Управление киберрисками в новом году: первые шаги в этом направлении

В современном обществе практически все инфраструктуры, обеспечивающие жизнедеятельность, используют информационные технологии, которые, в свою очередь, играют решающую роль практически в любой инфраструктуре компании. Очевидно, что в этих условиях значение кибербезопасности современного общества (инфраструктур госуправления, финансовой, банковской, транспортной отраслей, а также энергетического, ресурсного, коммунального и продуктового обеспечения) чрезвычайно возрастает. На сегодняшний день кибербезопасность перестала быть проблемой, которая беспокоит лишь специалистов по IT и ИБ. Инциденты в сфере кибербезопасности сказываются на деятельности высшего руководства и на решениях, принимаемых топ-менеджерами. Потребителям услуг также хорошо известно об инцидентах и угрозах в сфере информационной безопасности, что вызывает у них серьезную озабоченность. На сегодняшний день управление киберрисками, угрожающими конфиденциальной информации и системам, является первоочередной задачей для большинства компаний.

Одним словом, трудно назвать другие вопросы, относящиеся к сфере управления рисками, которые носят столь же всеобъемлющий характер, как кибербезопасность. Сообщения в СМИ о различных инцидентах в сфере ИБ стали таким же обычным делом, как прогноз погоды. За последний год практически все отрасли во всем мире пострадали от киберугроз того или иного рода. Так, в прессе было много сообщений о том, что автомобильные компьютерные системы, зачастую подключенные друг к другу и в ряде случаев обеспечивающие беспроводную связь с внешним миром, могут быть взломаны с целью захвата контроля над тормозной системой, рулевым управлением и даже двигателем.

Но что же на самом деле ожидает нас в новом году и что такое управление киберрисками?

Управление киберрисками – это скоординированное управление процессом сбора, обработки и анализа оперативной информации, а также технологическими и финансово-хозяйственными операциями с целью обеспечить эффективное управление информационными активами организации для предотвращения нежелательных последствий. Звучит, на первый взгляд, сложно. Но на самом деле это весь бизнес-процесс, посредством которого бизнес защищает свои жизненно важные активы и репутацию от внешних и внутренних угроз со стороны физических лиц или организаций. При этом процесс не ограничивается техническими мероприятиями. Любой компании необходимо рассматривать управление киберрисками в качестве неотъемлемой части управления своим собственным бизнесом и контроля рисков.

Конечная же цель управления киберрисками заключается в повышении устойчивости организации к рискам кибербезопасности до того уровня, когда ее системы и производственные процессы смогут обеспечивать возможность выявления киберугроз и реагирования на кибератаки, чтобы свести к минимуму перебои в производственной деятельности, а также свои финансовые потери.

Почему это важно?

Фондовые биржи регулярно становятся мишенью злоумышленников. Опрос представителей 46 глобальных фондовых бирж, проведенный Международной организацией комиссий по ценным бумагам и Всемирной федерацией фондовых бирж, показал, что более половины из них (53%) подвергались кибератакам. В этой связи крайне важно сосредоточить усилия на оперативном выявлении попыток несанкционированного доступа и разработать эффективные и своевременные ответные действия. Для решения этой задачи компаниям следует пересмотреть свои стратегии безопасности, обеспечив более тесную связь между такими компонентами, как технологии, процессы и квалифицированные кадры, с одной стороны, и деятельность организации в области управления рисками в целом, с другой. Поэтому на сегодняшний день для многих компаний основной задачей эффективного обеспечения кибербезопасности является прогнозирование будущих источников риска, а также поиск и оценка скрытых угроз. Такие источники и угрозы могут появиться в результате взаимодействия корпоративной сети с небезопасными системами третьих сторон и наличия инсайдеров.

Согласно прогнозам исследовательской компании Gartner, которые были опубликованы газетой Wall Street Journal, в 2014 г. расходы на обеспечение безопасности информационных систем в общемировом масштабе вырастут на 7,9%, достигнув $71,1 млрд. В текущем году расходы на эти цели увеличатся еще на 8,2%, в результате чего в 2015 г. они составят $76,9 млрд. Стремительный рост числа инцидентов ИБ и соответствующее освещение этих событий в СМИ послужили толчком к осуществлению масштабных инвестиций венчурного капитала в компании, специализирующиеся на разработке ПО и решений в сфере кибербезопасности, а также на предоставлении услуг в этой области.

Интересен тот факт, что темпы роста числа инцидентов информационной безопасности опережают темпы роста ВВП и рынка мобильных телефонов (см. рис. 1).

При управлении киберрисками очень важно обеспечить сбалансированное использование трех ключевых компонентов (люди, процессы и технологии). В данном случае следует обратить внимание на концепцию кибербезопасности, разработанную NIST. Этот документ ориентирован на организации, занимающиеся эксплуатацией объектов жизненно важной инфраструктуры в США. В нем представлена эффективная модель обеспечения безопасности на основе оценки рисков, которую могут взять на вооружение предприятия разной отраслевой направленности и географической принадлежности. Принятие такой концепции, помимо прочего, может принести дополнительные выгоды, среди которых можно отметить укрепление сотрудничества и повышение уровня информированности руководителей компаний и представителей отраслевых организаций о мерах по обеспечению безопасности. Согласно рекомендациям NIST, компаниям, в первую очередь, следует идентифицировать и классифицировать свои самые ценные информационные активы, а также определить, где в рамках экосистемы сосредоточены имеющие наибольшее значение данные и кто имеет к ним доступ.

В рамках стратегического планирования расходов на безопасность компании, помимо прочего, должны определить, какие практические методы обеспечения кибербезопасности лучше всего подходят для реагирования на сегодняшние изощренные попытки несанкционированного доступа, и инвестировать именно в эти методы. Важно выделять средства на внедрение процессов, позволяющих полностью интегрировать средства прогнозирования, предотвращения, обнаружения инцидентов и реагирования на них, чтобы свести к минимуму негативные последствия таких инцидентов.

Кроме того, особое внимание следует уделять вложению достаточных средств в развитие кадрового потенциала и функциональности процессов, что позволит компаниям оперативно реагировать на инциденты и минимизировать их последствия.

Ответственность за управление киберрисками, по большому счету, должно взять на себя руководство компании. Кроме того, оно должно объяснить топ-менеджерам компании, каким образом организация будет защищаться от киберрисков и реагировать на них. Обрушившийся на нас в прошедшем году шквал инцидентов заставил заговорить об участии советов директоров в решении задачи обеспечения безопасности. Но, несмотря на все разговоры, организации так и не добились включения вопросов безопасности в повестку дня заседаний советов директоров. На рис. 2 приведена диаграмма, иллюстрирующая, в каких ключевых вопросах, относящихся к информационной безопасности, совет директоров чаще всего принимает участие.

Таким образом, можно сделать вывод о том, что управление киберрисками подразумевает под собой разработку четко продуманной программы. Руководству компаний стоит задуматься над ее созданием в новом году. Программа эффективного управления киберрисками станет одним из многих компонентов контрольной среды компании, являющейся неотъемлемой частью системы управления рисками. Хотя такая программа не устраняет киберриски, она позволяет управлять этими рисками с помощью процесса принятия компетентных решений с учетом всей имеющейся информации.

Команде руководителей высшего звена необходимо осознать свою ведущую роль в процессе обеспечения устойчивости организации к киберрискам и стремиться задавать нужный тон на всех уровнях управления компанией. Руководителям важно понимать значение минимизации киберрисков как одной из основных задач в работе по обеспечению непрерывного движения организации к успеху.

Вот несколько основных шагов, которые могут быть рекомендованы руководителям высшего звена в этом направлении:

• создание системы управления киберрисками;
• понимание границ киберпространства своей организации;
• определение своих жизненно важных бизнес-процессов и активов;
• выявление существующих киберугроз;
• усовершенствование собственных методов киберразведки;
• эффективное использование различных вариантов страхования от киберрисков;
• модернизация технологий в области обеспечения кибербезопасности;
• оптимизация процесса сбора, анализа и представления информации;
• планирование работы и ответные действия.

Однако по мере того как число инцидентов по всему миру продолжает стремительно расти, становится ясно, что киберриски никогда не будут полностью ликвидированы.

Литература

Управление киберрисками во взаимосвязанном мире. Основные результаты Глобального исследования по вопросам обеспечения информационной безопасюсти. Перспективы на 2015 г., www.pwc.com/gsiss2015