Метрики корпоративной кибербезопасности для доклада совету директоров
Когда речь заходит об измерении эффективности корпоративной кибербезопасности, то нередко первые лица, топ менеджеры, далекие от этой сферы, всё сводят к одному вопросу – прошла ли успешная хакерская атака на компанию или нет?
Такой подход ставит службу безопасности в трудное положение. Ведь при самых надежных средствах киберзащиты атаки были и будут. Стопроцентной гарантии от взлома сетей и хранилищ данных в современных условиях нет и пока быть не может.
Но как же в таком случае наглядно продемонстрировать акционерам эффективность защиты?
Журналист и эксперт Грег Кушто в онлайновом издании Chief Security Officer (June 14, 2018) рекомендует сфокусировать внимание на тех результатах, которые можно просчитать. Существует немало метрик для кибербезопасности. Автор статьи выделяет три, по его мнению, ключевые.
-
Время обнаружения хакерской атаки
Что в первую очередь интересует членов правления? Сколько времени прошло между атакой и ее обнаружением. В среднем, отмечают эксперты, проходит 150 дней. Срок, более чем достаточный, для нанесения компании существенных потерь. Такая статистика способна вызвать панику среди владельцев и управленцев компании. Поэтому, рекомендует Кушто, необходимо убедить совет директоров, что эта цифра отражает стандарт по всему сектору бизнеса (экономики). Не одномоментное выявление атаки нельзя ставить в вину исключительно службе безопасности. Такое происходит зачастую из за недофинансирования СБ, устаревших средств киберзащиты, дефицита кадров. Анализ этих и иных объективных факторов может подвигнуть совет директоров на обсуждение вопроса об увеличении расходов на корпоративную безопасность.
-
Время на восстановление сетей после атаки
Это второй по важности вопрос. Сколько времени требуется для ликвидации несанкционированного вторжения после его обнаружения, латания бреши, восстановления нормальной работы компьютеров? Время необходимо измерять в часах, а не в днях! Если же для восстановления требуются дни, то, значит, проблема коренится в самой системе кибербезопасности, требующей серьезного анализа и переоценки. Докладывая руководству компании, желательно делать упор на необходимости приобретения более совершенных программных продуктов, которые реагируют на хакерские атаки в автоматическом режиме. Такие решения доступны на рынке. Они недешевы, но экономический эффект от их внедрения может быть весьма существенным.
-
Финансовый аспект
Этот тот аспект, на который совет директоров обращает первоочередное внимание. Автор публикации называет две категории статистики, которые может и должен использовать руководитель СБ в своем докладе правлению компании.
Во-первых, процент тех средств, которые идут непосредственно на поддержание кибербезопасности в общем бюджете информационных технологий. Несведущие в проблеме люди часто путают то и другое, ставя знак равенства между общими расходами на информационные технологии и целевыми расходами на кибербезопасность. Важно разъяснять, что на информационную защиту тратится только часть выделенного бюджета. И это повод обсудить возможности увеличения данной доли.
Во-вторых, целесообразно привести цифру обнаруженных атак за отчетный период, на которую поделить потраченные за это время средства на кибербезопасность. Тем самым можно подсчитать, во сколько в среднем обходится обнаружение и восстановление после каждой такой атаки. Корреляция между затратами на кибербезопасность и стоимостью реагирования на атаки демонстрирует эффективность защиты.
|