Внимание широкой общественности к кибербезопасности было привлечено в 2013 г. в результате серии масштабных кибератак и хищений данных. Хактивисты превратились из подростков, сидящих в одиночестве в подвале родительского дома, в участников вполне сложившихся всемирных организаций, таких как Anonymous и другие онлайновые коллективы. Эти группы нанесли целому ряду организаций ущерб на сотни миллионов долларов. Наиболее свежий эпизод — хищение данных из компании Target, это, можно сказать, хрестоматийный пример того, как не следует вести себя в подобных случаях.

Компании должны обеспечить себе в будущем необходимую гибкость, позволяющую справиться с неожиданными и имеющими тяжелые последствия кибератак.

В 2014-м кибератаки продолжатся и станут еще более инновационными и изобретательными. Хотя организации разрабатывают новые механизмы безопасности, киберпреступники, к сожалению, создают все новые приемы для их обхода. Все компании независимо от размера должны обеспечить себе в будущем необходимую гибкость, позволяющую справиться с неожиданными и имеющими тяжелые последствия кибератаками.

В связи с недавним приказом президента Обамы “Совершенствование важнейшей инфраструктуры кибербезопасности” компании США должны теперь создать сеть безопасности для сотрудничества друг с другом и обмена передовым опытом с правительством. Такое распоряжение предусматривает использование всестороннего подхода к управлению рисками для создания устойчивой контролирующей среды посредством управления операционными рисками. Приказ требует также от компаний защитить личные сведения и гражданские свободы, непрерывно вести мониторинг имеющихся угроз и соблюдать ряд общих стандартов информационной безопасности, включая ISO, SANS 20 и COBIT. Сходные тенденции наблюдаются и в Европе. Правительство Великобритании готовится выпустить для компаний руководство по безопасному использованию киберпространства, а Европейский союз продолжает совершенствовать требования к защите данных и личных сведений.

Для корпоративного управления рисками важно прежде всего понять характер угроз. Главное, что мы отметили в последние годы на форуме по информационной безопасности, это развитие киберугроз. Атакующие стали более организованными, атаки — более изощренными, почти все угрозы — более опасными и несущими больший риск просто потому, что они достигли такого уровня развития. Квалификация стоящих за этими атаками людей тоже существенно повысилась.

Коммерческие, репутационные и финансовые риски, создаваемые кибератаками, реальны, и они растут. Размах и сложность угроз информационной безопасности продолжают нарастать. Компаниям, не сумевшим подготовиться к ним сегодня, придется столкнуться с этими проблемами завтра. Хотя отдельные угрозы по-прежнему представляют риск, наибольшую опасность для компаний представляют их сочетание и быстрота организации атак.

Привлеките правление к поискам решения

Управление киберрисками и информационными рисками быстро переросло в более широкую проблему, и ему должно уделяться такое же внимание, как управлению операционными и другими хорошо известными рисками. Сегодня стремление ко все большей скорости и гибкости, растущее значение полной цепочки поставок и углубляющаяся зависимость от различных технологий, таких как облачные вычисления и BYOD (“приноси свое устройство”), представляют только некоторые из проблем, с которыми приходится сталкиваться организациям.

CIO должны устанавливать контакты с правлениями своих компаний, чтобы те правильно понимали информационные риски и соответственно управляли ими, двигаясь к своим стратегическим целям. Один из важнейших тезисов, которые я постоянно слышу, общаясь с CIO и членам правлений по всему миру, гласит, что спектр корпоративных рисков меняется количественно и качественно такими темпами, что многим компаниям трудно за ними поспевать.

CIO непременно должны играть лидирующую роль и привлекать членов правления к поискам решений. Им необходимо представить сложный мир информационной безопасности и информационных рисков в виде доступных пониманию правления проблем и решений. Кроме того, CIO следует изменить образ мысли членов правления и диктуемый им характер обсуждения, чтобы информационные риски рассматривались наряду с прочими находящимися в поле зрения правлений.

Я все чаще вижу, как наиболее известные CIO согласовывают или, еще лучше, объединяют стратегии безопасности с инициативами и проектами по развитию бизнеса. Для тех, кто работает на предприятиях, где безопасность не считается одной из главных проблем, это по-прежнему представляет трудность.

Когда дело касается кибербезопасности, CIO должны задать себе и членам правления следующие пять вопросов.

  1. Как кибербезопасность в целом и информационная безопасность в частности способствуют достижению приоритетных целей нашего бизнеса, таких как привлечение и удержание клиентов, сохранение или увеличение конкурентного преимущества и содействие инновациям?
  2. Если произойдет самое худшее, сможем ли мы честно заявить нашим клиентам, партнерам и регулирующим органам, что нами были приняты все необходимые меры в пределах разумного?
  3. Готовы ли мы к будущему?
  4. Как нам проверить свое понимание информационных рисков и управления ими?
  5. Не следует ли нам, организации или ее правлению, изменить свой подход?

Вовлечение кого-либо в решение данных задач предполагает разъяснение полезности информационной безопасности и ее ценности. В идеале вовлечение правления компании по инициативе CIO и при поддержке руководства будет проактивным, что послужит гарантией адекватного управления информационными рисками.

Важность подготовки

Сегодня ставки выше, чем прежде. Главные корпоративные секреты и важнейшая инфраструктура непрерывно подвергаются настойчивым атакам. Организациям необходимо знать, какие важные тенденции в этой области возникли или изменились за прошлый год, а также те, к которым следует подготовиться в 2014 г.

Организации независимо от размера действуют в мире, где информация играет все большую роль, а традиционное управление рисками не обладает достаточной гибкостью для защиты от действий, исходящих из киберпространства. Корпоративное управление рисками должно быть расширено для обеспечения устойчивости к рискам. Это требует заблаговременной подготовки, в ходе которой векторы угрозы оцениваются с позиций приемлемости для бизнеса и определения профиля риска. Организации в той или иной степени контролируют эволюционирующие угрозы безопасности — от возникающих в киберпространстве до исходящих от инсайдеров, но ввиду быстроты и сложности ежедневного изменения панорамы угроз я слишком часто вижу, как организации за ними не поспевают и порой принимают меры уже после того, как им нанесен репутационный и финансовый ущерб.

Время пришло

Хотя компаниям практически бесполезно пытаться избежать любых крупных инцидентов, отдельные организации придерживаются зрелого, структурированного подхода к анализу допущенных ошибок. Все организации независимо от размера должны немедленно оценить свое нынешнее положение и убедиться, что они готовы и намерены решать эти непрерывно эволюционирующие проблемы.

Вот три шага, которые компании могут предпринять, дабы убедиться, что они должным образом оснащены и смогут справиться с возникающими в киберпространстве опасностями.

  1. Подготовьтесь к стратегическим проблемам оперирования в киберпространстве, используя систему или набор политик, таких как ISF Standard of Good Practices или NIST Cyber Framework, чтобы начать процесс стандартизации и консолидации заложенного там подхода к обеспечению кибербезопасности. Это будет способствовать повышению устойчивости к маловероятным и наиболее разрушительным событиям, которые способны угрожать выживанию и успеху организации, и созданию всеобъемлющей структуры безопасности для поддержания эффективного управления информационными рисками.
  2. Согласуйте вопросы кибербезопасности с интересами акционеров компании, сопоставив деятельность вашей организации со стандартами других компаний и секторов экономики и создав общую картину состояния информационной безопасности в бизнесе. Это также позволит вам сравнить производительность труда у вас и в других ведущих организациях и выявить для дальнейшего изучения те области, в которых вы слабее. Это позволит вам получить поддержку заинтересованных лиц и направить вложения именно туда, где они принесут наибольшую пользу бизнесу.
  3. Определите последствия для бизнеса и области смягчения рисков, используя методологию оценки рисков. Посредством структурированной оценки последствий для бизнеса, определения угроз и уязвимостей и их значимости для вашей компании или организации вы сможете оценить и отобрать средства управления для снижения вероятности возникновения серьезных инцидентов.

Используя реалистичный и основанный на сотрудничестве подход к кибербезопасности и киберустойчивости, CIO будут лучше подготовлены к пониманию подлинной природы сегодняшних глобальных киберугроз и адекватному реагированию на них. В 2014 г. это будет иметь очень большое значение.