Измерение кибербезопасности глазами бизнеса

Логотип компании
Измерение кибербезопасности глазами бизнеса
Вот сейчас, когда вы читаете эту статью, отложите ее в сторону и ответьте на простой вопрос: какова цель вашей компании?

К вопросам измерения эффективности кибербезопасности я обращался не раз на страницах IT Manager, но надо сказать, что тема эта безгранична как океан и анализировать ее можно с разных точек зрения, каждый раз находя все новые грани и краски. Сегодня я бы хотел поговорить о том, как на кибербезопасность смотрит бизнес и как преподносить ее именно бизнесу.

Какие метрики своей деятельности обычно использует служба ИБ на предприятии? В моей практике приходилось встречаться со следующими показателями эффективности:

  • Число инцидентов, требующих ручного управления.

  • Mean-Time-to-Fix (время восстановления после инцидента). Эта метрика также может звучать как TTR (Time-to-Recovery) или TTC (Time-to-Contain).

  • Mean-Time-to-Detect (время обнаружения инцидента).

  • Mean-Time-to-Patch (время установки патча после обнаружения уязвимости).

  • Вовлеченность персонала в ИБ.

  • Стоимость устранения уязвимостей.

  • Процент систем без уязвимостей с уровнем риска CVSS >7.0 (по десятибалльной шкале).

  • Процент изменений, сделанных с учетом требований безопасности.

  • Процент изменений, сделанных в рамках исключений из установленных правил ИБ.

  • Стоимость защитной меры в процентах от бюджета (общего, ИТ, ИБ).

  • Уровень соответствия требованиям compliance.

  • Стоимость инцидента.

Все эти метрики хороши по-своему, и за ними скрывается поистине титаническая работа по выстраиванию отдельных процессов обеспечения кибербезопасности на предприятии. Но, увы, если попробовать принести отчет или показать панель визуализации (dashboard) с такими метриками любому из топ-менеджеров, то у него и мускул на лице не дрогнет, когда он будет смотреть на динамику (надеюсь, позитивную) изменения этих показателей. А все потому, что руководство предприятия мало понимает смысл данных метрик.

Зато часто бизнес видит перед своими глазами радужные матрицы рисков (см.рис.1), в которых нередко не могут разобраться их авторы. И действительно, стоит спросить, что скрывается за понятием «возможно» (как оценка вероятности негативных событий) или «умеренно» (как оценка потенциального ущерба), и специалисты по ИБ сразу напускают тумана и не могут объяснить ни значение этих оценочных характеристик, ни способ их вычисления (см. таблицу)

  Измерение кибербезопасности глазами бизнеса. Рис. 1

Рисунок 1. Матрица рисков

В большинстве случаев оценка проводится экспертным путем (часто также называемым «пальцем в небо»), и принятие ее топ-менеджментом возможно только при наличии кредита доверия у авторов такой оценки. Им доверяют – значит, и результатам их работы тоже. Им не доверяют – значит, какой бы ни был выбран метод оценки и чтобы ни говорил представитель службы ИБ своему руководству, к его словам никто прислушиваться не будет. Почему?

Ответ на этот вопрос прост. Каким бы хорошим ни был специалист по ИБ, но если он не может увязать свою деятельность с задачами и целями работодателя, к его мнению и к его оценками прислушиваться будут по остаточному принципу. Вот сейчас, когда вы читаете эту статью, отложите ее в сторону и ответьте на простой вопрос: какова цель вашей компании? Вопрос вроде бы простой, но сможете ли вы на него ответить сходу? Цель вашего бизнеса заключается в росте прибыли? А может быть, выручки? А может, маржинальности или доли рынка? А может быть, если вы работаете в государственной структуре, перед вами стоит задача роста удовлетворенности граждан? Какая цель у вашего предприятия?

Ответив на поставленный вопрос, вы можете плавно спуститься на один уровень и задаться четырьмя схожими вопросами, которые позволят нам не только понять, что может волновать бизнес в контексте безопасности, но и какие метрики следует использовать при общении с руководством. Итак, вот эта четверка вопросов:

  • Что остановит или замедлит операции в вашей организации?

  • Что приведет к снижению прибыли/выручки/маржинальности/доли рынка вашей компании?

  • Что приведет к снижению качества предоставляемого вами продукта / услуги?

  • Что приведет к негативному влиянию на цель компании/бизнес-подразделения/бизнес-проекта/человека, принимающего решения (executive sponsor)?

  Измерение кибербезопасности глазами бизнеса. Рис. 2

Рисунок 2. Временные параметры инцидента ИБ

Обратите внимание: первый вопрос имеет отношение к временным параметрам (см.рис.2). И, вспоминая поговорку «время – деньги», мы понимаем, что, конечно же, действие шифровальщика или DDoS-атаки, приводящее к простою или невозможности своевременно предоставлять сервис (например, отправлять продукцию) или выполнять иные операции (например, сдача отчетности в налоговую), имеет прямое отношение к бизнес-показателям. Разумеется, если такой простой или срыв реально влияет на бизнес-операции. Если инцидент значимо не отражается на показателях бизнеса, то бизнесу он неинтересен!

Поняв идею, можно попробовать переформулировать цели кибербезопасности в бизнес-направлении (см.рис.3). Мы не просто боремся с шифровальщиками и тем самым снижаем доходы вирусописателей, мы сокращаем простои работников. Мы не просто нейтрализуем DDoS-атаки, мы уменьшаем простои процессов. Такая бизнес-ориентация находит понимание у топ-менеджмента, и он начинает лучше осознавать, что делает подразделение кибербезопасности, ранее считавшееся только центром затрат.

Измерение кибербезопасности глазами бизнеса. Рис. 3

Рисунок 3. Бизнес-ориентация целей ИБ

Но потери могут быть не только временные. Инциденты ИБ способны негативно сказаться на продуктивности работы, на реагировании, на замене оборудования или информации, на росте штрафов, на проигрыше в конкурентной борьбе, и даже на репутации или снижении рейтинга компании (см.рис.4).


Измерение кибербезопасности глазами бизнеса. Рис. 4

Рисунок 4. Иные формы потерь

  • Каждая из приведенных форм потерь может быть описана в денежном исчислении, которое прекрасно понимается бизнесом. Например, из чего складывается финансовый ущерб от инцидентов ИБ? Вот несколько примеров статей расходов, которые могут быть подсчитаны:

  • Стоимость прямых потерь от нарушения бизнес-операций.

  • Стоимость восстановления бизнес-операций.

  • Снижение стоимости акций (непростой показатель, но иногда тоже поддается измерению).

  • Размер штрафов от нарушения как контрактных условий, так и требований законодательства (правда, последний параметр обычно мизерный и в расчет его можно не предпринимать, если ваша компания не попадает под действие европейского регламента по защите прав субъектов персональных данных – GDPR).

  • Упущенная выгода (если вы можете ее посчитать).

  • Снижение лояльности заказчиков и, как следствие, их уход или сокращение средней стоимости клиента для компании.

  • Замена оборудования или повторный ввод информации.

  • Взаимодействие с пострадавшими заказчиками и т.д.

 

Продолжение в следующем номере

Смотреть все статьи по теме "Информационная безопасность"

 

Читайте также

Как построить систему информационной безопасности, чтобы она обеспечивала защиту на уровне, превосходящем тех, кто наименее подготовлен к угрозам.

Опубликовано 08.11.2019

Похожие статьи