Covid-19 и кибербезопасность. Или Пять советов по информационной безопасности

Covid-19 и кибербезопасность. Или Пять советов по информационной безопасности

В условиях пандемии бизнесы перешли на удаленную работу. Онлайн-формат дает новые возможности, но ставит перед бизнесом и задачи, которые нужно решать для стабильной работы компании. Среди таких задач – вопросы информационной безопасности.

Обычно тема организации информационной безопасности проявляется в компаниях, которые столкнулись с живыми примерами киберугроз: где-то поработал вирус-шифровальщик, взломали сервер и украли клиентскую базу данных, увели деньги с расчетного счета.

Часто после этого совершают распространенную ошибку: концентрируются только на технологической стороне вопроса, выбирая ит-продукт для защиты от угроз, с которыми уже столкнулись или услышали от коллег.

Такой подход приводит к появлению фрагментарной (неполной) информационной безопасности. Часто с неоптимальным бюджетом.

Целостный подход предполагает построение системы «от бизнеса». Перечислю базисные пункты, которые советую «пройти» ответственным за информационную безопасность.

1. Согласовать инициативы по кибербезопасности с текущими целями и задачами бизнеса

Изучить бизнес-стратегию компании. Определить вместе с менеджментом и стейкхолдерами, какие активы (в том числе информационные) и процессы важные для этой стратегии. Таким образом, выявить критические звенья бизнеса: список активов и процессов, которые влияют на успех компании.

Уже для этого списка сформировать перечень внутренних и внешних угроз. Оценить их и составить список контрдействий по устранению или смягчению таких угроз.

Это позволит бизнесу выделять ресурсы на кибербезопасность туда, где они будут приносить пользу, вместо распыления и перерасхода на бесконечный список точечных мер по защите.

К примеру, логистическая компания стремится снизить холостой пробег своих грузовиков. С этой целью внедряется система диспетчеризации, которая автоматически строит маршрут доставки товаров к заказчикам так, чтобы за наименьший пробег в день объехать больше всего клиентов.

Выделяем риски. Если система становится недоступной для распечатки маршрутных листов утром – все грузовики останутся на стоянке (потеря денег). Если сотрудник или внешний партнер, обрабатывающий заказ, сможет получить список всех клиентов, их заказов и стоимость счетов за логистику – есть риск что заказчиков могут увести к конкурентам. И т.д.

С такой картой рисков может оказаться, что вместо покупки нового оборудования за десятки тысяч долларов («я слышал, коллега из соседней фирмы купил и у него теперь с кибербезопасностью все ок»), правильнее будет настроить полномочия пользователей в инфо-системе и подключить резервный интернет-канал.

2. Пользуйтесь «моделями зрелости»

Рекомендую ознакомится с концепцией «модели зрелости» (Capability Maturity Model) и применить к своей компании.

Можно взять, например, адаптированную к общему применению модель Департамента Энергетики США Cybersecurity Capability Maturity Model (C2M2).

C2M2 помогает организациям, вне зависимости от их размера или отрасли – оценить где компания находится сейчас, определить приоритеты и усовершенствовать свою кибербезопасность.

Эти инструменты позволяют менеджменту ставить долгосрочные цели и легко отслеживать прогресс. Применение моделей зрелости позволяет организациям определять собственные сильные и слабые стороны.

В кибербезопасности модель зрелости дает руководству способ оценить прогресс, достигнутый в обеспечении безопасности в повседневных и стратегических задачах, и поддерживать постоянное развитие.

3. Кибербезопасность – непрерывный процесс. Важна не только техническая, но и организационная составляющая

Не изобретайте велосипед. Существуют готовые cybersecurity framework, где описано как организовать регулярную работу по обеспечению кибербезопасности. Например, NIST CyberSecurity Framework или ISO 27001:2013

Рекомендую обратить внимание на ISO 27001:2013. Этот стандарт внедрен в крупных компаниях Украины, есть сертифицирующие организации, есть компании, которые могут проводить регулярные аудиты на соблюдение ISO. Это так же важно.

4. Техническая составляющая

Многие угрозы из «карты рисков» устраняются типовыми техническими решениями. Это предмет отдельной статьи. Отмечу два полезных момента.

Концепция низко висящих фруктов. То, что реализуется быстро и дает эффект – лучше делать вначале, чем то, что требует длительного внедрения.

Помнить об интеграции и автоматизации. Связь технических элементов между собой и устранение ручного труда упрощают работу кибербезопасности.

5. Аудиты

Ты управляешь только тем, что регулярно контролируешь и можешь посчитать. Кибербезопасности это тоже касается. Необходимо регулярно анализировать, что реализовано из запланированного, как функционирует спустя время. Аудит важен как по организационным аспектам, так и по техническим.

Решите, кто выполняет аудиты. Подбирайте людей, которые независимы от ит-шников или ключевых сотрудников. Иногда даже лучше привлечь внешнего подрядчика. Иначе появляются риски «скрытия» проблем и недоработок.