[[slotProps.postItem.title]]
Создание киберустойчивой организации означает понимание рисков в области кибербезопасности и способов управления ими. Однако постоянно меняющийся характер киберрисков затрудняет выбор правильной стратегии оценки риска. Анализируя типы оценок рисков и способы их использования, компания может формировать эффективные стратегии их минимизации, встраивать в периметр своей защиты инструменты страхования от киберрисков, тем самым создавая для себя модель киберустойчивой организации.
Универсальные подходы к оценке рисков
Универсальные подходы к оценке рисков часто применяются для различных сценариев использования и разных типов рисков, данные подходы достаточно распространены на практике. В то же время им не хватает точной настройки. Универсальная оценка риска обычно выполняется по шаблону (матрице). При оценке киберриска можно использовать перечень типовых вопросов, которые позволят проявить основные контуры риска в беседе с менеджментом.
При оценке риска желательно рассмотреть все основные аспекты кибербезопасности, среди которых:
· Есть ли в организации политика, определяющая правила создания и регулярного изменения паролей?
· Использует ли организация брандмауэры?
· С какой регулярностью организация устанавливает обновления безопасности?
· Используется ли шифрование информации, например, при удаленном подключении к рабочему столу?
Проведение такого рода анкетирования поможет сформировать оценку киберрисков с учетом перечня основных угроз и мер в области кибербезопасности. Проведение оценки киберрисков целесообразно проводить не только в отношении вашей компании, но и для ключевых поставщиков организации. Это позволяет более эффективно прогнозировать устойчивость поставок основного сырья, материалов и услуг, повышая уровень устойчивости вашего бизнеса. По результатам такой оценки может потребоваться разработка дополнительных мероприятий, направленных на повышение уровня кибербезопасности.
Качественная оценка рисков
Зачастую данная оценка выражается определенным словосочетанием, характеризующим текущий уровень риска, например, «низкий риск» или «крайне высокий риск». Данный подход к оценке основывается на субъективном опыте участников процесса. Качественная оценка риска – наиболее распространенный способ оценки. Поскольку такой тип оценки не базируется на количественных показателях, вероятность искажения результата достаточно велика. Полезно помнить, что предшествующий опыт людей, участвующих в оценке, также может создавать предвзятое отношение, что напрямую повлияет на результаты оценки.
При оценке рисков кибербезопасности качественная оценка риска базируется на суждении человека или группы заинтересованных лиц. Наиболее распространенным способом оценки является метод «Дельфи», или мозговой штурм, когда участники делятся своими мыслями и формируют итоговую оценку риска сообща.
В рамках таких обсуждений полезно будет рассмотреть следующие аспекты риска:
· Категория данных, в отношении которых существуют киберриски.
· Критичность бизнес-процессов.
· Финансовые последствия от реализации киберрисков для компании.
· Утечка данных и публикации в средствах массовой информации.
Процесс качественной оценки рисков помогает понять, что разные сотрудники компании думают о риске кибербезопасности на самом деле, будь то риск вашей организации или риски ваших партнеров. Качественная оценка рисков требует меньше времени, чем другие методы оценки, что может быть полезным на ранних этапах обсуждения и при принятии оперативных решений.
Количественная оценка рисков
При количественной оценке рисков основное внимание уделяется использованию объективных данных при расчете вероятности реализации риска. Количественная оценка риска обычно строится на фактах и показателях предшествующих периодов.
Часто при оценке риска применяется следующая формула:
Риск = вероятность утечки данных (x) финансовые последствия утечки данных
Хотя данная формула выглядит простой, факторы, влияющие на нее, более сложны. При оценке киберриска рекомендуется учитывать:
· Уровень текущей безопасности.
· Недавние инциденты, связанные с утечкой данных.
· Атаки внутри отрасли.
· Типы защищаемых данных.
· Критичность данных.
· Отток клиентов и результаты анализа его причин.
В области кибербезопасности количественная оценка рисков может использоваться для оценки риска утечки данных самой организации, а также уровня безопасности ее партнеров. Современные стандарты по обеспечению безопасности и конфиденциальности данных требуют проведения оценки рисков. Поскольку количественная оценка рисков сосредоточена на исследованиях и объективных данных, она более точна и позволяет принимать более обоснованные и взвешенные решения по результатам анализа.
Безусловно, каждая оценка риска имеет некоторую врожденную предвзятость, однако при количественной оценке используются объективные исходные данные, определяющие итоговый результат. Компании, которым необходимо соблюдать нормативные требования в области кибербезопасности, получают преимущества от использования количественной оценки рисков за счет обоснованности и документального подтверждения сделанных выводов.
Оценка рисков кибербезопасности для конкретного объекта
Оценка рисков кибербезопасности для конкретного объекта ограничивается по объему и, как правило, имеет конкретную цель применения. Оценка риска для конкретного объекта учитывает местоположение объекта, окружающую его среду и людей, которые с данным объектом взаимодействуют. Такая оценка позволяет определить уровень кибербезопасности отдельного объекта, например, филиала компании, расположенного в одном из городов. В гиперсвязанных ИТ-экосистемах киберриски, влияющие на одну область, вероятно, будут иметь эффект домино по отношению ко всей компании, и данный тип оценки не будет иметь смысла.
Оценка рисков для конкретного объекта может быть полезна, когда у организации есть дочерняя компания или ИТ-актив с уникальными проблемами безопасности. Вот несколько примеров:
· Система или сеть в строго регулируемой географической зоне.
· Недавно приобретенная компания, чьи системы и сети отличаются от материнской компании.
· Операционная область, которая имеет уникальные риски кибербезопасности.
В приведенных случаях системы и сети могут быть подвержены определенным, не связанным с остальной компанией рискам в области кибербезопасности, и уникальность этого воздействия может быть оценена должным образом.
Динамическая оценка рисков
В то время как большинство оценок рисков привязано к какому-то моменту времени, динамическая оценка рисков построена на непрерывной оценке и оперативном реагировании. Благодаря динамической оценке рисков команда кибербезопасности имеет возможность отслеживать возникающие риски, оценивать их влияние в режиме реального времени и минимизировать их с максимально возможной скоростью. Динамическая оценка рисков дополняет существующие процедуры анализа рисков, применяемые в компании.
Все существующие международные требования в области кибербезопасности направлены на непрерывный мониторинг эффективности средств контроля для снижения риска утечки данных. Несмотря на то, что перед компанией может по-прежнему стоять задача проведения ежегодной официальной оценки рисков, динамическая оценка рисков будет способствовать оперативному реагированию на риск.
При динамической оценке рисков в области кибербезопасности следует учитывать:
· Новые распространенные уязвимости и уязвимости, которые необходимо исправить.
· Уязвимости нулевого дня, т.е. не устраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы.
· Тактики, приемы и процедуры, используемые злоумышленниками.
· Штаммы программ-вымогателей и вредоносных программ.
· Инциденты, произошедшие в области информационной безопасности у компаний-партнеров.
Для построения киберустойчивой организации требуется реализация мер, направленных на предотвращение или снижение киберрисков. Одним из наиболее эффективных инструментов защиты является страхование киберрисков. Использование инструмента страхования позволяет компаниям не только всесторонне оценивать уровень своих киберрисков, с учетом современных вызовов и международного опыта, но и обеспечивать финансовую защиту активов, минимизируя финансовый ущерб, который организация может получить вследствие реализации всех известных и неизвестных на настоящий момент киберрисков.
