Бизнес10 июля 2024
Евгений ЖахЕвгений ЖахЕвгений ЖахЧто важно для топ-менеджера и для бизнеса в целом
Определим, что важно для бизнеса и, соответственно, для топ-менеджера в целом. Не будем здесь вдаваться в экономические показатели и грубо сформулируем основную цель: главное — чтобы бизнес стабильно работал и приносил прибыль, которая бы покрывала все издержки и позволяла бизнесу развиваться. В современных условиях стабильность тесно связана с гибкостью и способностью бизнеса адаптироваться к изменчивым внешним и внутренним условиям в ограниченные сроки.
Что хочет знать топ-менеджер о кибербезопасности
Учитывая предыдущий тезис, сформулирую основные вопросы к кибербезопасности, на которые топ-менеджер хочет знать ответы:
К этим вопросам можно добавить еще такие:
Как влияет кибербезопасность на бизнес и его развитие?
Каким образом кибербезопасность учитывает технологические тренды и связанные с ними киберугрозы/киберриски?
Какими качествами должна обладать успешная функция кибербезопасности?
Что должен знать топ-менеджер о кибербезопасности
Пойдем по порядку.
Достаточно ли защищена компания от киберугроз/киберрисков?
Для ответа на этот вопрос руководителю функции кибербезопасности (далее — КБ) требуется определить основные актуальные киберугрозы и, соответственно, ключевые киберриски, которым подвержена компания. Бизнес привык работать с рисками различной природы (операционные, кредитные и т. п.), и ему проще воспринимать угрозы, атаки, уязвимости кибербезопасности через привычные риски (хоть и с уклоном в кибербезопасность). Существует множество методик и подходов к управлению киберрисками, которые включают в себя идентификацию, оценку и приоритизацию киберрисков, а также обязательную их обработку. Важно, чтобы конечный перечень киберрисков был представлен в понятной форме с обязательной привязкой к бизнесу. И здесь наиболее правильным будет отталкиваться от недопустимых для компании событий, которые определяет сам бизнес. Например, компания собирает и обрабатывает много информации о своих клиентах (ФИО, адрес, паспортные данные, платежные данные и т. п.), следовательно критическим киберриском или недопустимым событием будет утечка клиентской базы. Другой пример: все продажи маркетплейса осуществляются через интернет, следовательно недопустимым событием будет недоступность веб-сервиса компании в течение длительного времени. Третий пример: компания разрабатывает и продает программное обеспечение — недопустимым событием будет внедрение вредоносного кода в исходный код программы или взлом лицензионной защиты программного кода.
Опираясь на классический подход к управлению рисками, выделим четыре стратегии обработки киберриска: уклонение/избегание, передача, снижение, принятие. Учитывая уровень значимости недопустимого события и его тесную связь с бизнес-процессами, считаю, что наиболее правильной стратегией обработки является снижение киберриска за счет применения компенсирующих мер (организационных и технических).
В итоге топ-менеджеру нужно представить перечень критических киберрисков, направленных на бизнес-деятельность компании, и, соответственно, на ключевые бизнес-процессы, с кратким описанием мер по их обработке. Этот перечень не должен быть большим и должен быть сфокусирован на самых значимых киберрисках, то есть на недопустимых для бизнеса событиях. При этом представленная информация будет являться верхнеуровневой, без лишней детализации, но с отражением текущего состояния системы кибербезопасности. Меры могут быть сгруппированы в домены (например, может быть домен «Защита веб-сайта»), а статус реализации мер будет указывать на уровень защищенности от конкретного недопустимого события. Примеры представлены ниже.
Важно понимать, что эта информация (недопустимые события, сценарии, затронутые ресурсы) должна регулярно пересматриваться в зависимости от изменяющихся внешних и внутренних условий.
Насколько эффективно используются ресурсы, выделяемые на кибербезопасность?
Под ресурсами подразумеваются финансовые, человеческие, временные и аппаратно-программные. Если брать модель взаимодействия, используемую при построении системы КБ и состоящую из технологий, процессов и людей, то ключевую роль играют правильно выстроенные процессы, которые позволяют руководителю функции КБ применять свои технологии (NGFW, AV, EDR, DLP и т. д.) с наибольшей эффективностью.
Чтобы топ-менеджер мог ответить на этот вопрос, он должен регулярно просматривать ключевые метрики процессов кибербезопасности (представленные на понятном ему языке) с привязкой к недопустимым событиям и метрикам ИТ/бизнеса. Пример метрик КБ, связанных с недопустимыми событиями и сценариями из предыдущей таблицы, представлен ниже.
Что будет делать компания, если киберинцидент все-таки произойдет?
Нужно понимать, что идеальной защиты не бывает и злоумышленник всегда на шаг впереди. Основная задача руководителя функции КБ — это выстроить систему защиты так, чтобы максимально замедлить продвижение злоумышленника до цели, и создать такие рубежи защиты, преодоление которых потребует от него усилий, несоразмерных цели. При этом важно иметь качественный процесс выявления и реагирования на инциденты, которые будут возникать по мере продвижения злоумышленника по сети.
Всегда нужно иметь план реагирования на случай начала и развития возможной кибератаки, а лучше иметь планы, которые помогут уменьшить ущерб компании при успешной реализации того или иного киберриска. Здесь хорошо помогает процесс управления непрерывностью бизнеса компании. В нынешних нестабильных условиях этот процесс необходим любой компании, и в него обязательно нужно встроить киберриски. Процесс управления непрерывностью бизнеса компании состоит из следующих основных подпроцессов:
Очень важно не пренебрегать проверкой планов, хотя бы с использованием метода «настольного тестирования», которое включает в себя сбор задействованных лиц (например, антикризисной команды) и рассмотрение гипотетического сценария недопустимого события с использованием документации плана. Особое внимание нужно уделять каналам и организации кризисной коммуникации (как внутренней, так и внешней).
Чтобы у топ-менеджера был ответ на поставленный выше вопрос, его нужно посвятить в планы обеспечения непрерывности бизнеса компании при реализации киберинцидентов, а лучше и правильнее вовлечь его во все этапы процесса управления непрерывностью бизнеса.
Как влияет кибербезопасность на бизнес и его развитие?
Сегодня трудно представить себе бизнес, в котором не использовались бы информационные технологии. Подразделения ИТ становятся ключевыми в современных компаниях, CIO/CTO включаются в советы директоров и принимают активное участие в развитии бизнеса. Кибербезопасность компании не может быть результативной без правильного и взаимовыгодного сотрудничества функции КБ с ИТ. Топ-менеджер должен понимать, что ИТ и кибербезопасность работают сообща на благо компании.
Существует хорошая практика бизнес-партнерства, когда специалисты по КБ, так называемые бизнес-партнеры по КБ, закрепляются за определенным бизнес-доменом или бизнес-продуктом. Основная их цель — соблюсти баланс между безопасностью, скоростью вывода продуктов/услуг и удобством использования. Обладая широкой экспертизой в области ИБ, бизнес-партнер по КБ проводит оценку проектов на наличие различных киберугроз и проблем кибербезопасности. При этом такого специалиста лучше всего привлечь к оценке как можно раньше, грубо говоря, «левее» (подход shift-left) к началу проекта: например, на этапе бизнес-идеи. Умея убеждать и договариваться с учетом интересов всех сторон, бизнес-партнеры по КБ совместно с ИТ/бизнесом находят правильные решения выявленных в проекте проблем КБ. В результате грамотного и партнерского взаимодействия у ИТ/бизнеса возникает понимание необходимости и адекватности выставляемых требований КБ, что приводит к формированию доверия к бизнес-партнерам по КБ, а значит, и к кибербезопасности в целом. ИТ/бизнес начинают понимать, что функция кибербезопасности не только и не столько несет ограничительные меры, сколько вносит полноценный вклад в успешное и безопасное развитие бизнеса.
Топ-менеджеру важно видеть вовлеченность персонала компании в кибербезопасность и степень сотрудничества между ИТ/бизнесом и кибербезопасностью. Увидеть это можно через инструменты внутренней обратной связи о функции кибербезопасности, а также с помощью мониторинга показателя time-to-market для продуктов/услуг, соответствующих требованиям КБ. При правильном участии кибербезопасности этот показатель должен сокращаться.
Не могу тут не упомянуть регуляторную составляющую кибербезопасности, так как изменения законодательства РФ в области ИБ могут внести коррективы в развитие бизнеса (например, Указ Президента № 250), поэтому требуется непрерывно отслеживать эти изменения. Топ-менеджеру нужно показывать все значимые изменения с наложением на карту киберрисков.
Каким образом кибербезопасность учитывает технологические тренды и связанные с ними киберугрозы?
Этот вопрос тесно связан с будущим бизнеса, и от ответа на него могут зависеть ключевые стратегические решения топ-менеджера. Здесь немного расскажу о стратегии КБ, которая обязательно должна быть в компании и которая обязательно должна быть доведена до всех заинтересованных лиц, включая топ-менеджера. Чаще всего стратегия КБ разрабатывается на три года, и именно в ней учитываются технологические тренды (например, AI или квантовые технологии). Очень важно, чтобы стратегия КБ была выровнена со стратегией бизнеса и стратегией ИТ, а главный фокус ее должен быть направлен на предотвращение определенных ранее критических киберрисков или недопустимых событий.
Стратегия КБ представляет собой верхнеуровневое виденье развития функции кибербезопасности в компании с фокусом на основных целях, которые необходимо достичь, задачах, которые необходимо решить для достижения этих целей, на сроках, в которые планируется это сделать, и бюджетах, которые требуются для всего этого.
Считаю, что основными и при этом взаимосвязанными трендами кибербезопасности в современных российских компаниях на ближайшие два-три года будут:
Стратегию КБ нужно не просто показывать топ-менеджеру: руководителю функции КБ ее нужно перед ним защищать, а при возникновении вопросов он должен быть готов пояснить отдельные моменты и учесть пожелания, потому что от понимания стратегии КБ всеми заинтересованными лицами в компании (CIO, CTO, CRO, CFO и т. д.) зависит правильное развитие функции КБ.
Какими качествами должна обладать успешная функция КБ?
Топ-менеджер должен анализировать обратную связь от персонала компании по соответствию функции КБ следующим качествам (конкурентным бизнес-преимуществам):
Вывод
Подводя итоги, сформулирую ответ на поставленный в самом начале вопрос «что о кибербезопасности должен знать топ-менеджер»:
Ну и, конечно же, топ-менеджер должен быть уверен в том, что руководитель функции КБ является полноценным и полезным игроком его команды!
| Высокий |