Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Управление рисками как важнейший навык CISO

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В прошлом году мы провели исследование, целью которого было выяснить, чем живут директора по информационной безопасности. Тогда я с интересом изучил мнения своих коллег — все-таки достаточно уникальная возможность посмотреть, чем живет отрасль, глазами практикующих профессионалов. Тем интереснее мне было ознакомиться с результатами нового опроса, проведенного через год после первого.

ciso-2019-featured.jpg

Первое впечатление, которое возникает после сравнения результатов этих двух исследований, — информационная безопасность вообще и роль CISO в частности становятся все более значимыми для бизнеса. По крайней мере, по ощущениям трех сотен моих коллег, принявших участие в опросе. Это, безусловно, хороший признак. Как и то, что из списка навыков, наиболее важных для успешного выполнения своих задач, все больше респондентов выбрали «управление рисками» и другие бизнес-навыки.

В чем я не могу согласиться со значительной частью своих коллег — так это в том, что многие до сих пор рассматривают технические компетенции и глубокое знание применяемых IT-систем в качестве ключевых навыков как для работы, так и для своего дальнейшего развития. На мой взгляд, хотя технические знания и являются базовыми для CISO и ему нужно разбираться в новых технологиях, индустрии пора осознать, что сложность применяемых сегодня IT-систем слишком высока, чтобы у руководителей по информационной безопасности даже потенциально могло быть полное представление о технической стороне дела.

Более того, сложность информационных систем будет только возрастать со временем (чего, кстати, ожидает большинство респондентов). Так что приоритетным для руководителя по информационной безопасности должно быть не повышение своих технических компетенций, а развитие таких навыков, как управление рисками, эффективное руководство командой и коммуникации с бизнесом. В современных реалиях все решает именно персонал.

Понимание людей, а не систем

По сути, постоянное усложнение как IT-систем, так и защитных технологий привело к тому, что сейчас ключевые для бизнеса решения принимаются на уровне узких специалистов. Поэтому крайне важно, чтобы, с одной стороны,  руководитель отдела информационной безопасности  мог доверять своим специалистам, а с другой — они также доверяли бы его суждениям и решениям. Но не слепо следовали приказам, а понимали, что они как команда делают общее дело, и имели бы возможность как профессионалы высказывать свою экспертную оценку ситуации. Только тогда CISO может быть уверен, что принимаемые его специалистами решения направлены на улучшение работы бизнеса, а не наоборот.

Иногда, как отмечают респонденты, вместо увеличения штата специалистов по информационной безопасности им охотнее согласовывают увеличение бюджетов на закупку тех или иных решений. И здесь очень важно не поддаться соблазну закупить побольше систем. Гораздо важнее определить ключевые знания и навыки, которыми должны обладать собственные специалисты, и те компетенции, которые вы можете отдать на аутсорсинг. Вообще, на фоне тотальной нехватки специалистов на рынке, на мой взгляд, полезно рассматривать аутсорсинг как способ расширить возможности отдела и ускорить выполнение запросов бизнеса.

От реагирования на инцидент — к управлению рисками

Несмотря на то что роль директора по информационной безопасности стала более важной для ключевых стейкхолдеров — совета директоров или генерального директора, они по-прежнему гораздо чаще обращаются к моим коллегам, когда уже что-то случилось. К счастью, как правило это самое «случилось» — у конкурентов или других игроков той же отрасли. Но это все равно показывает, что в большинстве компаний информационная безопасность не рассматривается как инструмент управления бизнес-рисками. Да и на вопрос о том, как руководство измеряет эффективность отдела ИБ, многие по-прежнему отвечают, что ключевыми показателями до сих пор остаются количество инцидентов или скорость реакции на них.

Это, конечно, важно, но в современной концепции кибериммунитета, которой придерживается «Лаборатория Касперского», успешно защищенной компанией является не та, которая сможет свести к минимуму количество атак, приведших к ущербу, или быстро расследовать инциденты, а та, бизнес которой может, несмотря на эти инциденты, успешно развиваться.

Ведь допустимые риски и приемлемая величина потенциального ущерба от инцидентов различны для разных компаний. Иногда для ускорения развития бизнеса целесообразно применять менее жесткие меры защиты. В других случаях это неприемлемо. Количество инцидентов при этом не может являться единственным мерилом эффективности ИБ. Нужно учитывать и показатели влияния мер ИБ на скорость и стоимость выполнения бизнес-задач.  Поэтому я считаю, что CISO должны в первую очередь уметь адекватно оценивать риски и выстраивать систему информационной безопасности, учитывающую особенности своей организации и ее бизнес-стратегию, а не пытаться защитить компанию от инцидентов любой ценой.

Чаще общайтесь с юристами

Еще один момент, который бросился мне в глаза, — результаты ответа на вопрос о важности коммуникации с разными отделами внутри компаний. А точнее, то, что респонденты отдают слишком низкий приоритет коммуникации с юристами. Сейчас рост сложности ИТ-систем и их взаимосвязей со сторонними сервисами, а также ужесточение законодательства в большинстве стран мира означает, что ни в коем случае не стоит игнорировать возможные юридические последствия решений, принимаемых специалистами по защите информации.

Сейчас общение с юристами респонденты ставят лишь на четвертое место — после финансистов, совета директоров и коллег из IT-департамента. Полагаю, что приоритет общения с юристами должен быть как минимум выше, чем с финансистами. Это было бы логичнее с точки зрения информационной безопасности как инструмента управления бизнес-рисками.

В опросе было еще немало интересных данных, так что рекомендую ознакомиться с полным текстом исследования, который доступен для скачивания (на английском языке) после заполнения формы.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что важно знать о CVSS для эффективной защиты своих ИТ-активов
      Автор KL FC Bot
      В этом году исполнилось 20 лет системе CVSS — Common Vulnerability Scoring System, ставшей общепризнанным стандартом описания уязвимостей. Несмотря на десятилетия использования и четыре поколения стандарта (на сегодня внедрена версия 4.0), рейтингом CVSS продолжают пользоваться неправильно, а вокруг самой системы порой бушуют серьезные споры. Что важно знать о CVSS для эффективной защиты своих ИТ-активов?
      База CVSS
      Как пишут в документации CVSS разработчики системы, CVSS — инструмент описания характеристик и серьезности уязвимостей в программном обеспечении. CVSS поддерживается форумом специалистов по ИБ и реагированию на инциденты (FIRST) и была создана для того, чтобы эксперты говорили об уязвимостях на одном языке, а данные о программных дефектах было легче обрабатывать автоматически. Практически каждая уязвимость, опубликованная в реестрах уязвимостей (CVE, БДУ, EUVD, CNNVD), содержит оценку серьезности по шкале CVSS.
      Эта оценка состоит из двух основных компонентов:
      числовой рейтинг (CVSS score), отражающий серьезность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость; вектор — стандартизованная текстовая строка, описывающая основные характеристики уязвимости: можно ли ее эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость, на какие характеристики уязвимой системы влияет эксплуатация уязвимости (доступность, целостность конфиденциальность) и так далее. Вот как выглядит в этой нотации опасная и активно эксплуатировавшаяся уязвимость CVE-2021-44228 (Log4Shell):
      Base score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
       
      View the full article
    • crabcorner
      Не запускается Планировщик задач и раздел "Управление компьютером"
      Автор crabcorner
      Столкнулся с проблемой, подхватил самовостонавливающийся майнер делающий это через планировщик задач. Майнер успешно удалил через стороннюю утилиту заменяющею его, но оригинальная программа до сих пор не работает. Так же как выяснилось майнер заблокировал весь раздел "управление компьютером". И из-за этого доставляет мне большие проблемы. Помогите в восстановлении Планировщика и остального раздела.
    • kreep69
      Плагин управления KEDR Optimum для MMC
      Автор kreep69
      Добрый день!
      Возник вопрос в части плагина управления KEDR Optimum.
      KEDR Optimum установлен в тестовой среде в составе KES для Windows. 
       
      Удалось найти только плагин для веб-консоли. Подскажите, пожалуйста, где найти плагин управления Kaspersky endpoint detection and response Optimum для MMC?
    • KL FC Bot
      FAQ по использованию ключей доступа (passkeys) и управлению ими от «Лаборатории Касперского» | Блог Касперского
      Автор KL FC Bot
      Отказаться от паролей и цифровых кодов по SMS, подтверждать вход в приложения и на сайты простым отпечатком пальца или улыбкой в камеру — именно так звучит обещание passkeys. А еще passkeys, в отличие от паролей, устойчивы к краже, поэтому новости об утечках вроде недавней, на 16 миллиардов учетных записей, можно будет читать, не хватаясь за сердце.
      Под разными названиями этот способ входа на сайты настойчиво рекомендуют WhatsApp, Xbox, Microsoft 365, YouTube и десятки других популярных сервисов. Но как выглядит использование пасскеев, они же ключи доступа, они же ключи входа, на практике? Мы подробно писали об этом в приложении к аккаунтам Google, а сегодня разберем, как поддерживают passkeys другие сервисы и платформы. В первом посте мы расскажем об основах использования passkeys на одном или нескольких устройствах, а во втором — разберем более сложные случаи, когда нужно войти в свой аккаунт на чужом компьютере, использовать Linux или же хранить ключи доступа на аппаратном брелоке-токене.
      Что такое passkey
      Passkey — это уникальный цифровой ключ входа, созданный для конкретного сайта или приложения. Он безопасно хранится на вашем устройстве: смартфоне, компьютере или специальном USB-брелоке (аппаратном токене) вроде YubiKey или Google Titan Security Key. В момент логина ваше устройство с помощью биометрии или ПИН-кода проверяет, что входите действительно вы. После этого оно отправляет сайту защищенный ответ, созданный на базе этого уникального ключа. Этот механизм хорошо защищает от кражи учетных записей, возможных при использовании паролей, обоими популярными способами — и через фишинговые атаки, и через взлом сайтов. Passkeys работают на устройствах Apple, Google и Microsoft, а при использовании облачной синхронизации в теории доступны на всех ваших устройствах. Подробнее о внутреннем устройстве passkeys — в предыдущем посте про ключи доступа.
       
      View the full article
    • KL FC Bot
      Уязвимость в приложении для управления умным домом Rubetek Home | Блог Касперского
      Автор KL FC Bot
      Умный дом сегодня — это не фантастика из фильмов конца девяностых, а реальность практически каждого жителя мегаполиса. Умные розетки, колонки и телевизоры можно встретить практически в любой современной квартире. А что касается новых домов, то их иногда и вовсе сразу же строят умными, получаются умные жилые комплексы. Их жители могут с единого приложения управлять не только внутриквартирными приборами, но и внешними: домофоном, камерами, шлагбаумами, счетчиками и датчиками пожарной сигнализации.
      Но что будет, если в таком приложении окажется дыра в безопасности? Ответ знают наши эксперты из Global Research and Analysis Team (GReAT). Мы обнаружили уязвимость в приложении Rubetek Home и рассказали, что могло бы случиться с безопасностью владельцев умных квартир и домов — но, к счастью, не случилось.
      Что за уязвимость
      Уязвимость заключалась в отправке чувствительных данных в процессе логирования работы приложения. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки при помощи Telegram-бота.
      Проблема в том, что отправляемые файлы, помимо системной информации, содержали в себе персональные данные пользователей, а также, что более критично, Refresh-токены, необходимые для авторизации в аккаунте пользователя, чей токен был получен. У потенциальных атакующих была возможность переслать все эти файлы себе при помощи того же Telegram-бота. Для этого они могли получить его Telegram-токен и идентификатор нужного чата из кода приложения, а после перебрать порядковые номера сообщений, содержащих такие файлы.
       
      View the full article
×
×
  • Создать...