Кібер-ризики: як розуміти та управляти
Поява поняття «кібер-ризику» стало першим кроком на шляху розуміння бізнесом важливості кібербезпеки. Саме «кібер-ризик» означає ризик фінансових втрат (прямих і непрямих), повної або часткової зупинки діяльності, а також шкоди репутації організації або приватної особи. Часто після цього визначення додають щось на кшталт «в результаті порушення роботи інформаційних сервісів і систем». Це не зовсім вірно, і ми зараз пояснимо різницю між таким підходом до роботи з ризиками та нашим.
Саме поняття кібербезпеки набагато ширше інформаційних систем і ресурсів. Воно включає в себе всі ресурси компанії або організації, в тому числі, співробітників, підрядників і партнерів. Будь-яка сфера діяльності або активності, яка може притягнути загрозу реалізації вищезазначених ризиків, формує повне охоплення вже кібер-ризиків.
Управління кібер-ризиками – це фундамент для будь-якої дії у сфері безпеки, чи то впровадження систем або інструментів, або побудова процесів і впровадження правил і політик. Проекти з управління ризиками часто недооцінюють і не відокремлюють. Хоча саме грамотне визначення та управління кібер-ризиками дозволяє розподілити раціонально бюджет на кібербезпеку і грамотно підготуватися до атак і загроз заздалегідь.
Передумов для формалізації процесів управління кібер-ризиками кілька:
- оцифровка (або «діджиталізація») сучасного бізнесу. Вже практично не залишилося галузей, які не залучені в кіберпростір, і розмір компаній вже також не має значення;
- потрапляння самої людини до охоплення застосування кібер-ризиків. Людина навіть сама по собі вже є інформаційним активом, який необхідно захищати;
- зростання залежності областей безпеки одна від одної. Наприклад, фізичної безпеки від інтернету речей;
- потреба топ-менеджерів у простому й зрозумілому інструменті оцінки безпеки та її розвитку.
У світі існує безліч методологій побудови процесів управління ризиками і первинної оцінки ризиків. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – це лишень мала частина переліку існуючих практичних методик. Є уніфіковані методики, є галузеві. Досвідченому консультанту не важко вибудувати процеси оцінки й управління кібер-ризиками в рамках будь-якої з них. Базові принципи єдині, а їхній логічний ряд збудовано єдиним правильним ланцюжком до появи інформаційних технологій.
Якщо ви ніколи раніше не були дотичні до управління ризиками, в компанії не знають, що таке карта ризиків і для чого вона потрібна, то варто починати з аналізу ризиків. Його проводять навіть за умови впроваджених і налагоджених процесів управління, тому що кібер-ризики – субстанція дуже жива і змінюються вони досить часто і сильно. Під час первинної оцінки ризиків необхідно в першу чергу визначити цілі управління кібербезпекою компанії. Після цього необхідно визначити критично важливі елементи, які впливають на ключові бізнес-процеси компанії. Кожен ризик, у класичному розумінні, оцінюється за двома параметрами: ймовірності й потенційного збитку. Виходячи з цих кількісних показників формується карта ризиків і їхній пріоритет. Таку оцінку необхідно проводити регулярно, розширюючи карту ризиків, щоб охопити якомога більше потенційних ризиків для компанії.
На підставі оцінки кібер-ризиків проводиться їхня пріоритезація для бізнесу. Як правило, це показник фінансовий, який зрозумілий представникам топ-менеджменту і бізнес підрозділів. І далі починається найцікавіше: робота з ризиками. Тобто, кожен ризик після оцінки підлягає аналізу, щоб опрацювати заходи роботи з ним. Є класичний набір таких заходів: мінімізація, прийняття, ухилення, перекладання і диверсифікація. Проте в різних методиках можуть виникати нові терміни або інструменти. Завдання цього етапу робіт полягає у виборі правильного інструменту управління для кожного ризику (інструмент може бути переглянутий згодом та змінений). Наприклад, іноді компанії беруть ризик втрати клієнта, розуміючи, що фінансово їм буде невигідно боротися за нього. Так і в кібербезпеці може виявитися, що захист якогось ресурсу або активу є недоцільним, отже простіше застрахувати його втрату або компрометацію.
Наступним етапом є застосування обраних інструментів та заходів управління кібер-ризиками та перевірка їхньої ефективності. В рамках наступного перегляду карти ризиків цілком може виявитися, що обраний метод управління ризиком не виправдав очікувань, або у ризику змінилися його параметри (ймовірність і збитки), що вимагає більш жорсткого або, навпаки, м’якого і не витратного впливу на нього.
Заключним етапом є знову оцінка, а точніше перегляд процесів і карти кібер-ризиків на регулярній основі. Саме такий, циклічний підхід допомагає працювати з актуальною інформацією та актуальними погрозами. Таким чином, компанія підтримує максимальний рівень кіберстійкості, керуючи пріоритетними ризиками на сьогоднішній день і керуючи ними ефективно. Кібер загрози не перестануть з’являтися, атак теж менше не стане, тому превентивна оцінка і підготовка до найбільш небезпечних для вас подій – правильний і вже просто необхідний крок у сучасному світі.