"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка

"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности
начало
о компании услуги вопрос-ответ осторожно! информация отдых контакты

 

 







год основания службы безопасности  АМУЛЕТ

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
По-новому думать и говорить о рисках

 

Мы все рабы собственных привычек. Поэтому время от времени важно вспоминать, что все в мире меняется и нам надо тоже меняться.

Таким философским заходом начинается статья в журнале Chief Security Officer (March 8, 2017), где слово предоставлено Стиву Гроссману, вице-президенту корпорации Bay Dynamics (специализируется на изучении и минимизации финансовых рисков). Он полагает, что тем, кто занимается вопросами корпоративной безопасности, полезно освежать свой подход к проблемам своей специальности. Прежде всего, освобождаться от «технологического» мышления. К сожалению, многие думают о безопасности в терминах технологий – сколько и какие межсетевые фильтры? Какие пакеты программных решений? Какие технологии СКУД? И так далее…

На самом деле защита предприятия представляет собой проблему управления рисками. В реальности инцидентов безопасности, в том числе атак хакеров, слишком много, чтобы успешно пытаться закрыть все уязвимости и прорехи. Как бы вы ни старались, какие совершенные технологии безопасности ни внедряли, угрозы и риски всегда остаются.

Поэтому необходимо находить новые подходы к проблеме корпоративной безопасности.

Как это делать, советует Стив Гроссман.

Изучайте и осваивайте само определение риска. Что собой представляет риск? Взаимодействие угрозы, уязвимости и воздействия (impact). Если в наличие нет ни одного из этих факторов, то нет и риска. Это вопрос приоритета. Многие пытаются устранить любую угрозу, залатать любую брешь. Это практически невозможно. Даже с финансовой точки зрения нецелесообразно. Просто не хватит никаких денег. Следовательно, надо сосредоточить внимание на приоритетных направлениях защиты. Откуда исходят самые большие риски? Что и какими средствами защищать в первую очередь? Куда вкладывать ограниченные бюджетом деньги?

Фокусируйте первоочередное внимание на потенциальных последствиях для бизнеса. Какие области бизнеса, процессы понесут наибольшие потери в случае компрометации и нарушения нормальной работы компании. «Заточенным» на технику специалистам трудно сформировать общую картину рисков. Анализ только технических аспектов потенциальных угроз и уязвимостей мешает понять и оценить негативные последствия для бизнеса при реализации этих угроз. Именно конкретные результаты воздействия инцидентов безопасности на бизнес часто остаются за скобками анализа рисков.

Говорите в терминах рисков. Когда вы докладываете первым лицам компании, совету директоров о корпоративной безопасности, не следует подсчитывать количество уязвимостей и брешей, залатанных вами за отчетный период. Надо говорить о количестве рисков, которые удалось сократить. Без соответствующего контекста цифры проделанной работы мало о чем говорят. Если и говорить о цифрах, то о суммах денег, которые удалось сэкономить на минимизации рисков.

При принятии решений думайте о взаимосвязи угроз и уязвимостей в защите бизнеса. Там, где уязвимости не обнаружены, можно особенно не волноваться по поводу рисков. Конечно, речь не идет о том, что не надо выявлять и устранять уязвимости. Просто надо сосредоточить внимание на защите тех направлений, которые могут представлять для бизнеса наибольшую опасность в случае компрометации. К примеру, технологии предотвращения информационных утечек. Используйте их там, где хранятся наиболее важные, секретные данные. Задайте себе вопрос: что сегодня наиболее важно с точки зрения корпоративной безопасности? Ответ: то, что помогает избавиться или минимизировать наиболее опасные для бизнеса риски.

Оценивайте и измеряйте. Если вы не используете испытанные, проверенные метрики в оценке рисков и угроз, то можете пойти в неправильном направлении. Оценивать (и измерять) угрозы надо в контексте потенциальных негативных последствий для бизнеса.

 


вернуться назад версия для печати
карта сайта




 
  

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru