Управление рисками и кибербезопасность
Риск-менеджмент — это такая довольно важная штука для практически любого бизнеса. Рисков бывает куча типов, у всех свои ключевые риски, и здесь главная идея — не уход от риска в целом, а разумное снижение вероятности его наступления. То есть мы не пытаемся любой ценой минимизировать вероятность наступления негативного события — мы определяем баланс между последствиями и стоимостью снижения вероятности их наступления.
Грубо говоря, существуют бизнес, для которого борьба с киберрисками бессмысленна. Самый простой пример — это палатка с шаурмой у вокзала. А бывает и совсем наоборот — вспоминаем историю про заправку. В общем, самое главное в этом вопросе — разумность и взвешенность.
По нашему опыту — к нам часто приходят уже после того, как проблемы в сфере безопасности реализовались. Не всегда катастрофическим образом, но "звонок" прозвенел и бизнес понял, что вот сейчас у него будет проблема. Можно считать, что это нормально ... но это нехорошо. В идеале, картина должна быть совсем другой.
Самый главный вопрос, который рано или поздно может (и должен?) задать себе любой CEO или CTO звучит так: "что я потеряю, если риск реализуется и сколько стоит защита". И управление рисками ИБ в любой компании начинается с ответа на этот вопрос. Ответ может быть "ничего не потеряю", или может быть "я потеряю бизнес". Самое главное — чтобы ситуация должна быть управляемой. А про методы количественной оценки риска мы ещё поговорим.
Риск-менеджмент — это такая довольно важная штука для практически любого бизнеса. Рисков бывает куча типов, у всех свои ключевые риски, и здесь главная идея — не уход от риска в целом, а разумное снижение вероятности его наступления. То есть мы не пытаемся любой ценой минимизировать вероятность наступления негативного события — мы определяем баланс между последствиями и стоимостью снижения вероятности их наступления.
Грубо говоря, существуют бизнес, для которого борьба с киберрисками бессмысленна. Самый простой пример — это палатка с шаурмой у вокзала. А бывает и совсем наоборот — вспоминаем историю про заправку. В общем, самое главное в этом вопросе — разумность и взвешенность.
По нашему опыту — к нам часто приходят уже после того, как проблемы в сфере безопасности реализовались. Не всегда катастрофическим образом, но "звонок" прозвенел и бизнес понял, что вот сейчас у него будет проблема. Можно считать, что это нормально ... но это нехорошо. В идеале, картина должна быть совсем другой.
Самый главный вопрос, который рано или поздно может (и должен?) задать себе любой CEO или CTO звучит так: "что я потеряю, если риск реализуется и сколько стоит защита". И управление рисками ИБ в любой компании начинается с ответа на этот вопрос. Ответ может быть "ничего не потеряю", или может быть "я потеряю бизнес". Самое главное — чтобы ситуация должна быть управляемой. А про методы количественной оценки риска мы ещё поговорим.