.jpg)
Топ-менеджеры и другие заинтересованные стороны уделяют пристальное внимание каждому доллару, который тратят традиционные центры затрат. Кибербезопасность входит в число отделов, к которым применяется повышенная проверка, поскольку их бюджеты часто увеличиваются даже во время глобальной пандемии.
По мере того, как директора по информационной безопасности (CISO) рассматривают различные потребности в своем критически важном отделе, они должны принять некоторые стратегические решения, которые они могут защитить и представить совету директоров о том, куда они собираются применять бюджеты, находящиеся под их контролем.
Поскольку так много новостных сообщений, таких как недавние взломы Microsoft Exchange и последствия взлома Solarwinds, все еще ощущаются, им приходится принимать решения о наилучшем способе защиты своих организаций от кибер-хищников, которые стремятся заявить о своем присутствии.
Необходимо сделать выбор инвестиций в кибербезопасность
Согласно одной из идей, лучшая инвестиция — это, в первую очередь, предотвращение возникновения инцидентов. С такой точкой зрения трудно не поспорить. Это философия, которую продвигают структуры кибербезопасности, такие как первые три цели NIST: идентификация, защита и обнаружение.
Если бы вы поговорили с руководством Solarwinds или архитекторами Exchange в Microsoft, они, вероятно, сказали бы вам, что они применяли лучшие принципы проектирования безопасности, о которых они знали на момент выпуска соответствующих продуктов, но они все еще были поражены. Мы могли бы посвятить весь этот блог документированию недавних атак, которые нашли свой след и нанесли ущерб, несмотря на следующие рекомендуемые передовые методы. Печальная правда заключается в том, что сообщество информационной безопасности и производители продуктов и услуг, которые мы используем, чтобы защитить нас, не всегда могут защитить нас.
Означает ли это, что с трудом заработанная валюта, потраченная на защиту, бесполезна? Неужели всем нашим фирмам суждено стать лишь последними жертвами современной версии ленты новостей? Нет... но это означает, что необходимо провести реальную проверку того, что для любой фирмы, имеющей подключение к интернету и ценным активом, который стоит защищать, то есть всем, необходимо начать практиковать искусство и науку готовности к инцидентам.
Что такое аварийная готовность?
Концепцию отработки готовности к инцидентам часто путают с реагированием на инциденты, но они не являются синонимами друг друга. IDC считает, что готовность к инцидентам — это то, что происходит, когда организации готовятся действовать в случае инцидента безопасности или атаки, внедряя организованные процедуры для управления последствиями инцидента безопасности. Цель состоит в том, чтобы ограничить ущерб от инцидента безопасности и сократить время и затраты на восстановление. Готовность к инцидентам устанавливает политику, планы и процедуры, которым необходимо следовать в случае инцидента.
Есть множество способов, с помощью которых фирмы могут повысить свою готовность к инцидентам. Список слишком велик для включения в этот блог, но некоторые более важные пункты, которые следует учитывать при построении плана готовности к инцидентам, могут включать:
1) С самого начала необходимо установить политику. Если вы начинаете с нуля, не бойтесь обратиться в службу безопасности за советом. Это важный шаг на высоком уровне, который будет использоваться по мере построения планов и процедур реагирования на инциденты, основанных на основополагающих принципах, сформулированных в этих политиках.
2) Определите потенциальных участников, которые должны быть частью любого взаимодействия по реагированию на инциденты. В этот список входят лица, которых вы не обязательно определяете как обладающих какими-либо технологическими предпочтениями, но их области влияния могут быть затронуты или повлиять на конечный исход киберинцидента. Такие области, как HR, PR и коммуникации, юриспруденция, финансы и соответствующие операционные руководители, также должны быть рассмотрены.
3) Членов вышеуказанной команды следует рассматривать как участников настольных учений. Это первое настольное учение может оказаться немного дольше, чем другие, поскольку члены группы реагирования на инциденты узнают о своих ролях и начинают думать о некоторых решениях, которые необходимо принять в случае реального инцидента. Определенно событие, открывающее глаза!
4) Оценки. Это лишь некоторые из них: необходимо выполнить оценку рисков, оценку зрелости кибербезопасности и оценку ИТ-архитектуры. По мере того как цифровая трансформация продолжает развиваться в вашей организации, эти оценки будут повторяться регулярно, чтобы убедиться, что ваши возможности по готовности к инцидентам соответствуют стратегическому направлению, в котором движется ваша компания.
Приведенный выше список только начинает касаться поверхности, но идея состоит в том, чтобы начать включать не только различные технологические группы, которые традиционно связаны с реагированием на инциденты и усилиями по восстановлению или исправлению, но также и вспомогательные группы, которые могут помочь в отношениях со СМИ, в усилиях по соблюдению требований, а также в усилиях по обеспечению непрерывности бизнеса и киберустойчивости.
Осознание потребности в помощи
Получить поддержку для запуска программы готовности к серьезным инцидентам может быть проще, чем можно было бы подозревать. В недавнем опросе IDC респондентов, которые были осведомлены, влияли или несли ответственность за инвестиции в безопасность для своей организации, был задан вопрос о том, насколько уязвима их облачная архитектура для сообщаемого нарушения безопасности. По шкале от 1 до 10, где 10 означало, что они чрезвычайно уязвимы, 77% получили 7 или выше. Хорошая новость заключается в том, что есть, по крайней мере, некоторое признание того, что проблема существует, и, как мы все знаем, с проблемой трудно справиться, пока признание проблемы не станет известным.
Готовность к решительным действиям в случае нарушения безопасности не сводит на нет необходимости защищать организацию от того, чтобы позволить национальным государственным субъектам или другим киберпреступным группировкам выследить их злое ремесло. Группа реагирования на инциденты не должна превращаться в постоянную работу для большинства членов, поэтому поощряется деятельность по предотвращению необходимости активного использования этих групп.
Мир после COVID-19 потребует от предприятий и других организаций постоянного развития своих бизнес-операций и их возможностей безопасности, которые будут согласованы для защиты новых способов выполнения деятельности. Знание того, что ваша организация готова действовать перед лицом неминуемых угроз, должно обеспечить некоторый мир в не столь мирном мире.
(1).png)