Наш подход к киберустойчивости
Случаи хищения злоумышленниками денежных средств со счетов компаний и организаций, к сожалению, множатся.
В прессе регулярно публикуются данные об утечках конфиденциальной информации, от которых страдает репутация организации, допустившей утечку. Еще больше компаний сталкиваются с недоступностью ИТ-сервисов из-за вирусов-шифровальщиков, некорректных действий пользователей и подрядчиков и по другим причинам.
Трудно предположить, что руководители организаций не заинтересованы в сохранности денежных средств (любые потери, так или иначе, могут быть измерены в деньгах). Тем более, что анализ известных нам случаев криминального списания денежных средств показывает – достаточно было инвестировать от 10 до 20% от потерянных сумм в информационную безопасность, чтобы минимизировать вероятность потерь от такого рода злоумышленных действий.
Так в чем же дело?
Ответ прост – руководители организаций нуждаются в профессиональном, но доступно изложенном консалтинге – от чего, почему и как защищаться?
И это должен быть разговор не с ИТ-специалистами о хостах, песочницах, файрволах, антивирусах, и (не дай Бог) SOC. Это, в первую очередь, разговор о бизнесе, киберрисках, устойчивости к киберугрозам, выполнении требований законодательства и инвестициях. Не о затратах, а именно об инвестициях в устойчивое функционирование бизнеса, инвестициях, которые окупятся с лихвой.
Затем естественным образом встанут вопросы об организационной структуре информационной безопасности, кадрах (кто, сколько, где).
После того, как разберемся с организационной структурой, перейдем к созданию процессов управления инцидентами информационной безопасности и (если требуется) их автоматизации. При этом не выпускаем из виду обучение людей.
Отдельная тема – метрики состояния киберустойчивости, вид и содержание информационных панелей для руководителей организации.
Наконец, все создано, внедрено, работает. Поддерживаем работоспособность, совершенствуем…
Это все? Нет!
Не забываем о киберучениях – регулярных проверках реальной киберустойчивости организации и тренировках персонала.
Нам представляется, что вот такой системный консалтинг, привязанный к реальной жизни, учитывающий требования законодательства, опирающийся на анализ угроз, потребности и возможности бизнеса, основанный на четкой дорожной карте, а также на проверенных методиках и технологических решениях, способен существенно поднять уровень кибербезопасности организаций страны.