Онлайн страхование в Казахстане

Воскресенье, 19 мая 2019
Menu

Принципы управления киберрисками: как выглядит хорошая безопасность?

В мире киберрисков мы имеем дело с беспрецедентными событиями. Помимо хищнических атак, таких как глобальный инцидент с вредоносным ПО, который повлиял на бизнес Mondelеz и глобальная кибератака NotPetya, сейчас мы наблюдаем эпидемию кибератак.

Киберриски серьезно эволюционировали: от кражи и продажи данных в темной сети до серьезных вымогательств и разрушительных атак, где злоумышленники ищут немедленное денежное вознаграждение. Это новая угроза.

Вредоносные программы, такие как TrickBot, могут заразить всю корпоративную сеть, позволяя хакерам тайно получить доступ к системам, встраивать вредоносные файлы и очищать себя, не оставляя следов. Однако источник атаки не рассматривается, у хакеров есть время для отслеживания того, что ценно для организации, и подготовки более зловещей атаки.

Позднее все сети шифруются, и компании ставятся на колени, не имея доступа к электронной почте, платежным системам и операционным системам. Все подвергается сбоям: электронная почта, календари, Skype и VOIP, в результате чего компания не может работать или коммуницировать.

Предъявляется требование о выкупе, требующий оплаты, обычно в криптовалюте, для восстановления ключей для разблокировки систем. Эти атаки могут стоить компаниям от 100 000 до более 1 миллиона долларов и для ведения переговоров с хакерами требуются специальные услуги.

Мы видели, как компании со всей своей инфраструктурой информационных технологий были разрушены в разных странах, что делало их полностью изолированными. Кроме того, компаниям грозят штрафы за утечку данных, нарушение контрактов со своими клиентами из-за невозможности оказания услуг, последствий невозможности оплаты счетов и, конечно, их репутации в целом наносится ущерб.

Почему компании ошибаются?

Защитить цифровые активы компании стало намного сложнее, потому что цифровой ландшафт быстро меняется, застигая врасплох многие зрелые компании. Предприятиям необходимо определить, какие компоненты их бизнеса зависят от технологий и цифровых активов, где именно находятся эти активы (будучи менее осязаемые, чем твердые активы, такие как недвижимость или денежные средства), и как защитить их и данные, проходящие через них.

Часто новые системы развертываются и обрабатываемые данные не полностью идентифицированы, классифицированы или защищены соответствующим образом.

Старая модель «защиты центра» последнего десятилетия уже недостаточна для обеспечения безопасности компаний. Старая модель подразумевала защиту вашей сети и защиту компании по всему периметру. Теперь, когда данные обычно размещаются в облачных приложениях сторонних производителей и мобильных устройств, необходим новый подход.

Многие компании в настоящее время имеют устаревшие системы, которые нельзя просто заменить, учитывая связанные с этим расходы. Эти системы не являются «безопасными по своей сути», как некоторые из более новых систем, и многие не имеют даже базовых механизмов безопасности и все еще полагаются на несложные пароли, которые злоумышленник может легко обойти.

Методологии защиты также устарели, включая «воздушный разрыв» сред, предназначенных для изоляции систем друг от друга и защиты конфиденциальных данных. Старая модель безопасности «люди и процессы» развивалась, и теперь мы полагаемся на «людей, процессы и технологии».

До технологического бума безопасность была ручным процессом, люди должны были отслеживать системы или процессы в поисках угроз. Технологии теперь могут помочь автоматизировать мониторинг угроз.

Как выглядит хорошая безопасность сегодня?

Во-первых, важно отметить, что «хорошо» не является статичным состоянием, а то, что необходимо для обеспечения безопасности, должно быть динамичным и гибким. Во-вторых, никогда нельзя полностью исключить риск, но можно лишь снизить его до уровня, который любая конкретная организация считает коммерчески приемлемым.

«Хорошо» больше не имеет самых высоких стен или самых глубоких рвов, чтобы мешать плохим парням проникать в системы компании. В контролируемой среде «хорошо» означает:

Расширенная видимость потенциальных угроз, которые скажут вам, как и где защитить ваши системы.

Понимание того, как текущие угрозы могут повлиять на вашу организацию и ее информацию;

Понимание ваших ключевых бизнес-процессов и данных.

Знание того, как ваши данные регулируются в каждом регионе, и понимание других рисков, связанных с вашими бизнес-данными, такими, как коммерческий риск.

Понимание того, где ваш бизнес основан на технологиях.

Понимание степени контроля над этой технологией, например, является ли она устаревшей системой с устаревшей безопасностью или контролируется третьей стороной.

Понимание навыков вашего персонала и эффективности вашей структуры управления.

Количественная оценка затрат на кибербезопасность по сравнению со стоимостью, которую защищенные технологии приносят бизнесу.
Технически это означает, что вы должны видеть людей и процессы в вашем бизнесе, которые взаимодействуют с вашими технологиями и данными, чтобы вы могли идентифицировать риски. Это также означает наличие видимости атак благодаря передовой технологии обнаружения и сдерживания угроз. Вам также необходимо знать о случаях повышенного риска, когда угроза кибератак может быть выше, например, когда выдается патент или когда объявляется сделка M & A.

Средства управления, которые отвечают вашей бизнес-среде

Теперь нужны динамические элементы управления - элементы управления, которые реагируют на вашу бизнес-среду или на угрозы вокруг вас. Крупная коммунальная компания с агрессивной бизнес-стратегией по разработке программных предложений для услуг может обнаружить, что ее состояние безопасности не является динамическим и почти полностью построено на стратегии физической безопасности (защита физических активов) и, следовательно, неэффективна.

Предприятия часто имеют локальные средства безопасности для защиты своего бизнеса, а затем понимают, что приобрели облачные платформы, которые полностью незащищены. Например, крупные банки Великобритании в течение многих лет вкладывали значительные средства в обеспечение безопасности.

После того, как Управление по финансовому поведению разъяснило свою позицию по использованию публичных облачных сервисов посредством публикации FG 16/5 , ни одна из этих возможностей не была эффективной ни в одном из разработанных ими публичных предложений. Это дало банкам-претендентам явное преимущество.

В других ситуациях крупные компании в энергетическом секторе делали непомерные инвестиции в продвинутый анализ угроз, но были не в состоянии изменить свои средства управления, чтобы реагировать на полученную информацию. Для одной компании угроза увеличивалась или уменьшалась неделя за неделей, но ландшафт управления не мог реагировать или адаптироваться к меняющимся ландшафтам, что делало инвестиции неэффективными. В результате контроль не имел ничего общего с уровнем угрозы.

Почему гибкость так важна?

Гибкость имеет решающее значение, когда речь идет о снижении киберрисков, и требует от компаний понимания своего бизнеса и моделирования своей стратегии безопасности на основе текущей и будущей бизнес-стратегии. Вновь обращаясь к крупным банкам и нефтегазовым компаниям, многие из них офшорили все свои ИТ-центры и процессинговые центры, но не обладали достаточными внутренними знаниями или квалифицированным персоналом для управления сторонними поставщиками. Это означает, что они не понимают своего окружения и поэтому не могут быстро реагировать на меняющиеся угрозы.

Гибкость в среде управления также означает адаптацию к угрозам безопасности. Это может дать пользователям большую степень функциональности и свободы за счет развертывания передовых инструментов обнаружения угроз, а не блокирования пользователей.
Мы видели, как небольшие организации спасают себя от значительного воздействия, выдергивая кабели из сетевого подключения Интернета во время активной кибератаки. Этот подход в настоящее время используется в критически важных инфраструктурных организациях.

Разработав процессы типа красной кнопки, они могут отключить весь газовый компрессор или сегмент сети управления, например, если это представляет опасность для всей сети.

В прежние времена оператор станции просто не мог бы получить необходимые исполнительные полномочия для закрытия станции (учитывая, что это может привести к миллионным убыткам) в течение времени, необходимого для защиты от активной кибератаки. Кризисные планы нуждаются в обновлении, чтобы учитывать и встраивать быстрые ответы на киберспецифичные угрозы.

Как выглядят лучшие практики?

Подход к безопасности, который мы защищаем, основан на риске. Риск, обозначенный в этом контексте, означает оценку бизнес-желаний и целей, а также обоснование и обеспечение элементов, которые наиболее зависят от технологий. Это также означает, что уровень инвестиций в безопасность должен быть связан со стоимостью защищаемого актива в рамках конкретного коммерческого ландшафта.

Компания может изучить типы угроз, которым она подвержена, и выбрать, где развернуть средства управления, которые снижают риск до приемлемого уровня, но не влекут непомерных затрат для бизнеса. Это может включать развертывание некоторых улучшенных средств управления обнаружением, сегрегации сети и средств восстановления системы в производственной среде для обнаружения и сдерживания угроз и, при необходимости, для восстановления частей среды.

Сравните это с полной реконструкцией фабрики, прежде чем она, естественно, устареет, учитывая типичный 30-летний жизненный цикл таких активов.

Интеграция элементов управления и многоуровневой защиты для обеспечения их соответствия друг другу также важна. Покупка всех новейших инструментов не защитит ваш бизнес. Последовательная безопасность - это комплексная система людей, процессов и технологий, объединяющая друг друга для защиты стоимости бизнеса.

Мы часто видим, как клиенты разворачивают Office 365, потому что им говорят, что это безопасно, но затем они пренебрегают развертыванием многофакторной проверки подлинности (MFA) и другими расширенными средствами управления, доступными для его защиты, из-за предполагаемого воздействия на пользователей и удобства использования. Это сродни отказу от пристегивания ремня безопасности, а затем утверждению, что автомобиль небезопасен.

Как вы оцениваете риск и стоимость?

Безопасность, основанная на рисках, изначально ориентирована на бизнес. Если отделы ИТ и безопасности не ориентированы на бизнес, они будут рассматриваться как центры затрат, а не как деловые партнеры. При правильной практике охрана должна понимать и консультировать бизнес, но не пытаться его блокировать.

Таким образом, безопасность также должна соответствовать затратам на нее. Инвестиционный план безопасности должен всегда учитывать ценность в риске и подкреплять это значение соответствующими средствами контроля вплоть до процента от стоимости и никогда не должен стремиться к развертыванию защиты в целях безопасности или соответствия требованиям.

Возможность сформулировать бизнес-предложение безопасности имеет важное значение. Невыполнение этого требования в настоящее время приводит к недостаточным инвестициям в технологии, о чем свидетельствует значительное число нарушений, ежедневно публикуемых в средствах массовой информации.

С положительной стороны, эффективная кибербезопасность может стать огромным отличием, например, когда она используется для реализации возможностей на жестко регулируемых рынках. Стратегии кибербезопасности могут быть использованы для снижения риска технологий во время слияний и поглощений, инвестиций в новые технологии, такие как облако, Интернет вещей и искусственный интеллект, чтобы дать бизнесу конкурентное преимущество.

Подготовлено порталом Allinsurance.kz по материалам ankura.com

Добавить комментарий


Читайте также...

  • 1
  • 2
  • 3
Пред След

В России горят более 20 тыс. га леса

17-05-2019 Просмотров:61

В России горят более 20 тыс. га леса

Больше всего пожаров зафиксировано на территории Хабаровского края

В Шанхае 10 человек погибли в результате обрушения здания

17-05-2019 Просмотров:64

В Шанхае 10 человек погибли в результате обрушения здания

Рухнула стена старой фабрики, которую готовили к сносу

Австралия: все больше людей намерены уйти на пенсию, несмотря на…

17-05-2019 Просмотров:90

Австралия: все больше людей намерены уйти на пенсию, несмотря на недостаточный уровень сбережений

Число граждан Австралии, планирующих выйти на пенсию в течение следующих 12 месяцев,...

Япония: крупнейшие страховщики не-жизни намерены повысить ставки страховых взносов

17-05-2019 Просмотров:87

Япония: крупнейшие страховщики не-жизни намерены повысить ставки страховых взносов

Четыре крупные японские страховые компании общего страхования планируют повысить ставки страховых взносов...

Индия: регулятор стремится облегчить процесс идентификации клиентов для страховщиков

17-05-2019 Просмотров:84

Индия: регулятор стремится облегчить процесс идентификации клиентов для страховщиков

Страховой регулятор планирует обратиться к правительству за разрешением использования Aadhaar, 12-значного идентификационного...

Aon и Guy Carpenter инициируют применение блокчейна для оптимизации перестрахования

17-05-2019 Просмотров:88

Aon и Guy Carpenter инициируют применение блокчейна для оптимизации перестрахования

Брокеры Aon и Guy Carpenter объединились с Institutes RiskStream Collaborative, чтобы упростить...

Страховые брокеры опасаются за свое будущее в неопределенные времена: исследование

17-05-2019 Просмотров:102

Страховые брокеры опасаются за свое будущее в неопределенные времена: исследование

Страховые брокеры беспокоятся о будущем своего бизнеса на фоне всех технологических достижений...

Цены коммерческого страхования выросли на 3% в первом квартале 2019…

17-05-2019 Просмотров:85

Цены коммерческого страхования выросли на 3% в первом квартале 2019 года: Marsh

Средние цены на коммерческое страхование выросли на 3,0% в первом квартале 2019...

Морские страховщики Лондона оценят уровень риска после атаки судов на…

17-05-2019 Просмотров:90

Морские страховщики Лондона оценят уровень риска после атаки судов на Ближнем Востоке

Рынок морского страхования Лондона соберется, чтобы оценить необходимость изменения уровня риска для...

Чистая прибыль Generali в первом квартале выросла на 28%, чему…

17-05-2019 Просмотров:99

Чистая прибыль Generali в первом квартале выросла на 28%, чему способствовали продажи активов

Generali, крупнейшая страховая компания Италии, сообщила о росте чистой прибыли первого квартала...

Как эффективно передать капитал будущему поколению

17-05-2019 Просмотров:113

Как эффективно передать капитал будущему поколению

Частные полисы страхования жизни зарекомендовали себя как удобный инструмент наследования во многих...

Munich Re формирует глобальное партнерство с поставщиком телематики The Floow

17-05-2019 Просмотров:60

Munich Re формирует глобальное партнерство с поставщиком телематики The Floow

Munich Re сообщила, что будет сотрудничать с телематическим провайдером The Floow. Сделка...

Президент Белоруси разрешил заключать договоры страхования в электронном виде без…

16-05-2019 Просмотров:75

Президент Белоруси разрешил заключать договоры страхования в электронном виде без цифровой подписи

Александр Лукашенко подписал указ № 175 «О страховании», которым страховым организациям расширены...

В Узбекистане с 2021 года внедрят систему обязательного медицинского страхования

16-05-2019 Просмотров:61

В Узбекистане с 2021 года внедрят систему обязательного медицинского страхования

В первую очередь, медицинским страхованием будут охвачены работники крупных компаний и организаций....

Составлен список самых смертоносных автомобилей

16-05-2019 Просмотров:71

Составлен список самых смертоносных автомобилей

Ресурс iSeeCars.com изучил данные Страхового института дорожной безопасности (IIHS) о смертности в...

Сектор страхования жизни в странах СНГ: риски и потенциал

16-05-2019 Просмотров:133

Сектор страхования жизни в странах СНГ: риски и потенциал

Страхование жизни в настоящее время является драйвером роста на всех развивающихся рынках...

Castel представляет брокерскую платформу электронной торговли для нестандартных и сложных…

16-05-2019 Просмотров:51

Castel представляет брокерскую платформу электронной торговли для нестандартных и сложных рисков МСП

Castel Specialty, подразделение клубной образовательной платформы MGA Castel Underwriting Agencies, запустило новое...

Следующий NotPetya уже здесь? Может быть, и эксперты обеспокоены

16-05-2019 Просмотров:119

Следующий NotPetya уже здесь? Может быть, и эксперты обеспокоены

Вызывающая беспокойство новая атака по взлому компьютеров заражает цепочки поставок программного обеспечения,...

Китай: Ping An укрепляет позиции самого дорогостоящего страхового бренда в…

16-05-2019 Просмотров:60

Китай: Ping An укрепляет позиции самого дорогостоящего страхового бренда в мире

Ping An продолжает считаться самым сильным и самым дорогостоящим страховым брендом в...

Индия: страховщики требуют 100% участия в стартапах InsurTech

16-05-2019 Просмотров:62

Индия: страховщики требуют 100% участия в стартапах InsurTech

Страховщики ведут переговоры с финансовым регулятором IRDAI относительно того, чтобы позволить им...

Beazley запускает киберстрахование для отрасли морского судоходства

16-05-2019 Просмотров:73

Beazley запускает киберстрахование для отрасли морского судоходства

Специализированный страховщик Beazley создал продукт морского киберстрахования для удовлетворения быстро растущих потребностей...

Турция повышает налог с продаж в иностранной валюте на страхование…

16-05-2019 Просмотров:65

Турция повышает налог с продаж в иностранной валюте на страхование и банковское дело

Официальный вестник страны заявил в среду, что Турция подняла до 0,1% с...

Франция отслеживает потенциальное мошенничество в области ядерной безопасности через сообщения…

16-05-2019 Просмотров:57

Франция отслеживает потенциальное мошенничество в области ядерной безопасности через сообщения добровольных информаторов

Французский ядерный регулятор ASN заявил, что начал расследование элементов мошенничества и фальсификаций,...

Установлен виновник самого смертоносного пожара в истории Калифорнии

16-05-2019 Просмотров:32

Установлен виновник самого смертоносного пожара в истории Калифорнии

Энергетическую компанию Pacific Gas and Electric назвали виновницей самого смертоносного природного пожара...