Как сформировать перечень недопустимых событий

Зачастую кибербез и бизнес существуют в разных контекстах и говорят на разных языках. Однако чем больше появляется цифровых вызовов, тем чаще им приходится взаимодействовать, и более того — договариваться. Но возникает вопрос: кто должен адаптироваться и подстраиваться под другого? 

Как показывает практика, полностью перестроиться не сможет ни одна из сторон. К счастью, это и не нужно. У бизнеса свои задачи, у кибербеза свои, но это не мешает им находить точки соприкосновения и выстраивать диалог. Одной из таких точек стали недопустимые события (НС) — понятный и CEO, и CISO термин, который помогает им фокусироваться на общей цели — предотвращении критических инцидентов, угрожающих компании.

Формируем перечень НС

Определение перечня недопустимых событий должно начинаться с диалога с топ-менеджментом, потому что одна из целей этого процесса — заручиться поддержкой ИБ-инициатив со стороны руководства компании. Но будем честны, не все горят желанием обсуждать критичные сценарии, которые могут поставить бизнес под удар. Такие разговоры редко вызывают энтузиазм, поэтому подходить к ним нужно продуманно и подготовленно. Кроме того, чем больше компания, тем сложнее организовать подобный диалог. Даже собрать ключевых лиц в одной комнате не так-то просто, не говоря уже о том, чтобы вывести их на откровенный разговор.

Я неоднократно наблюдал, как проходят подобные встречи в крупных компаниях. В переговорке собирается группа из 10–15 человек, принимающих решения. Линейные руководители аккуратно высказывают свои предположения и опасения, затем CEO (если в процессе он не потерял интереса к встрече) подводит итог и выделяет наиболее критичные моменты. Или же наоборот: CEO может взять инициативу на себя, озвучивать опасения и выдвигать гипотезы о возможных недопустимых событиях. Отметим, что иногда сценарии предлагаются в довольно экспрессивной манере, поэтому требуют уточнений или даже полного пересмотра со стороны линейных руководителей :) Тем не менее оба подхода жизнеспособны: главное, чтобы в центре обсуждения стояли интересы бизнеса и стратегические цели компании. 

Важно, чтобы в диалоге участвовали те, кто отвечает за ключевые направления деятельности компании. Если НС формулируются исключительно на техническом или прикладном уровне, понятном лишь узким специалистам, это неизбежно приведет к потере интереса со стороны руководства. Помните: то, что нельзя быстро понять на уровне бизнеса, не получит поддержки. 

Экономия времени и упрощение обсуждения — важные факторы для успешного формирования списка недопустимых событий. Начинать с нуля всегда сложнее, поэтому лучше заранее подготовить гипотезы НС, которые станут отправной точкой диалога. 

Карта недопустимых событий

Каждая компания уникальна, но мы заметили закономерно повторяющиеся НС, которые можно адаптировать к специфике любой организации. Опыт показывает, что большинство обсуждений строятся вокруг четырех сценариев: 

1. Потеря денег. Для коммерческих организаций большинство угроз сводится к возможным финансовым потерям. Конечно, причинно-следственные связи этих событий могут быть сложными, но самый понятный и очевидный пример — прямое хищение средств с корпоративных счетов.
2. Нарушение ключевых процессов. Простои производства, сбои в предоставлении услуг или остановка критических процессов всегда болезненны, поскольку от них напрямую зависят доходы компании. Злоумышленники могут воспользоваться уязвимостями в ИТ-системах, чтобы парализовать бизнес.
3. Утрата критически важных ресурсов. Речь не только о деньгах, но и о данных, которые лежат в основе большинства современных бизнес-процессов. Их шифрование, утечка или уничтожение могут остановить ИС или значительно увеличить нагрузку сотрудников.  
4. Внешние последствия от внутренних инцидентов. Даже события, напрямую не влияющие на бизнес-процессы, могут иметь серьезные последствия. Утечки данных, дезинформация или негативное освещение компании в СМИ могут нанести не только репутационный, но и финансовый ущерб. Санкции со стороны регуляторов становятся все ощутимее. Ответственность за подобные инциденты растет, поэтому их уже нельзя рассматривать как приемлемые потери.

Популярность этих сценариев подтверждает статистика платформы Standoff 365. 33 компании, которые сегодня проверяют свою защищенность на кибериспытаниях, выделили в качестве НС:

• 38% — внешние последствия от внутренних инцидентов 
• 35% — утрата критически важных ресурсов –компаний
• 15% — потеря денег
• 12% — нарушение ключевых процессов  

Все эти сценарии дадут хороший старт обсуждению с топ-менеджментом. Как показывает практика, каждый из них находит отражение в итоговом перечне НС, но в зависимости от специфики компании акценты могут смещаться. Например, финансовые организации чаще сосредотачиваются на защите счетов и денежных операций, а среднестатистический завод — на обеспечении бесперебойной работы производственных процессов. Компании, работающие с большими объемами данных, делают ставку на их целостность и доступность. В свою очередь, публичные и социально ориентированные организации беспокоятся о возможности взлома официальных ресурсов для трансляции сомнительной или противозаконной информации. 

Отмечу, что на карте представлены типовые НС, которые нужно адаптировать к специфике вашей компании. Конкретизируйте ключевые процессы и данные и не забудьте о порогах допустимости. Они помогут задать рамки обсуждения и четко определить, в какой момент событие становится недопустимым. Например, для сталелитейного завода недоступность сайта в течение 15 минут не кажется критичной, а для банка или онлайн-ритейлера это огромные убытки, поэтому сценарий точно вызовет отклик при обсуждении. А если отказ ИС затронет не все филиалы компании, а только один офис: можно ли в этом случае назвать событие недопустимым? Такие вопросы помогают не только глубже понять возможные последствия НС, но и задать фокус обсуждению, сделать его более структурированным и конструктивным.