[[slotProps.postItem.title]]
Если ваша компания инвестирует средства в кибербезопасность, это, конечно, хорошо. Но возникает вопрос, отслеживаете ли вы результативность своих инвестиций? Установлены ли в компании ключевые показатели эффективности в области кибербезопасности? Если это не так, знайте, что вы не одни в таком положении.
Согласно отчету PwC[1], только 22% руководителей считают, что отчеты по рискам, формируемые в компании и описывающие киберриски, достаточно полны, чтобы принимать взвешенные управленческие решения на их основе. Эта статистика не менялась последние 10 лет. Другие отчеты также это подтверждают, например, в отчете EY представлены результаты опросов, согласно которым 36% организаций в секторе финансовых услуг обеспокоены отсутствием или низкой зрелостью показателей, используемых для измерения эффективности действий в области обеспечения кибербезопасности. Речь идет об организациях, которые потратили миллионы долларов на кибербезопасность ради соблюдения нормативных требований. Однако они не измеряют и не оценивают эффективность своих вложений в информационную безопасность.
ВАЖНОСТЬ КЛЮЧЕВЫХ ПОКАЗАТЕЛЕЙ ЭФФЕКТИВНОСТИ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ
Невозможно полноценно управлять тем, что нельзя измерить. Также невозможно оценить уровень кибербезопасности компании, если не устанавливать и не измерять соответствующие показатели эффективности. Регулярная оценка уровня вашей кибербезопасности – это способ отслеживания и измерения результатов ваших усилий.
Основные причины, по которым необходимо отслеживать уровень кибербезопасности:
· Возможность видеть полную картину: если вы не отслеживаете ключевые показатели эффективности и ключевые показатели риска, вы не сможете четко определить, насколько эффективными были ваши усилия в области кибербезопасности и каких результатов вы достигли с течением времени. Без надежных исторических данных, на которые можно положиться, трудно принимать обоснованные решения в отношении киберрисков в будущем, а значит, придется принимать решения вслепую.
· Возможность более эффективно взаимодействовать с заинтересованными сторонами. Без демонстрации результатов работы в области кибербезопасности вам будет сложно доказать эффективность проделанных усилий или обосновать бюджет, когда потребуется отчитаться перед членами совета директоров или руководством компании.
Также вам будут полезны результаты оценки уровня кибербезопасности других компаний, сопоставимых с вашей. Выбранные вами ключевые показатели эффективности должны быть четкими, актуальными и давать полное представление о состоянии информационной безопасности организации, ее достоинствах и недостатках.
КЛЮЧЕВЫЕ ПОКАЗАТЕЛИ ЭФФЕКТИВНОСТИ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ
Ниже мы представляем несколько примеров ключевых показателей эффективности в области кибербезопасности, которые вы можете оценивать и представлять результаты заинтересованным пользователям внутри и вовне компании:
1. Уровень готовности: сколько устройств подключено к вашей сети, на скольких из них установлены последние обновления программного обеспечения?
2. Неопознанные устройства во внутренней сети: ваши сотрудники приносят свои устройства на работу и подключаются к корпоративной сети. Для компании это большие риски, поскольку данные устройства могут быть небезопасными. Сколько таких устройств в вашей сети?
3. Попытки вторжения: сколько раз злоумышленники пытались взломать ваши сети?
4. Среднее время наработки на отказ (MTBF): средняя продолжительность работы устройств или систем между отказами.
5. Среднее время обнаружения (MTTD): как долго угрозы безопасности остаются незамеченными? MTTD измеряет, сколько времени требуется команде, чтобы узнать о потенциальном инциденте в области кибербезопасности.
6. Среднее время устранения (MTTR): сколько времени требуется вашей команде, чтобы отреагировать на угрозу с момента ее возникновения?
7. Среднее время восстановления (MTTR): сколько времени требуется вашей организации для восстановления после сбоя в системе?
8. Количество дней на обновление: сколько времени требуется вашей команде, чтобы внедрить обновления в области безопасности? Киберпреступники часто используют задержки между выпуском обновлений и их установкой.
9. Результаты обучения и осведомленности сотрудников в области кибербезопасности: сколько сотрудников прошли обучение? Поняли ли они материал?
10. Количество зарегистрированных инцидентов в области кибербезопасности: сообщают ли сотрудники о проблемах кибербезопасности в соответствующее подразделение? Если да, то это хороший знак, который означает, что ваши сотрудники осознают важность проблемы. Это также говорит о том, что обучение сотрудников в области кибербезопасности проходит эффективно.
11. Использование рейтингов безопасности. Зачастую это самый простой способ сообщить об уровне вашей кибербезопасности коллегам, не имеющим технических знаний. Рейтинги безопасности представляют собой агрегированные результаты оценки по различным категориям безопасности, например: сетевая безопасность, работоспособность DNS, частота обновления, оценка локализации, безопасность конечных точек, безопасность веб-приложений, утечка учетных данных, социальная инженерия и др. Исходя из этих факторов, можно оценить общий класс безопасности и сравнить свою компанию с другими предприятиями отрасли.
12. Управление доступом: сколько пользователей имеют права администратора в системе?
13. Тренинг по повышению осведомленности в области кибербезопасности: насколько хорошо вы ведете документацию по обучению и повышению осведомленности сотрудников в области кибербезопасности? Включены ли в периметр обучения все члены организации, включая руководителей высшего звена?
14. Необъяснимый всплеск трафика (NHT): вы регистрируете обычный объем трафика на своем веб-сайте или аномальные всплески, которые указывают на потенциальную атаку?
15. Мониторинг заражения вирусами: как часто ваше антивирусное программное обеспечение проверяет распространенные приложения, такие как почтовые клиенты, веб-браузеры и программы обмена мгновенными сообщениями, на наличие вредоносных программ?
16. Успешность фишинг-атак: каков процент фишинговых писем, разосланных по компании, был открыт вашими сотрудниками?
17. Стоимость одного инцидента: сколько для компании стоит отреагировать на атаку и отразить ее? Сколько средств может уйти вследствие сверхурочной работы персонала, проведения расследования, снижения производительности труда сотрудников, отказов со стороны клиентов?
Нет точного и полного списка ключевых показателей эффективности в области кибербезопасности, которые были бы применимы ко всем компаниям. Выбираемые показатели оценки в значительной степени зависят от потребностей организации и ее склонности к риску – риск-аппетита. Тем не менее часто компании применяют ключевые показатели эффективности, которые понятны руководству и заинтересованным сторонам. Хорошее практическое правило заключается в следующем: ваши коллеги в компании должны понимать установленные КПЭ, не обращаясь к вам за дополнительными разъяснениями.
Также важно помнить о том, что эффективным инструментом, позволяющим минимизировать ущерб организации от реализации киберрисков, является страхование. Сегодня на российском рынке данный инструмент набирает популярность. Покупка страхового полиса для компании дает не только определенные гарантии в отношении защиты финансовых показателей от влияния киберрисков, но также позволяет создавать многоуровневую систему защиты, минимизирующую любой финансовый и репутационный ущерб.
[1] Pwc. Being a smarter risk taker through digital transformation. 2019 Risk in Review Study
Автор: Евгений Теленков
