Кибербезопасность: как не попасть в ловушку растущих бюджетов
Расходы на ИТ-безопасность — неотъемлемая часть жизни. По данным Gartner, в 2025 году мировые расходы на информационную безопасность достигнут примерно $212 млрд, увеличившись на 15% по сравнению с 2024 годом. Это огромное количество денег, которые идут на защиту систем компаний от атак.
Однако такой уровень расходов на ИТ-безопасность не позволяет совсем избежать атак. По данным Cybersecurity Ventures, к 2031 году отражение атак с использованием коммерческого ПО обойдется в $265 млрд по всему миру. Финансовая выгода от атак — вот что поддерживает интерес злоумышленников.
Компании, которые тратят все больше и больше средств на обеспечение безопасности — как им остановить потенциальные атаки и обеспечить безопасность своих операций?
Известная цитата, приписываемая Альберту Эйнштейну, гласит: «Делать одно и то же снова и снова, пока не получишь нужный результат». Для команд безопасности увеличение расходов на ИТ-безопасность необходимо, но как разорвать порочный круг постоянно растущих бюджетов и потенциальных последствий?
Возможно ли вообще сойти с этого пути и применить другой подход? Ответ кроется в том, как мы относимся к риску.
Определение риска в масштабах всего бизнеса
Для команд ИТ-безопасности риски обычно классифицируются как новые уязвимости в программном обеспечении или информация, полученная в результате анализа угроз. Однако это не тот подход, который используют другие команды в бизнесе, когда думают о риске.
Команды ИТ-безопасности должны подходить к рискам так же, как и команды, отвечающие за финансы или соответствие нормативным требованиям, рассматривая риски с точки зрения бизнеса. В своей книге How To Measure Anything In Cybersecurity Risk Рич Сейерсен определяет риск как «… состояние неопределенности, когда некоторые из возможностей могут привести к потерям, катастрофе или другим нежелательным последствиям».
Почему это определение может помочь руководителям служб безопасности быть более эффективными? Потому что оно обозначает в денежном эквиваленте каждый риск, который может возникнуть.
Это упражнение называется «Количественная оценка киберрисков» (CRQ), и его цель — обеспечить последовательный метод оценки киберрисков наряду с другими бизнес-рисками. CRQ предполагает определение конкретной денежной стоимости потенциальных атак в зависимости от того, какое влияние они могут оказать на бизнес. Также рассматривается вероятность таких атак с учетом текущего подхода компании к управлению рисками и их снижению. Эта модель обычно используется для определения того, как компания может использовать киберстрахование для защиты своих операций в случае атаки, но она может идти дальше.
CRQ дает возможность последовательно обсуждать риски в рамках всей организации. Финансовым руководителям, например финансовому директору, проще обсуждать потенциальные риски и последствия кибербезопасности, а не рассматривать конкретно технологию. Для совета директоров CRQ должен служить доказательством того, что инвестиции в кибербезопасность приносят результат в виде снижения рисков с течением времени.
Придание управлению рисками оперативного характера
Определение конкретных цифр по рискам — это первый шаг к улучшению управления рисками. Но это только начало процесса, который вы должны предпринять. Чтобы реально устранить риск с течением времени и совместно с другими отделами, такими как финансовый и отдел соблюдения нормативных требований, превратить теорию в реальность, необходимо операционализировать процессы, связанные с риском.
Для любой команды получение цифр о финансовых последствиях — это важный первый шаг. Однако для того, чтобы этот процесс постоянно работал в течение длительного времени, необходим специальный подход к управлению рисками. Подобно тому, как службы безопасности и операционные отделы ИТ используют операционный центр безопасности (SOC) для контроля реакции на новые угрозы, операционный центр рисков (ROC) использует данные о потенциальных угрозах, чтобы определить, какие из них являются наиболее актуальными и как следует реагировать на них. Использование финансовых данных, связанных с этими угрозами, способствует более тесному сотрудничеству в рамках всего бизнеса, что позволяет принимать наиболее быстрые и эффективные меры.
ROC и SOC будут сочетаться друг с другом. В то время как SOC занимается конкретными угрозами или рисками для организации в рамках технологического стека, а затем организует исправления, смягчение последствий и другие ответные меры, ROC предоставляет эту информацию остальным подразделениям, чтобы организация могла понимать и смягчать риски в контексте. Почему эта разница важна? Потому что подход ROC касается не только технологической стороны, но и поддерживает бизнес и то, как он реализует свою стратегию.
Контроль потенциальных потерь
Стратегия в данном сценарии — это не просто продажа продукта или предоставление услуги. Она гораздо выше этого и определяет, где, по мнению компании, она может преуспеть со временем. Любая компания занимается созданием большей ценности для большего количества клиентов в большем количестве мест с течением времени. Каждое из этих решений о том, где продавать, или о новых цифровых каналах для более быстрого достижения клиентов, будет влиять на позицию риска и, следовательно, на позицию ИТ-безопасности. Без такого понимания или способности передавать информацию о рисках между ИТ и бизнесом управление рисками становится менее эффективным, а команды ИТ-безопасности не могут обеспечить то, что нужно компании.
Используя ROC, руководители служб ИТ-безопасности могут взаимодействовать с бизнесом и поддерживать этот элемент стратегии в течение длительного времени.
По сути, ваша ROC должна быть в центре визуализации рисков, а также потоков стоимости в бизнесе. Анализируя этот риск с течением времени, ROC может управлять действиями по устранению или снижению рисков или использовать страхование, чтобы переложить эти потенциальные расходы. Такое сочетание мер по снижению уровня безопасности и киберстрахования для реагирования облегчает контроль над потенциальными потерями с течением времени.
Внедрение ROC в вашей организации предполагает разработку подхода CRQ, а затем совместную работу с другими подразделениями по определению приоритетов и контролю рисков с течением времени. Без такого точного представления о собственной среде — и о том, сколько будет стоить каждый конкретный риск — невозможно эффективно сотрудничать и воплотить теорию управления рисками и их снижения в практические операционные показатели. В свою очередь, это затрудняет поддержку бизнес-стратегии.
В условиях, когда на карту поставлено так много вопросов, связанных с безопасностью и эффективностью бизнеса, изменение подхода к работе с бизнесом в области управления рисками с помощью ROC является необходимым шагом в будущее.
Ранее ученые заявили, что до 80% всех мобильных гаджетов уязвимы для взлома.