Счастлив тот, кто услышав о своих недостатках, может исправиться (с) У. ШекспирВирусы криптовымогатели, плагины майнинга, фишинговые мобильные приложения все чаще показывают нам, на что они способны и на что мы не способны.
При внедрении систем кибербизопасности, компании часто копируют готовые решения. Однако то, что помогает одним компаниям, может навредить другим. В различных компаниях, как правило, складываются уникальные пазлы из различных IT систем, устройств, видов информации, ценностной оценки информации.
Одни компании воспринимают безопасность исключительно, как установку программных средств защиты. Установка брендмауэра и программного обеспечения для обнаружения вторжения часто используется как эффективное средство защиты информации и борьбы с хакерами. Но если сотрудник оставляет пароль на фишинговом сайте или по неосторожности (либо специально) раскрывает свои пароли третьим лицам, даже самое продвинутое программное обеспечение не решит проблему кибе��безопасности.
Другие компании тратят непомерные средства на безопасность там, где она не требуется. Размещение вооруженной охраны по периметру здания звучит впечатляюще, однако если основной угрозой является несанкционированный удаленный доступ к объектам интеллектуальной собственности или конфиденциальной информации, такая безопасность имеет мало значения.
Кибербезопасность — это процесс, а не продукт. Процесс строится путем определения потенциальных угроз и применения к ним адекватных мер безопасности.
Процесс кибербезопасности не может быть стандартизирован. На примере нескольких шагов расскажу, с чего должна начинаться кибербезопасность:
1. Идентификация информационных ресурсов
Для того, чтобы начать применять информационную безопасность, необходимо в первую очередь определить, в отношении каких объектов мы будем тратить свои усилия. Часто компании даже не представляют, в каких неожиданных местах можно обнаружить конфиденциальную информацию. Ищем ответы на следующие вопросы:
- Какую информацию, сети, процессы мы собираемся защищать?
- Какие информационные системы задействованы и где они расположены?
- Какие требования законодательства должны соблюдаться (например, Закон “О персональных данных”, Закон «Об информации, информатизации и защите информации» и т.п.)?
2. Периодическая оценка рисков
Следующим шагом является оценка потенциальных рисков, угрожающих информационной безопасности. Сюда входит:
- Выявление всех вероятных внутренних и внешних угроз.
- Оценка вероятности того, что угроза материализуется.
- Оценка потенциального ущерба, в случае наступления инцидента.
- Оценка политик и процедур внутри компании на случай возникновения инцидента.
Риски оцениваются исходя из характера бизнеса, ценности хранимой информации для бизнеса и партнеров, размеров и объемов сделок и их количества. Целью оценки на данном этапе является определение уровня приемлемого риска. Понимание этого уровня дает возможность оценки необходимых финансовых вложений в борьбу с потенциальными рисками.
3. Разработка и реализация программы безопасности
На основе результатов оценки рисков разрабатывается и реализуется программа безопасности. Программа безопасности состоит из физических, технических и административных мер безопасности для управления и установки контроля над рисками, выявленными в ходе оценки.
Помните, программа безопасности разрабатывается для снижения рисков до приемлемого уровня.
Резюме
7 фатальных ошибок, приводящих компании к провалам в кибербезопасности:
- использование только программных средств защиты (антивирусы, брендмауэры);
- использование шаблонных политик безопасности;
- отсутствие данных об учете и месте хранится конфиденциальной информации;
- не знание требований законодательства по обороту и хранению данных;
- отсутствие ценностной оценки информации для бизнеса;
- отсутствие понимания приемлемого уровня риска;
- невозможность рассчитать разумный уровень затрат для поддержания и контроля разумного уровня риска.
