IT ManagerБезопасностьУправление ИБ

Измерение кибербезопасности глазами бизнеса

Алексей Лукацкий | 08.11.2019

Измерение кибербезопасности глазами бизнеса

К вопросам измерения эффективности кибербезопасности я обращался не раз на страницах IT Manager, но надо сказать, что тема эта безгранична как океан и анализировать ее можно с разных точек зрения, каждый раз находя все новые грани и краски. Сегодня я бы хотел поговорить о том, как на кибербезопасность смотрит бизнес и как преподносить ее именно бизнесу.

Какие метрики своей деятельности обычно использует служба ИБ на предприятии? В моей практике приходилось встречаться со следующими показателями эффективности:

  • Число инцидентов, требующих ручного управления.

  • Mean-Time-to-Fix (время восстановления после инцидента). Эта метрика также может звучать как TTR (Time-to-Recovery) или TTC (Time-to-Contain).

  • Mean-Time-to-Detect (время обнаружения инцидента).

  • Mean-Time-to-Patch (время установки патча после обнаружения уязвимости).

  • Вовлеченность персонала в ИБ.

  • Стоимость устранения уязвимостей.

  • Процент систем без уязвимостей с уровнем риска CVSS >7.0 (по десятибалльной шкале).

  • Процент изменений, сделанных с учетом требований безопасности.

  • Процент изменений, сделанных в рамках исключений из установленных правил ИБ.

  • Стоимость защитной меры в процентах от бюджета (общего, ИТ, ИБ).

  • Уровень соответствия требованиям compliance.

  • Стоимость инцидента.

Все эти метрики хороши по-своему, и за ними скрывается поистине титаническая работа по выстраиванию отдельных процессов обеспечения кибербезопасности на предприятии. Но, увы, если попробовать принести отчет или показать панель визуализации (dashboard) с такими метриками любому из топ-менеджеров, то у него и мускул на лице не дрогнет, когда он будет смотреть на динамику (надеюсь, позитивную) изменения этих показателей. А все потому, что руководство предприятия мало понимает смысл данных метрик.

Зато часто бизнес видит перед своими глазами радужные матрицы рисков (см.рис.1), в которых нередко не могут разобраться их авторы. И действительно, стоит спросить, что скрывается за понятием «возможно» (как оценка вероятности негативных событий) или «умеренно» (как оценка потенциального ущерба), и специалисты по ИБ сразу напускают тумана и не могут объяснить ни значение этих оценочных характеристик, ни способ их вычисления (см. таблицу)

 img

Рисунок 1. Матрица рисков

В большинстве случаев оценка проводится экспертным путем (часто также называемым «пальцем в небо»), и принятие ее топ-менеджментом возможно только при наличии кредита доверия у авторов такой оценки. Им доверяют – значит, и результатам их работы тоже. Им не доверяют – значит, какой бы ни был выбран метод оценки и чтобы ни говорил представитель службы ИБ своему руководству, к его словам никто прислушиваться не будет. Почему?

Ответ на этот вопрос прост. Каким бы хорошим ни был специалист по ИБ, но если он не может увязать свою деятельность с задачами и целями работодателя, к его мнению и к его оценками прислушиваться будут по остаточному принципу. Вот сейчас, когда вы читаете эту статью, отложите ее в сторону и ответьте на простой вопрос: какова цель вашей компании? Вопрос вроде бы простой, но сможете ли вы на него ответить сходу? Цель вашего бизнеса заключается в росте прибыли? А может быть, выручки? А может, маржинальности или доли рынка? А может быть, если вы работаете в государственной структуре, перед вами стоит задача роста удовлетворенности граждан? Какая цель у вашего предприятия?

Ответив на поставленный вопрос, вы можете плавно спуститься на один уровень и задаться четырьмя схожими вопросами, которые позволят нам не только понять, что может волновать бизнес в контексте безопасности, но и какие метрики следует использовать при общении с руководством. Итак, вот эта четверка вопросов:

  • Что остановит или замедлит операции в вашей организации?

  • Что приведет к снижению прибыли/выручки/маржинальности/доли рынка вашей компании?

  • Что приведет к снижению качества предоставляемого вами продукта / услуги?

  • Что приведет к негативному влиянию на цель компании/бизнес-подразделения/бизнес-проекта/человека, принимающего решения (executive sponsor)?

 img

Рисунок 2. Временные параметры инцидента ИБ

Обратите внимание: первый вопрос имеет отношение к временным параметрам (см.рис.2). И, вспоминая поговорку «время – деньги», мы понимаем, что, конечно же, действие шифровальщика или DDoS-атаки, приводящее к простою или невозможности своевременно предоставлять сервис (например, отправлять продукцию) или выполнять иные операции (например, сдача отчетности в налоговую), имеет прямое отношение к бизнес-показателям. Разумеется, если такой простой или срыв реально влияет на бизнес-операции. Если инцидент значимо не отражается на показателях бизнеса, то бизнесу он неинтересен!

Поняв идею, можно попробовать переформулировать цели кибербезопасности в бизнес-направлении (см.рис.3). Мы не просто боремся с шифровальщиками и тем самым снижаем доходы вирусописателей, мы сокращаем простои работников. Мы не просто нейтрализуем DDoS-атаки, мы уменьшаем простои процессов. Такая бизнес-ориентация находит понимание у топ-менеджмента, и он начинает лучше осознавать, что делает подразделение кибербезопасности, ранее считавшееся только центром затрат.

img

Рисунок 3. Бизнес-ориентация целей ИБ

Но потери могут быть не только временные. Инциденты ИБ способны негативно сказаться на продуктивности работы, на реагировании, на замене оборудования или информации, на росте штрафов, на проигрыше в конкурентной борьбе, и даже на репутации или снижении рейтинга компании (см.рис.4).

img

Рисунок 4. Иные формы потерь

  • Каждая из приведенных форм потерь может быть описана в денежном исчислении, которое прекрасно понимается бизнесом. Например, из чего складывается финансовый ущерб от инцидентов ИБ? Вот несколько примеров статей расходов, которые могут быть подсчитаны:

  • Стоимость прямых потерь от нарушения бизнес-операций.

  • Стоимость восстановления бизнес-операций.

  • Снижение стоимости акций (непростой показатель, но иногда тоже поддается измерению).

  • Размер штрафов от нарушения как контрактных условий, так и требований законодательства (правда, последний параметр обычно мизерный и в расчет его можно не предпринимать, если ваша компания не попадает под действие европейского регламента по защите прав субъектов персональных данных – GDPR).

  • Упущенная выгода (если вы можете ее посчитать).

  • Снижение лояльности заказчиков и, как следствие, их уход или сокращение средней стоимости клиента для компании.

  • Замена оборудования или повторный ввод информации.

  • Взаимодействие с пострадавшими заказчиками и т.д.

 

Продолжение в следующем номере

 

кибербезопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2019], Подписка на журналы

Cisco

Об авторах

Алексей Лукацкий

Алексей Лукацкий

Бизнес-консультант по безопасности Cisco.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
В последнее время в Сети появилось много лайфхаков на тему «как работать на удаленке». Где люди с опытом делятся с офисными менеджерами секретами удаленной работы.
Принципами организации удаленной работы в период пандемии COVID-19 делится руководитель кабинета СЕО Acronis Алена Геклер.  Эту должность  она заняла около года назад, а ранее была советником президента Microsoft в России, затем директором департамента по продвижению бизнес-решений Microsoft в России.

Компании сообщают

Мероприятия

Micro Focus Fortify
ОНЛАЙН
26.10.2020
11:30
HI-TECH Building 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Integrated Systems Russia 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Blue Prism Roadshow Russia
ОНЛАЙН
27.10.2020
11:00
Summit & Award 2020
ОНЛАЙН
5 000 руб
28.10.2020 — 29.10.2020
10:00