 |
|
 |
|
Время для новой модели управления киберрисками настало
В этом уверен главный аналитик компании Enterprise Strategy Group ESG Джон Олтсик, чьи статьи с завидной регулярностью появляются не только в специализированных журналах, но и в таких ведущих изданиях как Business Week, Wall Street Journal, New York Times.
Очередная его публикация в онлайновом журнале Chief Security Officer, November 28, 2019, посвящена вопросу трансформации модели управления киберрисками. Олтсик утверждает, что нынешняя модель полностью себя исчерпала. «Специалисты по кибербезопасности уже не в состоянии успешно справляться с гигантским расширением киберпространства, с колоссальным ростом уязвимостей, с постоянно совершенствуемыми способами и методами киберкриминала», пишет он.
В подтверждение своего подхода Олтсик ссылается на недавнее исследование, проведенное корпорацией ESG, в котором и он участвовал. В упомянутой статье он делится некоторыми своими находками и размышлениями.
Бизнесмены более, чем когда-либо вовлечены в процессы безопасности
Еще десяток лет назад предприниматели и топ-менеджеры компаний снисходительно относились к вопросам безопасности бизнеса. Ситуация изменилась. Сегодня службы безопасности во многих организациях собирают и обрабатывают огромную массу данных, которые в приемлемой, доходчивой форме необходимо регулярно докладывать совету директоров. Содержимое отчетов и рекомендаций ясно указывает, что традиционные формы взаимоотношений между СБ и первыми лицами безнадежно устарели и требуют кардинальной перестройки.
Расходы на кибербезопасность увеличиваются, однако растут и ограничения
Бюджеты, выделяемые на кибербезопасность, пухнут год от года и конца этому не видно. Бизнесмены готовы вкладывать средства в сферу, призванную защищать их организации, но вместе с тем они хотят понимать и оценивать, какую реальную отдачу получают от этих инвестиций. К примеру, главный финансовый директор корпорации хочет знать, как именно улучшится безопасность, если вместо запланированных на год одного миллиона долларов на эту функцию будет выделено 1.2 миллиона, как того просит служба безопасности. Специалисты вынуждены тратить массу времени и сил на то, чтобы с помощью не всегда точных метрик исследовать далеко не полный трафик данных, чтобы наглядно, с цифрами на руках продемонстрировать конкретные выгоды от затрат на безопасность. В этом вопросе также нужные какие-то изменения и улучшения, пишет Олтсик.
Риски и угрозы быстро расширяются и растут
Базовая формула управления киберрисками сегодня выглядит так: «киберриск = уязвимости х угрозы х последствия». Все верно, но есть проблема: все составные части – киберпространство, бреши и уязвимости, последствия для бизнеса – увеличиваются быстрыми темпами. Один из выводов исследования ESG четко указывает на рост рисков и угроз, исходящих от третьей стороны (поставщиков, партнеров и т.п.).
Одновременно отмечается, что атаки становятся все более целенаправленными и изощренными. Организации сталкиваются с непрерывно увеличивающимся перечнем угроз: финансовые риски, операционные риски, наконец, репутационные риски. Естественно, что работа профессионалов по кибербезопасности требует большей специализации, концентрации усилий на все более узких направлениях, а это, в свою очередь, ставит вопрос о дополнительном обучении, повышении квалификации.
Способы управления рисками, такие как сканирование уязвимостей, аудит рисков, связанных с третьей стороной, тестирование возможностей для несанкционированного проникновения, обычно осуществляются периодически – раз в месяц, в квартал, несколько раз в год. Когда по требованию аудиторов, когда – регуляторов. Но редко исходя из продуманной и разработанной стратегии управления рисками.
Автор статьи видит проблему в методологическом подходе. В системе управления рисками всё взаимосвязано. Если меняется один фактор, то воздействие моментально распространяется на другие факторы и сегменты системы. Мы должны согласиться с этой реальностью и стремиться к созданию такой системы управления рисками, которая бы проводила мониторинг и оценку угроз на постоянной, непрерывной основе.
|
вернуться назад
