Управление киберрисками. Как определить главные угрозы для компании
- При оценке киберрисков невозможно принять в расчет все угрозы — важно сосредоточиться на тех, которые способны сильнее всего повлиять на основные процессы. Для этого нужно рассматривать возможные негативные сценарии через призму последствий для бизнеса.
- Анализ негативных последствий для бизнеса методом business impact analysis (BIA) помогает в несколько раз сократить число рисков, которые необходимо проработать компании, чтобы сохранить киберустойчивость.
- Мы разработали и проверили на себе комбинированный подход к управлению рисками, позволяющий проанализировать устойчивость бизнеса на верхнем уровне, углубиться в процессы и устранить конкретные уязвимости, из-за которых компания может пострадать.
Представим, что перед вами стопка документов: договоры с контрагентами, приказы по компании, служебные записки. Время у вас ограничено, и логично начать с задач, в которых задержка может нарушить важные бизнес-процессы. Например, без подписанного договора с курьерской компанией клиенты не получат заказы в срок; если не отправить вовремя тендерную заявку, организация упустит выгодный проект и так далее. Менее значимые документы могут подождать.
Этот же принцип можно применить к управлению киберрисками: концентрироваться на сценариях с критическими последствиями и не тратить ресурсы на приемлемые ситуации, пусть и ценой сопутствующих издержек.
Традиционный подход к оценке киберрисков фокусируется на угрозах, которые нарушают конфиденциальность, целостность или доступность информации, — от эксплуатации уязвимостей до нарушения правил кибербезопасности. Такая оценка показывает, какие системы подвержены тому или иному виду кибератак, например DDoS или внедрению шифровальщика.
Результаты работы компонуются в подробный отчет, который получается очень объемным: на 1 актив рассматривается минимум 3 угрозы, на каждую угрозу — по 2–3 сценария реализации через разные уязвимости. Для компании небольшого размера число частных рисков кибербезопасности, которые необходимо оценить, может составлять 2000–7000. В крупном холдинге или на заводе со множеством производственных линий счет пойдет на десятки тысяч.
Руководителю компании технические вопросы могут быть не слишком интересны — ему нужно понять влияние кибератак на бизнес и оценить возможные финансовые убытки.
Выявить и описать эти последствия можно через анализ воздействия на бизнес (business impact analysis, BIA). Он позволяет определить критичные бизнес‑операции и ресурсы, от которых зависит непрерывность процессов. В результате компания получает качественно-количественную оценку негативных последствий для бизнеса при реализации опасного сценария. Кроме того, это помогает уточнить риски и собрать данные для обоснованных решений.
Наша собственная методология для управления киберрисками использует эту идею. Мы построили ее на основе итеративной оценки:
- Начинаем сверху — с помощью BIA определяем негативные последствия для компании в целом.
- Далее спускаемся к ключевым продуктам и услугам — приносящим основную прибыль. Выясняем, к каким последствиям могут привести сбои в их непрерывности.
- Наконец, выходим на уровень бизнес-процессов и активов, непосредственно связанных с получением прибыли. Через них мы фокусируемся на рисках, реализация которых окажется критической для конкретных операций или ресурсов.
Этот метод позволяет постепенно сузить круг рассматриваемых угроз до наиболее опасных уязвимостей, определить, как именно могут реализоваться те или иные риски, и получить четкую и понятную картину для управления ими.
Подход объединяет в себе несколько общепризнанных стандартов, о которых мы расскажем дальше.
