Рейтинг@Mail.ru
Предупрежден – защищен: как российские компании анализируют ИБ-риски - РИА Новости, 12.12.2023
Регистрация пройдена успешно!
Пожалуйста, перейдите по ссылке из письма, отправленного на
Робот CanBot на одном из стендов на Всемирной конференции робототехники в Пекине - РИА Новости, 1920, 07.06.2023
Кибербезопасность

Предупрежден – защищен: как российские компании анализируют ИБ-риски

© iStock.com / gorodenkoffПрограммист за работой
Программист за работой - РИА Новости, 1920, 12.12.2023
Читать ria.ru в
Дзен
Тема информационной безопасности в последнее время вышла на первый план в работе и государственных организаций, и частных компаний. Если раньше при словах "информационная безопасность" на ум приходили сложные и едва понятные регламенты, то сегодня с ИБ все чаще ассоциируются такие понятия, как "эффективность", "скорость", "экономика" и "риски". Бизнес также осознает важность оценки и анализа рисков, в том числе в ИБ. О том, в какой мере российские компании понимают, как грамотно и эффективно выстраивать систему защиты, рассказывает руководитель направления аналитики киберугроз ГК "Солар" Дарья Кошкина.
ГК "Солар" провела исследование о готовности компаний погрузиться в проблематику оценки и анализа ИБ-рисков, об использовании результатов проделанной работы и о том, как выстроена сама процедура. В целом результаты нас порадовали, так как более половины компаний принимают решения с учетом анализа рисков. Какую же роль в принятии решений играет анализ рисков ИБ, какое практическое применение он имеет сейчас и как можно будет использовать его результаты в будущем?
Отметим, что в России есть определенная разница между государственным и коммерческим секторами. Госсектор (B2G) на текущий момент гораздо меньше вовлечен в вопросы анализа и оценки рисков – так, в 32% опрошенных компаний ключевые решения принимаются без учета ИБ-рисков. Но еще большая доля B2G-организаций (41%) все же принимает решения с их учетом.
Не только крупные компании и корпорации, но и средний бизнес осознают потребность в данной процедуре – три четверти организаций из этих сегментов принимают все и/или ключевые решения с учетом рисков. Любой риск в случае его наступления влияет на работу компании или на ее отдельные бизнес-процессы, что может привести к финансовым потерям.
Оценивать риски нужно с определенной периодичностью, так как на их наличие, отсутствие и степень критичности влияют внешние и внутренние факторы. Почти в 50% опрошенных организаций анализ рисков происходит не реже одного раза в год, и лишь в 17% анализ происходит ситуативно – в случае крупных изменений, после наступления инцидентов и тому подобного. Средний показатель пересмотра модели рисков и угроз составляет 1,5 года – этого срока вполне достаточно для своевременного реагирования на изменения внутри компании и вовне, включая геополитические и экономические факторы и события.
Оценки рисков компаний
Оценки рисков компаний  - РИА Новости, 1920, 27.11.2023
Оценки рисков компаний
Наибольшую зрелость в вопросах оценки рисков демонстрируют B2E-компании: в 18% опрошенных компаний из сферы крупного бизнеса созданы наиболее развитые и продвинутые системы риск-менеджмента, в почти половине случаев риск-менеджмент существенно влияет на работу организации. Если же говорить обо всех компаниях, то лишь в 12% риск-менеджмент находится на стадии формирования, в остальных он реализован и функционирует в той или иной степени. В среднем практика по оценке рисков существует в российских компаниях порядка четырех лет – этого периода вполне достаточно для обкатки процедуры и ее полноценного внедрения в бизнес-процессы.
Также важно понять, что побуждает компании внедрять процедуру анализа рисков – требования законодательства (и тогда это скорее формальность) или реальная бизнес-необходимость. Для B2G-сектора в подавляющем большинстве случаев (68%) главный мотив для внедрения анализа – как раз требования законодательства. К сожалению, ситуация весьма типична, так как традиционно госсектор, включая здравоохранение, образование является наиболее уязвимой отраслью. Это мы видим и по количеству киберинцидентов, и по уровню зрелости ИБ.
Вместе с этим для половины коммерческих организаций внутренняя бизнес-необходимость является основной причиной. Среди других причин введения процедуры можно выделить установку высшего руководства (38% от всех опрошенных организаций), фокус на проблемах ИБ (32%), а также профессионализм партнера/поставщика (30%).
Как мы видим, треть респондентов напрямую связывает вопросы ИБ с оценкой рисков. Можем предположить, что со временем данный показатель будет только расти, так как риск-менеджмент органично ложится в экосистему ИБ. Результаты анализа и оценки рисков могут быть использованы для:
  • формирования понимания, кто может атаковать компанию и какие уязвимости при этом хакеры могут использовать;
  • экономического обоснования внедрения новых средств и систем защиты информации;
  • формирования метрик и оценки эффективности служб ИБ;
  • оценки возможных и реальных последствий в случае наступления киберинцидента.
Кибербезопасность - РИА Новости, 1920, 13.11.2023
Стандартизация защиты от утечек данных: "Солар" рассказал о разработке ГОСТ
Фактически процедура анализа рисков должна лежать в основе всей системы ИБ в компаниях. Результаты этой процедуры могут использоваться по-разному, а значит, риски должны анализироваться и качественно, и количественно, чем на текущий момент занимается 63% опрошенных компаний. При этом 24% из них используют в работе только качественный анализ, 13% – количественный. Хотелось бы обратить внимание, что сложность количественной оценки рисков является исторической, так как непросто определить вероятность наступления события ИБ и при этом учесть все факторы, которые могут повлиять на его наступление.
В половине компаний репутационные потери оцениваются именно качественно, количественно – лишь в трети, а 16% респондентов вообще не производят оценку репутационных потерь. При этом в наибольшей степени в работу с репутационными потерями вовлечены представители крупного B2B, 66% из которых оценивают их качественно.
Интересно, что количество ситуаций, когда компании столкнулись с негативными последствиями из-за отсутствия анализа и оценки рисков, примерно равно числу случаев, когда таких последствий не возникало: 46% и 54%, соответственно. Но уже в ближайшем будущем потребность в данной процедуре может увеличиться, так как будет расти число компаний, столкнувшихся с негативными последствиями из-за отсутствия оценки рисков и их учета в бизнес-процессах.
Что касается используемых средств для проведения анализа рисков, то здесь можно наблюдать практически ровное распределение между такими системами, как SGRC (Управление безопасностью, рисками и соответствием законодательству) и ERM (Единый процесс управления финансовыми рисками организаций), однако первая чуть превалирует: 33% против 29%. Каких-либо существенных отличий по секторам нет, но стоит отметить, что компании B2E – единственные, где чаще выбор останавливается на ERM-системах, а не SGRC: 29% против 24%. Обратим внимание, что практически в четверти компаний (21%) анализ рисков осуществляется на базе внутренних слабоквалифицированных разработок, а рекомендации выдаются в текстовом файле, что указывает на отсутствие автоматизации процессов оценки и анализа рисков. Но можно предположить, что данная методология была разработана внутри конкретной компании из-за специфики внутренних процессов. И не исключено, что следующим шагом в развитии как раз станет переход к автоматизации.
Наиболее популярными методами анализа среди российских организаций являются моделирование (36%) и экспертные оценки (51%), которые могут применяться как вместе, так и по отдельности. В госкомпаниях (41%) также часто применяют FAIR (Факторный анализ информационного риска, Factor Analysis of Information Risk).
ИТ-специалисты в дата-центре - РИА Новости, 1920, 30.10.2023
Как эффективно вкладываться в кибербезопасность
В 80% компаний специалист по анализу рисков имеется либо в штате подразделения по анализу рисков, либо в штате ИБ-службы. Это признак того, что компании предпочитают проводить процедуру своими силами, без привлечения внешних специалистов. Скорее всего, это вызвано тем, что в процессе могут обрабатываться сведения, составляющие коммерческую тайну.
Теперь стоит выяснить: что лежит в основе анализа рисков ИБ и как его результаты используются в работе. По итогам исследования, ключевыми факторами, лежащими в основе оценки и анализа рисков ИБ, являются результаты аудита ИБ (44%), результаты тестирования защищенности (пентест) (39%), статистика по инцидентам ИБ (39%) и имеющиеся уязвимости/слабые места в инфраструктуре (38%).
Компании весьма комплексно подходят к процессу оценки рисков ИБ, в основе которого лежат разнообразные данные из различных источников. Формирование матрицы рисков позволяет понять, куда двигаться дальше, на что требуется выделить бюджет, с какими угрозами стоит работать в первую очередь, какие средства для этого могут потребоваться. Соответственно, основными целями оценки и анализа рисков ИБ для компаний являются:
  • развитие и оценка деятельности подразделения ИБ (44%);
  • планирование бюджета (39%);
  • разработка стратегии развития организации (38%);
  • экономическое обоснование инвестиций в ИБ (37%).
Данные показатели наглядно демонстрируют, что процесс анализа и оценки рисков органично интегрирован в процессы компании. Безусловно, показатели могут быть и выше – это то, к чему следует стремиться современному бизнесу, так как анализ рисков позволяет не только оценить проделанную работу, но и сформировать векторы дальнейшего развития с учетом имеющихся реалий. Также процедура дает возможность обосновать внедрение тех или иных средств и систем защиты, продемонстрировав степень снижения отдельных рисков, а также оценить эффективность работы сотрудников ИБ-подразделений.
Переходя к результатам применения практики оценки и анализа рисков, компании выделяют:
  • сокращение количества инцидентов ИБ (40%);
  • сокращение потерь от инцидентов ИБ (33%);
  • снижение расходов и времени на ликвидацию последствий инцидента ИБ (28%).
Цифры показывают, что процедура анализа рисков имеет прогностический характер и позволяет минимизировать затраты, связанные с наступлением киберинцидента, как финансовые, так и временные. Грамотный анализ рисков ИБ позволяет выявить наиболее уязвимые места и обезопасить их – в результате защищенность возрастает.
Стоит подчеркнуть, что практически все (95%) опрошенные российские компании анализируют риски для значимых цифровых и бизнес-изменений. Анализ помогает просчитать экономическую эффективность (окупаемость и возврат инвестиций) и возможное возникновение новых угроз (преимущественно цифровых) при реализации того или иного процесса.
Интерес и потребность в консалтинге тесно связаны с динамикой усиления кибербезопасности в компаниях и темпами импортозамещения и это очевидно, т.к. консалтинг позволяет не только получить больше полезных эффектов от средств киберзащиты, но и компенсировать технические или функциональные недостатки.
Осуществлять анализ рисков, можно не только собственными силами, но и по аутсорс-модели.
На российском рынке существует несколько игроков, предлагающих консультационные услуги в области кибербезопасности. У каждой компании есть свои особенности. Кто-то акцентирует внимание на технических аспектах и предлагает своего рода технический консалтинг, связанный с фиксированной продуктовой линейкой. Другие имеют возможность реализовывать большой объем проектов по нормативному обеспечению требований регуляторов – комплаенс-консалтинг. В портфеле услуг и сервисов ГК "Солар" развивают управленческий, ориентированный на решение задач бизнеса, технический и процессный консалтинг, а также решают задачи соответствия регуляторным и нормативным требования по кибербезопасности.
Консалтинг помогает увязать все аспекты комплексного подхода к ИБ в одно целое, сделать связку с бизнесом и сформировать дорожную карту. Он позволяет создать практическую и понятную на каждом уровне организации ценность от инвестиций в информационную безопасность и помогает сделать ее востребованным и полезным элементом бизнеса.

Выводы

Как отмечалось выше, процесс оценки и анализа рисков ИБ должен быть интегрирован в экосистему ИБ и выполнять различные функции, связанные с ретроспективным анализом, формированием прогнозов, метрик служб ИБ, определением экономической эффективности от внедрения отдельных средств и систем защиты, а также от цифровизации важных процессов и отделов компании. Процесс оценки и анализа рисков ИБ приведен на схеме ниже:
Оценки рисков компаний
Оценки рисков компаний  - РИА Новости, 1920, 27.11.2023
Оценки рисков компаний
Исследование позволяет сделать следующие выводы:
  • Анализ и оценка рисков ИБ – важная и востребованная процедура, обеспечивающая полноценное функционирование компании и ее эффективное развитие. Бизнес это понимает, однако ему еще предстоит проделать немалый путь, чтобы выйти на достаточный уровень зрелости.
  • Одно из основных препятствий для внедрения процедуры – отсутствие достаточных компетенций (для трети опрошенных), а внутренние политики компаний не обязывают проводить оценку и анализ рисков.
  • В среднем компании уже порядка четырех лет установили практику по оценке рисков, большая часть из них после внедрения отмечают сокращение числа наступивших инцидентов и повышение скорости устранения их последствий.
  • Анализ и оценка рисков ИБ позволяют экономически обосновывать внедрение средств защиты, реализацию различных проектов, планирование бюджетов, и способствуют оптимизации расходов.
  • Риск-менеджмент – направление, которое еще предстоит развивать, но без него будет невозможно успешное и полноценное ведение бизнеса.
 
 
Лента новостей
0
Сначала новыеСначала старые
loader
Чтобы участвовать в дискуссии,
авторизуйтесь или зарегистрируйтесь
loader
Обсуждения
Заголовок открываемого материала