Большинство организаций в значительной степени полагаются на технологии, что делает их уязвимыми для киберугроз.
Большинство организаций в значительной степени полагаются на технологии, что делает их восприимчивыми к киберугрозам и требует наличия устойчивого плана кибербезопасности. Но что определяет и включает в себя эффективную стратегию кибербезопасности? Ниже приведены семь основных элементов, которые могут заложить основу для здоровой кибербезопасности .
№ 1: Тесное соответствие между приоритетами кибербезопасности и результатами бизнеса
Компании хотят увеличить доход и вернуть ценность акционерам, клиентам и сотрудникам. Важно найти соответствие между стратегией кибербезопасности и целями бизнеса, не вызывая конфликта или не работая наперекор приоритетам бизнеса. Хорошая стратегия безопасности будет соответствовать корпоративному направлению и поддается количественной оценке с точки зрения того, как она выполняет эту миссию. Каждый в организации должен осознавать не только роль кибербезопасности в общей стратегии бизнеса, но и на индивидуальном уровне, что помогает поддерживать культуру безопасности.
№ 2: Сосредоточьтесь на «драгоценностях короны»
Сфера кибербезопасности сложна и настолько шумна из-за обещаний поставщиков, что команды безопасности могут легко отвлечься и запутаться. Отправной точкой всегда должно быть то, чего необходимо достичь в первую очередь, чтобы сохранить платежеспособность бизнеса. Это «жемчужины» организации — важные, не подлежащие обсуждению и наиболее достойные защиты любой ценой. Распределяя бюджеты, руководители службы безопасности должны иметь полную ясность в отношении того, что они защищают, поскольку ни одна организация не терпит неудач.
№ 3: Приверженность сверху вниз
Кибербезопасность часто делегируется ИТ-персоналу, однако теперь очевидно, что риск безопасности выходит за рамки технологий и, по сути, представляет собой бизнес-риск. Руководители бизнеса и высшее руководство должны быть вынуждены обеспечивать постоянное руководство и надзор по вопросам кибербезопасности. Это потому, что безопасность — это коллективная ответственность: все заинтересованные стороны обязаны защищать организацию от утечек данных и кибератак. Лидерство должно объединять сотрудников ради общего дела, задавать тон, способствовать обсуждению и формировать культуру.
№ 4: Когда безопасность не является второстепенной идеей
Во многих организациях о безопасности обычно думают второстепенно. В результате в последнюю минуту его встраивают в конструкции и процессы продукта, что делает его уязвимым для злоумышленников. Раннее вовлечение приоритетов безопасности в обсуждения проекта приведет к более безопасным процессам и улучшению ситуации. Это также может помочь более тесно согласовать кибербезопасность с целями бизнеса.
№ 5: Внимательно следите за ключевыми показателями эффективности
Базовым компонентом любой успешной стратегии кибербезопасности является способность количественно оценивать, отслеживать и сообщать о ходе мер и инициатив по обеспечению кибербезопасности, а также их влиянии на культуру организации и положение в области безопасности. Установление, отслеживание и отчетность по ключевым показателям эффективности позволяют организациям выявлять пробелы в безопасности, дают командам возможность принимать решения, основанные на данных, и передавать важную информацию руководству, что, в свою очередь, помогает убедить совет директоров выделить дополнительные ресурсы для будущих программ безопасности.
№ 6: Регулярные обзоры защиты, политики и правил
Технологии продолжают развиваться, векторы угроз продолжают множиться, а законы о соблюдении требований кибербезопасности продолжают становиться все более громоздкими и строгими. Организации должны проверять и тестировать свою защиту в соответствии с меняющейся ситуацией; они должны пересматривать свои политики и процедуры безопасности не реже одного раза в 12 месяцев, внимательно следя за тем, что предлагают регулирующие органы и законодатели. Только по этим причинам рекомендуется обращаться к сторонним экспертам для регулярного проведения кабинетных учений и всестороннего анализа (помимо стандартных анкет с флажками) политик и процедур безопасности — от уровня совета директоров до руководителей бизнеса, сотрудников и ответственных лиц для реализации безопасности.
№ 7: Внимание к устойчивости, а не только к обороне
Хотя необходимо иметь надежную защиту, это не означает, что организациям следует чрезмерно зацикливаться на угрозах. Они также должны преодолеть понятие устойчивости: как быстро бизнес сможет отреагировать и восстановиться после инцидента? Если сетевые системы отключатся от сети, как это обеспечит непрерывность бизнеса? Через какое время потерянные данные будут полностью восстановлены? Ни один из этих вопросов не является легко решаемым. Организации должны тестировать и готовиться к этим непредвиденным обстоятельствам.
Стратегия кибербезопасности — это непрерывный процесс, который требует согласования с бизнес-целями, последовательного анализа уязвимостей, средств контроля, политик и правил. Это также требует постоянной работы над устойчивостью и вовлеченностью руководства. Киберинциденты происходят неожиданно, поэтому готовность предпочтительнее реакционных мер после кризиса.
Автор: Стив Дурбин, генеральный директор Information Security Forum
Перевод с англ. подготовлено порталом Allinsurance.kz