Защищены ли ваши критически важные данные, информация о клиентах и личные дела персонала от вторжения киберпреступников, хакеров и даже от внутреннего нецелевого использования или уничтожения?
Если вы уверены, что ваши данные в безопасности, то другие компании чувствуют то же самое:
Target, одна из крупнейших розничных компаний в США, в 2013 году стала жертвой масштабной кибератаки, в результате которой были скомпрометированы личные данные 110 миллионов клиентов и 40 миллионов банковских записей. Это привело к долгосрочному ущербу для имиджа компании и выплате компенсации в размере более 18 миллионов долларов.
Известная кредитная компания Equifax подвергалась атаке в течение нескольких месяцев, о чем стало известно в июле 2017 года. Киберворы похитили конфиденциальные данные более 143 миллионов клиентов и 200 000 номеров кредитных карт.
Это лишь примеры атак, получивших широкую огласку, которые привели к значительным штрафам и выплатам. Не говоря уже об ущербе для имиджа бренда и общественного восприятия.
Исследование "Лаборатории Касперского" в области кибербезопасности выявило 758 миллионов злонамеренных кибератак и инцидентов безопасности по всему миру в 2018 году, причем треть из них произошла в США.
Как защитить свой бизнес и информационные активы от инцидентов безопасности?
Решение заключается в наличии стратегического плана, приверженности управлению рисками информационной безопасности.
Что такое управление рисками информационной безопасности? Определение
Управление рисками информационной безопасности, или ISRM, - это процесс управления рисками, связанными с использованием информационных технологий.
Другими словами, организациям необходимо:
- Определить риски безопасности, включая виды рисков компьютерной безопасности.
- Определить "системных владельцев" критически важных активов.
- Оценить допустимый риск предприятия и приемлемые риски.
- Разработать план реагирования на инциденты кибербезопасности.
Построение стратегии управления рисками
Оценка рисков
Профиль риска включает в себя анализ всех информационных систем и определение угроз для вашего бизнеса:
- Риски сетевой безопасности
- Риски безопасности данных и ИТ
- Существующие организационные средства контроля безопасности
Комплексная оценка ИТ-безопасности включает риски, связанные с данными, анализ проблем безопасности баз данных, возможность утечки данных, сетевые и физические уязвимости.
Устранение рисков
Действия, предпринимаемые для устранения уязвимостей с помощью различных подходов:
- Принятие риска
- избежание риска
- управление рисками
- Управление инцидентами
- Планирование реагирования на инциденты
Разработка корпоративного решения требует тщательного анализа угроз безопасности информационных систем вашего предприятия.
Оценка и обработка рисков - это итеративные процессы, требующие привлечения ресурсов из различных областей вашего бизнеса: HR, IT, юридического отдела, отдела по связям с общественностью и других.
Не все риски, выявленные при оценке рисков, будут устранены при обработке рисков. Некоторые из них будут определены как приемлемые или малозначительные риски, не требующие немедленного принятия плана лечения.
Существует несколько этапов, которые необходимо рассмотреть при оценке рисков информационной безопасности.
Этапы оценки рисков безопасности
Полезное руководство по принятию системы управления рисками предоставлено Национальным институтом стандартов и технологий Министерства торговли США (NIST). Эта добровольная система описывает этапы программ ISRM, которые могут быть применимы к вашему бизнесу.
Идентификация - анализ рисков, связанных с данными
Этот этап представляет собой процесс идентификации ваших цифровых активов, которые могут включать в себя самую разнообразную информацию:
Финансовая информация, которая должна контролироваться в соответствии с законом Сарбейнса-ОкслиЗаписи о здравоохранении, требующие конфиденциальности в соответствии с законом о переносимости и подотчетности медицинского страхования, HIPAA
конфиденциальная информация компании, такая как разработка продукции и коммерческие секреты
данные о персонале, которые могут подвергнуть сотрудников рискам кибербезопасности, например, правилам кражи личных данных.
Для тех, кто имеет дело с операциями по кредитным картам, - соответствие стандарту безопасности данных индустрии платежных карт (PCI DSS).
На этом этапе вы не только оцените потенциальный риск потери или кражи данных, но и определите приоритетные шаги, которые необходимо предпринять, чтобы минимизировать или избежать риска, связанного с каждым типом данных.
Результатом этапа Identify является понимание ваших основных рисков информационной безопасности и оценка всех уже имеющихся средств контроля для снижения этих рисков. Анализ на этом этапе позволяет выявить такие вопросы безопасности данных, как:
Потенциальные угрозы - физические, экологические, технические и связанные с персоналом.
Уже существующие средства контроля - надежные пароли, физическая безопасность, использование технологий, доступ к сети.
Активы данных, которые следует или необходимо защищать и контролировать.
Это включает категоризацию данных для управления рисками безопасности по уровню конфиденциальности, соответствия нормативным требованиям, финансового риска и приемлемого уровня риска.
Защита - управление активами
Как только вы осознаете риски безопасности, вы можете предпринять шаги по защите этих активов.
Это включает в себя целый ряд процессов, от внедрения политик безопасности до установки сложного программного обеспечения, обеспечивающего расширенные возможности управления рисками данных.
- Обучение сотрудников навыкам безопасного обращения с конфиденциальной информацией.
- Внедрение средств контроля доступа, чтобы доступ к информации имели только те, кому она действительно необходима.
- Определите средства контроля безопасности, необходимые для минимизации последствий инцидентов безопасности.
- Для каждого выявленного риска определите соответствующего "владельца" бизнеса, чтобы получить согласие на предлагаемые средства контроля и допустимый риск.
- Создайте должность сотрудника по информационной безопасности, который будет централизованно заниматься оценкой рисков безопасности данных и снижением рисков.
Внедрение
Этап внедрения включает в себя принятие официальных политик и средств контроля безопасности данных.
Эти средства контроля будут включать в себя различные подходы к рискам управления данными:
- обзор выявленных угроз безопасности и существующих средств контроля
- Создание новых элементов управления для обнаружения и локализации угроз
- Выбор инструментов сетевой безопасности для анализа фактических и предполагаемых угроз
- Установка и внедрение технологии для оповещения и фиксации несанкционированного доступа
Оценка средств контроля безопасности
Как существующие, так и новые средства контроля безопасности, принятые в вашем бизнесе, должны регулярно подвергаться проверке.
- Убедитесь, что оповещения направляются в нужные ресурсы для принятия немедленных мер.
- Убедитесь, что по мере добавления или обновления приложений проводится постоянный анализ рисков, связанных с данными.
- Меры сетевой безопасности должны регулярно проверяться на эффективность. Если ваша организация включает функции аудита, были ли рассмотрены и утверждены меры контроля?
- Были ли опрошены владельцы бизнеса данных (заинтересованные стороны), чтобы убедиться в приемлемости решений по управлению рисками? Подходят ли они для соответствующей уязвимости?
Авторизация систем информационной безопасности
Теперь, когда у вас есть полное представление о ваших критически важных данных, определены угрозы и установлены средства контроля для процесса управления безопасностью, как обеспечить его эффективность?
Этап авторизации поможет вам решить этот вопрос:
- Уведомляются ли нужные лица о текущих угрозах? Делается ли это оперативно?
- Проанализируйте предупреждения, генерируемые вашими средствами управления - электронные письма, документы, графики и т.д. Кто отслеживает реакцию на предупреждения?
На этом этапе авторизации необходимо изучить не только то, кто информируется, но и какие действия предпринимаются и как быстро. Когда ваши данные находятся под угрозой, время реакции имеет огромное значение для минимизации кражи или потери данных.
Мониторинг рисков
Принятие системы управления информационными рисками имеет решающее значение для обеспечения безопасной среды для ваших технических активов.
Внедрение сложной программной системы контроля и управления оповещениями является эффективной частью плана по управлению рисками.
Постоянный мониторинг и анализ имеют решающее значение. Киберворы ежедневно разрабатывают новые методы атак на ваши сети и хранилища данных. Чтобы не отстать от этого натиска, необходимо регулярно пересматривать отчетность, оповещения и показатели.
Создание эффективной программы управления рисками безопасности
Борьба с киберпреступниками и пресечение внутренних угроз - сложный процесс. Обеспечение целостности и доступности данных в рамках управления рисками предприятия необходимо для ваших сотрудников, клиентов и акционеров.
Создайте свой процесс управления рисками и предпримите стратегические шаги, чтобы сделать безопасность данных фундаментальной частью ведения бизнеса.
В целом, лучшие практики включают:
- Внедряйте технологические решения для обнаружения и устранения угроз до того, как данные будут скомпрометированы.
- Создайте отдел безопасности с подотчетностью.
- Обеспечить соблюдение политик безопасности.
- Сделать анализ данных совместной работой ИТ- и бизнес-заинтересованных сторон.
- Убедитесь, что оповещения и отчеты имеют смысл и эффективно направляются.
Проведение полной оценки информационной безопасности и управление рисками предприятия необходимы для выявления уязвимостей.
Разработайте комплексный подход к информационной безопасности.