Обычно компании выделяют на кибербезопасность от 10 до 25% бюджета IT-отдела, но лучше использовать риск-ориентированный подход.
Матрица угроз
- Составьте список угроз, с которыми компания рискует столкнуться в процессе деятельности.
- Спрогнозируйте, насколько вероятно наступление каждой из них, опираясь на личную оценку и мнения экспертов.
- Распределите угрозы по ячейкам матрицы.
Вот как выглядит такая матрица:
Угрозы, получившие оценку 9 и 6, представляют для компании большую опасность и требуют скорейшего устранения. Угрозы среднего уровня (с оценкой 4 и 3) должны быть устранены в плановом порядке. Угрозы с оценкой 2 и 1 подразумевают низкий приоритет.
Расчет опасности каждой угрозы
Далее стоит оценить опасность каждой угрозы — убыток, который принесет ее наступление. Убыток (Annualized loss expectancy, ALE) рассчитывают по формуле:
ALE = количество происшествий в год * потенциальные потери от одного происшествия.
Допустим, вероятность выхода из строя базы данных — один раз в два года, а убыток от него оценивается в 60 млн руб. Тогда годовой убыток от этой угрозы будет равен 60 млн руб. * 1/2 = 30 млн руб. в год.
Корректировка результата
Расчеты, которые мы сделали выше, примерные и призваны вычислить максимально возможные денежные потери, но не стоит забывать, что киберинциденты не всегда наносят максимальный ущерб.
Чтобы это учесть, введите в формулу ALE поправочный коэффициент EF (exposure factor). Так, если предположить, что в результате сбоя в работе с наибольшей вероятностью будут потеряны две трети базы данных, то значение коэффициента составит 0,66. Годовой убыток от этой угрозы будет равен 60 млн руб. * 1/2 * 0,66 = 19,8 млн руб. в год.
Для определения точного значения коэффициента EF советуют использовать такие статистические методы, как: анализ Монте-Карло, построение графика повышения потерь и кривой толерантности к риску. Последнюю можно сформировать для конкретной уязвимости, системы и компании целиком.
Наиболее подробно эти приемы описаны в книге Дугласа У. Хаббарда и Ричарда Сирсена «Как оценить риски в кибербезопасности. Лучшие инструменты и практики».
Пройдя три этих шага, вы получите верхнюю планку бюджета, который следует выделять на информационную безопасность. Но есть смысл сделать еще один шаг.
Предотвращение безвозвратных потерь
Компания, конечно, может создать «подушку безопасности», откладывая деньги на решение возможных проблем или пройти процедуру киберстрахования, при которой затраты на устранение ущерба берет на себя страховщик. Однако данный метод оправдан лишь до тех пор, пока у компании не появятся ценные данные, потеря которых нанесет ей несоразмерный ущерб.
Чтобы не допустить безвозвратных потерь, надо купировать максимум серьезных угроз с наименьшими затратами. Сделать это можно, смоделировав последовательность событий, приводящую к наступлению той или иной угрозы. Для достижения этой цели лучше всего использовать модель Unified Kill Chain (UKC), выделяющую 18 фаз, через которые проходит хакерская атака. Сформировав несколько таких цепочек, вы выделите слабые места в киберзащите компании и нивелируете сразу несколько рисков.
Важно также уделить внимание обновлению программного обеспечения, установке средств защиты информации и кибергигиене сотрудников. Внутренние атаки проще прервать на этапе расширения прав, а с утечками конфиденциальной информации стоит бороться в первую очередь при помощи систем мониторинга обращений к базам данных.
Какие статьи нужно обязательно заложить в бюджет
По мере роста компании выделяются затраты на такие направления, как:
— Защита сетей и устройств. В эту категорию входит программное обеспечение для защиты сетевой инфраструктуры, компьютеров, ноутбуков, мобильных устройств. И если небольшая компания может обойтись простыми антивирусами, то крупной — стоит перейти на enterprise-версии с централизованным управлением.
Если у вашей компании есть собственная сетевая инфраструктура, сегментируйте ее и защитите каждый сегмент брандмауэром. А также задействуйте системы обнаружения (IDS), мониторинга событий безопасности (SIEM-системы), предотвращения вторжений (IPS).
— Хранение, передача и резервное копирование данных (бэкапы). В небольшой компании бэкапы можно реализовать при помощи облачных решений. В крупных — рекомендуется использовать корпоративные облака с размещением на собственных серверах (self-hosting).
— Контроль доступов. Обязательно продумайте парольную политику доступа к информационным активам и установите процедуры выдачи доступа.
Как можно быстрее откажитесь от совместного использования учетных записей и установите разный уровень доступа к приложениям для сотрудников разных должностей.
— Обучение сотрудников. Огромное количество утечек данных связано с человеческим фактором, поэтому следует в обязательном порядке информировать нетехнических сотрудников о киберугрозах.
— Расходы на сотрудников ИБ. Если у вас в компании работает 10–20 человек, то вам нужен отдельный человек, ответственный за ИБ. При численности от 30 до 100 это должен быть квалифицированный специалист, работающий полный рабочий день.
— Устранение атак. На начальном этапе достаточно разработать базовые протоколы внутреннего реагирования на инциденты. Растущей компании важно найти аутсорсинговую команду, которая сможет справиться с последствиями атак. Крупной — нужно настраивать автоматизацию реагирования на инциденты в режиме реального времени с помощью IT-специальных систем и развивать необходимые компетенции в рамках штата.
— «Бумажная» безопасность. Правильно документируйте работу ИБ-отдела.
— Пентесты. Периодически проводите тесты на проникновение (пентесты). Первый тест — перед запуском минимально жизнеспособного продукта (MVP), далее — ежегодно. В период активного роста IT-инфраструктуры — дважды в год.