).
Максимально нивелировать киберриск — это непростая задача для любой компании. Для достижения наибольшей отдачи от инвестиций нужно привлекать значительный объём ресурсов и применять этот подход ко всем компонентам программы обеспечения ИБ. Но проблема в том, что многие организации зачастую не могут точно определить, как и насколько необходимо снизить риск.
Например, инвестиции в снижение корпоративных рисков лучше окупаются благодаря информированию и обучению сотрудников. Модель, основанная на оценке зрелости, в данном случае не потребует от организации анализа соотношения «величина риска/издержки на снижение риска» и оценки объёма необходимого финансирования для организации дополнительных систем мониторинга. И это в результате приведёт к тому, что расходы пойдут на оба направления — и мониторинг, и развитие сотрудников (осведомлённость и обучение), хотя одно из них может иметь несоразмерное влияние на снижение корпоративных рисков по сравнению с другим.
Утвердив снижение риска в качестве основной цели, компании могут точнее и эффективнее расставлять приоритеты при выделении бюджетов на ИБ (особенно это применимо к задачам, связанным с внедрением контролей, включая средства защиты информации (СЗИ). В идеальной картине мира это помогает руководству добиться чётких, прагматичных проектов, согласованных на первой, второй и третьей линиях защиты. Такой подход помогает осуществлять как стратегические, так и тактические действия по снижению рисков, позволяя компании больше не внедрять механизмы «тотального контроля и мониторинга», а направлять своё внимание на наиболее уязвимые места в текущем моменте.
ТРАНСФОРМАЦИЯ ВНУТРИ КОМПАНИИ: С ЧЕГО НАЧАТЬ?
Организации, применяющие подход, основанный на оценке зрелости, в какой-то момент неизбежно сталкиваются с проблемой перехода к модели управления, основанной на оценке рисков. Для этого необходимо реализовать набор инициатив в определённой последовательности:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных