Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

актуария. Что касается обязанностей или изменения должности, нам встречались такие варианты, как «главный специалист по управлению технологическими рисками» и «главный специалист по рискам». К сожалению, последний, как правило, выполняет чисто финансовые и/или юридические функции. Как бы ни называлась должность, она не должна находиться в подчинении у директора по IT / технического директора, в противном случае это все равно, что назначить лису следить за курятником. Функция УРК отвечает интересам генерального директора и совета директоров и нужна для защиты бизнеса от неудачных инвестиций в технологии.

Хартия в целом такова.

• Деятельность по УРК подотчетна генеральному директору и/или совету директоров. Должность руководителя может называться «главный специалист по управлению технологическими рисками», «главный специалист по рискам» или, возможно, «руководитель отдела информационной безопасности», при условии что его обязанности будут качественно переопределены.

• Функция УРК должна рассматривать все крупные инициативы с учетом технологических рисков, в том числе корпоративные поглощения, крупные инвестиции в новые технологии для предприятия, венчурные инвестиции и т. п. «Рассматривать» здесь означает количественно оценивать и прогнозировать потери, прибыли и стратегические меры по смягчению последствий, а также связанные с этим оптимизации.

• В обязанности УРК также входит мониторинг и анализ существующих вложений в средства контроля безопасности. Задача состоит в оптимизации вложений в технологии с учетом вероятных будущих убытков. Размерное моделирование и связанные с ним техники, описанные в главе 11, являются при этом ключевыми. С операционной точки зрения целью данной функции является ответ на вопрос «Эффективно ли взаимодействуют между собой наши вложения в борьбе с ключевыми рисками?».

• В УРК применяются проверенные количественные методы для понимания и передачи информации о риске в денежном выражении. Кривые вероятности превышения потерь должны стать средством для обсуждения и визуализации рисков, а также связанных с ними инвестиций в смягчение последствий с учетом рискоустойчивости. Сюда входят риски, связанные с одним приложением, и/или их совокупность из одного или нескольких портфелей риска.

• Специалист по УРК отвечает за поддержание рискоустойчивости компании совместно с финансовым директором, главным юрисконсультом и советом директоров. В частности, КПЭ, используемым для управления рисками, должно быть «превышение допустимого риска».

• Функция УРК отвечает за руководство технологическими программами управления исключениями, нарушающими допустимый уровень риска, и их мониторинг.

• Функция УРК обеспечивает политику киберстрахования совместно с юридической и финансовой функциями, в том числе УРК определяет базовые параметры, на основе которых строятся модели страхования.

Роли и обязанности УРК в организации

На рис. 12.1 показан пример организационной структуры УРК. Такая структура больше подходит для крупной компании (вроде тех, что входят в список Fortune 1000) с оборотом в сотни миллионов, а то и в миллиарды долларов, которые могут оказаться под угрозой. Отсюда следует, что инвестиции в технологии являются ключевой стратегической инициативой, которую довольно просто претворить в жизнь в наши дни. А также что риски кибербезопасности находятся в пятерке, если не в тройке самых серьезных рисков, рассматриваемых на уровне совета директоров или генерального директора.

Количественный анализ рисков

Команда специалистов по количественному анализу рисков состоит из квалифицированных аналитиков, умеющих находить подход к людям. Их можно сравнить с консультантами или советниками, но отличие заключается в том, что они обладают навыками количественного анализа. По сути, это специалисты по теории принятия решений, умеющие и программировать, и конструктивно общаться с профильными экспертами и руководителями. Должность является высокооплачиваемой и, как правило, требует наличия у кандидата дипломной работы по статистике и/или степени магистра делового администрирования в области количественного анализа. И хотя соответствующее образование приветствуется, ключевыми факторами все же являются хорошие навыки количественного анализа и деловая хватка. Специалистам в области статистики и количественного анализа придется работать бок о бок с экспертами по безопасности и руководителями. По мере того как позиции кибербезопасности – дисциплины, требующей измерений (как и большинство наук), – будут укрепляться, эта роль и набор навыков будут встречаться все чаще.

Рис. 12.1. Функция управления рисками кибербезопасности

Важно подобрать правильное соотношение проведения количественного анализа и задач по оценке риска. С практической точки зрения в каждый конкретный момент времени для запуска и сопровождения доступно ограниченное количество моделей. Соотношение 10:1 новых моделей на одного аналитика кажется целесообразным. Но это зависит от сложности моделей. Кроме того, завершенные модели нуждаются в постоянном отслеживании текущих рисков относительно уровня рискоустойчивости. Здесь, безусловно, большим подспорьем оказываются корпоративные технологии, однако даже с продвинутой предписывающей аналитикой необходимость консультирования по поводу превышения допустимого уровня риска все равно никуда не исчезает. То есть если потребуется оптимизировать определенный портфель рисков, возможно путем приобретения новых технологий и/или вывода из эксплуатации неудачных инвестиций, то надо учитывать, что весь этот процесс занимает время. Ведь количественный анализ рисков будет задействован и во всех текущих обсуждениях по определению рисков, и в разработке моделей с использованием статистики и статистических инструментов (R, Python и т. д.), и в координации работы с технологами компании с целью проектирования и создания систем мониторинга рисков в режиме реального времени.

Обучение и развитие

При помощи команды специалистов по количественному анализу рисков можно, конечно, собрать обучающие материалы по количественной оценке и даже проводить тренинги, но все же основная задача здесь – внедрить количественный подход на различных уровнях организации. Это похоже на построение общей структуры безопасности в инженерных и IT-командах (мы предполагаем, что вы уже этим занимаетесь).

Ваши возможности по расширению штата специалистов по количественному анализу рисков весьма ограничены – их мало, они дорого обходятся, и их трудно удержать, ведь такие специалисты очень востребованы. Поэтому, если вы собираетесь бороться со злоумышленниками, необходимо активно развивать соответствующие инструменты и навыки в целом. И для выполнения этой функции понадобится команда по разработке и предоставлению контента, а также кто-то, кто ее возглавит. При этом использование технологий для достижения результата становится ключевым моментом в крупных, распределенных организациях.

Технология анализа

Самая дорогостоящая и затратная в операционном плане функция. Она