Отражая кибератаки
Для многих предприятий следующая волна инноваций и развития вероятно будет включать в себя более «умную» аналитику, богатый опыт разработки мобильных приложений, повсеместное внедрение системы «one touch» (в одно касание), которая не потребует от пользователя дальнейшего вмешательства в работу устройства и самостоятельного управления им вручную.
Успех будет зависеть от уровня доверия: потребители и бизнес-клиенты одинаково будут принимать не что иное, как полную гарантию того, что компании, с которыми они взаимодействуют, тщательно защищают их конфиденциальные данные в гиперсвязных цифровых системах, питающих цифровую (digital) экономику.
Когда компании по всему миру задумываются о киберзащите, большинство из них спрашивают: «Как мы можем защитить свои данные, соблюдая стандарты и нормы?», вместо того, чтобы спросить следующее: «Как нам выгоднее распорядиться инвестициями, учитывая риски, с которыми мы сталкиваемся?».
Многие также рассматривают киберзащиту в первую очередь как некую высокотехнологичную «примочку», нежели как систему, которая должна быть интегрирована во все бизнес-процессы. В результате, все они получают неверное представление о том, как верно выстроить программу кибербезопасности. Последствия довольно плачевны: около 80 процентов опрошенных руководителей по информационной безопасности отмечают, что их компании не готовы встретиться лицом к лицу с новыми способами кибератак, которые с каждым годом становятся всё изощрённее.
Решение, которое является наиболее рациональным в сложившихся обстоятельствах, базируется на многолетних исследованиях и передовом опыте – это выход за рамки общепринятых моделей, которые говорят нам, что кибербезопасность является управляющей функцией и прийти к тому, что киберзащита должна обеспечить, в первую очередь, цифровую (digital) устойчивость в следующих сегментах: разработка клиентских приложений, бизнес процессы, архитектура сервиса, а также способность системы безопасности своевременно отражать кибератаки, сохраняя важнейшую корпоративную информацию.
Учитывая размер ставок и кроссфункциональный характер решений, прогресс в вопросе кибербезопасности нуждается во введении и непосредственном участии руководящего звена в вопросе защиты корпоративных данных.
К сожалению, топ-менеджеры зачастую не занимаются подобными вопросами. Приблизительно в 2\3 опрошенных компаний, специалисты по информационной безопасности очень редко общаются с генеральным директором предприятия, а то и вовсе не знакомы с ним лично.
Таким образом, запуск и\или возобновление программы цифровой (digital) устойчивости даёт руководящему звену замечательную возможность установить правила и высказать ожидания, каким именно образом каждый из членов коллектива будет помогать выявлять и защищать важные информационные активы компании.
В этой статье рассмотрены шесть крайне необходимых мер, которые должна предпринять любая организация, планирующая достигнуть цифровую (digital) устойчивость. Опираясь на эти пункты, у Вас появится возможность построить конструктивный диалог с руководящим звеном о совместной работе над защитой конфиденциальной и ценной информации Вашей организации.
Выявите все проблемные места в Вашей
системе безопасности
Практически невозможно иметь чёткое представление о том, насколько хорошо выполняются функции системы кибербезопасности, без предварительного анализа всех информационных активов компании и выявления файлов, потенциально представляющих интерес для злоумышленников. Если компания пренебрегает сортировкой своих данных, она делает неправильный выбор.
Например, одна финансовая организация начала внедрять программу цифровой (digital) устойчивости, оценив только нормативные требования. Два года спустя они добились небольшого технического прогресса, но было потрачено много лишних денег и все усилия на защиту персональных данных своих клиентов и других важных информационных активов.
Компании должны оценивать риски интегрированным способом. Злоумышленник запросто может обойти систему защиты, получив доступ к управлению, скрыв при этом своё вторжение. Надо предпринять все меры для того, чтобы хакер должен был победить систему защиты, охватывающую различные виды контроля, а не только идентификацию пользователя с помощью логина и пароля.
Если системы защиты будут взаимосвязаны между собой, атакуемая организация сможет выиграть время и предотвратить утечку данных. К сожалению, многие компании рассматривают каждый элемент системы безопасности: обнаружение вторжений, I&AM, защита данных, отчёт об инцидентах, и тому подобное – по отдельности. Они пренебрегают оценкой того, как именно перечисленные элементы объединяются и взаимодействуют друг с другом для защиты информации!
Наконец, компании должны выйти за рамки традиционной защиты своих данных. Повсеместно руководители говорят, что им хочется получить оценку контроля безопасности. К сожалению, их в основном интересуют только такие тактические проблемы, как эффективность инструментария обнаружения вторжений или наличие вредоносных программ. В результате обычно получается, что любое изменение происходит в рамках крайне ограниченной системы безопасности. Для достижения серьёзных результатов, компании зачастую должны самостоятельно осуществлять все бизнес-процессы, меняя их в контексте более широких стратегических и оперативных соображений.
Эффективная система кибербезопасности – это не только адреса существующих протоколов, персонализация и прочий инструментарий, а ещё и управление, контроль, архитектура сервиса и система обмена данными.
Стремитесь высоко, но к четко определенной цели
План кибербезопасности должен быть амбициозным, но достижимым и достаточно простым для объяснения, таким, чтобы руководители оказывали организационную поддержку при внедрении системы и при её использовании.
После того, как компания определит приоритетные бизнес-риски, она сможет использовать три типа механизмов для повышения уровня безопасности своих информационных активов: элементы управления бизнес-процессами (изменения поведения пользователей и бизнес-процессов за пределами ИТ); более широкие возможности управления ИТ (изменения в архитектуре ИТ в целом), а также средства управления системой кибербезопасности (дискретные технологические изменения, предназначенные для защиты информации, такие как шифрование, I&AM и аналитика безопасности).
Многие компании слишком много внимания уделяют средствам контроля за кибербезопасностью и тем самым создают неоправданно дорогостоящие и навязчивые системы. В идеале, они должны опираться на все три вида контроля. Действия должны быть приоритетными по количеству и характеру бизнес-рисков, которые они затрагивают, и по степени, в которой они требуют от организации тех или иных изменений.
Любой план должен включать в себя широкий набор улучшений, инициатив и действий, которые можно включить в короткий перечень основных стратегических моментов. Так, например, у одного поставщика из области здравоохранения стратегический план включал в себя следующее:
- Защита личной медицинской информации пациента по мере ее перемещения по всей бизнес-системе: врач-регистратура-больница- поставщики лекарств;
- Обнаружение и реагирование на сетевые события для минимизации вреда для бизнеса и нарушения обслуживания пациентов;
- Проверка инсайдерской деятельности, как случайной, так и преднамеренной, на том же уровне, что и мониторинг внешних угроз. Этот последний момент особенно заслуживает внимания. Многие компании сосредотачивают свои программы устойчивости на внешних атаках, а не на угрозах со стороны инсайдеров.
Темы, определенные поставщиком медицинских услуг, в совокупности позволили руководителям описать эту программу изменений старшим менеджерам, сплотить вокруг нее персонал и, в конечном счете, отслеживать и измерять технологический прогресс в защите информационных активов компании.
Выясните, как наилучшим образом внедрить новую
систему кибербезопасности
Как только компания определила свои цели в области кибербезопасности, воплощение стремлений в жизнь требует целого ряда операционных процессов, таких как обновление прав доступа к учетным записям, оценка возможностей системы безопасности поставщиков, обзор архитектуры безопасности приложений.
Исторически так сложилось, что руководители и IT-специалисты рассматривают перечисленные средства контроля, как тормоз для способности организации добиваться бизнес-результатов. И, честно говоря, многие аспекты киберзащиты действительно действуют как ограничения. Например, новые меры безопасности для защиты важных информационных активов потребуют введения в организации более строгой политики в отношении паролей и разграничение прав доступа к информации и помещениям. Это может замедлить существующие процессы, сделать бизнес менее гибким, разочаровать сотрудников и подорвать доверие клиентов.
Однако, имейте в виду, что никакая реализация масштабного ИТ проекта не может продолжаться без некоторой «турбулентности». Ведущие организации, специализирующиеся на кибербезопасности, учатся на практике. Они настойчиво продвигаются вперёд – учатся, повторяются, постоянно совершенствуют конструкцию уже готовой и, на первый взгляд, гибкой системы киберзащиты.
Этот подход позволяет выявить процессы, которые можно радикально улучшить. Например, одна страховая компания резко улучшила свою деятельность путем сегментации запросов в соответствии с их сложностью. Это изменение помогло компании устранить мелкие недочёты и позволило ей параллельно запускать основные процессы безопасности, повышая производительность и время реакции системы защиты на 30%.
Важным будет также определение ролей в организации кибербезопасности и ведении отчетности. Укрепление устойчивости системы кибербезопасности требует трудового стажа управляющего и наглядности. По опыту, один исполнительный директор (часто называемый главным офицером по информационной безопасности) очень ценен, чтобы иметь единоличную организационную собственность на все аспекты кибербезопасности.
Как правило, этот исполнительный директор подотчетен ИТ- директорам, но все чаще встречается такая ситуация, что у него или у нее имеется отдельная линия отчетности для главного сотрудника по управлению рисками или для другого исполнительного директора. Такая структура показывает, что кибербезопасность является такой же бизнес-проблемой, как и любая технологическая, и осознание этого нюанса помогает компании быстро внедрять необходимые изменения с минимальными затратами.
Улучшение навыков и ресурсов может быть одним из самых сложных и важных аспектов при внедрении программы цифровой (digital) устойчивости. Учитывая ограниченность рынка труда кибербезопасности, этот факт поможет компаниям сосредоточиться на усилиях по удержанию компетентных сотрудников.
Они также должны извлекать выгоду из нетрадиционных способов поиска талантов, таких как молодые специалисты в военных или разведывательных кругах, или из сильных сторонников решения проблем в других местах организации или специалистов из организаций-конкурентов.
Установите компромисс между риском и
имеющимися ресурсами
Различные компании имеют разные степени терпимости к риску, в зависимости от их секторов, культур и общих бизнес-стратегий. Нет простой метрики для количественной оценки профиля рисков организации, в том числе применительно к кибератакам. Вместо того, чтобы пытаться сформулировать весьма абстрактное (и потому в значительной степени бессмысленное) заявление об отношении компании к риску, руководители, ответственные за кибербезопасность, должны представить старшим лидерам три или четыре прагматических варианта, представляющих различные уровни снижения риска и обязательства по ресурсам.
Например, команда кибербезопасности североамериканского банка изложила амбициозную программу, которая представляла для него огромные изменения. Группа отметила, что некоторые из предложенных мер безопасности имеют важное значение для достижения минимального уровня ответственной практики. Другие были стандартными для сотрудников банка и обеспечивали дополнительную защиту наиболее важных информационных активов банка. Последний набор действий, считавшихся более передовыми, был направлен на защиту от искушенных злоумышленников. Команда использовала эту структуру для разработки трех вариантов безопасности (с прогрессивными уровнями защиты и ресурсов) и описала, какие типы бизнес-рисков будут рассмотрены.
Несмотря на то, что усилия были трудоемкими, это дало старшим менеджерам практический набор возможностей. Это вызвало оживленную дискуссию о том, сколько дополнительных капиталовложений, текущих расходов и внимания руководства компания может посвятить своей программе кибербезопасности и насколько каждый вариант снизит риск. Возможно предсказуемо, но высшее руководство банка решило, что оно обязано выйти за рамки минимального.
Однако из-за того, что у учреждения не было большого количества клиентов (и ресурсов) среди крупнейших финансовых игроков, его руководители также решили, что инвестирование в относительно современные средства защиты от самых сложных злоумышленников не имеют смысла для их бизнеса. В итоге, банк остановился на среднем варианте: убедиться, что он имеет соответствующую защиту для своих наиболее важных информационных активов.
Разработайте план, который совмещает бизнес и современные технологии
Когда компания оценивает свои возможности в области кибербезопасности, определяет свою готовность к риску и соглашается с организационной моделью, она должна разработать план, который согласовывает бизнес с технологией. Регулятивные требования, хотя и важные, не должны быть единственной основой новых, управляемых технологией средств управления.
Например, один страховщик пошел по этому пути и обнаружил, что его программа не принесла изменений в филиалах его компании. Действительно, большинство старших руководителей едва знали, что делает программа. Страховщик смог уладить свои дела только после того, как потребовалось время, чтобы переосмыслить свои наиболее важные активы и бизнес-риски, а затем сфокусировал свою защиту на кибербезопасности, чтобы быть во всеоружии. Для этого ему приходилось изучать документооборот каждого филиала, чтобы оценить его информационные активы, выявить изменения в бизнес-процессах, необходимые для защиты особенно важных данных, и успешно внедрить передовые технологии контроля.
Компании могут уменьшить свои уязвимости и значительно повысить общую безопасность за счет реализации многих ИТ-усовершенствований, таких как частное облако, виртуализация рабочих станций, создание сетей с программным управлением и усовершенствованная разработка приложений. Комплексный план кибербезопасности должен учитывать эти элементы.
Более того, ее руководители должны много времени проводить с лидерами других внутренних технологических программ, чтобы понять существующие инициативы, увидеть, что они оказывают наибольшее и наилучшее влияние на безопасность, и обеспечить их соответствие более широкой программе кибербезопасности.
Обеспечьте непрерывность бизнес-процессов
При внедрении системы кибербезопасности ставки слишком высоки, поэтому обсуждение усовершенствований и обслуживания этой системы происходит на уровне владельцев бизнеса. Достижение цифровой (digital) устойчивости также требует большего, чем просто выделение ресурсов на решение этой проблемы.
Действительно, было обнаружено, что дополнительные расходы на кибербезопасность не обязательно приводят к тому, что управление киберрисками достигнет автоматизма. Поскольку кибербезопасность требует принятия сложных решений, которые затрагивают многие функции в рамках бизнеса, для обеспечения цифровой устойчивости требуется активно привлекать руководство компании. Это обязательство должно быть не только устойчивым, но и усиленным благодаря четким действиям и включению целей кибербезопасности (таких, как достижение основных этапов программы) в оценку труда и мотивацию сотрудников.
Конечно, этот подход подразумевает дополнительную работу для руководителей, но в результате организация станет более подготовленной к внештатным ситуациям и сможет своевременно реагировать на действия со стороны злоумышленников, сохранив при этом свою клиентскую базу, документооборот и другую ценную информацию. В действительности, любая программа кибербезопасности для большого учреждения будет включать в себя сотни индивидуальных решений по проектированию и внедрению этой системы. Руководителям останется только вовремя реагировать на киберугрозы и вносить необходимые изменения.
Если у вас остались вопросы – обращайтесь к нам, специалистам ОЛЛИ, звоните нам +7 (812) 703-30-60 или пишите на zakaz@olly.ru . Мы поможем найти оптимальное для Вас решение!
Подготовлено на основе материалов статьи McKinsey&Company "Repelling the cyberattackers"
