Онлайн страхование в Казахстане

Пятница, 19 июля 2019
Menu

Принципы управления киберрисками: как выглядит хорошая безопасность?

В мире киберрисков мы имеем дело с беспрецедентными событиями. Помимо хищнических атак, таких как глобальный инцидент с вредоносным ПО, который повлиял на бизнес Mondelеz и глобальная кибератака NotPetya, сейчас мы наблюдаем эпидемию кибератак.

Киберриски серьезно эволюционировали: от кражи и продажи данных в темной сети до серьезных вымогательств и разрушительных атак, где злоумышленники ищут немедленное денежное вознаграждение. Это новая угроза.

Вредоносные программы, такие как TrickBot, могут заразить всю корпоративную сеть, позволяя хакерам тайно получить доступ к системам, встраивать вредоносные файлы и очищать себя, не оставляя следов. Однако источник атаки не рассматривается, у хакеров есть время для отслеживания того, что ценно для организации, и подготовки более зловещей атаки.

Позднее все сети шифруются, и компании ставятся на колени, не имея доступа к электронной почте, платежным системам и операционным системам. Все подвергается сбоям: электронная почта, календари, Skype и VOIP, в результате чего компания не может работать или коммуницировать.

Предъявляется требование о выкупе, требующий оплаты, обычно в криптовалюте, для восстановления ключей для разблокировки систем. Эти атаки могут стоить компаниям от 100 000 до более 1 миллиона долларов и для ведения переговоров с хакерами требуются специальные услуги.

Мы видели, как компании со всей своей инфраструктурой информационных технологий были разрушены в разных странах, что делало их полностью изолированными. Кроме того, компаниям грозят штрафы за утечку данных, нарушение контрактов со своими клиентами из-за невозможности оказания услуг, последствий невозможности оплаты счетов и, конечно, их репутации в целом наносится ущерб.

Почему компании ошибаются?

Защитить цифровые активы компании стало намного сложнее, потому что цифровой ландшафт быстро меняется, застигая врасплох многие зрелые компании. Предприятиям необходимо определить, какие компоненты их бизнеса зависят от технологий и цифровых активов, где именно находятся эти активы (будучи менее осязаемые, чем твердые активы, такие как недвижимость или денежные средства), и как защитить их и данные, проходящие через них.

Часто новые системы развертываются и обрабатываемые данные не полностью идентифицированы, классифицированы или защищены соответствующим образом.

Старая модель «защиты центра» последнего десятилетия уже недостаточна для обеспечения безопасности компаний. Старая модель подразумевала защиту вашей сети и защиту компании по всему периметру. Теперь, когда данные обычно размещаются в облачных приложениях сторонних производителей и мобильных устройств, необходим новый подход.

Многие компании в настоящее время имеют устаревшие системы, которые нельзя просто заменить, учитывая связанные с этим расходы. Эти системы не являются «безопасными по своей сути», как некоторые из более новых систем, и многие не имеют даже базовых механизмов безопасности и все еще полагаются на несложные пароли, которые злоумышленник может легко обойти.

Методологии защиты также устарели, включая «воздушный разрыв» сред, предназначенных для изоляции систем друг от друга и защиты конфиденциальных данных. Старая модель безопасности «люди и процессы» развивалась, и теперь мы полагаемся на «людей, процессы и технологии».

До технологического бума безопасность была ручным процессом, люди должны были отслеживать системы или процессы в поисках угроз. Технологии теперь могут помочь автоматизировать мониторинг угроз.

Как выглядит хорошая безопасность сегодня?

Во-первых, важно отметить, что «хорошо» не является статичным состоянием, а то, что необходимо для обеспечения безопасности, должно быть динамичным и гибким. Во-вторых, никогда нельзя полностью исключить риск, но можно лишь снизить его до уровня, который любая конкретная организация считает коммерчески приемлемым.

«Хорошо» больше не имеет самых высоких стен или самых глубоких рвов, чтобы мешать плохим парням проникать в системы компании. В контролируемой среде «хорошо» означает:

Расширенная видимость потенциальных угроз, которые скажут вам, как и где защитить ваши системы.

Понимание того, как текущие угрозы могут повлиять на вашу организацию и ее информацию;

Понимание ваших ключевых бизнес-процессов и данных.

Знание того, как ваши данные регулируются в каждом регионе, и понимание других рисков, связанных с вашими бизнес-данными, такими, как коммерческий риск.

Понимание того, где ваш бизнес основан на технологиях.

Понимание степени контроля над этой технологией, например, является ли она устаревшей системой с устаревшей безопасностью или контролируется третьей стороной.

Понимание навыков вашего персонала и эффективности вашей структуры управления.

Количественная оценка затрат на кибербезопасность по сравнению со стоимостью, которую защищенные технологии приносят бизнесу.
Технически это означает, что вы должны видеть людей и процессы в вашем бизнесе, которые взаимодействуют с вашими технологиями и данными, чтобы вы могли идентифицировать риски. Это также означает наличие видимости атак благодаря передовой технологии обнаружения и сдерживания угроз. Вам также необходимо знать о случаях повышенного риска, когда угроза кибератак может быть выше, например, когда выдается патент или когда объявляется сделка M & A.

Средства управления, которые отвечают вашей бизнес-среде

Теперь нужны динамические элементы управления - элементы управления, которые реагируют на вашу бизнес-среду или на угрозы вокруг вас. Крупная коммунальная компания с агрессивной бизнес-стратегией по разработке программных предложений для услуг может обнаружить, что ее состояние безопасности не является динамическим и почти полностью построено на стратегии физической безопасности (защита физических активов) и, следовательно, неэффективна.

Предприятия часто имеют локальные средства безопасности для защиты своего бизнеса, а затем понимают, что приобрели облачные платформы, которые полностью незащищены. Например, крупные банки Великобритании в течение многих лет вкладывали значительные средства в обеспечение безопасности.

После того, как Управление по финансовому поведению разъяснило свою позицию по использованию публичных облачных сервисов посредством публикации FG 16/5 , ни одна из этих возможностей не была эффективной ни в одном из разработанных ими публичных предложений. Это дало банкам-претендентам явное преимущество.

В других ситуациях крупные компании в энергетическом секторе делали непомерные инвестиции в продвинутый анализ угроз, но были не в состоянии изменить свои средства управления, чтобы реагировать на полученную информацию. Для одной компании угроза увеличивалась или уменьшалась неделя за неделей, но ландшафт управления не мог реагировать или адаптироваться к меняющимся ландшафтам, что делало инвестиции неэффективными. В результате контроль не имел ничего общего с уровнем угрозы.

Почему гибкость так важна?

Гибкость имеет решающее значение, когда речь идет о снижении киберрисков, и требует от компаний понимания своего бизнеса и моделирования своей стратегии безопасности на основе текущей и будущей бизнес-стратегии. Вновь обращаясь к крупным банкам и нефтегазовым компаниям, многие из них офшорили все свои ИТ-центры и процессинговые центры, но не обладали достаточными внутренними знаниями или квалифицированным персоналом для управления сторонними поставщиками. Это означает, что они не понимают своего окружения и поэтому не могут быстро реагировать на меняющиеся угрозы.

Гибкость в среде управления также означает адаптацию к угрозам безопасности. Это может дать пользователям большую степень функциональности и свободы за счет развертывания передовых инструментов обнаружения угроз, а не блокирования пользователей.
Мы видели, как небольшие организации спасают себя от значительного воздействия, выдергивая кабели из сетевого подключения Интернета во время активной кибератаки. Этот подход в настоящее время используется в критически важных инфраструктурных организациях.

Разработав процессы типа красной кнопки, они могут отключить весь газовый компрессор или сегмент сети управления, например, если это представляет опасность для всей сети.

В прежние времена оператор станции просто не мог бы получить необходимые исполнительные полномочия для закрытия станции (учитывая, что это может привести к миллионным убыткам) в течение времени, необходимого для защиты от активной кибератаки. Кризисные планы нуждаются в обновлении, чтобы учитывать и встраивать быстрые ответы на киберспецифичные угрозы.

Как выглядят лучшие практики?

Подход к безопасности, который мы защищаем, основан на риске. Риск, обозначенный в этом контексте, означает оценку бизнес-желаний и целей, а также обоснование и обеспечение элементов, которые наиболее зависят от технологий. Это также означает, что уровень инвестиций в безопасность должен быть связан со стоимостью защищаемого актива в рамках конкретного коммерческого ландшафта.

Компания может изучить типы угроз, которым она подвержена, и выбрать, где развернуть средства управления, которые снижают риск до приемлемого уровня, но не влекут непомерных затрат для бизнеса. Это может включать развертывание некоторых улучшенных средств управления обнаружением, сегрегации сети и средств восстановления системы в производственной среде для обнаружения и сдерживания угроз и, при необходимости, для восстановления частей среды.

Сравните это с полной реконструкцией фабрики, прежде чем она, естественно, устареет, учитывая типичный 30-летний жизненный цикл таких активов.

Интеграция элементов управления и многоуровневой защиты для обеспечения их соответствия друг другу также важна. Покупка всех новейших инструментов не защитит ваш бизнес. Последовательная безопасность - это комплексная система людей, процессов и технологий, объединяющая друг друга для защиты стоимости бизнеса.

Мы часто видим, как клиенты разворачивают Office 365, потому что им говорят, что это безопасно, но затем они пренебрегают развертыванием многофакторной проверки подлинности (MFA) и другими расширенными средствами управления, доступными для его защиты, из-за предполагаемого воздействия на пользователей и удобства использования. Это сродни отказу от пристегивания ремня безопасности, а затем утверждению, что автомобиль небезопасен.

Как вы оцениваете риск и стоимость?

Безопасность, основанная на рисках, изначально ориентирована на бизнес. Если отделы ИТ и безопасности не ориентированы на бизнес, они будут рассматриваться как центры затрат, а не как деловые партнеры. При правильной практике охрана должна понимать и консультировать бизнес, но не пытаться его блокировать.

Таким образом, безопасность также должна соответствовать затратам на нее. Инвестиционный план безопасности должен всегда учитывать ценность в риске и подкреплять это значение соответствующими средствами контроля вплоть до процента от стоимости и никогда не должен стремиться к развертыванию защиты в целях безопасности или соответствия требованиям.

Возможность сформулировать бизнес-предложение безопасности имеет важное значение. Невыполнение этого требования в настоящее время приводит к недостаточным инвестициям в технологии, о чем свидетельствует значительное число нарушений, ежедневно публикуемых в средствах массовой информации.

С положительной стороны, эффективная кибербезопасность может стать огромным отличием, например, когда она используется для реализации возможностей на жестко регулируемых рынках. Стратегии кибербезопасности могут быть использованы для снижения риска технологий во время слияний и поглощений, инвестиций в новые технологии, такие как облако, Интернет вещей и искусственный интеллект, чтобы дать бизнесу конкурентное преимущество.

Подготовлено порталом Allinsurance.kz по материалам ankura.com

Добавить комментарий


Читайте также...

  • 1
  • 2
  • 3
Пред След

ЦБ России выявил нарушения в половине проверенных страховых компаний

19-07-2019 Просмотров:35

ЦБ России выявил нарушения в половине проверенных страховых компаний

В половине страховых компаний и в трети банков, проверенных ЦБ РФ во...

Самые страшные кораблекрушения в мире

19-07-2019 Просмотров:28

Самые страшные кораблекрушения в мире

Мир знаком с множеством кораблекрушений, потрясших своей масштабностью и ужасом произошедшего. Немало...

10 самых страшных экологических катастроф в истории

19-07-2019 Просмотров:27

10 самых страшных экологических катастроф в истории

19 ноября 2002 года у берегов Галисии потерпел аварию танкер «Престиж», что...

Пять ужасных катастроф: какой год был самым страшным за всю…

19-07-2019 Просмотров:54

Пять ужасных катастроф: какой год был самым страшным за всю историю

На протяжении нескольких тысяч лет человечество неоднократно страдало от разрушительных природных катаклизмов, стиравших с лица...

Allianz X финансирует в провайдера данных ESG Arabesque S-Ray для…

19-07-2019 Просмотров:38

Allianz X финансирует в провайдера данных ESG Arabesque S-Ray для разработки продуктов и услуг в области ESG

Allianz X, цифровое инвестиционное подразделение страховщика Allianz Group, расположенное в Германии, возглавило...

Рост автоматизации на рабочих местах требует эффективной стратегии цифровой трансформации:WTW

19-07-2019 Просмотров:43

Рост автоматизации на рабочих местах требует эффективной стратегии цифровой трансформации:WTW

В связи с тем, что в сфере автоматизации на рабочем месте не...

Страховой рынок в России приходит в норму, но угрозы остаются:…

19-07-2019 Просмотров:42

Страховой рынок в России приходит в норму, но угрозы остаются: AM Best

Российский страховой рынок достиг положительного перелома, поскольку в 2018 году премии выросли...

Азия: секреты успеха современных страховых агентов

19-07-2019 Просмотров:44

Азия: секреты успеха современных страховых агентов

В течение некоторого времени бушевали споры о том, будут ли традиционные страховые...

Индия: доходы от премий в сфере автострахования снижаются из-за падения…

19-07-2019 Просмотров:40

Индия: доходы от премий в сфере автострахования снижаются из-за падения продаж автомобилей

Страховщики начинают видеть замедление роста премии автострахования, поскольку продажи на автомобильном рынке...

Южная Корея: регулятор рекомендует соблюдать осторожность при покупке накопительных страховых…

19-07-2019 Просмотров:42

Южная Корея: регулятор рекомендует соблюдать осторожность при покупке накопительных страховых продуктов номинированных в валюте

Служба финансового надзора (FSS) предупредила потребителей о рисках страховых продуктов, номинированных в...

Австралия: регулятор планирует запретить страховой телемаркетинг

19-07-2019 Просмотров:38

Австралия: регулятор планирует запретить страховой телемаркетинг

Австралийская комиссия по ценным бумагам и инвестициям (ASIC) предлагает запретить «холодные» телефонные...

НБРК сообщил о выявленных во II квартале 2019 года нарушениях…

18-07-2019 Просмотров:91

НБРК сообщил о выявленных во II квартале 2019 года нарушениях страховыми организациями прав потребителей  

Национальным Банком по итогам второго квартала 2019 года по обращениям и жалобам...

Индия: пересмотренные правила продуктов страхования жизни улучшают условия для страхователей

18-07-2019 Просмотров:62

Индия: пересмотренные правила продуктов страхования жизни улучшают условия для страхователей

IRDAI опубликовал пересмотренные правила, регулирующие страховые продукты  unit-linked и продукты не связанные...

Сингапур: Местный FinTech вводит «динамический» QR-код для страховых выплат

18-07-2019 Просмотров:77

Сингапур: Местный FinTech вводит «динамический» QR-код для страховых выплат

Компания Singapore Life сообщает, что решила проблему несоответствия страховых премий и номеров...

Кибератаки сильно ударили бизнесу, средние убытки составили почти $5 млн:…

18-07-2019 Просмотров:82

Кибератаки сильно ударили бизнесу, средние убытки составили почти $5 млн: исследование

Предприятия в Китае, Японии и Индии видят, что в среднем из-за кибератак...

Япония: ESG-совместимые предприятия получат лучшее страховое покрытие в эпоху изменения…

18-07-2019 Просмотров:72

Япония: ESG-совместимые предприятия получат лучшее страховое покрытие в эпоху изменения климата

Поскольку важность инвестиционных принципов в области охраны окружающей среды, социальной сферы и...

Южная Корея: страховщики продолжают выпускать облигации для привлечения капитала

18-07-2019 Просмотров:54

Южная Корея: страховщики продолжают выпускать облигации для привлечения капитала

Южнокорейские страховщики продолжают выпускать корпоративные облигации с целью привлечения средств для подготовки...

В ряду прочих: какая роль уготована страховым компаниям в экосистеме?

18-07-2019 Просмотров:64

В ряду прочих: какая роль уготована страховым компаниям в экосистеме?

Свое мнение по этому вопросу finversia.ru высказал Валерий Курганов, советник генерального директора по правовым вопросам и председатель...

Топ-10 самых страшных техногенных катастроф в истории человечества

18-07-2019 Просмотров:94

Топ-10 самых страшных техногенных катастроф в истории человечества

Несмотря на высокие достижения человечества в науке и технологиях, люди все еще...

Десять крупных техногенных катастроф в мире

18-07-2019 Просмотров:61

Десять крупных техногенных катастроф в мире

С развитием промышленности такие катастрофы случаются потому, что в добывающих и перерабатывающих...

Сингапур: в центре внимания судебный иск на $1,8 млрд по…

18-07-2019 Просмотров:74

Сингапур: в центре внимания судебный иск на $1,8 млрд по поводу предполагаемого переманивания страховых агентов

Высокий суд Сингапура рассматривает судебный иск одного из крупнейших страховщиков жизни страны,...

Крупнейшие мировые страховщики делают ставку на потенциал RiskGenius, стартапа InsurTech…

18-07-2019 Просмотров:70

Крупнейшие мировые страховщики делают ставку на потенциал RiskGenius, стартапа InsurTech

RiskGenius, стартап InsurTech, предоставляющий программные инструменты обработки естественного языка для страховой отрасли,...

Около 6 миллионов человек по-прежнему страдают от сезонных муссонных наводнений…

18-07-2019 Просмотров:47

Около 6 миллионов человек по-прежнему страдают от сезонных муссонных наводнений в Южной Азии

Почти 6 миллионов человек в Непале и Индии страдают от сезонных проливных...

CFC добавляет спектр услуг по управлению рисками к предложению Tech…

18-07-2019 Просмотров:52

CFC добавляет спектр услуг по управлению рисками к предложению Tech Insurance

Специализированный страховой поставщик CFC Underwriting добавил ряд бесплатных услуг по управлению рисками...