Принципы результативной кибербезопасности подходят как для коммерческих компаний, так и для любых других организаций. Поэтому понятие «бизнес» мы рассматриваем здесь широко, включая в него и государственные учреждения, и прочие формы организаций, целью существования которых не является получение прибыли. Вот основные аспекты результативной кибербезопасности, которые представляют ценность для бизнеса.
Понимание необходимости вложений в кибербезопасность. Руководство организации с первых шагов определяет, что является недопустимым событием, и соответственно — понимает необходимость прикладывать усилия по обеспечению кибербезопасности. Поскольку в предлагаемом подходе организация рассматривается как один большой актив, то ситуации, когда при анализе отдельных активов организации цели бизнеса и приоритеты его развития отходят на второй план, полностью исключаются.
Измеримость результата. Результативная кибербезопасность предусматривает возможность внедрения целого ряда показателей для оценки, поэтому ее применение дает объективные свидетельства эффективности принимаемых мер защиты.
Объективная и независимая оценка. Следование принципам результативной кибербезопасности предполагает привлечение широкого круга исследователей для тестирования всей IT-инфраструктуры компании. Это становится возможным в рамках программ кибериспытаний.
Повышение доверия к организации. Сам факт внедрения методологии повышает доверие партнеров, клиентов и работников, поскольку свидетельствует о серьезном отношении к обеспечению кибербезопасности.
Понятный образ конечного результата. Ключевая цель работ по внедрению результативной кибербезопасности — в предельно короткие сроки достичь уровня киберустойчивости организации, при котором хакер не может в ходе атаки реализовать недопустимые события.
Развитие кибербезопасности при поддержке и участии топ-менеджмента. Следование принципам результативной кибербезопасности предполагает активное участие топ- менеджмента в определении недопустимых событий. Это позволяет руководителю подразделения ИБ привлечь внимание к вопросам обеспечения кибербезопасности.
Возможность бизнесу и технарям говорить на одном языке. Поскольку для определения и последующей проработки недопустимых событий привлекаются руководители различных уровней (от топ-менеджеров до руководителей структурных подразделений), то вся дальнейшая работа позволяет руководителю подразделения ИБ погрузиться в особенности устройства организации с точки зрения бизнеса. В дальнейшем это поможет ему разговаривать с другими руководителями о проблемах ИБ через призму того, что им действительно важно.
Фокус бюджета на результате. Применение принципов результативной кибербезопасности позволяет наиболее эффективно с точки зрения практического результата распределить бюджет, выделенный на обеспечение кибербезопасности.
Понимание своей роли в обеспечении кибербезопасности. Специалисты в тех организациях, где следуют принципам результативной кибербезопасности, лучше понимают свою роль в обеспечении устойчивости бизнеса к атакам хакеров. Благодаря этому пониманию специалисты по ИБ и ИТ не подходят к обеспечению безопасности формально, а работают в одной команде для достижения общей цели.
Возможность использовать живую методологию. Для технических специалистов разработана готовая к применению и постоянно пополняемая методология. Все материалы, размещенные на Резбезе, носят практический характер.
Участие в открытом сообществе. Знания и лучшие практики не могут быть сосредоточены в одной компании или в голове одного человека. Только совместная работа позволит выработать лучшие подходы к кибербезопасности. Наша площадка, Резбез, дает специалистам возможность делиться опытом, развивать и модернизировать методологию совместными усилиями.
