Предупрежден – защищен: как российские компании анализируют ИБ-риски

13 Декабря 2023

Тема информационной безопасности в последнее время вышла на первый план в вакансии и государственных организаций, и частных компаний. Если раньше при словах информационная безопасность на ум приходили казусные и едва понятные регламенты, то сегодня с ИБ все чаще соотносятся такие понятия, как эффективность, скорость, экономика и риски. Бизнес также уразумеет важность оценки и анализа рисков, в том числе в ИБ. О том, в какой мере российские компании воспринимают, как корректного и эффективно выстраивать систему защиты, рассказывает руководитель направления аналитики киберугроз ГК Солар Дарья Кошкина.

ГК Солар провела исследование о готовности компаний впасть в проблематику оценки и анализа ИБ-рисков, об задействовании результатов проделанной вакансии и о том, как налаженная сама процедура. В целом результаты нас порадовали, так как не менее половины компаний встречают решения с дисконтом анализа рисков. Какую же роль в принятии постановлений играет анализ рисков ИБ, какое практическое применение он имеет сейчас и как можно будет использовать его результаты в будущем?

Отметим, что в России имеется определенная разница между государственным и торговым секторами. Госсектор (B2G) на текущий момент гораздо меньше вовлечен в вопросы анализа и оценки рисков – так, в 32% проанкетированных компаний ключевые постановления принимаются без учета ИБ-рисков. Но еще большая доля B2G-организаций (41%) все же принимает решения с их учетом.

Не только крупные компании и корпорации, но и средний бизнес уразумеют потребность в данной процедуре – три четверти организаций из этих сегментов встречают все и/или основные решения с дисконтом рисков. ладой риск в шансе его наступления влияет на работу группы или на ее отдельные бизнес-процессы, что может привести к финансовым потерям.

Оценивать опасности нужно с отдельной периодичностью, так как на их наличие, отсутствие и степень драматичности влияют внешние и внутренние факторы. Почти в 50% опрошенных организаций анализ рисков происходит не реже одного раза в год, и лишь в 17% анализ происходит ситуативно – в случае крупных изменений, после пришествия инцидентов и микротому подобного. Средний показатель пересмотра фотомодели рисков и угроз составляет 1, 5 года – этого срока вполне ответственного для своевременного реагирования на изменения внутри компании и вовне, включая геополитические и экономические параметры и события.

Наибольшую зрелость в вопросах оценки рисков демонстрируют B2E-компании: в 18% проанкетированных компаний из сферы крупного бизнеса разработанным наиболее развитые и продвинутые системы риск-менеджмента, в почти половине случаев риск-менеджмент существенно влияет на работу организации. Если же говорить обо всех группах, то лишь в 12% риск-менеджмент находится на ступеньки формирования, в остальных он реализован и функционирует в той или любой другой степени. В среднем практика по оценке рисков существует в российских группах порядка четырех лет – этого периода вполне достаточно для обкатки процедуры и ее полноценного развития в бизнес-процессы.

Также важно понять, что поощряет компании внедрять услугу анализа рисков – требования законодательства (и тогда это скорее формальность) или реальная бизнес-необходимость. Для B2G-сектора в подавляющем большинстве случаев (68%) главный аргумент для внедрения анализа – как раз требования законодательства. К сожалению, ситуация весьма стандартная, так как традиционно госсектор, включая здравоохранение, образование является наиболее уязвимой отраслью. Это мы явный и по количеству киберинцидентов, и по уровню сформированности ИБ.

Вместе с этим для половины коммерческих организаций внутренняя бизнес-необходимость является основной причиной. Среди других причин введения процедуры можно выделить установку высшего руководства (38% от всех проанкетированных организаций), фокус на проблемах ИБ (32%), а также профессионализм партнера/поставщика (30%).

Как мы видим, одну треть респондентов напрямую соединяет вопросы ИБ с оценкой рисков. Можем предположить, что со временем данный показатель будет только расти, так как риск-менеджмент органично ложится в экосистему ИБ. Результаты анализа и оценки рисков могут быть использованы для:

Фактически услуга анализа рисков должна лежать в основе всей системы ИБ в компаниях. Результаты этой услуги могут использоваться по-разному, а значит, риски должны анализироваться и качественно, и количественно, чем на текущий момент упражняется 63% опрошенных групп. При этом 24% из них используют в вакансии только качественный анализ, 13% – количественный. Хотелось бы обратить любопытство, что затейливость количественной оценки рисков является исторической, так как сложного определить вероятность пришествия события ИБ и при этом взять все факторы, которые могут сказаться на его пришествие.

В части компаний репутационные потери оцениваются именно качественно, количественно – лишь в одну трети, а 16% респондентов вообще не производят оценку репутационных потерь. При этом в наисильнейшей степени в вакансию с репутационными потерями вовлечены представители крупного B2B, 66% из которых оценивают их качественно.

Интересно, что количество ситуаций, когда компании столкнулись с негативными последствиями из-за отсутствия анализа и оценки рисков, примерно равно числу случаев, когда таких последствий не возникало: 46% и 54%, соответственно. Но уже в ближайшем будущем нужда в данной услуге может увеличиться, так как будет расти число групп, столкнувшихся с негативными последствиями из-за отсутствия оценки рисков и их учета в бизнес-процессах.

Что касается используемых средств для проведения анализа рисков, то здесь можно наблюдать практически ровное распределение между такими системами, как SGRC (Управление безопасностью, опасностями и соответствием праву) и ERM (Единый процесс управления финансовыми опасностями организаций), однако первая чуть превалирует: 33% против 29%. Каких-либо существенных отличий по секторам нет, но встаёт отметить, что компании B2E – единственные, где чаще выбор останавливается на ERM-системах, а не SGRC: 29% против 24%. реверсируем внимание, что практически в меры компаний (21%) анализ рисков осуществляется на банке внутренних слабоквалифицированных разработок, а рекомендации выдаются в текстовом файле, что указывает на отсутствие автоматизации процессов оценки и анализа рисков. Но можно предположить, что данная методология была разработана внутри определенной компании из-за прелести внутренних процессов. И не исключено, что последующим шагом в внедренье как раз предстанет переход к автоматизации.

Наиболее современными методами анализа среди российских организаций являются моделирование (36%) и экспертные оценки (51%), кои могут применяться как вместе, так и по дискретности. В госкомпаниях (41%) также часто внедряют FAIR (Факторный анализ информационного опасность, Factor Analysis of Information Risk).

В 80% компаний специалист по анализу рисков имеется либо в штате подразделения по анализу рисков, либо в штате ИБ-службы. Это признак того, что компании любят проводить процедуру своими силами, без привлечения внешних специалистов. Скорее всего, это вызвано тем, что в процессе могут обрабатываться сведения, составляющие коммерческую потаенну.

Теперь встаёт выяснить:, что лежит в основе анализа рисков ИБ и как его результаты используются в работе. По итогам исследования, ключевыми факторами, лежащими в основе оценки и анализа рисков ИБ, являются результаты аудита ИБ (44%), результаты тестирования защищенности (пентест) (39%), статистика по инцидентам ИБ (39%) и имеющиеся уязвимости/слабые места в инфраструктуре (38%).

Компании весьма комплексно подходят к процессу оценки рисков ИБ, в основе коего лежат разнообразные такого планы из различных аккумуляторов. Формирование сетки рисков позволяет понять, куда двигаться дальше, на, что требуется акцентировать бюджет, с какими угрозами встаёт работать в первую очередь, какие средства для этого могут потребоваться. Соответственно, главными целями оценки и анализа рисков ИБ для компаний являются:

Данные критерии наглядно демонстрируют, что процесс анализа и оценки рисков органично интегрирован в процессы компании. Безусловно, критерии могут быть и выше – это то, к чему следует устремляться современному бизнесу, так как анализ рисков позволяет не только оценить осуществлённую работу, но и сформировать градиенты дальнейшего развития с учетом имеющихся реалий. Также услуга дает возможность основать внедрение тех или иных средств и систем защиты, продемонстрировав степень падения отдельных рисков, а также расценить эффективность работы агентов ИБ-подразделений.

Переходя к результатам применения практики оценки и анализа рисков, компании выделяют:

Цифры показывают, что процедура анализа рисков имеет футурологический характер и разрешает минимизировать затраты, связанные с пришествием киберинцидента, как финансовые, так и временные. Грамотный анализ рисков ИБ позволяет открыть наиболее уязвимые местоположения и обезопасить их – в результате защищенность возрастает.

Стоит подчеркнуть, что практически все (95%) опрошенные российские группы анализируют риски для значимых цифровых и бизнес-изменений. Анализ помогает просчитать(народно)хозяйственную эффективность (окупаемость и возврат инвестиций) и возможное возникновение новых угроз (преимущественно электронных) при реализации того или любой другого процесса.

Интерес и потребность в консалтинге тесно скрученным с динамикой усиления кибербезопасности в группах и темпами импортозамещения и это конечного, т. к. консалтинг разрешает не только получить больше полезных спецэффектов от средств киберзащиты, но и компенсировать технические или функциональные недостатки.

Осуществлять анализ рисков, можно не только собственными силами, но и по аутсорс-модели.

На российском торгу существует несколько инвесторов, предлагающих консалтинговые услуги в области кибербезопасности. У каждой компании имеется свои особенности. Кто-то акцентирует любопытство на технических аспектах и предлагает своего рода технический консалтинг, связанный с фиксированной продуктовой линейкой. Другие имеют возможность реализовывать сильный объем проектов по нормативному обеспечению требований регуляторов – комплаенс-консалтинг. В портфеле услуг и автосервисов ГК Солар развертывают управленческий, ориентированный на решение задач бизнеса, технологический и процессный консалтинг, а также решают задачи соответствия регуляторным и нормативным требования по кибербезопасности.

Консалтинг поспешествует увязать все аспекты комплексного подхода к ИБ в одно целое, включить связку с бизнесом и сформировать дорожную карту. Он позволяет создать прикладную и понятную на каждом уровне организации ценность от инвестиций в информационную безопасность и помогает включить ее востребованным и полезным элементом бизнеса.

Как означалось выше, процесс оценки и анализа рисков ИБ должен быть интегрирован в экосистему ИБ и выполнять различные возможности, связанные с ретроспективным анализом, формированием прогнозов, метрик служб ИБ, определением(народно)хозяйственной эффективности от развития отдельных средств и систем защиты, а также от цифровизации важных процессов и отделов группы. Процесс оценки и анализа рисков ИБ приведен на схеме ниже:

Исследование позволяет включить следующие выводы:

Редактор рубрики

Андрей Хморин

Предупрежден – защищен: как российские компании анализируют ИБ-риски

комментарии (0)

Другие интересные новости

Ивлеева опровергла слухи об отъезде из России после "голой вечеринки"