Сравни {{ $root.cart.data.compare_items_count }}

 

Как ясно да оценим кибер риска

 

Ако вашият борд попита: „Какъв е нашият кибер риск в момента?“ и отговорът е списък с уязвимости, тогава нямате проблем с измерването. Имате проблем с лидерството. Да знаеш как да измерваш кибер риска означава да превеждаш проблемите със сигурността в бизнес експозиция, финансово въздействие, оперативни смущения и регулаторни последици – не просто да броиш сигнали или заявки за пачове.

За повечето организации, особено за растящи компании без щатен CISO, кибер рискът се губи сред инструментите. Таблата са пълни. Бюджетите са натоварени. Изискванията за съответствие продължават да нарастват. И все пак основният въпрос остава прост: кои заплахи са най-важни за бизнеса, колко е вероятно да се случат и каква ще е цената, ако се случат?

Какво всъщност означава измерване на кибер риска

Измерването на кибер риска е процесът на оценяване на вероятността едно кибер събитие да повлияе на бизнеса и на приблизителния мащаб на това въздействие. Това звучи ясно, но много екипи грешат, защото бъркат активността с риска.

Голям брой блокирани фишинг имейли не означава автоматично висок риск. Дълъг списък с уязвимости също не означава непременно спешна експозиция. Рискът съществува там, където се пресичат заплахата, слабостта, бизнес стойността и въздействието.

Затова ръководителите трябва да разглеждат кибер риска като модел за вземане на бизнес решения. Целта не е да се създаде перфектен научен показател. Целта е да се вземат по-добри решения относно приоритети, инвестиции, управление и устойчивост.

Започнете с активите, които имат най-голямо значение

Ако искате да разберете как да измервате кибер риска, започнете с това, което бизнесът не може да си позволи да загуби. Обикновено това включва клиентски данни, финансови системи, интелектуална собственост, оперативни технологии, комуникации на ръководството и ключови SaaS платформи.

Не всеки актив има еднаква стойност. Публичен маркетингов сайт и система за заплати може и двете да са достъпни през интернет, но последиците за бизнеса са много различни. Измерването на риска започва с определяне на бизнес критичността на системите, данните и процесите, които движат приходите, операциите, съответствието и доверието.

Тази стъпка налага стратегически разговор на ръководно ниво. Кои системи са съществени за предоставянето на услуги? Кои набори от данни биха довели до законови задължения за докладване? Кои приложения биха спрели дейността на компанията за ден, седмица или месец? Без тези отговори оценяването на риска се превръща в предположение.

Свържете всеки актив с бизнес резултат

Тук много технически оценки изостават. Сам по себе си списъкът с активи не е достатъчен. Всеки критичен актив трябва да бъде свързан с бизнес резултат, като например генериране на приходи, обслужване на клиенти, финансово отчитане, разработка на продукти или регулаторно съответствие.

След като направите това, кибер рискът става по-лесен за обяснение. Вместо да кажете „Този сървър има критични уязвимости“, можете да кажете „Тази платформа поддържа обработката на поръчки и евентуална ransomware атака тук може да спре доставките за 72 часа.“ Това е твърдение, върху което ръководството може да предприеме действия.

Оценявайте вероятността дисциплинирано, а не на база предположения

Вероятността е шансът дадено заплашително събитие да се случи и да бъде успешно. Тя никога не трябва да се базира само на страх или новинарски заглавия. Скорошен пробив във вашия сектор има значение, но само ако вашата среда споделя същите условия на експозиция.

На практика вероятността се определя от няколко фактора: активността на заплахите срещу вашия сектор, възможностите за достъп на атакуващите, експлоатируемите слабости, пропуските в контрола и привлекателността на целта. Компания със слаби контролни механизми за идентификация, отворен отдалечен достъп и липса на мониторинг на крайните устройства има много различен профил на вероятност в сравнение с компания със силно управление на достъпа и добре развито наблюдение.

Тук един прост модел за оценка може да помогне. Много организации използват скала от 1 до 5 за вероятност. Това е напълно приемливо, стига стойностите да са базирани на доказателства. Оценка от 4 трябва да означава нещо конкретно – например известни пътища за експлоатация, слаби контроли и често таргетиране, а не просто усещане, че проблемът е сериозен.

Използвайте контекст за заплахите, а не общи предположения

Зряла програма за управление на кибер риска отчита кой може да атакува, защо би имал интерес и как би получил достъп. Масовите ransomware групи, вътрешните заплахи, извършителите на измами с бизнес имейли и опортюнистичните атакуващи не представляват еднакво ниво на риск за всяка компания.

Тук балансът е между бързина и прецизност. Малките и средни предприятия може да не се нуждаят от специализиран количествен модел на заплахите, за да започнат. Но те се нуждаят от достатъчно контекст, за да избегнат третирането на всеки проблем като еднакво спешен.

Количествено определяне на бизнес въздействието с разбираеми термини

Въздействието е мястото, където кибер рискът става реален. Ако събитието се случи, какво ще се случи с бизнеса? Това трябва да се измерва в няколко измерения: финансово, оперативно, правно, регулаторно и репутационно.

Финансовото въздействие може да включва преки разходи за реагиране, загубени приходи, договорни неустойки, увеличени застрахователни разходи и разходи за възстановяване. Оперативното въздействие обхваща престои, забавени доставки и вътрешни смущения. Регулаторното въздействие може да включва глоби, проверки, задължения за уведомяване при пробив или последици от одити. Репутационното въздействие е по-трудно за оценка, но загубата на клиенти и доверието на пазара не са въображаеми разходи.

За много ръководни екипи най-полезният подход е да се дефинират нива на въздействие. Ниско въздействие може да означава малко смущение без външно докладване. Умерено въздействие може да означава краткотраен срив или ограничено изтичане на данни. Високо въздействие може да означава съществено прекъсване на операциите, вреда за клиентите, публично оповестяване или ескалация на изпълнително ниво.

Финансовите оценки имат значение, дори и да не са перфектни

Някои ръководители избягват да определят стойности в пари, защото се притесняват от привидна точност. Това притеснение е основателно. Но отказът да се правят оценки създава друг проблем: решенията за киберсигурност се откъсват от финансовата реалност.

Нямате нужда от перфектно число. Нуждаете се от обоснован диапазон. Ако даден сценарий с прекъсване на бизнеса вероятно ще струва между 150 000 и 400 000 долара, това е достатъчно, за да се сравни с разходите за намаляване на риска. Именно така киберсигурността преминава от технически разход към бизнес инвестиция.

Как да измервате кибер риска с практичен модел за оценка

Най-полезният модел за много организации съчетава три елемента: вероятност, въздействие и зрялост на контролните механизми. Вероятността показва колко вероятно е събитието да се случи. Въздействието показва колко щети би нанесло. Зрялостта на контролните механизми показва доколко сте подготвени да го предотвратите, откриете, реагирате на него и да се възстановите.

Честа грешка е рискът да се оценява само на база уязвимости. Този подход надценява някои проблеми и пропуска други. Тежка уязвимост във вътрешна система с добра сегментация може да представлява по-малък реален риск от слаба многофакторна автентикация в имейл акаунтите на ръководството.

Зрялостта на контрола променя картината на експозицията. Добро управление на идентичностите, тествани резервни копия, планове за реакция, повишена сигурностна осведоменост, контрол върху доставчиците и логване намаляват реалния риск. Слабото управление го увеличава.

Ако търсите проста формула, много екипи използват нещо подобно:

Риск = Вероятност × Въздействие, коригиран със зрялостта на контрола

Тази корекция е важна. Две компании могат да се изправят пред една и съща заплаха и една и съща експозиция на активи, но да имат много различен остатъчен риск, защото едната разполага с по-силни контроли и добре тествани способности за реакция.

Остатъчният риск е стойността, която има значение за ръководството

В разговорите на ръководно ниво присъщият риск е полезен, но недостатъчен. Присъщият риск е експозицията преди прилагането на контроли. Остатъчният риск е експозицията, която остава след отчитане на текущите ви контроли. Това е числото, което трябва да насочва решенията.

Защо? Защото ръководството не взема решения дали заплахите съществуват. То взема решения дали текущите защитни мерки са достатъчни, къде са необходими допълнителни инвестиции и какво ниво на риск бизнесът е готов да приеме.

Тук управлението става видимо. Ако остатъчният риск е висок за критични системи, може да са необходими по-силни контроли, по-добро планиране на реакцията или промяна в бизнес процесите. Ако остатъчният риск е нисък и разходите за третиране са прекомерни, приемането на риска може да бъде рационален избор. Не всеки кибер риск трябва да бъде елиминиран. Някои трябва да бъдат намалени, прехвърлени или формално приети.

Използвайте метрики, които подпомагат решенията, а не формално отчитане

Неправилните метрики създават фалшиво чувство за сигурност. Броенето на уязвимости, фишинг симулации или блокирани атаки без бизнес контекст казва много малко на ръководството. Полезните метрики за кибер риск свързват състоянието на сигурността с експозицията и необходимите действия.

Примери включват процента критични активи без многофакторна автентикация, броя на съществените рискове над допустимото ниво, средното време за откриване и овладяване на инциденти, външни доставчици, обработващи чувствителни данни без актуална оценка, както и дела на системите с високо въздействие, за които има тествани планове за възстановяване.

Тези метрики работят, защото подпомагат вземането на решения. Те показват къде е концентриран рискът, дали контролите се подобряват и какво изисква вниманието на ръководството.

Колко често трябва да се измерва кибер рискът?

Тримесечната оценка е практичен стандарт за повечето организации, като актуализации трябва да се правят при значителни промени като придобивания, нови системи, регулаторни изменения, сериозни инциденти или промени в активността на заплахите. Само годишните оценки са твърде бавни за повечето среди.

Въпреки това не всяка компания се нуждае от тежка, сложна система за управление на риска на корпоративно ниво. По-малките организации се нуждаят повече от последователност, отколкото от сложност. Дисциплинираният, редовен преглед, подкрепен от ръководството, ще бъде по-ефективен от сложен модел, който никой не поддържа.

Най-голямата грешка: да третирате кибер риска като ИТ показател

Кибер рискът не е метрика за състоянието на ИТ. Той е корпоративен риск, свързан с приходите, операциите, съответствието и устойчивостта. Когато екипите по сигурност представят кибер експозицията само като технически дълг, те губят вниманието на аудиторията. Когато я представят като бизнес риск с ясни възможности за управление, те печелят авторитет.

Ето защо ръководството в областта на сигурността има значение. Измерването на кибер риска не е само въпрос на рамки или електронни таблици. То включва определяне на критерии за риск, съгласуване на заинтересованите страни, дефиниране на допустимите нива и вземане на решения какво да бъде финансирано. Това е работа на ръководството, независимо дали се извършва от вътрешен CISO или от партньор като CISOLead.

Ако искате по-добри решения, спрете да търсите повече данни и започнете да търсите по-добър превод. Стойността на измерването на кибер риска не е в самата оценка. Стойността е в разбирането какво застрашава бизнеса, какво изисква незабавни действия и какво може да изчака, без да поставя компанията в по-слаба позиция утре.

 

  АДВАНСД ВИЖЪН ИТ - МАЛТА       

Адрес: Suite 8, Ta’ Mallia Buildings, Triq In‑Negozju, Zone 3, Central Business District, Birkirkara, CBD 3010, Malta
Регистрационен номер: C111282, ДДС Номер: MT31713827
Телефон:+356 79224404
Имейл: office@advisionit.com 
 
  ADVANCED VISION IT - БЪЛГАРИЯ      

Адрес: БЪЛГАРИЯ, гр. София, р-н Лозенец, ул. Димитър Хаджикоцев, 35 вх. А
ЕИК: 205789039, ДДС No: BG205789039
Телефон: +359 888 258 530
Имейл:  office@advisionit.com