IT ManagerБезопасностьУправление ИБ

Измерение кибербезопасности глазами бизнеса. Часть 1

Алексей Лукацкий | 08.11.2019

Измерение кибербезопасности глазами бизнеса. Часть 1

К вопросам измерения эффективности кибербезопасности я обращался не раз на страницах IT Manager, но надо сказать, что тема эта безгранична как океан и анализировать ее можно с разных точек зрения, каждый раз находя все новые грани и краски. Сегодня я бы хотел поговорить о том, как на кибербезопасность смотрит бизнес и как преподносить ее именно бизнесу.

Какие метрики своей деятельности обычно использует служба ИБ на предприятии? В моей практике приходилось встречаться со следующими показателями эффективности:

  • Число инцидентов, требующих ручного управления.

  • Mean-Time-to-Fix (время восстановления после инцидента). Эта метрика также может звучать как TTR (Time-to-Recovery) или TTC (Time-to-Contain).

  • Mean-Time-to-Detect (время обнаружения инцидента).

  • Mean-Time-to-Patch (время установки патча после обнаружения уязвимости).

  • Вовлеченность персонала в ИБ.

  • Стоимость устранения уязвимостей.

  • Процент систем без уязвимостей с уровнем риска CVSS >7.0 (по десятибалльной шкале).

  • Процент изменений, сделанных с учетом требований безопасности.

  • Процент изменений, сделанных в рамках исключений из установленных правил ИБ.

  • Стоимость защитной меры в процентах от бюджета (общего, ИТ, ИБ).

  • Уровень соответствия требованиям compliance.

  • Стоимость инцидента.

Все эти метрики хороши по-своему, и за ними скрывается поистине титаническая работа по выстраиванию отдельных процессов обеспечения кибербезопасности на предприятии. Но, увы, если попробовать принести отчет или показать панель визуализации (dashboard) с такими метриками любому из топ-менеджеров, то у него и мускул на лице не дрогнет, когда он будет смотреть на динамику (надеюсь, позитивную) изменения этих показателей. А все потому, что руководство предприятия мало понимает смысл данных метрик.

Зато часто бизнес видит перед своими глазами радужные матрицы рисков (см.рис.1), в которых нередко не могут разобраться их авторы. И действительно, стоит спросить, что скрывается за понятием «возможно» (как оценка вероятности негативных событий) или «умеренно» (как оценка потенциального ущерба), и специалисты по ИБ сразу напускают тумана и не могут объяснить ни значение этих оценочных характеристик, ни способ их вычисления (см. таблицу)

 img

Рисунок 1. Матрица рисков

В большинстве случаев оценка проводится экспертным путем (часто также называемым «пальцем в небо»), и принятие ее топ-менеджментом возможно только при наличии кредита доверия у авторов такой оценки. Им доверяют – значит, и результатам их работы тоже. Им не доверяют – значит, какой бы ни был выбран метод оценки и чтобы ни говорил представитель службы ИБ своему руководству, к его словам никто прислушиваться не будет. Почему?

Ответ на этот вопрос прост. Каким бы хорошим ни был специалист по ИБ, но если он не может увязать свою деятельность с задачами и целями работодателя, к его мнению и к его оценками прислушиваться будут по остаточному принципу. Вот сейчас, когда вы читаете эту статью, отложите ее в сторону и ответьте на простой вопрос: какова цель вашей компании? Вопрос вроде бы простой, но сможете ли вы на него ответить сходу? Цель вашего бизнеса заключается в росте прибыли? А может быть, выручки? А может, маржинальности или доли рынка? А может быть, если вы работаете в государственной структуре, перед вами стоит задача роста удовлетворенности граждан? Какая цель у вашего предприятия?

Ответив на поставленный вопрос, вы можете плавно спуститься на один уровень и задаться четырьмя схожими вопросами, которые позволят нам не только понять, что может волновать бизнес в контексте безопасности, но и какие метрики следует использовать при общении с руководством. Итак, вот эта четверка вопросов:

  • Что остановит или замедлит операции в вашей организации?

  • Что приведет к снижению прибыли/выручки/маржинальности/доли рынка вашей компании?

  • Что приведет к снижению качества предоставляемого вами продукта / услуги?

  • Что приведет к негативному влиянию на цель компании/бизнес-подразделения/бизнес-проекта/человека, принимающего решения (executive sponsor)?

 img

Рисунок 2. Временные параметры инцидента ИБ

Обратите внимание: первый вопрос имеет отношение к временным параметрам (см.рис.2). И, вспоминая поговорку «время – деньги», мы понимаем, что, конечно же, действие шифровальщика или DDoS-атаки, приводящее к простою или невозможности своевременно предоставлять сервис (например, отправлять продукцию) или выполнять иные операции (например, сдача отчетности в налоговую), имеет прямое отношение к бизнес-показателям. Разумеется, если такой простой или срыв реально влияет на бизнес-операции. Если инцидент значимо не отражается на показателях бизнеса, то бизнесу он неинтересен!

Поняв идею, можно попробовать переформулировать цели кибербезопасности в бизнес-направлении (см.рис.3). Мы не просто боремся с шифровальщиками и тем самым снижаем доходы вирусописателей, мы сокращаем простои работников. Мы не просто нейтрализуем DDoS-атаки, мы уменьшаем простои процессов. Такая бизнес-ориентация находит понимание у топ-менеджмента, и он начинает лучше осознавать, что делает подразделение кибербезопасности, ранее считавшееся только центром затрат.

img

Рисунок 3. Бизнес-ориентация целей ИБ

Но потери могут быть не только временные. Инциденты ИБ способны негативно сказаться на продуктивности работы, на реагировании, на замене оборудования или информации, на росте штрафов, на проигрыше в конкурентной борьбе, и даже на репутации или снижении рейтинга компании (см.рис.4).

img

Рисунок 4. Иные формы потерь

  • Каждая из приведенных форм потерь может быть описана в денежном исчислении, которое прекрасно понимается бизнесом. Например, из чего складывается финансовый ущерб от инцидентов ИБ? Вот несколько примеров статей расходов, которые могут быть подсчитаны:

  • Стоимость прямых потерь от нарушения бизнес-операций.

  • Стоимость восстановления бизнес-операций.

  • Снижение стоимости акций (непростой показатель, но иногда тоже поддается измерению).

  • Размер штрафов от нарушения как контрактных условий, так и требований законодательства (правда, последний параметр обычно мизерный и в расчет его можно не предпринимать, если ваша компания не попадает под действие европейского регламента по защите прав субъектов персональных данных – GDPR).

  • Упущенная выгода (если вы можете ее посчитать).

  • Снижение лояльности заказчиков и, как следствие, их уход или сокращение средней стоимости клиента для компании.

  • Замена оборудования или повторный ввод информации.

  • Взаимодействие с пострадавшими заказчиками и т.д.

 

Продолжение следует

 

Ключевые слова: кибербезопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2019], Подписка на журналы

Компания: Cisco

Об авторах

Алексей Лукацкий

Алексей Лукацкий

Бизнес-консультант по безопасности Cisco.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

14.11.2019 — 15.11.2019
SECR «Разработка ПО».

Park Inn Пулковская

14.11.2019 — 15.11.2019
New Retail Forum. Почта России

Москва, Технопарк "Сколково"

19.11.2019 — 20.11.2019
MarTech Expo 2019

Москва, DigitalLoft

20.11.2019
BIS-2019

Санкт-Петербург, отель «Holiday Inn Московские ворота»,