Как компании поддерживают непрерывность процессов
Нас интересовало, как компании используют механизмы обеспечения непрерывности, работают с киберинцидентами и управляют событиями безопасности. Вот что показало исследование.
Зрелость кибербезопасности на самом высоком уровне в финсекторе и транспорте
Кибербезопасность лучше всего развита в крупных компаниях, особенно у субъектов критической информационной инфраструктуры (КИИ). Таких предприятий много в финсекторе и транспорте. Здесь процессы кибербезопасности формализованы и задокументированы, частично можно измерить их эффективность. В большинстве организаций из остальных отраслей процессы выполняются на регулярной основе, но все еще не формализованы.
Работа с инцидентами — наиболее развитое направление кибербезопасности
У компаний из нашей выборки лучше всего развито управление киберинцидентами. Только пятая часть компаний работает с инцидентами стихийно, а у остальных предприятий, в особенности из финсектора, транспорта, медиа/e‑commerce и ритейла, процесс хорошо организован. Управление событиями безопасности проработано чуть хуже во всех отраслях, кроме финсектора и транспорта. Сказывается, что некоторые компании собирают события, но не анализируют их.
IT‑отрасль показывает самую заметную динамику роста
За последние пару лет мы заметили значительные изменения только в IT‑сфере. Изначально ориентированные на рост, а не на устойчивость, компании этой отрасли постепенно повышают уровень зрелости. В рамках управления инцидентами и непрерывностью бизнеса они переходят от бесконтрольных процессов кибербезопасности к регулярным процедурам.
Мы оценили зрелость кибербезопасности компаний по трем направлениям:
- Управление непрерывностью бизнеса.
- Управление инцидентами.
- Управление событиями безопасности.
Эти направления тесно связаны. Непрерывность бизнеса зависит от оперативности реагирования на инциденты. В свою очередь, своевременное реагирование невозможно без качественного мониторинга событий.
Оценку зрелости мы составили по результатам анализа кибербезопасности для наших клиентов, от стартапов до крупных компаний. В выборку попали 263 организации из семи отраслей: финансы, медицина, транспорт, медиа/e‑commerce, телекоммуникации, ритейл и IT.
По каждому из трех направлений мы поставили оценки от 0 до 5
0 — процесс кибербезопасности полностью отсутствует, а работы по развитию этого направления не ведутся
1 — процесс не формализован, постоянно изменяется, шаги выполняются бесконтрольно
2 — процесс выполняется на регулярной основе, но все еще не формализован
3 — процесс формализован: разработаны и внедрены регламентирующие документы, определены границы, владелец и исполнители
4 — процесс измерим: происходит анализ и совершенствование, можно оценить эффективность
5 — процесс регламентирован, выполняется, измерим и постоянно улучшается
Впервые мы провели подобное исследование в 2020 году
В рамках этого направления мы оценивали механизмы BCM, такие как применение анализа воздействия негативных событий на ключевые бизнес‑процессы (BIA, business impact analysis), использование средств резервирования данных, разработка планов обеспечения непрерывности и процедур восстановления (DRP, disaster recovery plan).
Такие механизмы помогают адаптироваться к изменениям и планировать действия на случай внезапных происшествий, например если поставщик услуги уйдет с рынка, случится утечка данных или просто процессы встанут на полдня из‑за отключения электричества.
Наши данные показывают: 40% российских предприятий сталкиваются с критическими инцидентами, из‑за которых важные бизнес‑процессы могут остановиться более чем на 4 часа. При этом, несмотря на эффективность BCM, 83% компаний не имеют плана по обеспечению непрерывности бизнеса и восстановлению процессов. Часто организации не видят в этом необходимости. Только некоторые крупные корпорации вводят практики BCM во внутренние стандарты. Единицы компаний сертифицируют системы менеджмента непрерывности бизнеса: например, в 2021 году в России действовали 3 сертификата ISO 22301
Управление непрерывностью бизнеса: оценка уровня по отраслям
Лучший результат в рамках этого направления показывает финсектор с оценкой 3,4 из 5. Компании финсектора, в первую очередь банки, уделяют особое внимание BCM — для них непрерывность бизнеса критична. Если система простаивает в течение даже короткого времени, банки не могут проводить операции и теряют деньги. К тому же существуют дополнительные требования по управлению рисками для банков, например основанные на стандартах Базельского комитета по банковскому надзору.
Вопросы непрерывности бизнеса хорошо проработаны и в транспортной отрасли (3,1). Здесь у компаний нет цели соответствовать всем формальным требованиям, главное для них — обеспечить бесперебойность логистики.
В IT‑отрасли заметен наибольший прогресс: за два года средняя оценка выросла с 1 до 2, потому что компании исправили наиболее грубые ошибки и стали догонять остальных. IT‑отрасль состоит в основном из стартапов: они не такие зрелые, как компании из финсектора, но теперь все больше внимания уделяют этому направлению.
На последнем месте ритейл (1,5). На оценку в этой отрасли влияют изменения в логистике и то, насколько стабильно работают площадки для продаж. Когда есть агрегированные площадки и внешние логистические компании, у ритейлеров нет стимула становиться более зрелыми в сфере кибербезопасности, поэтому уровень остается низким. В случае непредвиденного сбоя компании не смогут быстро восстановить работу и потеряют деньги из‑за простоя.
