Комментарии 10
Детсад какой-то.
В смысле оценки безопасности.
Инциденты есть в любой более-менее крупной компании.
Если их нет, то их отсутствие это не "сильное место", а просто отсутствие механизмов их обнаружения.
Действительно, отсутствие зафиксированных инцидентов не всегда является положительным индикатором. В контексте быстрой оценки при Due Diligence мы фокусируемся на выявленных и задокументированных инцидентах как на потенциальных индикаторах рисков.
Однако вы абсолютно правы — отсутствие инцидентов может указывать на неэффективность процессов их обнаружения. Это тоже важный фактор, который учитывается при более глубоком анализе. В рамках ограниченного времени Due Diligence стремятся выявить наиболее критичные риски, но, безусловно, важно рекомендовать дальнейшую тщательную оценку всех аспектов информационной безопасности, включая зрелость процессов обнаружения и реагирования на инциденты.
Сложно бы им было работать в реалиях средних отечественных компаний
схему ИТ-инфраструктуры
Обычно или нет человека, которого бы можно выделить на рисование такой схемы (нечего тратить время на то, что постоянно меняется) или админы просто рисовать не умеют. А использовать специализированное ПО - его надо покупать, если никто пользу схемы не обосновал, то не согласуют закупку.
политику информационной безопасности
Обычно это набор сухих документов, в которых написно минимум того, что необходимо для выполнения требований наших регуляторов. А значит документы бесполезные.
реестр рисков
Реестр рисков перестаёт существовать сразу после того, как запрашиваются ресурсы на митигацию этих рисков. Риски сразу же принимаются и действуют по принципу "пока рак на горе не свиснет"
реестр активов
Опять же у кого ведется реестр всего от мониторов/клавиатур до серверов. Это есть конечно в бухгалтерии на балансе, но всё закрыто в шкафу в папках. CMDB дорого, т.к. реальную пользу не доказать.
доказательства проведения тренингов по информационной безопасности
Где в компаниях разрабатывают планы учений, отчеты по проведению учений и остальную отчетность? Только в крупных, да в тех, где это регламентировано ренулятором (ЦБ РФ).
информацию о киберстраховании
У нас это наверное 0.001% от всех компаний.
план реагирования на инциденты
Укрупненный план наверное есть "Случился инцидент - бери в руки лопату и копай". Обычно если такое необходимо, то инструкции дает SOC (на аутсорсе). А описывать все возможные инциденты, которые могут случиться слишком затратно - не позволят тратить впустую время.
план обеспечения непрерывности бизнеса
Такая штука почему-то запрашивается у ИБшников. Но если у них и сделана своя часть, то по всем бизнес-процессам наверняка и конь не валялся. Почему? См. про риски.
Кончено не во всех компаниях так и есть, где всё отлично, но это среднее по больнице в нашей стране.
"Вы знаете, как можно проверить кибербезопасность компании за час и на основе результатов вынести вердикт — подходит бизнес для многомилионных инвестиций или нет?"
...как говорил один очень известный человек - Неверю! )
Имитация Очень Бурной Деятельности
Наверное, все это жутко полезно. Но как уже выше сказали, за час сделать выводы со стороны - это смело. Впрочем, в статье же было про патентованный framework, да..
Сразу возникает вопрос о статистике ошибок первого и второго рода
Безусловно смело, но Due Diligence — это лишь инструмент экспресс-оценки, разработанный для решения конкретных задач инвесторов, он не заменит комплексный аудит. Это своего рода "триаж" в сфере кибербезопасности.
А что насчет ошибок? хотя бы по сравнению с последующим комплексным аудитом? (не говоря уж про упущенные возможности из-за неверно принятых решений)
Думаю, тут выбор стоит не между комплексным аудитом и экспресс-оценкой, а между экспресс-оценкой и ее полным отсутствием. И по принципу 80/20 смысл в экспресс-оценке всяко есть. Ну и едва ли кто-то делает вывод об инвестициях только на основе результатов оценки ИБ в компании. Просто один из параметров для понимания, насколько здоров бизнес, в который потенциально большие деньги будут вложены.
А что насчет ошибок? хотя бы по сравнению с последующим комплексным аудитом? (не говоря уж про упущенные возможности из-за неверно принятых решений)
Тут важно понимать, что со стороны компании, проводящей Due Diligence, основная ошибка заключается в неспособности выявить критические стоп-факторы, способные существенно повлиять на инвестиционное решение.
Большинство выявленных рисков сами по себе редко являются такими стоп-факторами; они только дают общее представление о целевом бизнесе. Фокус направлен на выявление проблем, требующих значительных финансовых и временных затрат для устранения, что может сделать инвестицию невыгодной по сравнению с альтернативными вариантами на рынке.
Например, грубое несоблюдение GDPR или отсутствие ключевых компетенций в области ИТ могут стать такими факторами, особенно если на рынке есть аналогичные бизнесы с лучшей подготовкой в этих аспектах.
На инвесторах тоже в данном случае лежит ответственность прояснять у целевого бизнеса любые недопонимания или неточности, которые могли возникнуть из-за ограниченного времени проверки.
Стоит также отметить, что и целевой бизнес или его представители иногда имеют возможность оспорить основные заключения, сделанные в ходе оценки. Тем не менее, нельзя отрицать, что неудачные инвестиции, конечно же, имеют место быть в мире, и именно поэтому инвестиционные фонды, как правило, работают только с теми консалтинговыми фирмами, которым они доверяют и которые в целом приносят им больше дохода, чем убытков.
Для чего при покупке автомобиля на вторичном рынке его загоняют в автосервис на экспресс-диагностику? Чтобы найти изъяны и использовать их как аргумент для дисконтирования. Здесь то же самое.
Закулисье Due Diligence: опыт консультанта по ИБ в инвестиционных кругах Великобритании