Оценка урона от инцидентов ИБ

В каждой компании, рано или поздно задумываются об оценке возможного ущерба от инцидентов, связанных с информационной безопасностью. Для ее проведения можно пригласить консалтинговую компанию, специализирующуюся на ИБ, а можно выполнить работу силами своих специалистов, конечно, при наличии у них достаточной компетенции. Сегодня о том, как сделать оценку ущерба быстро, а результат получить в наглядном и простом для понимания виде.

Оценка урона от инцидентов ИБ - Фото: geralt / unsplash - Источник

Читайте также

Начнем с того, что в реальности, точная, вплоть до копейки, оценка возможного ущерба не реальна. Но часто достаточно предварительной оценки, чтобы уже на ее основе принимать решение о дальнейших действиях. Такая оценка подразумевает ответы на определенные вопросы. Например: «А сколько мы зарабатываем в единицу времени при помощи нашего сервиса?» и «Что будет, если он перестанет работать на одну минуту? Десять? Час?». Простой в одну минуту для компаний, занимающихся денежными переводами и онлайн оплатами, может принести огромный ущерб. Конечно, его величина будет зависеть от того, когда инцидент произошел, и от скорости его последствий. Глубокой ночью, при быстрой реакции специалистов ИБ, ущерб будет минимальным, а в часы пик - он может вырасти многократно. Для адекватности оценки, лучше брать среднее значение.

Если сервис напрямую не участвует в генерации прибыли, но критически важен для создания денежного потока, стоит обратить внимание на сервисы, находящиеся под его непосредственным влиянием. А если прибыль в компании генерируется за счет сотрудников и получение выплат растянуто по времени, оценку возможного ущерба необходимо провести, основываясь на времени простоя сотрудников, а именно: «Сколько компания заплатит денег в качестве заработной платы сотрудникам, которые не смогут выполнять свою работу в связи с инцидентом ИБ?»

Конечно, приведенные подходы не включают в себя оценку косвенных издержек - репутационных или судебных. Они не учитывают потери от утечек коммерческой тайны и недополученной прибыли. Они не являются комплексными, оставляя без внимания множество факторов. Однако, подходы в оценке вполне пригодны для быстрой и примерной первичной оценки ущерба от инцидентов ИБ.

И в заключение… Руководителю на заметку:

Помните, создание систем ИБ начинается с осознания того, что у вас есть что защищать и эти активы имеют стоимость. Проведите для своих сервисов и приложений примерную оценку возможного ущерба от инцидентов, связанных с информационной безопасностью. Если вы не уверены в своих силах или сомневаетесь в своих расчетах, поручите эту работу профессионалам. Они всегда готовы прийти к вам на помощь.

Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.

Автор: Business FM Санкт-Петербург

Комментировать

Связь с редакцией

Рекомендуем

Об использовании искусственного интеллекта в музейной сфере

Очередной выпуск проекта «Высокие технологии для бизнеса» посвящен использованию нейросетей в ранее довольно консерватив...

Путешествие мечты: от Великого шелкового пути до Патагонии

«Я не смог рассказать и половины того, что видел», — говорил знаменитый путешественник Марко Поло. Сегодня — о запуске т...

Юлия Сахарова, HeadHunter: в Петербурге ухудшилась ситуация в сфере кадров для МСП

В беседе с Business FM Петербург директор HeadHunter по Северо-Западу Юлия Сахарова рассказала о ситуации на рынке труда...

Как бизнес выстраивает контроль и безопасность для удаленной работы

Автор и ведущий проекта «Высокие технологии для бизнеса» Андрей Соловьёв расскажет о выстраивании архитектуры безопаснос...

Комментарии