Подход к кибербезопасности эволюционирует от технической функции к стратегической, ориентированной на бизнес. Команды безопасности часто не могут различить активы, которые являются технически критичными, и те, что критичны для бизнеса. Отказ последних — это проблема для всей компании, а не только для отдела ИБ. Эффективность достигается не тотальной защитой, а концентрацией на активах и процессах, напрямую связанных с доходом, операционной деятельностью и предоставлением услуг.
За последний год в ходе десятков семинаров с клиентами из финансовой, производственной и энергетической отраслей был разработан и усовершенствован четырехэтапный подход к управлению уязвимостями (Exposure Management). Организации, внедрившие эту методологию, сообщили о значительном росте эффективности, а некоторые смогли сократить усилия по устранению уязвимостей до 96%. Директора по информационной безопасности (CISO), руководители служб безопасности и финансовые директора (CFO) подтвердили, что этот подход создает общий язык между техническими специалистами и руководством.
Не все активы равноценны. Технические команды способны определить критически важные серверы или базы данных, но часто упускают из виду системы, поддерживающие ключевые бизнес-процессы: получение дохода, операционную деятельность и доставку продуктов. Именно концентрация на активах, отказ которых вызывает сбой в работе бизнеса, а не просто техническую неполадку, позволяет достигать максимальной эффективности и сокращать объем работ по исправлению на 96%.
Бизнес-контекст меняет приоритеты. Специалисты по безопасности перегружены потоком данных: результатами сканирования, баллами по шкале CVSS и бесконечными оповещениями. Однако «умеренная» уязвимость на платформе, генерирующей доход, представляет больший риск, чем «критическая» на неиспользуемой системе. Приоритизация угроз должна основываться на их потенциальном влиянии на бизнес, а не только на технической серьезности.
Финансовые директора становятся участниками процесса обеспечения кибербезопасности. Вовлеченность руководства, особенно финансового, в принятие решений по кибербезопасности растет. «Наш финансовый директор хочет знать, как мы оцениваем риски кибербезопасности с точки зрения бизнеса», — заявил один из директоров по кибербезопасности. Представление задач безопасности в терминах управления бизнес-рисками является решающим фактором для получения поддержки и утверждения бюджетов.
Для успешного внедрения подхода используется четырехэтапная методология. Она позволяет системно связать безопасность с бизнес-приоритетами:
Для идентификации критических процессов проводятся встречи с руководителями бизнес-подразделений и анализируются финансовые потоки компании. Составляется краткий список процессов, сбой в которых вызовет наиболее серьезные последствия. Эти процессы и их важность для бизнеса документируются.
На этапе сопоставления определяются поддерживающие системы, базы данных, инфраструктура, а также административные учетные данные и точки доступа для каждого процесса. Информация собирается из баз данных управления конфигурациями (CMDB), архитектурных документов и в ходе опросов владельцев систем. Особое внимание уделяется зависимостям и требованиям к восстановлению, включая соглашения об уровне обслуживания (SLA).
Приоритизация рисков фокусируется на выявлении «узких мест» и путей, которыми могут воспользоваться злоумышленники. Оцениваются уязвимости, создающие прямые маршруты к критическим системам. На основе этих данных формируется список приоритетных задач, где главным критерием является влияние на бизнес, а не техническая оценка уязвимости.
Результаты этого анализа преобразуются в конкретные действия. Команды сосредотачиваются на устранении уязвимостей, влияющих на критически важные системы. Прогресс отслеживается не по количеству закрытых тикетов, а по снижению риска для ключевых бизнес-функций. Отчеты для руководства представляются в терминах защиты бизнеса и обеспечения его непрерывности.
Превосходство в области безопасности достигается не за счет увеличения объема работы, а благодаря концентрации на самых важных задачах. Этот подход превращает кибербезопасность из центра затрат в стратегического партнера, обеспечивающего устойчивость и рост бизнеса. Для руководителей, стремящихся эффективно доносить информацию о рисках до высшего звена, доступен бесплатный практический курс «Отчетность по рискам для совета директоров», который обучает представлять безопасность как стратегическую бизнес-функцию.
Изображение носит иллюстративный характер
За последний год в ходе десятков семинаров с клиентами из финансовой, производственной и энергетической отраслей был разработан и усовершенствован четырехэтапный подход к управлению уязвимостями (Exposure Management). Организации, внедрившие эту методологию, сообщили о значительном росте эффективности, а некоторые смогли сократить усилия по устранению уязвимостей до 96%. Директора по информационной безопасности (CISO), руководители служб безопасности и финансовые директора (CFO) подтвердили, что этот подход создает общий язык между техническими специалистами и руководством.
Не все активы равноценны. Технические команды способны определить критически важные серверы или базы данных, но часто упускают из виду системы, поддерживающие ключевые бизнес-процессы: получение дохода, операционную деятельность и доставку продуктов. Именно концентрация на активах, отказ которых вызывает сбой в работе бизнеса, а не просто техническую неполадку, позволяет достигать максимальной эффективности и сокращать объем работ по исправлению на 96%.
Бизнес-контекст меняет приоритеты. Специалисты по безопасности перегружены потоком данных: результатами сканирования, баллами по шкале CVSS и бесконечными оповещениями. Однако «умеренная» уязвимость на платформе, генерирующей доход, представляет больший риск, чем «критическая» на неиспользуемой системе. Приоритизация угроз должна основываться на их потенциальном влиянии на бизнес, а не только на технической серьезности.
Финансовые директора становятся участниками процесса обеспечения кибербезопасности. Вовлеченность руководства, особенно финансового, в принятие решений по кибербезопасности растет. «Наш финансовый директор хочет знать, как мы оцениваем риски кибербезопасности с точки зрения бизнеса», — заявил один из директоров по кибербезопасности. Представление задач безопасности в терминах управления бизнес-рисками является решающим фактором для получения поддержки и утверждения бюджетов.
Для успешного внедрения подхода используется четырехэтапная методология. Она позволяет системно связать безопасность с бизнес-приоритетами:
- Определение критических бизнес-процессов. Анализ того, как компания зарабатывает и тратит деньги, для выявления ключевых операций.
- Сопоставление процессов с технологиями. Связывание этих процессов с поддерживающими их системами, базами данных и учетными данными. Цель — создать достаточно точную, но не избыточную карту.
- Приоритизация на основе бизнес-риска. Фокус на «узких местах» — системах, которые злоумышленники вероятнее всего атакуют для доступа к критическим активам.
- Действие там, где это важно. Устранение в первую очередь тех уязвимостей, которые создают пути к наиболее ценным системам.
Для идентификации критических процессов проводятся встречи с руководителями бизнес-подразделений и анализируются финансовые потоки компании. Составляется краткий список процессов, сбой в которых вызовет наиболее серьезные последствия. Эти процессы и их важность для бизнеса документируются.
На этапе сопоставления определяются поддерживающие системы, базы данных, инфраструктура, а также административные учетные данные и точки доступа для каждого процесса. Информация собирается из баз данных управления конфигурациями (CMDB), архитектурных документов и в ходе опросов владельцев систем. Особое внимание уделяется зависимостям и требованиям к восстановлению, включая соглашения об уровне обслуживания (SLA).
Приоритизация рисков фокусируется на выявлении «узких мест» и путей, которыми могут воспользоваться злоумышленники. Оцениваются уязвимости, создающие прямые маршруты к критическим системам. На основе этих данных формируется список приоритетных задач, где главным критерием является влияние на бизнес, а не техническая оценка уязвимости.
Результаты этого анализа преобразуются в конкретные действия. Команды сосредотачиваются на устранении уязвимостей, влияющих на критически важные системы. Прогресс отслеживается не по количеству закрытых тикетов, а по снижению риска для ключевых бизнес-функций. Отчеты для руководства представляются в терминах защиты бизнеса и обеспечения его непрерывности.
Превосходство в области безопасности достигается не за счет увеличения объема работы, а благодаря концентрации на самых важных задачах. Этот подход превращает кибербезопасность из центра затрат в стратегического партнера, обеспечивающего устойчивость и рост бизнеса. Для руководителей, стремящихся эффективно доносить информацию о рисках до высшего звена, доступен бесплатный практический курс «Отчетность по рискам для совета директоров», который обучает представлять безопасность как стратегическую бизнес-функцию.
