Кибербезопасность: как не попасть в ловушку растущих бюджетов

Расходы на ИТ-безопасность — неотъемлемая часть жизни. По данным Gartner, в 2025 году мировые расходы на информационную безопасность достигнут примерно $212 млрд, увеличившись на 15% по сравнению с 2024 годом. Это огромное количество денег, которые идут на защиту систем компаний от атак.

Однако такой уровень расходов на ИТ-безопасность не позволяет совсем избежать атак. По данным Cybersecurity Ventures, к 2031 году отражение атак с использованием коммерческого ПО обойдется в $265 млрд по всему миру. Финансовая выгода от атак — вот что поддерживает интерес злоумышленников.

Компании, которые тратят все больше и больше средств на обеспечение безопасности — как им остановить потенциальные атаки и обеспечить безопасность своих операций?

Известная цитата, приписываемая Альберту Эйнштейну, гласит: «Делать одно и то же снова и снова, пока не получишь нужный результат». Для команд безопасности увеличение расходов на ИТ-безопасность необходимо, но как разорвать порочный круг постоянно растущих бюджетов и потенциальных последствий?

Возможно ли вообще сойти с этого пути и применить другой подход? Ответ кроется в том, как мы относимся к риску.

Определение риска в масштабах всего бизнеса

Для команд ИТ-безопасности риски обычно классифицируются как новые уязвимости в программном обеспечении или информация, полученная в результате анализа угроз. Однако это не тот подход, который используют другие команды в бизнесе, когда думают о риске.

Команды ИТ-безопасности должны подходить к рискам так же, как и команды, отвечающие за финансы или соответствие нормативным требованиям, рассматривая риски с точки зрения бизнеса. В своей книге How To Measure Anything In Cybersecurity Risk Рич Сейерсен определяет риск как «… состояние неопределенности, когда некоторые из возможностей могут привести к потерям, катастрофе или другим нежелательным последствиям».

Почему это определение может помочь руководителям служб безопасности быть более эффективными? Потому что оно обозначает в денежном эквиваленте каждый риск, который может возникнуть.

Это упражнение называется «Количественная оценка киберрисков» (CRQ), и его цель — обеспечить последовательный метод оценки киберрисков наряду с другими бизнес-рисками. CRQ предполагает определение конкретной денежной стоимости потенциальных атак в зависимости от того, какое влияние они могут оказать на бизнес. Также рассматривается вероятность таких атак с учетом текущего подхода компании к управлению рисками и их снижению. Эта модель обычно используется для определения того, как компания может использовать киберстрахование для защиты своих операций в случае атаки, но она может идти дальше.

CRQ дает возможность последовательно обсуждать риски в рамках всей организации. Финансовым руководителям, например финансовому директору, проще обсуждать потенциальные риски и последствия кибербезопасности, а не рассматривать конкретно технологию. Для совета директоров CRQ должен служить доказательством того, что инвестиции в кибербезопасность приносят результат в виде снижения рисков с течением времени.

Придание управлению рисками оперативного характера

Определение конкретных цифр по рискам — это первый шаг к улучшению управления рисками. Но это только начало процесса, который вы должны предпринять. Чтобы реально устранить риск с течением времени и совместно с другими отделами, такими как финансовый и отдел соблюдения нормативных требований, превратить теорию в реальность, необходимо операционализировать процессы, связанные с риском.

Для любой команды получение цифр о финансовых последствиях — это важный первый шаг. Однако для того, чтобы этот процесс постоянно работал в течение длительного времени, необходим специальный подход к управлению рисками. Подобно тому, как службы безопасности и операционные отделы ИТ используют операционный центр безопасности (SOC) для контроля реакции на новые угрозы, операционный центр рисков (ROC) использует данные о потенциальных угрозах, чтобы определить, какие из них являются наиболее актуальными и как следует реагировать на них. Использование финансовых данных, связанных с этими угрозами, способствует более тесному сотрудничеству в рамках всего бизнеса, что позволяет принимать наиболее быстрые и эффективные меры.

ROC и SOC будут сочетаться друг с другом. В то время как SOC занимается конкретными угрозами или рисками для организации в рамках технологического стека, а затем организует исправления, смягчение последствий и другие ответные меры, ROC предоставляет эту информацию остальным подразделениям, чтобы организация могла понимать и смягчать риски в контексте. Почему эта разница важна? Потому что подход ROC касается не только технологической стороны, но и поддерживает бизнес и то, как он реализует свою стратегию.

Контроль потенциальных потерь

Стратегия в данном сценарии — это не просто продажа продукта или предоставление услуги. Она гораздо выше этого и определяет, где, по мнению компании, она может преуспеть со временем. Любая компания занимается созданием большей ценности для большего количества клиентов в большем количестве мест с течением времени. Каждое из этих решений о том, где продавать, или о новых цифровых каналах для более быстрого достижения клиентов, будет влиять на позицию риска и, следовательно, на позицию ИТ-безопасности. Без такого понимания или способности передавать информацию о рисках между ИТ и бизнесом управление рисками становится менее эффективным, а команды ИТ-безопасности не могут обеспечить то, что нужно компании.

Используя ROC, руководители служб ИТ-безопасности могут взаимодействовать с бизнесом и поддерживать этот элемент стратегии в течение длительного времени.

По сути, ваша ROC должна быть в центре визуализации рисков, а также потоков стоимости в бизнесе. Анализируя этот риск с течением времени, ROC может управлять действиями по устранению или снижению рисков или использовать страхование, чтобы переложить эти потенциальные расходы. Такое сочетание мер по снижению уровня безопасности и киберстрахования для реагирования облегчает контроль над потенциальными потерями с течением времени.

Внедрение ROC в вашей организации предполагает разработку подхода CRQ, а затем совместную работу с другими подразделениями по определению приоритетов и контролю рисков с течением времени. Без такого точного представления о собственной среде — и о том, сколько будет стоить каждый конкретный риск — невозможно эффективно сотрудничать и воплотить теорию управления рисками и их снижения в практические операционные показатели. В свою очередь, это затрудняет поддержку бизнес-стратегии.

В условиях, когда на карту поставлено так много вопросов, связанных с безопасностью и эффективностью бизнеса, изменение подхода к работе с бизнесом в области управления рисками с помощью ROC является необходимым шагом в будущее.

Ранее ученые заявили, что до 80% всех мобильных гаджетов уязвимы для взлома.

24.01.2025

Подписаться: Телеграм | Дзен | Вконтакте


Безопасность

Разгадка глубинной аномалии: почему Дальний Восток трясет и жжет
Разгадка глубинной аномалии: почему Дальний Восток трясет и жжет

Под вулканами северо-восточного Китая нашли пр...

Приватность — не священная корова: что показал эксперимент MIT
Приватность — не священная корова: что показал эксперимент MIT

Мир давно помешан на защите личных данных...

Ученые доказали безопасность 5G
Ученые доказали безопасность 5G

Многие переживают, что 5G вредит здоровью...

Лесные пожары оставляют в организме след, и теперь его можно измерить
Лесные пожары оставляют в организме след, и теперь его можно измерить

Команда ученых создала дешевый бумажный сенсор...

Новый алгоритм строит 3D-портрет по ДНК
Новый алгоритм строит 3D-портрет по ДНК

Ученые научились воссоздавать 3D-лицо человека

Невидимый враг или надуманный страх? Вся правда о радиации
Невидимый враг или надуманный страх? Вся правда о радиации

Страх перед радиацией глубоко укоренился в&nbs

Геометрия на защите мозга: ученые переизобрели велошлем
Геометрия на защите мозга: ученые переизобрели велошлем

Велосипедные шлемы спасают жизни, но у&nb...

Дроны, камеры и техника: как защищают леса от огня
Дроны, камеры и техника: как защищают леса от огня

В преддверии сезона пожаров первыми начали тре...

Как строят АЭС, чтобы выдержать все: от землетрясений до хакеров
Как строят АЭС, чтобы выдержать все: от землетрясений до хакеров

Ядерная безопасность имеет первостепенное знач...

В ТИСБИ назвали облачные технологии рискованными для банков
В ТИСБИ назвали облачные технологии рискованными для банков

В финансовой сфере обнаружили новые проблемы, ...

New Atlas: Башня RainStream сможет спасти город от пожара
New Atlas: Башня RainStream сможет спасти город от пожара

Когда лесной пожар приближается к городу,...

В МФТИ создали флешку с защитой от взлома и кражи данных
В МФТИ создали флешку с защитой от взлома и кражи данных

Флеш-карта, разработанная сотрудниками кафедры...

TUST: Разработан новый метод моделирования пластичности грунта
TUST: Разработан новый метод моделирования пластичности грунта

Инфраструктура часто повреждается из-за природ...

Поиск на сайте

ТОП - Новости мира, инновации

Ученые создали органоиды с кровеносными сосудами
Ученые создали органоиды с кровеносными сосудами
600 лет индейцы Северной Америки выращивали кукурузу
600 лет индейцы Северной Америки выращивали кукурузу
Ученые используют гусениц для синтеза наноуглеродов
Ученые используют гусениц для синтеза наноуглеродов
Science: Таурин нельзя назвать надежным маркером старения
Science: Таурин нельзя назвать надежным маркером старения
Кишечные бактерии могут решить судьбу исчезающего вида
Кишечные бактерии могут решить судьбу исчезающего вида
Ученые обнаружили новый способ коммуникации китов
Ученые обнаружили новый способ коммуникации китов
Когда искусственное становится родным — нейроны сдаются
Когда искусственное становится родным — нейроны сдаются
Ученые выяснили, почему люди верят фейковым отзывам
Ученые выяснили, почему люди верят фейковым отзывам
МРТ поможет определить, кому срочно нужен дефибриллятор
МРТ поможет определить, кому срочно нужен дефибриллятор
Найден способ снизить вред от дровяных печей на 95%
Найден способ снизить вред от дровяных печей на 95%

Новости компаний, релизы

От парты к станку: как в Казани учат будущих авиастроителей
От атома до села: как Минобрнауки тратит миллионы на популяризацию науки
Деньги любят счет: как пенсионеры осваивают банковские сервисы
Почва под контролем: чем Verda поможет фермерам
Кто перешел на новый уровень: рейтинг приложений без прикрас