Оценка киберрисков помогает командам по безопасности выявлять, оценивать и приоритизировать потенциальные угрозы и уязвимости ключевых цифровых и физических активов предприятия. Однако, несмотря на ее важность, многие CISO становятся жертвами нескольких типов «подводных камней», которые мешают им полностью достичь целей оценки рисков.
Оценка должна быть неотъемлемой частью общей стратегии кибербезопасности любой организации. Этот процесс помогает руководителям по безопасности понять риски для бизнес-целей, оценить вероятность и влияние кибератак, а также разработать способы снижения выявленных рисков.
Вот семь главных ошибок, которых следует избегать руководителям по безопасности, чтобы обеспечить эффективность оценки рисков.
1. Формальный подход
Самый большой «подводный камень» — это отношение к оценке киберрисков как к заранее заданному чек-листу или инвентаризации средств контроля, а не как к инструменту принятия решений, увязанному с реальным влиянием на бизнес и сценариями угроз, говорит Ширшенду Мондал, исследователь в области кибербезопасности из Университета Северной Каролины.
«Когда оценка сводится к простому проставлению галочек, она теряет способность отражать то, как риск на самом деле проявляется в среде», — заявляет он. «Цель должна состоять в том, чтобы информировать решения о том, где бизнес действительно подвержен риску».
Мондал утверждает, что лучший способ избежать ловушки самоуспокоенности — это использовать подход, основанный на контексте. «Спрашивайте, где находится актив, кто может получить к нему доступ, какие данные он затрагивает, насколько он важен для операций и что произойдет, если он выйдет из строя», — объясняет он. «Риск всегда должен быть привязан к влиянию на бизнес, а не только к техническим находкам».
Мондал также рекомендует включать во внутренние команды по безопасности руководителей бизнес-подразделений, в том числе специалистов из таких областей, как ИТ и операционная деятельность, учитывая, что риск — это больше, чем техническая проблема.
2. Приукрашивание результатов
Сейчас непростые времена, поэтому мы должны быть честны с нашими заинтересованными сторонами, говорит Пабло Рибольди, CISO в BairesDev, фирме по разработке программного обеспечения по модели nearshore.
«Когда результаты удручающие, признайте, что ландшафт угроз изменился намного быстрее, чем предполагала предыдущая структура оценки», — говорит он.
Вместо того чтобы просто предоставлять списки уязвимостей, необходимо начать представлять реальные сценарии атак, добавляет Рибольди. «Например, приоритизируя три наиболее критичных бизнес-актива и проводя углубленную оценку по ним, вы можете продемонстрировать немедленную ценность».
3. Ограничение области охвата ваших оценок
CISO часто формализуют документальный контроль, отмечают пункты соответствия и составляют реестр рисков, в котором утверждается, что все выглядит абсолютно нормально, говорит Денис Кальдероне, технический директор (CTO) фирмы по кибербезопасности Suzu Labs. Однако никто не потрудился проверить, действительно ли эти средства контроля работают, или задумался о том, охватывает ли область оценки то, что действительно имеет значение.
Мы видим это постоянно, говорит Кальдероне. «Например, оценка охватывает производственные серверы и корпоративную сеть, но пропускает старую тестовую машину в углу, портал стороннего поставщика, за который никто внутренне не отвечает, или конечную точку API, созданную для проекта два года назад и никогда не выведенную из эксплуатации». Злоумышленников не волнуют ваши решения по определению области охвата, говорит он. «Они смотрят на всю среду и находят то, что вы решили не оценивать».
ИИ усугубляет ситуацию, говорит Кальдероне. Организации развертывают инструменты ИИ, подключают их к внутренним системам, предоставляют им доступ к конфиденциальным данным, и ничего из этого не попадает в оценку рисков. Между тем, агенты ИИ совершают вызовы API, получают доступ к базам данных и работают с учетными данными, которые никто не отслеживает, говорит он.
«Если ваша оценка рисков была составлена до того, как ваша организация начала интегрировать ИИ в свои рабочие процессы, она уже устарела», — предупреждает Кальдероне.
4. Чрезмерная опора на реестр рисков без проверки допущений
Когда цель состоит в завершении оценки, а не в понимании реальной подверженности риску, результатом становится документ, который устраивает аудиторов, но вводит руководство в заблуждение, говорит Амит Басу, CIO и CISO в International Seaways, крупной независимой морской судоходной компании, занимающейся транспортировкой сырой нефти и нефтепродуктов по всему миру.
Такой подход может создать ложное чувство уверенности. Руководители и члены совета директоров видят заполненный реестр рисков и предполагают, что организация защищена, говорит Басу. Между тем реальные угрозы остаются без внимания, потому что они не вписываются в рамки оценки. «Подводный камень не заявляет о себе», — объясняет он. «Он прячется за зеленой панелью мониторинга».
Оценка рисков хороша настолько, насколько хороши лежащие в ее основе допущения, отмечает Басу. «Явно документируйте эти допущения и пересматривайте их всякий раз, когда меняется ваш бизнес, меняется ландшафт угроз или инцидент выявляет пробел», — советует он. «Оценка — это не готовый продукт, это живой элемент постоянного диалога между безопасностью и бизнесом».
5. Неспособность связать риск с влиянием на бизнес
Игнорирование или преуменьшение связи между риском и бизнесом облегчает снижение приоритета или игнорирование проблем, говорит Дэн Мур, старший директор по стратегии и стандартам идентификации в FusionAuth, поставщике решений по управлению доступом и идентификацией клиентов (CIAM).
«В результате становится трудно сообщать о реальных рисках взломов и других угрозах», — заявляет он. «Что еще хуже, это дает членам команды безопасности повод жаловаться на то, что их не понимают или не ценят, что снижает эффективность команды».
Важно быть конкретным и целенаправленным, советует Мур. «Например, не говорите: «У нас 95% соответствия патчам», — предлагает он. «Вместо этого говорите о риске, который неисправленные системы представляют для бизнеса». Некоторые системы, такие как устаревшие системы, не подключенные к Интернету или ядру бизнеса, несут меньший риск, чем другие, даже если у них те же проблемы с патчами. «Признайте этот факт и взвесьте свой ответ».
6. Смешение соответствия требованиям с реальной безопасностью
Одно только соответствие требованиям не ведет к хорошей безопасности и даже не удовлетворяет базовым требованиям для эффективной защиты, говорит Адриэль Дезотельс, генеральный директор Netragard, компании, занимающейся тестированием на проникновение и предоставлением консультационных услуг в области безопасности.
Организации склонны попадать в эту ловушку, когда нанимают фирмы по тестированию на проникновение, которые фокусируются на соответствии требованиям, обещая при этом услуги высшего уровня, говорит Дезотельс. «На самом деле они предоставляют автономное сканирование, выдаваемое за тестирование, проводимое человеком».
Результатом является ложное чувство безопасности — бумажный ремень безопасности, предупреждает Дезотельс. «Вы чувствуете себя защищенным, но когда происходит авария, даже на низкой скорости, вы получаете травму или хуже», — говорит он. «Помните, что каждый крупный взлом за последнее десятилетие произошел в организации, которая на момент компрометации соответствовала требованиям».
7. Неполное понимание риска
Организации часто рассматривают оценку рисков как упражнение по каталогизации уязвимостей, которое включает поиск пробелов, подсчет степени серьезности и прохождение аудита. Однако прохождение аудита и понимание риска — это не одно и то же, заявляет Сафи Раза, старший директор по кибербезопасности в Fusion Risk Management, фирме, предлагающей облачные решения для операционной устойчивости, непрерывности бизнеса и управления рисками.
Раза говорит, что CISO следует сосредоточиться на сопоставлении технических сигналов риска с операционными результатами. «Это включает в себя понимание того, какие сервисы затронуты, как распространяется сбой и что это означает для выручки, клиентов или регуляторных обязательств».
Начните с перехода от статических оценок к непрерывной, контекстно-ориентированной видимости рисков, советует Раза. «Риск необходимо понимать не только технически, но и с точки зрения влияния на бизнес и финансового воздействия», — заявляет он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Edwards




