Защита критически важных цифровых активов

Некоторые цифровые активы являются экстраординарными и критически важны для компании. Соответственно, из нужно защищать киберугроз. Но в мире, который становится все более оцифрованным, защита всех цифровых активов в одной и той же степени - невозможна.

Большинство крупных предприятий в настоящее время осознают серьезность проблемы, но по-прежнему относятся к ней как к технической проблеме или как к проблеме контроля, даже признавая, что их средства защиты вряд ли будут успевать за будущими атаками.

Следующая волна инноваций — клиентские приложения, бизнес-процессы, технологические структуры и средства защиты от кибербезопасности — должна основываться на бизнес- и техническом подходе, в котором приоритет отдается защите критически важных информационных активов.

Такой подход может быть назван «цифровой устойчивостью» — кросс-функциональной стратегией, которая выявляет и оценивает все уязвимости, определяет цели на уровне предприятия и разрабатывает способы их достижения. Основным аспектом цифровой устойчивости является идентификация и защита цифровых драгоценностей организации — данных, систем и программных приложений.

Растущие уязвимости, ограниченные ресурсы, фрагментированные приоритеты

Многие организации пытаются применять одни и те же средства контроля кибер-рисков везде и в равной степени, часто тратя время и деньги впустую, а в некоторых местах не тратя достаточно средств. Другие применяют частичные средства защиты, которые оставляют уязвимыми некоторые жизненно важные информационные активы, слишком сильно фокусируясь на менее важных. Тем временем бюджеты на кибербезопасность конкурируют за ограниченные средства с инвестициями в технологии, призванными сделать организацию более конкурентоспособной. Более того, инвестиции в новые технологии могут создать дополнительные уязвимости.

Работа по приоритизации активов и рисков, оценке средств контроля и разработке планов восстановления может быть утомительной и трудоемкой. Специалисты должны анализировать тысячи рисков и тысячи средств контроля, а затем составлять рейтинги на основе индивидуальных суждений. Некоторые организации относятся к этой работе как к соблюдению нормативных требований, а не как к важному бизнес-процессу. Без расстановки приоритетов организации будет сложно эффективно использовать ресурсы для снижения риска информационной безопасности. Опасности будут нарастать, советы директоров не смогут оценить безопасность предприятия, не смогут понять, окупаются ли дополнительные инвестиции.

Данные и системы не равноценны

Некоторые данные, системы и приложения являются более важными, чем другие. Некоторые более подвержены риску, а некоторые станут мишенью. Критические активы и уровни чувствительности к риску также различаются.

Злоумышленниками могут быть отдельные лица или организации, преступные синдикаты или правительства, располагающие значительными ресурсами. Атаки могут быть простыми или изощренными, цели варьируются от немедленного финансового вознаграждения до получения конкурентного или даже геополитического преимущества.

Расходы на кибербезопасность: больше - значит меньше

Столкнувшись с такими разнообразными угрозами, компании решают потратить больше средств на кибербезопасность, но не знают, как это сделать.

Поэтому необходим единый общекорпоративный подхода к киберрискам с участием бизнеса, ИТ и кибербезопасности. Лидеры этих групп должны начать работать вместе, выявляя и защищая критически важные цифровые активы организации. Процесс устранения киберрисков должен стать технологически возможным благодаря внедрению систем управления рабочими процессами. Инвестиции в кибербезопасность должны быть ключевой частью бюджетного цикла, а инвестиционные решения должны быть обоснованными и чувствительными к изменениям.

Общекорпоративный подход

Следует начать с бизнес-проблемы, которая требует рассмотрения всего предприятия, а затем определить приоритеты критических рисков. Эта работа должна выполняться командой в масштабе всего предприятия. Команда должна состоять из ключевых представителей бизнеса, представителей кибербезопасности, ИТ и менеджеров по управлению рисками. Основные задачи команды — определить, какие информационные активы с точки зрения защиты являются приоритетными, насколько велика вероятность того, что они будут атакованы, и как их защитить. Чтобы функционировать, команда должна задействовать лидеров нескольких областей. Им нужно работать вместе, чтобы выяснить, что является самым важным — что сама по себе непростая задача. Лучший способ начать работу - определиться с расстановкой приоритетов в масштабе всего предприятия. Другими словами, коллектив в первую очередь будет служить предприятию. Критические риски, включая влияние различных угроз и вероятность их возникновения, будут оцениваться в соответствии с опасностями, которые они представляют для бизнеса в целом.

Руководящие принципы

Следующие принципы могут помочь компаниям не сбиться с пути, применяя единый подход к расстановке приоритетов цифровых активов и рисков:

• Начните с бизнеса и цепочки создания стоимости. Усилия должны основываться на представлении о бизнесе и цепочке создания стоимости. Команда директора по информационной безопасности, особенно если она является частью ИТ-организации, как правило, начинает со списка приложений, систем и баз данных, а затем разрабатывает представление о рисках. В этом подходе есть два основных недостатка. Во-первых, он часто упускает из виду ключевые риски, которые могут возникать при совместной работе систем. Во-вторых, контекст таких работ слишком технический, что затрудняет привлечение бизнеса к принятию решений. Начиная с бизнеса, команда естественным образом поощряет участие заинтересованных сторон в такой работе, тем самым повышая вероятность выявления системных рисков.
• Директор по информационной безопасности должен активно руководить работами. Активно привлекая бизнес-лидеров и других заинтересованных лиц в качестве полноправных партнеров, директор по информационной безопасности поможет установить важные отношения для принятия полностью обоснованных решений об инвестициях и распределении ресурсов для решения задач кибербезопасности. Роль директора по информационной безопасности в таком случае может резко измениться, его роль и навыки должны быть соответствующим образом скорректированы.
• Сосредоточьтесь на том, как могут быть скомпрементированы информационные активы. Если информационный актив подвергается взлому системы, следует учитывать уязвимость этой системы, даже если основная цель системы не связана с этим информационным активом.
• Сосредоточьтесь на расстановке приоритетов, а не на идеальной количественной оценке. Команде нужно ровно столько информации, чтобы принимать решения по приоритетным активам и пока не нужны точные количественные оценки риска.
• Углубляйте анализ. Один и тот же уровень анализа не требуется для количественной оценки всех рисков. Только для особенно серьезных или сложных рисков команда должна инвестировать в более глубокий анализ. Затем он должен принять решение и получить информацию, необходимую для принятия более обоснованных инвестиционных решений.
• Примите точку зрения нападающего. Обзоры рисков и анализ уязвимостей не должны сосредотачиваться исключительно на ценности информации для компании и выявленных пробелах в ее защите. Профили потенциальных злоумышленников также важны: кому нужна информация организации? Какими навыками они обладают? Размышление о вероятных злоумышленниках может помочь выявить новые бреши и направить инвестиции для защиты информации, наиболее ценной для наиболее способных противников.

Гибкий системный процесс

Целью общекорпоративного подхода является выявление и устранение пробелов в существующих системах контроля и безопасности, влияющих на критически важные активы. Решение будет сквозным процессом, который потребует нескольких итераций разработки такого процесса. Этот процесс будет включать подробный учет сотен активов. Система рабочих процессов и база данных активов были бы идеальным инструментом для поддержки этого сложного процесса, позволяя сосредоточиться на приоритизации рисков. Гибкое, масштабируемое и безопасное онлайн-приложение может быть простым в использовании при управлении всеми инвентарными и картографическими данными, строгими оценками рисков и контроля, отраслевыми методологиями и обоснованиями для каждого уровня риска.

Киберрешения от экспертов McKinsey

Эксперты McKinsey определили следующие пять ключевых шагов:

1. Идентифицируйте и сопоставляйте цифровые активы, включая данные, системы и приложения, по всей цепочке создания стоимости бизнеса. Эту работу можно ускорить, применяя обобщенную отраслевую цепочку создания стоимости и общую таксономию для информационных активов.
2. Оцените риски для каждого актива, используя опросы и семинары для руководителей . Основывая этот анализ на деловой важности актива, организация определит ценные информационные активы.
3. Определите потенциальных злоумышленников, доступность активов для пользователей, а также текущие средства контроля и меры безопасности, защищающие системы, через которые можно получить доступ к активам.
4. Определите самые слабые места безопасности вокруг ценных активов и определите средства контроля, которые должны использоваться для их защитыю Используйте информационные панели для сравнения оценок.
5. Создайте набор инициатив для устранения высокоприоритетных рисков и пробелов в контроле. Реализация будет включать многолетний план, включая сроки проведения будущих обзоров кибербезопасности. После завершения первоначальной оценки этот план становится живым документом, который регулярно обновляется для отражения новых данных, систем, приложений, рисков и сопоставлений, а также прогресса в устранении известных уязвимостей.

Этот процесс способствует прозрачности кибер-рисков, отвечая на ключевые вопросы заинтересованных сторон: 

• Каковы информационные риски? 
• Где уязвима организация? 
• Насколько велико (и где) последствия реализации риска? 
• Каким действиям по исправлению положения нужно отдать приоритет? 
• Как мы узнаем, работает ли то, что сделано?

Компромиссы могут быть определены на основе точки зрения на подверженность риску и ценность актива в масштабах всей компании. Это помогает высшему руководству и совету директоров обсуждать риски информационной безопасности с точки зрения ценности предприятия, обеспечивая прозрачность в отношении того, какие риски они готовы принять и почему.

Использован следующий источник.

Защита ваших критически важных цифровых активов: не все системы и данные созданы равными.
Protecting your critical digital assets: Not all systems and data are created equal
By Piotr Kaminski, Chris Rezek, Wolf Richter, and Marc Sorel
31 января 2017 г.

https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/protecting-your-critical-digital-assets-not-all-systems-and-data-are-created-equal