Шаг за шагом постепенно. Как выстроить информационную безопасность на основе системы управления рисками

BIS Journal №1(48)2023

28 марта, 2023

Шаг за шагом постепенно. Как выстроить информационную безопасность на основе системы управления рисками

За последние годы зависимость уровня корпоративных рисков от принятой в компании культуры кибербезопасности устойчиво растёт. По результатам опроса McKinsey Global Survey, топ-менеджеры большинства компаний признают управление информационными рисками важной частью своей операционной деятельности.

В условиях быстрого развития цифровых систем рациональное использование бюджетов на инвестиции в ИБ становится для компании стратегическим приоритетом. Всё чаще при обсуждении планов по развитию ИБ звучат аргументы в пользу перехода от реактивного стиля управления информационными рисками, продиктованного горящими запросами операционных процессов, к методам, основанным на анализе рискообразующих компонентов цифровых продуктов, потребностей клиентов, рисков третьих сторон, динамики развития нормативной базы.

Решения о том, как наилучшим образом управлять информационным риском, достигаются при участии как минимум трёх заинтересованных сторон — бизнес-подразделения или «владельца риска», ИТ- и ИБ-отделов. И парадокс ситуации в том, что каждая сторона будет отстаивать собственный интерес. ИТ будет сфокусировано на наборе конкретных мероприятий и проектных инициатив, которые гарантированно снизят риски до приемлемого уровня. ИБ будет максимально интересовать качество, управляемость и прозрачность этих мероприятий. Бизнес-руководители и владельцы цифровых продуктов будут принимать решение о затратах на реализацию инициатив, оценивая стоимость решений и приоритетность их реализации в терминах оптимизации затраченного времени, денег и операционных усилий.

 

КЛАССИЧЕСКИЙ ПОДХОД

В настоящее время подходы к управлению информационными рисками, основанные на оценке моделей зрелости, по-прежнему являются самыми распространёнными, «золотым стандартом качества». Эти подходы направлены на достижение зрелости путём создания определённых функций обеспечения защиты. Например, для достижения одного из уровней зрелости организация может создать центр управления безопасностью (SOC), чтобы улучшить оценку, мониторинг и реагирование на потенциальные угрозы для корпоративных информационных систем и приложений. Или внедрить многофакторную аутентификацию (MFA) по всему перечню активов, чтобы повысить уровень зрелости контроля доступа.

Подход к управлению рисками, основанный на оценке зрелости, может быть полезен в ситуациях, когда требуется запустить программу обеспечения ИБ «с нуля», но для организаций, которые продвинулись дальше «нулевого уровня», этот подход уже неприменим.

В данном случае проявляется классическая проблема «органического роста» практически любой компании: по мере усложнения бизнеса в какой-то момент происходит неуправляемое увеличение контрольных и надзорных процедур. Особенно это показательно в мониторинге процессов ИБ, когда у компании возникает желание максимально реализовать принцип «контролировать всё». Результат чаще всего плачевный: когда количество приложений в мониторинге превысит возможности аналитиков и технических инструментов, автоматизация контрольных сред затормозит операционные процессы компании. Но в реальности только некоторые приложения содержат в себе серьёзные уязвимости с высоким потенциалом риска. Поэтому для снижения риска необходимо перейти от позиции «контроля всего» к выборочному мониторингу наиболее критичных приложений или функций.

Объём способов контроля растёт из года в год, поскольку планирование программ кибербезопасности по-прежнему требует увеличения расходов на дополнительные средства. К тому же такие программы часто создают парализующий эффект, когда вынуждают и без того перегруженные практическими мероприятиями команды параллельно внедрять и совершенствовать большое количество процессов обеспечения ИБ. В результате ни один проект никогда не реализуется полностью, а на информационных панелях программ постоянно отображается «жёлтый» статус для всего набора инициатив.

 

УПРАВЛЕНИЕ НА ОСНОВЕ АНАЛИЗА РИСКОВ

На фоне внешнего роста киберугроз всё больше компаний начинают анализировать возможности по снижению информационных рисков и оценивать свой «аппетит к риску» (уровень риска, который организация готова принять, не принимая дополнительных действий для его снижения).

Максимально нивелировать киберриск — это непростая задача для любой компании. Для достижения наибольшей отдачи от инвестиций нужно привлекать значительный объём ресурсов и применять этот подход ко всем компонентам программы обеспечения ИБ. Но проблема в том, что многие организации зачастую не могут точно определить, как и насколько необходимо снизить риск.

Например, инвестиции в снижение корпоративных рисков лучше окупаются благодаря информированию и обучению сотрудников. Модель, основанная на оценке зрелости, в данном случае не потребует от организации анализа соотношения «величина риска/издержки на снижение риска» и оценки объёма необходимого финансирования для организации дополнительных систем мониторинга. И это в результате приведёт к тому, что расходы пойдут на оба направления — и мониторинг, и развитие сотрудников (осведомлённость и обучение), хотя одно из них может иметь несоразмерное влияние на снижение корпоративных рисков по сравнению с другим.

Утвердив снижение риска в качестве основной цели, компании могут точнее и эффективнее расставлять приоритеты при выделении бюджетов на ИБ (особенно это применимо к задачам, связанным с внедрением контролей, включая средства защиты информации (СЗИ). В идеальной картине мира это помогает руководству добиться чётких, прагматичных проектов, согласованных на первой, второй и третьей линиях защиты. Такой подход помогает осуществлять как стратегические, так и тактические действия по снижению рисков, позволяя компании больше не внедрять механизмы «тотального контроля и мониторинга», а направлять своё внимание на наиболее уязвимые места в текущем моменте.

 

ТРАНСФОРМАЦИЯ ВНУТРИ КОМПАНИИ: С ЧЕГО НАЧАТЬ?

Организации, применяющие подход, основанный на оценке зрелости, в какой-то момент неизбежно сталкиваются с проблемой перехода к модели управления, основанной на оценке рисков. Для этого необходимо реализовать набор инициатив в определённой последовательности:

  1. Встроить систему управления рисками ИБ в структуру управления корпоративными рисками организации.
  2. Создать в организации условия для формирования принципов риск-культуры, чтобы повысить уровень профессиональных компетенций сотрудников в вопросах обеспечения ИБ.
  3. Классифицировать уязвимости организации в терминах бизнеса в отношении людей, процессов, технологий и продуктов в масштабах организации, включая интересы третьих сторон.
  4. Создать модель «субъектов угрозы», определить их возможности и мотивацию.
  5. Разработать модель гибкого управления проектами в привязке к структуре уязвимостей, которые они устраняют. Определить, какие усилия необходимы для реализации и совершенствования модели.
  6. Сравнить корпоративные риски с системой управления рискам ИБ, учитывая субъектов угрозы и их возможности, а также уязвимости, которые они стремятся использовать, и средства контроля ИБ.
  7. Сопоставить риски ИБ с «аппетитом к риску», чтобы понять, как усилия в области ИБ снижают риски организации.
  8. Обеспечить мониторинг рисков ИБ и мероприятий по их снижению через реализацию ключевых показателей риска (KRI) и ключевых показателей эффективности (KPI) внедряемых процедур по обеспечению ИБ.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.05.2024
Хакеры из Head Mare утверждают, что «положили» системы СДЭК
28.05.2024
СПЧ и МВД — о масштабах потерь от действий скамеров
28.05.2024
Узбекистан откалывается от «Мира»?
28.05.2024
«Росатом»: Регуляторика ИИ с чёткой логикой сегодня отсутствует
28.05.2024
В ходе дискуссии может появиться многогранная программа ИИ
28.05.2024
Существует неопределённость в толковании и применении правовых норм использования ИИ
28.05.2024
«РУССОФТ»: В ИИ-гонке выигрывает не тот, кто придумал, а тот, кто внедрил
28.05.2024
Хакеры грозят опубликовать ПДн клиентов аукционного дома Christie’s
27.05.2024
НКЦКИ запустит сервис бесплатной «скорой помощи» пострадавшим от киберинцидентов
27.05.2024
Банкиры спасли от скамеров два триллиона рублей своих клиентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных