Новые киберриски: как оценить и во что вкладываться в первую очередь
Поскольку от технологий зависит вся кровеносная система бизнеса, киберинциденты приводят к настоящим катастрофам внутри компаний. Растущий тренд наблюдался и до кризиса: по мере увеличения участия ИT в бизнесе росла и поверхность возможной атаки. Согласно исследованию ESG, 82% организаций считают, что за последние два года киберриски для них увеличились. А по данным Deloitte — интерес к киберрискам со стороны советов директоров и потребность в разработке стратегии информационной безопасности (ИБ) растет ежегодно.
Как руководители оценивают эффективность мер защиты
Проблемы информационной безопасности уже вышли на уровень совета директоров крупных компаний. Но в создании стратегии защиты возникают сложности — отдел безопасности рассказывает о своей работе, предлагая в качестве отчета тепловую карту рисков. Если бюджет возрастет на условные 12%, то часть рисков перейдет из красной зоны в желтую, а значит, какие-то части инфраструктуры станут безопаснее.
Уровень неопределенности таких данных стремится к бесконечности. Руководители не понимают, много ли они тратят на безопасность или мало. Куда направить прибыль — оборудовать складское помещение или купить новый файрвол? Что окажется лучше для компании — дополнительный бухгалтер или ИБ-специалист?
Что выгоднее — сделать новый сайт или потратиться на исправление багов в текущем? Дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег — или в увеличение прибыли, но с возможной опасностью? Оценить абсолютно все потенциальные риски невозможно даже теоретически. Злоумышленники находятся в постоянном поиске новых способов атаки, и то, что вчера считалось безопасным, завтра может оказаться угрозой. Чтобы принять правильные решения, следует сосредоточиться только на тех рисках, из-за которых компания понесет максимальные потери. И оценить, сколько ресурсов требуется, чтобы нейтрализовать каждую из подобных угроз. Это позволит рассчитать плечо инвестирования — соотношение рисков к затратам.