17 Июля 2023 14:49 17 Июл 2023 14:49 | фото: photogenica.ru |

Поделиться

Какие вопросы топ-менеджер должен задать своему CISO о защищенности его компании

Результативная кибербезопасность связана с достижением бизнес-результатов и с невозможностью реализации недопустимых для каждого отдельного бизнеса событий. При этом директора по информационной безопасности (chief information security officers, CISO) могут испытывать сложности при внедрении в организации правил и практик перехода к результативной кибербезопасности. Представители руководства не всегда понимают, чтó стоит за работой директора по ИБ и как оценить его деятельность за пределами выполнения нормативных требований. Вопросами, которые топ-менеджмент должен обсуждать с CISO для оценки защищенности своего бизнеса, эксперты Positive Technologies поделились на вебинаре открытого образовательного проекта #Агент250.

Киберсловарь для заместителя гендиректора по ИБ

Заботиться о вопросах кибербезопасности организации должен не только CISO, но и топ-менеджер — заместитель генерального директора, назначенный по Указу Президента РФ № 250. Если такой должности ранее не было, она должна появиться в штате. Согласно правовому акту, он должен выполнять связующую роль между главой бизнеса и специалистами по безопасности. Мы подготовили словарь с ключевыми определениями, которые помогут заместителям генерального директора базово ознакомиться с концепцией результативной кибербезопасности:

1. Недопустимое событие — событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей организации или приводящее к длительному нарушению ее основной деятельности.
2. Киберучения — инструмент для объективной и достоверной оценки защищенности бизнеса. Приглашенная команда этичных хакеров пытается реализовать недопустимое событие в IT-инфраструктуре компании и составляет по итогам аналитический отчет. Это позволяет организации приоритизировать задачи по развитию ИБ.
3. Багбаунти — также инструмент для объективной оценки защищенности. Отличается от киберучений отсутствием ограничений по времени и тем, что к реализации недопустимого события привлекается неограниченное число этичных хакеров (багхантеров). За найденные уязвимости и реализацию недопустимого для компании события багхантерам выплачивается денежное вознаграждение.
4. Центр противодействия киберугрозам (ЦПК) — организационная структура, которая занимается мониторингом факторов, способствующих реализации недопустимых событий, реагирует на действия злоумышленников и минимизирует их негативные последствия. Мониторингу подлежат только системы, которые являются целями злоумышленников при реализации недопустимых событий или могут участвовать в таких событиях. Это позволяет сократить время и финансовые затраты на построение защиты.

Недопустимые события: кейс Positive Technologies

Общими усилиями CISO и представителей топ-менеджмента компания Positive Technologies сформировала и выстроила свою стратегию защиты. С ростом бизнеса удалось перейти от большого количества абстрактных киберрисков к трем ключевым недопустимым событиям:

1. Внедрение вредоносного кода в продукты. Атаки на цепочку поставок потенциально опасны для всех разработчиков программного обеспечения. Злоумышленники при внедрении вредоносного кода в продукты IT-компании могут получить доступ к инфраструктуре ее клиентов. Это негативно скажется на репутации.
2. Кража средств с расчетного счета. Потеря любого количества денег в результате кибератаки — неприятное событие. Сам факт хищения говорит о том, что злоумышленники теперь имеют доступ к расчетным счетам, а значит в будущем могут похитить гораздо большую сумму, которая могла быть потрачена, например, на запуск новых продуктов. Кроме того, в случае вывода критической для бизнеса суммы, станет невозможно вести операционную деятельность. В прошлом году Positive Technologies вышла на багбаунти по реализации недопустимого события — перевода денежных средств со счета компании, а в этом году подняла вознаграждение багхантерам до 30 млн рублей.
3. Утечка чувствительной информации. Каждая компания самостоятельно определяет, какие данные считать чувствительными. Для Positive Technologies важно в первую очередь защитить результаты аудитов клиентов.

Идеально, если руководство компании может в любой момент времени сформулировать недопустимые события. При этом роль службы ИБ сводится лишь к предоставлению технических знаний, но никак не подразумевает определения того, что неприемлемо для бизнеса.

Как правильно построить общение с CISO

Пройдя путь построения результативной кибербезопасности, Positive Technologies подготовила рекомендации в формате «вопрос — ответ». Они позволят заместителю генерального директора лучше понять, какие вопросы стоит задавать CISO, — и если его ответы сходятся с представленными здесь, то будьте уверены: безопасность в надежных руках.

1. В чем ответственность CISO перед бизнесом?

Директор по информационной безопасности отвечает не за предоставление отчетов и результаты показателей SLA в части реагирования на инцидент, а за наличие в компании перечня недопустимых событий с возможными векторами атак, просчитанным ущербом и планом мероприятий по усилению защиты целевых и ключевых систем.

2. Как служба ИБ проверяет, защищена ли компания от реализации недопустимых событий?

Сертифицированные информационные системы, соблюдение требований регуляторов и соответствие международным стандартам — не гарантия высокого уровня безопасности. Служба ИБ привлекает экспертов рынка для оценки защищенности в формате киберучений или багбаунти. Такие специалисты ищут способы реализации недопустимых событий. Если эксперты раз за разом их не находят, руководители могут быть уверены: недопустимое — невозможно.

3. Может ли служба ИБ гарантировать защищенность компании прямо сейчас? Что изменится через год?

Любую компанию сегодня можно взломать и реализовать недопустимые для нее события (цифровизация быстро шагает вперед, связей с другими организациями становится больше, а значит, возможны атаки и через партнеров). Чтобы это изменить, нужно формулировать задачи в сфере ИБ, руководствуясь целью защиты от недопустимого, и регулярно проводить независимую оценку безопасности. У CISO есть план развития процессов кибербезопасности, выполнение которого гарантирует невозможность реализации недопустимых событий через год (или через другой конкретный промежуток времени).

4. Как защищенность компании зависит от финансовых вложений? Насколько эффективно наша команда инвестирует в кибербезопасность?

Уровень безопасности организации не всегда зависит от инвестиций в информационную безопасность.Повсеместная автоматизация и растущие возможности злоумышленников гарантируют, что в будущем киберинцидентов станет больше. И хотя прямой связи между инвестициями и построением результативной кибербезопасности нет, следует сосредоточиться на наиболее важном с точки зрения бизнеса — на предотвращении недопустимых событий. В этом случае эффективность вложений определяется невозможностью остановки операционной и стратегической деятельности компании.

Успешная коммуникация службы ИБ и топ-менеджмента — важная составляющая результативной кибербезопасности, но не единственная. В условиях агрессивной цифровой среды необходимо наладить взаимодействие еще и с сообществом ИБ. Только вместе можно сдержать натиск киберпреступников, поэтому необходимо использовать проверенные коллегами чек-листы, лучшие практики и актуальные методики и быть частью комьюнити.

Поделиться

Подписаться на новости Короткая ссылка