Управление киберрисками – это скоординированное управление процессом сбора, обработки и анализа оперативной информации, а также технологическими и финансово-хозяйственными операциями с целью обеспечить эффективное управление информационными активами организации для предотвращения нежелательных последствий. Звучит, на первый взгляд, сложно. Но на самом деле это весь бизнес-процесс, посредством которого бизнес защищает свои жизненно важные активы и репутацию от внешних и внутренних угроз со стороны физических лиц или организаций. При этом процесс не ограничивается техническими мероприятиями. Любой компании необходимо рассматривать управление киберрисками в качестве неотъемлемой части управления своим собственным бизнесом и контроля рисков. Узнать больше можно на сайте CRS.
Предпосылок для формализации процессов управления кибер-рисками несколько:
- оцифровка (или «диджитализация») современного бизнеса. Уже практически не осталось отраслей, которые не вовлечены в киберпространство, и размер компаний уже также не играет роли;
- попадание самого человека в охват применения кибер-рисков. Человек даже сам по себе уже является информационным активом, который необходимо защищать;
- рост зависимости областей безопасности друг от друга. Например, физической безопасности от интернета вещей;
- потребность топ-менеджеров в простом и понятном инструменте оценки безопасности и ее развития.
В мире существует множество методологий построения процессов управления рисками и первичной оценки рисков. Coras, CRAMM, PRISM, RiskWatch, OCTAVE – это всего лишь малая часть перечня существующих практических методик. Есть унифицированные методики, есть отраслевые. Опытному консультанту не составит труда выстроить процессы оценки и управления кибер-рисками в рамках любой из них. Базовые принципы едины и их логический ряд выстроен единственно правильной цепочкой задолго до появления информационных технологий.
Если вы никогда ранее не касались управления рисками, в компании не знают, что такое карта рисков и для чего она нужно, то стоит начинать с анализа рисков. Его проводят даже при внедренных и отлаженных процессах управления, потому что кибер-риски – субстанция весьма живая и изменяются они довольно часто и сильно. При первичной оценке рисков необходимо в первую очередь определить цели управления кибербезопасностью компании. После этого важно определить критически важные элементы, которые влияют на ключевые бизнес-процессы компании. Каждый риск, в классическом понимании, оценивается по двум параметрам: вероятности и потенциальному ущербу. Исходя из этих количественных показателей формируется карта рисков и их приоритет. Такую оценку необходимо проводить регулярно, расширяя карту рисков, чтобы охватить как можно больше потенциальных рисков для компании.
