Если у бизнеса не хватает своих ресурсов, нужно передать оценку на аутсорсинг , сообщает forbes.kz.

Фото Аналитик кибербезопасности

Фото: freepik.com

На фоне постоянно меняющегося ландшафта киберугроз и растущей цифровизации хочется поговорить о том, как киберриски могут оказывать негативное влияние на бизнес-цели. Возможно ли эффективно управлять этим, а главное, трезво оценивать?

Лидерам бизнеса, не приглашающим ИБ-руководителей в первый уровень управления под собой, зачастую непонятно, как планировать бюджет на безопасность и как оценить риски ИБ. При этом они считают, что про управление другими рисками для бизнеса знают все. Но в кибербезопасности управление рисками – это особый процесс. В ходе оценки этих рисков результаты интегрируются с экономикой, ходом развития бизнеса, юридическими последствиями – для принятия решений по инвестициям в ИБ-решения.

Оценка рисков кибербезопасности позволяет:

  • Выявлять события типа «что может пойти не так», которые часто являются результатом злонамеренных действий субъектов угроз, халатности, инсайда либо промышленного кибершпионажа.
  • Определять уровни риска и набор недопустимых событий.
  • Сформировать действия и выделить ресурсы для устранения рисков, имеющих наивысший приоритет.
  • Привлечь сотрудников к размышлениям о технологических рисках и о том, как они соотносятся с бизнес-целями.

Что даст оценка рисков вашей компании?

  • Понимание того, где находятся ваши наиболее ценные ИТ-активы.
  • Возможность сосредоточиться на рисках с максимальным воздействием и наибольшей вероятностью.
  • Выявление и устранение уязвимостей.
  • Разумное использование бюджета для ИБ-инициатив.
  • Соответствие нормативным требованиям.
  • Повышение доверия клиентов.

Важно помнить, что недостаточное финансирование киберзащиты точно приведет к провалам в обучении ИБ и неравномерному, непоследовательному охвату оценки рисков.

Но почему же оценки рисков терпят неудачу?

  • Организация пыталась провести оценку рисков, но утечка данных случилась быстрее.
  • Организация не смогла адекватно оценить риски, связанные с бизнесом и данными.
  • Недостаточная осведомленность о киберрисках сыграла роль в несоблюдении требований, поскольку организация не была готова к новейшим векторам риска и субъектам угроз «в дикой природе».

Процесс оценки ИБ-рисков тесно связан с ответом на следующие вопросы (помимо очевидного):

  • Какие активы наиболее важны с точки рения ИТ?
  • Какой тип утечки данных окажет существенное влияние на ваш бизнес – вредоносное ПО, кибер­атака или человеческая ошибка?
  • Какой уровень риска устраивает вашу организацию?
  • Есть ли шаблон оценки рисков поставщика?

Тот, кто корректно может ответить на эти вопросы, претендует на контроль средств ИТ-безопасности и стратегии защиты данных для устранения рисков. В идеале бизнесу необходимо нанять партнера, занимающегося оценкой рисков. Это означает наличие ИТ-персонала, понимающего, как работает ваша цифровая и сетевая инфраструктура, руководителей, осознающих, как происходит передача информации, и любых собственных организационных знаний, которые могут пригодиться во время оценки.

Организационная прозрачность является ключом к тщательной оценке киберрисков, и, если у бизнеса не хватает своих ресурсов, нужно передать оценку на аутсорсинг. Также бизнес с продвинутой ИБ и службами комплаенса может использовать GRC-решения для этих задач. Разработайте план снижения рисков, чтобы убедиться, что вы готовы к любой ситуации. Поговорите со своими сотрудниками о рисках и о персональном вкладе каждого члена команды в обеспечение безопасности бизнеса.

Автор Евгений Питолин

Источник forbes.kz

 

Бизнес Управление киберрисками

Новости

Популярные новости