Инвестиции в информационную сохранность: о бюджетах и кадрах

Инвестиции в информационную безопасность: о бюджетах и кадрах

С каждым годом киберпреступность вырастает, посягательства на средства, информацию и репутацию компаний стают масштабнее, а деяния злоумышленников — изобретательнее. Какие пути информационной защиты в современных критериях более эффективны? На этот вопросец отвечали участники панельной дискуссии по информационной сохранности в рамках прошедшей 8 февраля конференции «Вызовы цифровой трансформации» (устроитель: РАНХиГС). Опытом делились представители компаний InfoWatch, Ростелеком-Solar, Концерн Калашников и TalentTech.

Дискуссировались два главных вопросца. 1-ый — дела служб информационной сохранности (ИБ) с иными департаментами и сотрудниками. 2-ой — стратегия борьбы служб ИБ за бюджет.

Страсти вокруг бюджета

Сейчас для русских предпринимателей вопросцы кибербезопасности далековато не приоритетны. Во главе угла, как постоянно, прибыль. Пока инцидент не случился, мыслить о сохранности нет повода, а случись неудача — это только обосновывает: вкладывай либо не вкладывай в сохранность, а от утрат все равно не убережешься. Как уверить бизнес раскошелиться на ИБ?

Как показала практика, более эффективная аргументация в борьбе за бюджет — это внедрение метрик, разговор на языке цифр и перевод задач служб ИБ в определенные суммы предотвращенных денежных утрат.

Сколько попыток хищения валютных средств было предпринято в прошедшем году и какую их долю удалось предупредить? Если показатель составил 93%, то на будущий год служба ИБ может взять обязательство повысить его до 98%. Но, естественно, при условии достаточных вложений в нужное программное обеспечение и обучение (педагогический процесс, в результате которого учащиеся под руководством учителя овладевают знаниями, умениями и навыками) служащих. А какова была толика неверных срабатываний системы сохранности? Ведь это тоже переводимые на язык средств неоправданные трудовые затраты. И их можно предупредить, если потратиться на подмену устаревших звеньев в системе ИБ. А какую сумму выручки недополучила компания в итоге оттока клиентов, испуганных просочившейся в СМИ (Средства массовой информации, масс-медиа — периодические печатные издания, радио-, теле- и видеопрограммы) информацией о инцидентах? А сколько недополучили в итоге кражи клиентской базы, которая была перепродана на черном рынке соперникам? Во всех тех вариантах, когда можно хотя бы в первом приближении оценить денежные утраты от кибератак, есть возможность расчетно доказывать экономные запросы: затратим на сохранность столько-то, зато утраты уменьшатся на столько-то. Для обоснования бюджета на ИБ можно применять свою статистику компаний, а при ее отсутствии – статистику отрасли.

На ИБ должен работать любой сотрудник

Аналитика инцидентов крайних лет сладкоречиво свидетельствует: все почаще слабеньким звеном в информационной защите оказывается человечий фактор. Атака на информационные активы компании может начаться с захвата управления хоть каким компом, принадлежащим хоть какому подразделению.

18.12.2019  |   Сохранность Лаборатория Касперского выпустила отчет о кибербезопасности в 2019 году Вот некие числа по инцидентам в РФ (Российская Федерация - государство в Восточной Европе и Северной Азии, наша Родина), собранные на большенный выборке компаний. Наиболее 70% сложных атак начинаются с фишингового письма, получив которое сотрудник неосторожно кликает на ссылку в тексте послания. Толика служащих, совершающих такие неосторожные переходы, составляет 30% от всего персонала организаций. Среднее время от начала атаки до взлома первого компа составляет меньше, чем полминуты. Получив контроль над одним компом, злоумышленники просто употребляют его как точку доступа к администрированию всей информационной системы. 49% вредного ПО (то есть программное обеспечение - комплект программ для компьютеров и вычислительных устройств) инсталлируются через электрическую почту. Подбор ключей доступа не неувязка, если сотрудники, — а таковых большая часть, — практикуют недлинные пароли, используя их в самых различных аккаунтах. Исследование показало: любой 7-й сотрудник поддается на уловки социальной инженерии. Более уязвимыми для криминальных уловок оказались юридические службы (любой 4-й сотрудник). За ними следуют сотрудники бухгалтерии (любой 5-й) и, в конце концов, секретариат (любой 6-й).

18.03.2019  |   Сохранность Как конфигурации в действиях коммуникации влияют на сохранность бизнеса Специалисты сошлись на том, что сейчас как никогда до этого животрепещуще издавна известное положение Английского эталона: за обеспечение информационной сохранности организации должен отвечать любой ее сотрудник. Что это значит на практике?

Во-1-х, для выполнения собственных задач службы ИБ уже не могут замыкаться на функционале собственного подразделения. Их задачка — налаживать горизонтальные взаимодействия со всеми службами. Проводить встречи с руководителями и персоналом и на понятном им языке, на актуальных примерах говорить и демонстрировать:

как действуют злоумышленники, к чему приводят нарушения правил информационной гигиены, какой вред это может нанести бизнесу, какие утраты уже были в компании либо у соседей, какую ответственность могут понести нарушители, если неудача случилась по их вине.

Понятность и наглядность — база крепких познаний. Правила же для рядового сотрудника легкие: не открывать ссылки в письмах от незнакомых лиц и компаний, ежеквартально поменять пароль доступа на рабочем месте, знать признаки подозрительных веб-сайтов и защищать информацию на личных телефонах.

Во-2-х, не ограничиваясь инструктажами и объяснениями, нужно проводить практические занятия с людьми, переводить познания по ИБ в привычки и тестировать уровень сформированности этих привычек на выходе. Пусть организация обучения и вся тяжесть предварительных работ ляжет на службу персонала. Пусть часть данной нам работы отойдет линейным руководителям. Но лишь спецы по ИБ, которые соображают смысл всякого правила, могут и проявить инициативу, и мотивировать, и предложить отвечающее особенностям компании содержание тренингов.

В-3-х, нужно повсевременно поддерживать высшую мотивацию людей на выполнение правил информационной гигиены. Один из более действующих приемов — проводить временами учения, подкидывая сотрудникам фишинговые письма либо взламывая их пароли.

20.11.2019  |   Сохранность Сохранность в глобальной сети: правила кибер-гигиены И, в конце концов, крайний принцип — непрерывное обновление учебных программ по ИБ. Сейчас новейшие виды кибератак возникают раз в неделю, и ИБ-специалистам нужно быть в курсе, получать свежайшую информацию из собственного проф общества и готовить персонал к защите от новейших видов информационных угроз.

О требованиях к качеству и основательности ИБ-подготовки персонала сладкоречиво гласит последующий чемодан. В одной из компаний сотрудницы бухгалтерии прошли обучение (педагогический процесс, в результате которого учащиеся под руководством учителя овладевают знаниями, умениями и навыками) по ИБ и на непревзойденно сдали все итоговые испытания. Опосля этого спецы по ИБ разослали бухгалтерам фишинговые письма. Дам поздравляли с 8 марта и давали открыть ссылку для получения 30% скидки на продукты в интернет-магазине. Служба ИБ установила счетчик, который фиксировал каждую попытку перейти по ссылке из провокационного письма. Каково же было удивление, когда кликов по ссылкам оказалось практически в 20 раз больше, чем самих сотрудниц бухгалтерии! Оказывается, когда у их ссылка не раскрывалась — они пересылали письмо подругам: вдруг что-то получится у их! Опосля разбора полетов по итогам данной нам «военной игры» проштрафившаяся бухгалтерия стала, пожалуй, одной из самых ИБ-подготовленных бухгалтерий страны.

Изображение: IT-world.ru

информационная сохранность цифровая трансформация хакерская атака фишинг Поделиться: Подписаться Подписаться Еще кое-что принципиальное Atari объявила о подготовительной продаже собственного токена Циркулирующее предложение Tether возросло до 5.3 миллиардов Тойота анонсирует блокчейн-лабораторию спустя 11 месяцев исследования технологии

Комментариев нет:

Отправка комментария