Лекція 2. Цифрова безпека бізнесу та кібер ризики підприємств в умовах цифрової економіки

Упраління кібер-ризиками

На шляху розуміння бізнесом важливості кібербезпеки з'явилось поняття «кібер-ризику». Саме «кібер-ризик» означає ризик фінансових втрат (прямих і непрямих), повної або часткової зупинки діяльності, а також шкоди репутації організації або приватної особи.

Саме поняття кібербезпеки набагато ширше інформаційних систем і ресурсів, що включає в себе всі ресурси компанії або організації, в тому числі, співробітників, підрядників і партнерів. Будь-яка сфера діяльності або активності, яка може притягнути загрозу реалізації вищезазначених ризиків, формує повне охоплення вже кібер-ризиків.

Управління кібер-ризиками – це фундамент для будь-якої дії у сфері безпеки, чи то впровадження систем або інструментів, або побудова процесів і впровадження правил і політик. Проєкти з управління ризиками часто недооцінюють і не відокремлюють, хоча саме грамотне визначення та управління кібер-ризиками дозволяє розподілити раціонально бюджет на кібербезпеку і грамотно підготуватися до атак і загроз заздалегідь.

Передумов для формалізації процесів управління кібер-ризиками кілька:

 - оцифровка (або «діджіталізація») сучасного бізнесу (практично не залишилося галузей, які не залучені в кіберпростір, і розмір компаній вже також не має значення);
 - потрапляння самої людини до охоплення застосування кібер-ризиків (людина навіть сама по собі вже є інформаційним активом, який необхідно захищати);
 - зростання залежності областей безпеки одна від одної (наприклад, фізичної безпеки від інтернету речей);
 - потреба топ-менеджерів у простому й зрозумілому інструменті оцінки безпеки та її розвитку.

Аналіз ризиків проводять навіть за умови впроваджених і налагоджених процесів управління, тому що кібер-ризики – субстанція дуже жива і змінюються вони досить часто і сильно. Під час первинної оцінки ризиків необхідно в першу чергу визначити цілі управління кібербезпекою компанії. Після цього необхідно визначити критично важливі елементи, які впливають на ключові бізнес-процеси компанії. Кожен ризик, у класичному розумінні, оцінюється за двома параметрами: ймовірності й потенційного збитку, тому виходячи з цих кількісних показників формується карта ризиків і їхній пріоритет. Таку оцінку необхідно проводити регулярно, розширюючи карту ризиків, щоб охопити якомога більше потенційних ризиків для компанії.

На основі проведеної оцінки кібер-ризиків проводиться їхня пріоритезація для бізнесу (показник фінансовий, який зрозумілий представникам топ-менеджменту і бізнес підрозділам). Після того проводиться робота з ризиками, тобто проводять аналіз кожного з ризику, щоб опрацювати заходи роботи з ним. Класичним набором таких заходів є: мінімізація, прийняття, ухилення, перекладання і диверсифікація. Проте в різних методиках можуть виникати нові терміни або інструменти. Завдання цього етапу робіт полягає у виборі правильного інструменту управління для кожного ризику (інструмент може бути переглянутий згодом та змінений). Наприклад, іноді компанії беруть ризик втрати клієнта, розуміючи, що фінансово їм буде невигідно боротися за нього. Так і в кібербезпеці може виявитися, що захист якогось ресурсу або активу є недоцільним, отже простіше застрахувати його втрату або компрометацію.

Наступним етапом є застосування обраних інструментів та заходів управління кібер-ризиками та перевірка їхньої ефективності. В рамках наступного перегляду карти ризиків може виявитися, що обраний метод управління ризиком не виправдав очікувань, або у ризику змінилися його параметри (ймовірність і збитки), що вимагає більш жорсткого або, навпаки, м’якого та не витратного впливу на нього.

Кінцевим етапом є знову оцінка, а точніше перегляд процесів і карти кібер-ризиків на регулярній основі. Саме такий, циклічний підхід допомагає працювати з актуальною інформацією та актуальними погрозами. Таким чином, компанія підтримує максимальний рівень кіберстійкості, керуючи пріоритетними ризиками на сьогоднішній день і керуючи ними ефективно. Кібер загрози не перестануть з’являтися, атак теж менше не стане, тому превентивна оцінка і підготовка до найбільш небезпечних для компанії подій.