Кібербезпека – це колективна відповідальність всієї команди, а не лише людей, які профільно займаються інформаційною безпекою в організаціях. Тільки активне залучення керівництва та розробка чітких планів реагування на кібер інциденти допоможе бізнесу мінімізувати потенційні фінансові та репутаційні втрати від кібер нападу. І тут роль CEO аж ніяк не менша, ніж роль CISO.
Це одна із ключових тез, озвучена Романом Сологубом, співзасновником та CEO компанії ISSP, на панельній дискусії «Кіберзагрози: рішення для бізнесу», що відбулася в ході конференції ForbesTech 2022.
Роман разом з іншими експертами галузі й представниками великого бізнесу обговорили актуальні кіберризики, що з початком повномасштабної війни лише посилилися. На жаль, більшість українських компаній не готові їм ефективно протистояти. Якісно вибудувані системи кіберзахисту мають, як правило, лише ті бізнеси, що вже стикалися з кібер нападами і розуміють потенційні наслідки кібератаки чи витоку сенситивних даних.
На думку Романа, бізнес повинен виходити з позиції, що кібератака на корпоративні інформаційні системи неминуча.
У цьому сенсі кібербезпеку можна порівняти з реакцією живого організму на віруси та бактерії. Повністю захиститися від них неможливо. Але можна «натренувати» та покращити імунітет шляхом прямої взаємодії з агресивним навколишнім середовищем. Тоді у випадку потрапляння вірусів до організму, імунітет їх ідентифікує, не дасть їм розвитися і нейтралізує на ранній стадії. Ось у цьому і полягає ключ до побудови ефективної спроможності кібербезпеки та кіберстійкості бізнесу.
Тут важливо виділити декілька основних моментів:
1. Кібербезпека – це операційний процес, а не імплементація систем захисту. Можна і потрібно будувати систему управління інформаційною безпекою, формалізувати її. Також необхідно налаштувати інфраструктуру та захистити корпоративну мережу. Але головне питання – наскільки в організації розвинута спроможність детектувати кіберзагрози та наскільки розвинені механізми реагування на інциденти. Абсолютні показники інцидентів у місяць не релевантні. Треба брати відносні операційні метрики ефективності, наприклад, кількість зафіксованих подій до визначених інцидентів, або відносна величина опрацьованих спрацювань детекції до загальної їхньої кількості. Потрібні чіткі та зрозумілі KPI та збалансована система показників, які напряму стосуються процесу детектування та реагування.
2. Кіберризики – це один із різновидів операційних ризиків, а це значить, що займатися питаннями кібербезпеки повинні не лише інженери кіберзахисту, аналітики кіберзагроз чи IT спеціалісти, про що зазначалося раніше. Керівництво компанії мусить мати плани дій на випадок, якщо ключові процеси будуть зупинені в результаті кібератаки. Плани реагування та відновлення (Incident Response Plan) повинні бути розроблені, протреновані та донесені до відома ключових членів команди.
3. Кібербезпека – це набір ключових спроможностей, частину з яких доцільно передати на аутсорсинг. Систему управління ризиками та строможність відновлення діяльності і комунікації варто розвивати всередині організації власними силами, а ось функції пов’язані з виявленням загроз та реагуванням на інциденти (Detection and Response) можливо придбати або посилити за рахунок зовнішніх експертних провайдерів. Це значною мірою сприятиме підвищенню загальної кіберстійкості організації.
Comments