Новые киберриски: как оценить и во что вкладываться в первую очередь
![](https://s0.rbk.ru/v6_top_pics/resized/Wx64/media/img/3/19/755937679202193.png)
![Фото: Denis Doyle / Getty Images](https://s0.rbk.ru/v6_top_pics/media/img/7/54/756565316269547.jpg)
Поскольку от технологий зависит вся кровеносная система бизнеса, киберинциденты приводят к настоящим катастрофам внутри компаний. Растущий тренд наблюдался и до кризиса: по мере увеличения участия ИT в бизнесе росла и поверхность возможной атаки. Согласно исследованию ESG, 82% организаций считают, что за последние два года киберриски для них увеличились. А по данным Deloitte — интерес к киберрискам со стороны советов директоров и потребность в разработке стратегии информационной безопасности (ИБ) растет ежегодно.
Как руководители оценивают эффективность мер защиты
Проблемы информационной безопасности уже вышли на уровень совета директоров крупных компаний. Но в создании стратегии защиты возникают сложности — отдел безопасности рассказывает о своей работе, предлагая в качестве отчета тепловую карту рисков. Если бюджет возрастет на условные 12%, то часть рисков перейдет из красной зоны в желтую, а значит, какие-то части инфраструктуры станут безопаснее.
Уровень неопределенности таких данных стремится к бесконечности. Руководители не понимают, много ли они тратят на безопасность или мало. Куда направить прибыль — оборудовать складское помещение или купить новый файрвол? Что окажется лучше для компании — дополнительный бухгалтер или ИБ-специалист?
Что выгоднее — сделать новый сайт или потратиться на исправление багов в текущем? Дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег — или в увеличение прибыли, но с возможной опасностью? Оценить абсолютно все потенциальные риски невозможно даже теоретически. Злоумышленники находятся в постоянном поиске новых способов атаки, и то, что вчера считалось безопасным, завтра может оказаться угрозой. Чтобы принять правильные решения, следует сосредоточиться только на тех рисках, из-за которых компания понесет максимальные потери. И оценить, сколько ресурсов требуется, чтобы нейтрализовать каждую из подобных угроз. Это позволит рассчитать плечо инвестирования — соотношение рисков к затратам.