Рассказывает старший менеджер практики кибербезопасности компании «Технологии Доверия» (ТеДо) Михаил Толчельников.
1. Оценен ли количественно аппетит к киберрискам?
Директору по информационной безопасности (CISO) и бизнес-структурам организации необходимо выработать и количественно оценить пороги допустимости различных событий киберриска, которые в дальнейшем могли бы использоваться для принятия решений по обработке киберрисков и оптимизации бюджета на управление контрольной средой.
Это позволит организации выбирать наиболее гибкую и адаптивную антикризисную стратегию, перераспределяя финансовые средства на критичные области и оптимизируя второстепенные.
2. Определены ли ключевые стратегические сценарии и события риска?
Невозможно защититься от всех киберугроз и всех сценариев событий киберриска. Защищайтесь от тех, которые влияют на будущее вашего бизнеса или наносят недопустимый финансовый ущерб. Такой подход позволит CISO демонстрировать руководству организации бизнес-обоснование решений, принятых для управления профилем киберрисков.
Изучите особенности операционной и ценностной модели бизнеса. Оцените стратегические цели организации. Выделите из списка киберзависимые и составьте набор сценариев, способных оказать существенное влияние на достижение данных целей.
3. Принят ли набор финансово эффективных мер, необходимых для оптимизации профиля киберрисков?
Перед современным CISO редко стоит задача «избавиться от всех киберинцидентов». Вместо этого, необходимо прилагать все усилия для максимизации прибыли организации. Поэтому, планируя развитие контрольной среды, следует определять финансовую эффективность инициатив, измеряя снижение профиля киберрисков на каждый вложенный рубль.
4. Применяется ли зрелая методика количественной оценки, поддержанная инструментами автоматизации?
Классическое, выраженное в качественных терминах («высокий риск», «низкий риск»), управление киберрисками затрудняет принятие финансово оптимальных решений и может искажать истинный профиль киберриска.
Оценка риска как «высокого» не объясняет руководству компании, с какой вероятностью данный киберриск реализуется и как будет выглядеть наиболее вероятный ущерб от него. Как результат, компании выбирают неоптимальные решения по управлению рисками и бюджету на их минимизацию, возможно, упуская критичные риски и уделяя внимание и средства тем, которые не должны стоять в приоритете.
Решение проблемы — переход на количественную оценку киберрисков, и наша практика имеет успешный опыт подобных переходов.
5. Поддерживает ли руководство организации CISO и демонстрирует ли ему доверие?
Топ-менеджменту будет легко работать с вами, если он поймет, что вы единая команда, ставящая перед собой единые цели и говорящая на одном языке — языке рисков, стратегии и доходности. Говорите о том, что волнует бизнес: о стратегических рисках, а не о технологиях или методологиях. Объясняйте, как киберинциденты отразятся на показателях бизнеса. А когда понимание будет достигнуто — помогите руководству найти способ показать организации, что оно не только полностью доверяет инициативам CISO, но и деятельно их поддерживает.