Чек-лист TAdviser:
Что вы знаете о кибербезопасности вашей компании?
Представляем краткий чек-лист для топ-менеджеров: попробуйте ответить на вопросы Positive Technologies и узнайте, стоит ли вам задуматься о состоянии кибербезопасности вашей организации. Ниже — пять простых вопросов. Ответив на них «Да» или «Нет», вы сможете понять, насколько ваш бизнес готов противостоять киберугрозам. Нужна ли вам вообще кибербезопасность? Готовы ли вы к хакерским атакам? И как в итоге обеспечить результативную кибербезопасность компании?
Существуют ли неприемлемые для вашей компании события?
Неприемлемые события — это события, которые являются критически опасными для бизнеса. У каждой организации список подобных событий может быть свой. Например, для промышленного предприятия это длительный простой производства или техногенная катастрофа. Для госорганизации — утечка конфиденциальных данных или попадание важной информации в руки недружественной киберразведки. Для банка неприемлемым событием может быть кража финансов клиентов. Существуют также неприемлемые события, суть которых не зависит от отрасли или профиля компании, — например, похищение коммерческой тайны или разглашение личных данных топ-менеджмента.
Эти события есть, но не оформлены и о них знают только топ-менеджеры?
Будут ли это события, которые затрагивают всю компанию целиком или только собственные интересы владельцев, — вопрос открытый. Важно сформулировать этот перечень, положить на бумагу и донести до всех заинтересованных лиц. ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября
Главное — этого списка не надо бояться: какими бы ни были его пункты, ответ должен быть максимально честным, даже если учитывает только личные интересы руководства. Сформулируйте неприемлемые события на уровне топ-менеджмента. Их точно будет немного: в среднем 4–5. Они позволят вам очертить главные цели работы службы ИБ — понять, какие события с компанией не должны случиться ни при каких условиях, — и задать показатели ее эффективности для бизнеса.
Связаны ли эти события с компьютерами и серверами?
Зона ответственности службы ИБ — безопасность ИТ-инфраструктуры компании. Специалист по ИБ не может повлиять на ваши продажи, сделать продукт лучше, чем у конкурента, или повысить эффективность работы других сотрудников. Задайте себе вопрос: связано ли хоть одно неприемлемое событие из описанных вами с компьютерами?
Ответ «Нет»? Тогда вам попросту не нужна выделенная кибербезопасность, как бы шокирующе это ни звучало. Вполне возможно, хватит и сил IT-подразделения: развернуть и поддерживать антивирусы, поставить антиспам на почту.
А если ответ «Да»? Тогда работа службы ИБ является одной из ключевых в вашей компании, ведь от нее зависит стабильное функционирование и существование бизнеса.
Решения о развитии компании топ-менеджмент принимает без привлечения руководителя службы ИБ?
Открытие новых филиалов, внедрение IT-систем, создание новых бизнес-процессов или реорганизация старых — все эти действия непосредственно влияют на IT-инфраструктуру компании. Если в процессе обсуждения перед реализацией изменений не участвует представитель подразделения ИБ, то можно уверенно сказать, что компания подвергает себя неоправданному риску. Новый филиал, не покрытый средствами защиты, могут взломать, добравшись до «головы» за считаные часы. Выбранная версия IT-системы может оказаться уязвимой, и известно об этом станет только после атаки. Реорганизованный процесс откроет для хакеров новые векторы проникновения, а служба ИБ либо не успеет вовремя среагировать, либо не узнает об этом.
Изменения должны проектироваться с учетом вопросов кибербезопасности, безопасность не должна следовать за уже состоявшимися действиями. Конечно, можно и так, но это будет дороже, дольше и сложнее.
Как вы думаете, сообщат ли сотрудники вашей компании о возможных проблемах ответственным подразделениям ИБ?
Не секрет, что сотрудники зачастую могут просто не обратить внимания на опасный файл, который «прилетел» им по электронной почте. Плохо, если персонал в целом не знает, как распознавать подозрительные письма, ссылки или запросы якобы «от коллег», потому что никто из департамента ИБ не провел для них соответствующую лекцию (на удочку злоумышленника могут попасться все, даже топ-менеджеры).
Эта неосведомленность ведет к тому, что компания рано или поздно может оказаться под угрозой. Без обучения основам ИБ не стоит надеяться на эффективную работу технологий, так как в любой системе человек является самым уязвимым звеном. Куда страшнее, впрочем, если сотрудник понял, что на его рабочем компьютере произошло нечто странное, но никому не сообщил об этом, поскольку побоялся санкций, штрафов или выговора. Работа с кибербезопасностью — это также и работа с корпоративной культурой. Если сотрудники не будут бояться быстро рассказывать о своих подозрениях, атаки можно будет выявлять гораздо раньше — возможно, еще до того, как хакер достигнет цели.
Результаты
Если вы ответили «Да» на два и более вопросов, то вам стоит задуматься о том, каково состояние информационной безопасности вашего бизнеса на текущий момент. Как обеспечить максимально эффективную защиту от киберугроз, знают специалисты Positive Technologies.
Если вы ответили «Да» на один вопрос чек-листа или по результатам теста у вас все ответы «Нет», полагаем, что в вашей компании ведется активная работа по защите от киберугроз. Вы наверняка следите за новинками на рынке ИБ, а значит, вы уже в курсе, что 14 декабря состоится Positive Launch Day. Если еще нет, то приглашаем вас. Регистрация — по ссылке.
14 декабря состоится Positive Launch Day, где топ-менеджеры и ведущие эксперты компании расскажут о запуске нового решения PT Extended Detection and Response (PT XDR), которое позволяет оперативно выявлять киберугрозы и реагировать на них. Почему на это стоит обратить внимание? К идее этого решения в Positive Technologies пришли, испытав на себе все сложности обеспечения собственной киберзащиты. Если вам интересен этот опыт, регистрируйтесь на онлайн-презентацию по ссылке.