Что о кибербезопасности должен знать топ-менеджер

Что важно для топ-менеджера и для бизнеса в целом

Определим, что важно для бизнеса и, соответственно, для топ-менеджера в целом. Не будем здесь вдаваться в экономические показатели и грубо сформулируем основную цель: главное — чтобы бизнес стабильно работал и приносил прибыль, которая бы покрывала все издержки и позволяла бизнесу развиваться. В современных условиях стабильность тесно связана с гибкостью и способностью бизнеса адаптироваться к изменчивым внешним и внутренним условиям в ограниченные сроки.

Что хочет знать топ-менеджер о кибербезопасности

Учитывая предыдущий тезис, сформулирую основные вопросы к кибербезопасности, на которые топ-менеджер хочет знать ответы:

Достаточно ли защищена компания от киберугроз/киберрисков?
Насколько эффективно используются ресурсы, выделяемые на кибербезопасность?
Что будет делать компания, если все-таки произойдет киберинцидент?

К этим вопросам можно добавить еще такие:

Как влияет кибербезопасность на бизнес и его развитие?
Каким образом кибербезопасность учитывает технологические тренды и связанные с ними киберугрозы/киберриски?
Какими качествами должна обладать успешная функция кибербезопасности?

Что должен знать топ-менеджер о кибербезопасности

Пойдем по порядку.

Достаточно ли защищена компания от киберугроз/киберрисков?

Для ответа на этот вопрос руководителю функции кибербезопасности (далее — КБ) требуется определить основные актуальные киберугрозы и, соответственно, ключевые киберриски, которым подвержена компания. Бизнес привык работать с рисками различной природы (операционные, кредитные и т. п.), и ему проще воспринимать угрозы, атаки, уязвимости кибербезопасности через привычные риски (хоть и с уклоном в кибербезопасность). Существует множество методик и подходов к управлению киберрисками, которые включают в себя идентификацию, оценку и приоритизацию киберрисков, а также обязательную их обработку. Важно, чтобы конечный перечень киберрисков был представлен в понятной форме с обязательной привязкой к бизнесу. И здесь наиболее правильным будет отталкиваться от недопустимых для компании событий, которые определяет сам бизнес. Например, компания собирает и обрабатывает много информации о своих клиентах (ФИО, адрес, паспортные данные, платежные данные и т. п.), следовательно критическим киберриском или недопустимым событием будет утечка клиентской базы. Другой пример: все продажи маркетплейса осуществляются через интернет, следовательно недопустимым событием будет недоступность веб-сервиса компании в течение длительного времени. Третий пример: компания разрабатывает и продает программное обеспечение — недопустимым событием будет внедрение вредоносного кода в исходный код программы или взлом лицензионной защиты программного кода.

Опираясь на классический подход к управлению рисками, выделим четыре стратегии обработки киберриска: уклонение/избегание, передача, снижение, принятие. Учитывая уровень значимости недопустимого события и его тесную связь с бизнес-процессами, считаю, что наиболее правильной стратегией обработки является снижение киберриска за счет применения компенсирующих мер (организационных и технических).

В итоге топ-менеджеру нужно представить перечень критических киберрисков, направленных на бизнес-деятельность компании, и, соответственно, на ключевые бизнес-процессы, с кратким описанием мер по их обработке. Этот перечень не должен быть большим и должен быть сфокусирован на самых значимых киберрисках, то есть на недопустимых для бизнеса событиях. При этом представленная информация будет являться верхнеуровневой, без лишней детализации, но с отражением текущего состояния системы кибербезопасности. Меры могут быть сгруппированы в домены (например, может быть домен «Защита веб-сайта»), а статус реализации мер будет указывать на уровень защищенности от конкретного недопустимого события. Примеры представлены ниже.

Недопустимое событие (НС)	Негативные последствия	Затрагиваемые бизнес-процессы и системы	Возможные сценарии реализации	Компенсирующие меры со статусом реализации	Уровень защищенности от НС
Кража денежных средств (в размере X руб.)	Невозможность выполнять договорные обязательства	Процесс 1, процесс 2, ИС «Банк-онлайн»	Компрометация инфраструктуры компании через взлом веб-сайта и вывод денежных средств через ИС «Банк-онлайн»	Защита веб-сайта — частично. Защита серверов веб-сайта — выполнено. Сетевая сегментация — частично. Защита AD — выполнено. Защита ИС «Банк-онлайн» — частично. Повышение осведомленности персонала (бухгалтеров, ИТ) — не выполнено. Мониторинг ИБ — частично. Разработка плана реагирования — частично	Средний
Утечка клиентских данных (в размере Х записей)	Проверки регуляторов, штрафы, ущерб репутации и отток клиентов	Процесс 1, процесс 2, ИС 1, ИС 2	Компрометация инфраструктуры компании через фишинговое письмо на ИТ-администратора, последующий взлом ИС 1 и выгрузка клиентских данных на внешний ресурс	Защита почтового трафика — выполнено. Защита рабочих мест ИТ-персонала — выполнено. Сетевая сегментация — частично. Защита AD — выполнено. Защита ИС 1 — выполнено. Повышение осведомленности ИТ-персонала — частично. Мониторинг ИБ — выполнено. Разработка плана реагирования — частично	Высокий

Важно понимать, что эта информация (недопустимые события, сценарии, затронутые ресурсы) должна регулярно пересматриваться в зависимости от изменяющихся внешних и внутренних условий.

Насколько эффективно используются ресурсы, выделяемые на кибербезопасность?

Под ресурсами подразумеваются финансовые, человеческие, временные и аппаратно-программные. Если брать модель взаимодействия, используемую при построении системы КБ и состоящую из технологий, процессов и людей, то ключевую роль играют правильно выстроенные процессы, которые позволяют руководителю функции КБ применять свои технологии (NGFW, AV, EDR, DLP и т. д.) с наибольшей эффективностью.

Чтобы топ-менеджер мог ответить на этот вопрос, он должен регулярно просматривать ключевые метрики процессов кибербезопасности (представленные на понятном ему языке) с привязкой к недопустимым событиям и метрикам ИТ/бизнеса. Пример метрик КБ, связанных с недопустимыми событиями и сценариями из предыдущей таблицы, представлен ниже.

Процесс КБ	Метрика	Связанное недопустимое событие	Связанная метрика ИТ/бизнеса
Управление уязвимостями КБ	Скорость устранения критически опасных уязвимостей	Кража денежных средств (в размере Х руб.). Утечка клиентских данных (в размере Х записей)	Скорость вывода сервиса в прод. Количество аварий за период
Управление инцидентами КБ	Время реагирования на инцидент КБ	Кража денежных средств (в размере Х руб.). Утечка клиентских данных (в размере Х записей)	Время реагирования на инцидент ИТ (связанный с инцидентом КБ). Время недоступности сервиса. Время восстановления работоспособности сервиса. Количество обращений клиентов. Количество упоминаний в СМИ
Повышение культуры КБ	Процент перехода работников по ссылкам в псевдофишинговых письмах	Утечка клиентских данных (в размере Х записей)	Охват персонала обязательными обучающими курсами. Количество обращений персонала в SD (по поводу подозрительных писем, смены пароля и т. п.)

Что будет делать компания, если киберинцидент все-таки произойдет?

Нужно понимать, что идеальной защиты не бывает и злоумышленник всегда на шаг впереди. Основная задача руководителя функции КБ — это выстроить систему защиты так, чтобы максимально замедлить продвижение злоумышленника до цели, и создать такие рубежи защиты, преодоление которых потребует от него усилий, несоразмерных цели. При этом важно иметь качественный процесс выявления и реагирования на инциденты, которые будут возникать по мере продвижения злоумышленника по сети.

Всегда нужно иметь план реагирования на случай начала и развития возможной кибератаки, а лучше иметь планы, которые помогут уменьшить ущерб компании при успешной реализации того или иного киберриска. Здесь хорошо помогает процесс управления непрерывностью бизнеса компании. В нынешних нестабильных условиях этот процесс необходим любой компании, и в него обязательно нужно встроить киберриски. Процесс управления непрерывностью бизнеса компании состоит из следующих основных подпроцессов:

анализ воздействия на бизнес;
разработка и внедрение планов обеспечения непрерывности бизнеса (с обязательным обучением персонала);
тестирование планов.

Очень важно не пренебрегать проверкой планов, хотя бы с использованием метода «настольного тестирования», которое включает в себя сбор задействованных лиц (например, антикризисной команды) и рассмотрение гипотетического сценария недопустимого события с использованием документации плана. Особое внимание нужно уделять каналам и организации кризисной коммуникации (как внутренней, так и внешней).

Чтобы у топ-менеджера был ответ на поставленный выше вопрос, его нужно посвятить в планы обеспечения непрерывности бизнеса компании при реализации киберинцидентов, а лучше и правильнее вовлечь его во все этапы процесса управления непрерывностью бизнеса.

Как влияет кибербезопасность на бизнес и его развитие?

Сегодня трудно представить себе бизнес, в котором не использовались бы информационные технологии. Подразделения ИТ становятся ключевыми в современных компаниях, CIO/CTO включаются в советы директоров и принимают активное участие в развитии бизнеса. Кибербезопасность компании не может быть результативной без правильного и взаимовыгодного сотрудничества функции КБ с ИТ. Топ-менеджер должен понимать, что ИТ и кибербезопасность работают сообща на благо компании.

Существует хорошая практика бизнес-партнерства, когда специалисты по КБ, так называемые бизнес-партнеры по КБ, закрепляются за определенным бизнес-доменом или бизнес-продуктом. Основная их цель — соблюсти баланс между безопасностью, скоростью вывода продуктов/услуг и удобством использования. Обладая широкой экспертизой в области ИБ, бизнес-партнер по КБ проводит оценку проектов на наличие различных киберугроз и проблем кибербезопасности. При этом такого специалиста лучше всего привлечь к оценке как можно раньше, грубо говоря, «левее» (подход shift-left) к началу проекта: например, на этапе бизнес-идеи. Умея убеждать и договариваться с учетом интересов всех сторон, бизнес-партнеры по КБ совместно с ИТ/бизнесом находят правильные решения выявленных в проекте проблем КБ. В результате грамотного и партнерского взаимодействия у ИТ/бизнеса возникает понимание необходимости и адекватности выставляемых требований КБ, что приводит к формированию доверия к бизнес-партнерам по КБ, а значит, и к кибербезопасности в целом. ИТ/бизнес начинают понимать, что функция кибербезопасности не только и не столько несет ограничительные меры, сколько вносит полноценный вклад в успешное и безопасное развитие бизнеса.

Топ-менеджеру важно видеть вовлеченность персонала компании в кибербезопасность и степень сотрудничества между ИТ/бизнесом и кибербезопасностью. Увидеть это можно через инструменты внутренней обратной связи о функции кибербезопасности, а также с помощью мониторинга показателя time-to-market для продуктов/услуг, соответствующих требованиям КБ. При правильном участии кибербезопасности этот показатель должен сокращаться.

Не могу тут не упомянуть регуляторную составляющую кибербезопасности, так как изменения законодательства РФ в области ИБ могут внести коррективы в развитие бизнеса (например, Указ Президента № 250), поэтому требуется непрерывно отслеживать эти изменения. Топ-менеджеру нужно показывать все значимые изменения с наложением на карту киберрисков.

Каким образом кибербезопасность учитывает технологические тренды и связанные с ними киберугрозы?

Этот вопрос тесно связан с будущим бизнеса, и от ответа на него могут зависеть ключевые стратегические решения топ-менеджера. Здесь немного расскажу о стратегии КБ, которая обязательно должна быть в компании и которая обязательно должна быть доведена до всех заинтересованных лиц, включая топ-менеджера. Чаще всего стратегия КБ разрабатывается на три года, и именно в ней учитываются технологические тренды (например, AI или квантовые технологии). Очень важно, чтобы стратегия КБ была выровнена со стратегией бизнеса и стратегией ИТ, а главный фокус ее должен быть направлен на предотвращение определенных ранее критических киберрисков или недопустимых событий.

Стратегия КБ представляет собой верхнеуровневое виденье развития функции кибербезопасности в компании с фокусом на основных целях, которые необходимо достичь, задачах, которые необходимо решить для достижения этих целей, на сроках, в которые планируется это сделать, и бюджетах, которые требуются для всего этого.

Считаю, что основными и при этом взаимосвязанными трендами кибербезопасности в современных российских компаниях на ближайшие два-три года будут:

коллаборация кибербезопасности с ИТ/бизнесом (про это уже говорил выше);
автоматизация и повышение производительности труда в процессах КБ (исключение человеческого фактора, сокращение time-to-market, автоматизация и синхронизация с процессами ИТ/бизнеса и т. д.);
безопасная обработка данных, которых становится все больше и больше (владение данными, категорирование и разметка данных, удобный и безопасный доступ к данным, обмен данными с третьими сторонами, обезличивание данных, защита данных при использовании LLM и т. д.).

Стратегию КБ нужно не просто показывать топ-менеджеру: руководителю функции КБ ее нужно перед ним защищать, а при возникновении вопросов он должен быть готов пояснить отдельные моменты и учесть пожелания, потому что от понимания стратегии КБ всеми заинтересованными лицами в компании (CIO, CTO, CRO, CFO и т. д.) зависит правильное развитие функции КБ.

Какими качествами должна обладать успешная функция КБ?

Топ-менеджер должен анализировать обратную связь от персонала компании по соответствию функции КБ следующим качествам (конкурентным бизнес-преимуществам):

Вовлеченность в бизнес:
- понимание основных функций и ключевых процессов бизнеса;
- принятие и, что важно, следование ценностям компании;
- активное участие в комитетах / рабочих группах (например, по рискам, архитектурных и т. п.).
Проактивность:
- проявление инициативы не только по направлению кибербезопасности;
- умение критически мыслить и предвидеть возникновение новых киберрисков для компании;
- способность принимать на себя ответственность за свои решения (в том числе непопулярные) и признавать ошибки.
Коммуникация и диалог:
- открытость и понятный для бизнеса язык (регулярное проведение встреч с персоналом по вопросам кибербезопасности, инструменты обратной связи);
- умение аргументированно отстаивать свою точку зрения, сотрудничать и находить компромиссы с учетом интересов разных сторон.

Вывод

Подводя итоги, сформулирую ответ на поставленный в самом начале вопрос «что о кибербезопасности должен знать топ-менеджер»:

перечень недопустимых событий с отражением уровня защищенности компании;
стратегию КБ с учетом ранее определенных недопустимых событий;
ключевые метрики процессов кибербезопасности с привязкой к недопустимым событиям и метрикам ИТ/бизнеса;
планы и процесс обеспечения непрерывности бизнеса (в разрезе кибербезопасности);
результаты анализа обратной связи о функции КБ от персонала компании.

Ну и, конечно же, топ-менеджер должен быть уверен в том, что руководитель функции КБ является полноценным и полезным игроком его команды!