Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как обосновать расходы на информационную безопасность

Как обосновать расходы на информационную безопасность

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как обосновать расходы на информационную безопасность

Кибербезопасность – это не просто трудная задача в сфере информационных технологий, это – первоочередное условие ведения бизнеса. Новые технологии, хорошо финансируемые и решительно настроенные киберпротивники, а также взаимосвязанные бизнес-экосистемы – все это увеличивает подверженность компаний кибератакам. Значимые цифровые активы все чаще становятся объектами кибератак, а потенциальное воздействие на бизнес еще никогда не было столь ощутимым.
Тим Клау
Партнер, руководитель практики анализа и контроля ИТ-рисков PwC в России

По мере того как все больше всякого рода продуктов и услуг становятся подключенными к Интернету, растет необходимость в упреждающем управлении рисками, связанными с кибербезопасностью и защитой данных. С другой стороны, в условиях стремительного роста объемов данных и постоянного обмена потребительской и коммерческой информацией защита данных становится одним из важнейших требований, предъявляемых к бизнесу.

С какими рисками может столкнуться компания?

Хищение данных, составляющих коммерческую тайну, информации о кредитных картах, репликация продуктов или процессов, нарушение операционной деятельности. Для того чтобы в достаточной мере защитить свое конкурентное преимущество, репутацию и капитализацию, российским компаниям необходимо изменить свой подход к вопросам кибербезопасности. Только это позволит им идти в ногу со временем.

Инвестиции в квалифицированных специалистов позволят компании увеличить доход от инвестиций в технологии, направленные на обеспечение безопасности.

Несмотря на то что в прошлом году объемы инвестиций российских компаний в сфере кибербезопасности сократились, продолжая в значительной мере отставать от зарубежных аналогов, их объемы тем не менее выросли на 65% за два последних года.

Тем не менее возросшие расходы на обеспечение кибербезопасности не обязательно приводят к снижению рисков. Большая часть средств расходуется на внедрение новых технологий, которые могут оказаться бесполезными, если компания в первую очередь не рассмотрела, как инструмент будет использован и на борьбу с какими угрозами он будет направлен. Формирование бюджета в сфере кибербезопасности должно начинаться с проведения тщательной оценки угроз, а также существующих и потенциальных рисков, с которыми сталкивается компания. После определения всех этих рисков, их количественного измерения и приоритизации компания должна определить стратегию по обеспечению кибербезопасности. Только когда в стратегии учтены все риски и определены средства контроля за ними, компания сможет обеспечить надлежащее эффективное и непрерывное управление киберрисками. Определив направление своего развития, компания сможет правильно сформировать бюджет в сфере кибербезопасности и убедиться в том, что ее средства направляются в те области, которые позволят снизить риски и максимально увеличить окупаемость инвестиций.

Кроме того, необходимо инвестировать в квалифицированных специалистов для надлежащего внедрения и использования технологий. После создания центра управления информационной безопасностью формируются огромные объемы информации о потенциальных угрозах. Компания должна найти ответы на вопросы: кто будет анализировать эту информацию и реагировать на угрозы? достаточно ли ресурсов и потенциала для качественного анализа? Инвестиции в квалифицированных специалистов позволят компании увеличить доход от инвестиций в технологии, направленные на обеспечение безопасности.

На что направлены инвестиции

Согласно результатам международного исследования тенденций в сфере информационной безопасности, недавно проведенного PwC, в котором приняли участие 10 тыс. респондентов из 133 стран, в том числе респонденты из России, в 2016 г. число инцидентов, связанных с кибербезопасностью, увеличилось в России на 18%. При этом количество инцидентов, о которых никем не сообщалось, потенциально может быть еще больше. В ответ на рост числа инцидентов российские компании инвестируют средства в передовые сервисы обеспечения кибербезопасности (73%), 56% используют анализ "больших данных". Эти технологии не только повышают возможность более эффективного обнаружения потенциальных угроз и слабых мест, но и позволяют реагировать на кибератаки более целенаправленно и комплексно, оптимизируя затраты и снижая риски.

Стратегии, которые российские компании используют для управления рисками кибербезопасности, не поспевают за стремительно меняющимися угрозами. Традиционная модель ИБ, которая сосредоточена на технологиях, соблюдении нормативно-правовых требований, ограничивается защитой периметра и направлена на защиту бэк-офиса, не отвечает реалиям сегодняшнего дня. Кибербезопасность уже не ограничивается ИТ. И инвестиции необходимо направлять на то, что имеет наибольшее значение, в частности, следует обратить внимание на шесть ключевых приоритетных направлений:

  • расставить приоритеты, за счет правильной архитектуры кибербезопасности, информации об угрозах, организационной структуры и модели управления кибербезопасностью;
  • использовать возможность встраивания ИБ в стратегию организации и процессы управления рисками, а также обеспечить соответствие ИБ регуляторным требованиям;
  • компании и дальше будут подвергаться хакерским атакам, поэтому их оперативное обнаружение и своевременная защита важны для обеспечения непрерывности деятельности и устойчивости организации;
  • заложить крепкий фундамент, оптимально используя такие инструменты, как управление доступом, система сбора, обработки и анализа данных об угрозах, а также соблюдение базовых правил ИБ;
  • компании должны также учитывать риски, с которыми сталкиваются их контрагенты, и убедиться, что у партнеров по бизнесу внедрена надежная инфраструктура управления киберрисками;
  • подбор кадров имеет значение, поэтому нужно уведомить людей о возложенных на них обязанностях и подготовить их к возникновению инцидента в сфере кибербезопасности.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2017

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"