В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
По мере того как все больше всякого рода продуктов и услуг становятся подключенными к Интернету, растет необходимость в упреждающем управлении рисками, связанными с кибербезопасностью и защитой данных. С другой стороны, в условиях стремительного роста объемов данных и постоянного обмена потребительской и коммерческой информацией защита данных становится одним из важнейших требований, предъявляемых к бизнесу.
Хищение данных, составляющих коммерческую тайну, информации о кредитных картах, репликация продуктов или процессов, нарушение операционной деятельности. Для того чтобы в достаточной мере защитить свое конкурентное преимущество, репутацию и капитализацию, российским компаниям необходимо изменить свой подход к вопросам кибербезопасности. Только это позволит им идти в ногу со временем.
Несмотря на то что в прошлом году объемы инвестиций российских компаний в сфере кибербезопасности сократились, продолжая в значительной мере отставать от зарубежных аналогов, их объемы тем не менее выросли на 65% за два последних года.
Тем не менее возросшие расходы на обеспечение кибербезопасности не обязательно приводят к снижению рисков. Большая часть средств расходуется на внедрение новых технологий, которые могут оказаться бесполезными, если компания в первую очередь не рассмотрела, как инструмент будет использован и на борьбу с какими угрозами он будет направлен. Формирование бюджета в сфере кибербезопасности должно начинаться с проведения тщательной оценки угроз, а также существующих и потенциальных рисков, с которыми сталкивается компания. После определения всех этих рисков, их количественного измерения и приоритизации компания должна определить стратегию по обеспечению кибербезопасности. Только когда в стратегии учтены все риски и определены средства контроля за ними, компания сможет обеспечить надлежащее эффективное и непрерывное управление киберрисками. Определив направление своего развития, компания сможет правильно сформировать бюджет в сфере кибербезопасности и убедиться в том, что ее средства направляются в те области, которые позволят снизить риски и максимально увеличить окупаемость инвестиций.
Кроме того, необходимо инвестировать в квалифицированных специалистов для надлежащего внедрения и использования технологий. После создания центра управления информационной безопасностью формируются огромные объемы информации о потенциальных угрозах. Компания должна найти ответы на вопросы: кто будет анализировать эту информацию и реагировать на угрозы? достаточно ли ресурсов и потенциала для качественного анализа? Инвестиции в квалифицированных специалистов позволят компании увеличить доход от инвестиций в технологии, направленные на обеспечение безопасности.
Стратегии, которые российские компании используют для управления рисками кибербезопасности, не поспевают за стремительно меняющимися угрозами. Традиционная модель ИБ, которая сосредоточена на технологиях, соблюдении нормативно-правовых требований, ограничивается защитой периметра и направлена на защиту бэк-офиса, не отвечает реалиям сегодняшнего дня. Кибербезопасность уже не ограничивается ИТ. И инвестиции необходимо направлять на то, что имеет наибольшее значение, в частности, следует обратить внимание на шесть ключевых приоритетных направлений:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2017