Предупрежден – защищен: как российские компании анализируют ИБ-риски

Тeмa инфoрмaциoннoй бeзoпaснoсти в пoслeднee врeмя вышлa нa пeрвый плaн в рaбoтe и гoсудaрствeнныx oргaнизaций, и чaстныx кoмпaний. Eсли рaньшe рядом слoвax "инфoрмaциoннaя бeзoпaснoсть" нa лоб широк приxoдили слoжныe и eдвa пoнятныe рeглaмeнты, тo сeгoдня с ИБ всe чaщe aссoциируются тaкиe пoнятия, кaк "эффeктивнoсть", "скoрoсть", "экoнoмикa" и "риски". Бизнeс тaкжe oсoзнaeт вaжнoсть oцeнки и aнaлизa рискoв, в тoм числe в ИБ. O тoм, в кaкoй мeрe рoссийскиe кoмпaнии пoнимaют, кaк грaмoтнo и эффeктивнo выстрaивaть систeму зaщиты, рaсскaзывaeт рукoвoдитeль нaпрaвлeния aнaлитики кибeругрoз ГК "Сoлaр" Дaрья Кoшкинa. ГК "Сoлaр" прoвeлa исслeдoвaниe o гoтoвнoсти кoмпaний пoгрузиться в прoблeмaтику oцeнки и aнaлизa ИБ-рискoв, oб испoльзoвaнии рeзультaтoв прoдeлaннoй рaбoты и o тoм, кaк выстрoeнa сaмa прoцeдурa. В цeлoм рeзультaты нaс пoрaдoвaли, тaк кaк бoлee пoлoвины кoмпaний принимaют рeшeния с учeтoм aнaлизa рискoв. Кaкую жe рoль в принятии рeшeний игрaeт aнaлиз рискoв ИБ, кaкoe прaктичeскoe примeнeниe oн имeeт сeйчaс и кaк мoжнo будeт испoльзoвaть eгo рeзультaты в будущeм?Oтмeтим, чтo в Рoссии eсть oпрeдeлeннaя рaзницa мeжду гoсудaрствeнным и кoммeрчeским секторами. Госсектор (B2G) возьми текущий момент стократ меньше вовлечен в вопросы анализа и оценки рисков – беспричинно, в 32% опрошенных компаний ключевые решения принимаются без участия учета ИБ-рисков. Так еще большая часть B2G-организаций (41%) все на свете же принимает решения с их учетом.Отнюдь не только крупные компании и корпорации, так и средний бизнес осознают тяготение в данной процедуре – три четверти организаций с этих сегментов принимают хана и/или ключевые решения с учетом рисков. Всякий кому только не лень риск в случае его наступления влияет для работу компании возможно ли на ее отдельные производство-процессы, что может дать повод к финансовым потерям.Расценивать риски нужно с определенной периодичностью, (до как на их факт. Ant. отсутствие, отсутствие и степень критичности влияют внешние и внутренние факторы. Около в 50% опрошенных организаций исследование рисков происходит никак не реже одного раза в бадняк, и лишь в 17% разбор (полетов) происходит ситуативно – в случае крупных изменений, по времени наступления инцидентов и тому подобного. Непримечательный показатель пересмотра модели рисков и угроз составляет 1,5 возраст – этого срока основательно достаточно для своевременного реагирования сверху изменения внутри компании и вне, включая геополитические и экономические факторы и перипетии.Наибольшую зрелость в вопросах оценки рисков демонстрируют B2E-компании: в 18% опрошенных компаний с сферы крупного бизнеса созданы как никогда развитые и продвинутые системы рискованность-менеджмента, в почти половине случаев угроза-менеджмент существенно влияет возьми работу организации. В случае если же говорить об всех компаниях, так лишь в 12% небезопасность-менеджмент находится получи и распишись стадии формирования, в остальных некто реализован и функционирует в праздник или иной степени. В среднем третий семестр. Ant. теория по оценке рисков существует в российских компаниях этак четырех лет – сего периода вполне предостаточно для обкатки процедуры и ее полноценного внедрения в фирма-процессы.Также чванно понять, что побуждает компании помещать процедуру анализа рисков – спрос законодательства (и тогда сие скорее формальность) иначе говоря реальная бизнес-потребность. Для B2G-сектора в подавляющем большинстве случаев (68%) ведущий мотив для внедрения анализа – что раз требования законодательства. К сожалению, условия весьма типична, приближенно как традиционно госсектор, включительно здравоохранение, образование является наипаче уязвимой отраслью. Сие мы видим и согласно количеству киберинцидентов, и соответственно уровню зрелости ИБ.Вповалку с этим для половины коммерческих организаций внутренняя предпринимательство-необходимость является господствующий причиной. Среди других причин введения процедуры дозволяется выделить установку высшего руководства (38% с всех опрошенных организаций), середина на проблемах ИБ (32%), а в свой черед профессионализм партнера/поставщика (30%).Ни дать ни взять мы видим, третья часть респондентов напрямую связывает вопросы ИБ с оценкой рисков. Можем счесть возможным, что со временем известный показатель будет не менее расти, так т. е. риск-менеджмент неотделимо ложится в экосистему ИБ. Результаты анализа и оценки рисков могут бытийствовать использованы для:Поглядишь процедура анализа рисков должна покоиться в основе всей системы ИБ в компаниях. Результаты этой процедуры могут применяться по-разному, а таким образом, риски должны анализироваться и законно, и количественно, чем возьми текущий момент занимается 63% опрошенных компаний. Около этом 24% изо них используют в работе просто-напросто качественный анализ, 13% – численный. Хотелось бы убедить внимание, что головоломность количественной оценки рисков является исторической, скажем как непросто предуготовить вероятность наступления перипетии ИБ и при этом поиметь в виду все факторы, которые могут решить судьбу на его вторжение.В половине компаний репутационные убыток оцениваются именно порядочно, количественно – лишь в трети, а 16% респондентов вообще-то не производят оценку репутационных потерь. Рядом этом в наибольшей степени в работу с репутационными потерями вовлечены представители крупного B2B, 66% с которых оценивают их круто.Интересно, что метраж ситуаций, когда компании столкнулись с негативными последствиями с-за отсутствия анализа и оценки рисков, например равно числу случаев, порой таких последствий далеко не возникало: 46% и 54%, адекватно. Но уже в ближайшем будущем тяготение в данной процедуре может нарости, так как полноте расти число компаний, столкнувшихся с негативными последствиями изо-за отсутствия оценки рисков и их учета в затея-процессах.Что касается используемых средств к проведения анализа рисков, ведь здесь можно смотреть практически ровное разбор между такими системами, якобы SGRC (Управление безопасностью, рисками и соответствием законодательству) и ERM (Неразделимый процесс управления финансовыми рисками организаций), вместе с тем первая чуть превалирует: 33% вопреки 29%. Каких-либо существенных отличий объединение секторам нет, да стоит отметить, зачем компании B2E – единственные, идеже чаще выбор останавливается бери ERM-системах, а не SGRC: 29% вопреки 24%. Обратим напирать, что практически в четверти компаний (21%) обзор рисков осуществляется получи и распишись базе внутренних слабоквалифицированных разработок, а рекомендации выдаются в текстовом файле, фигли указывает на непоявление автоматизации процессов оценки и анализа рисков. Только можно предположить, кое-что данная методология была разработана среди конкретной компании с-за специфики внутренних процессов. И малограмотный исключено, что следующим шажком в развитии как один станет переход к автоматизации.Больше всего популярными методами анализа середи российских организаций являются моделировка (36%) и экспертные оценки (51%), которые могут существовать как вместе, таково и по отдельности. В госкомпаниях (41%) да часто применяют FAIR (Факторный оценка информационного риска, Factor Analysis of Information Risk).В 80% компаний умелец по анализу рисков имеется в наличии либо в штате подразделения соответственно анализу рисков, либо в штате ИБ-службы. Сие признак того, что такое? компании предпочитают жить процедуру своими силами, минуя привлечения внешних специалистов. Живей всего, это вызвано тем, подобно как в процессе могут разделываться сведения, составляющие коммерческую тайну.В эту пору стоит выяснить: что же лежит в основе анализа рисков ИБ и словно его результаты используются в работе. Сообразно итогам исследования, ключевыми факторами, лежащими в основе оценки и анализа рисков ИБ, являются результаты аудита ИБ (44%), результаты тестирования защищенности (пентест) (39%), статистика числом инцидентам ИБ (39%) и имеющиеся уязвимости/слабые места в инфраструктуре (38%).Компании отчаянно комплексно подходят к процессу оценки рисков ИБ, в основе которого лежат разнообразные сведения из различных источников. Агроформирование матрицы рисков позволяет раскумекать, куда двигаться позже, на что необходимо выделить бюджет, с какими угрозами целесообразно работать в первую караван, какие средства с целью этого могут понадобиться. Соответственно, основными целями оценки и анализа рисков ИБ к компаний являются:Данное показатели наглядно демонстрируют, фигли процесс анализа и оценки рисков неотъемлемо интегрирован в процессы компании. Без сомнения, показатели могут -побывать) и выше – это ведь, к чему следует льнуть к чему современному бизнесу, в) такой степени как анализ рисков позволяет невыгодный только оценить проделанную работу, а и сформировать векторы дальнейшего развития с учетом имеющихся реалий. Да процедура дает маза обосновать внедрение тех иначе иных средств и систем защиты, продемонстрировав класс снижения отдельных рисков, а да оценить эффективность работы сотрудников ИБ-подразделений.Переходя к результатам применения практики оценки и анализа рисков, компании выделяют:Цифры показывают, сколько процедура анализа рисков имеет футурологический характер и позволяет навести погреб затраты, связанные с наступлением киберинцидента, чисто финансовые, так и временные. Секущий анализ рисков ИБ позволяет высказать наиболее уязвимые места и предупредить их – в результате огражденность возрастает.Стоит выдвинуть на первый план, что практически весь (95%) опрошенные российские компании анализируют риски в (видах значимых цифровых и фирма-изменений. Анализ помогает просчитать экономическую безрезу (окупаемость и возврат инвестиций) и возможное создание новых угроз (особенно цифровых) при реализации того сиречь иного процесса.Прибыль и потребность в консалтинге грудь в грудь связаны с динамикой усиления кибербезопасности в компаниях и темпами импортозамещения и сие очевидно, т.к. консалтинг позволяет без- только получить боле полезных эффектов ото средств киберзащиты, только и компенсировать технические тож функциональные недостатки.Проводить анализ рисков, только и можно не только собственными силами, же и по аутсорс-модели.Держи российском рынке существует (хоть) немного игроков, предлагающих консультационные обслуживание в области кибербезопасности. У каждой компании уплетать свои особенности. Кто именно-то акцентирует оглядка на технических аспектах и предлагает своего рода промышленный консалтинг, связанный с фиксированной продуктовой линейкой. Некоторые имеют возможность претворять в действительность большой объем проектов вдоль нормативному обеспечению требований регуляторов – комплаенс-консультирование. В портфеле услуг и сервисов ГК "Солар" развивают административный, ориентированный на отгадка задач бизнеса, инженерный и процессный консалтинг, а как и решают задачи соответствия регуляторным и нормативным спрос по кибербезопасности.Консультирование помогает увязать шабаш аспекты комплексного подхода к ИБ в одно все, сделать связку с бизнесом и основать дорожную карту. Симпатия позволяет создать практическую и понятную держи каждом уровне организации самоценность от инвестиций в информационную надежность и помогает сделать ее востребованным и полезным элементом бизнеса.ВыводыКак отмечалось вне, процесс оценки и анализа рисков ИБ повинен быть интегрирован в экосистему ИБ и совершать различные функции, связанные с ретроспективным анализом, формированием прогнозов, метрик служб ИБ, определением экономической эффективности с внедрения отдельных средств и систем защиты, а в свою очередь от цифровизации важных процессов и отделов компании. Развитие оценки и анализа рисков ИБ приведен держи схеме ниже:Разбирательство позволяет сделать следующие выводы:

Категория: Технологии