Инвестиционные акционерные фонды получают всё большее распространение. На фоне традиционного недоверия отечественных граждан к банкам, фондовым биржам и другим подобным структурам инвестиционные фонды выгодно выделяются. По сути, они объединяют в себе все те качества, которыми должна обладать идеальная машина для получения денег.
19.08.2016, 15:37:31
Войти Зарегистрироваться
Авторизация на сайте

Ваш логин:

Ваш пароль:

Забыли пароль?

Регистрация
Навигация
  • Новости
    • Новости
    Архив новостей
    Реклама
    Календарь событий
    Right Left

    7 помилок українських топ-менеджерів в кібербезпеки

    1. 1. Інформаційна безпека - частина IT
    2. 2. Вибір неправильної схеми субординації
    3. 3. недооцінювання ризику фінансових збитків і репутаційних втрат від кібератак
    4. 4. Недостатнє фінансування
    5. 5. Нерозуміння принципу управління інформаційною безпекою
    6. 6. Низькі стандарти в області кібергігіени
    7. 7. Недовіра до зовнішніх експертів

    Незважаючи на те, що суспільство розігріте лавиною кібератак, це не заважає існуванню застарілих поглядів на кібербезпека, побоюванням керівництва компаній перед практикою, яка між тим стала загальноприйнятою у всьому світі.

    1. Інформаційна безпека - частина IT

    Мабуть, найпоширеніша помилка серед менеджерів вищої ланки, яке збиває з правильного вектора. Адже безпека в компанії починається з усвідомлення того, що це автономний процес, що вимагає окремих ресурсів: людських, фінансових, временн и х.

    ІБ - така ж сфера, що вимагає уваги і інвестицій, як бухгалтерія, IT, HR і тд. Не можна "повісити" виконання функцій кібербезпеки, скажімо, на IT-фахівця (дуже поширена практика), як не можна доручити менеджеру з персоналу оформляти фінансові звіти. На це є як мінімум одна об'єктивна причина: кваліфікація фахівця з ІБ повинна бути вище кваліфікації рядового IT-фахівця в компанії. Але в наших реаліях укорінився стереотип, що ІБ - це адміністративний, обслуговуючий, а значить - незначний процес. У цій тезі є частка правди: ІБ - той "шматок" внутрішньої роботи компанії, який не приносить прямого прибутку. АЛЕ: він прямо захищає від втрати цього прибутку. А відсутність правильної захисту дуже чітко відчувається у вигляді фінансових і репутаційних втрат у разі кібератак (перевірено на досвіді сотень тисяч компаній, які зазнали масових атак 2017 року).

    Нехтування тим, що ІБ - самостійний напрям, яке вимагає відокремленої оргструктури і чітких прописаних процесів (політик) гарантовано призводить до того, що в цьому секторі завжди буде хаос. У разі події винного знайти буде вкрай складно. Очевидно, що будь-який процес в компанії повинен перебувати під відповідальністю виділеного компетентного людини.

    Якщо компанія ставить перед собою мету бути відповідати тенденціям і стандартам інформаційної безпеки (іншими словами - забезпечувати захист своїх власних даних і даних клієнтів), то першочергове завдання топ-менеджера - набрати висококваліфікований персонал для управління цим процесом. Це може бути одна людина (в даному випадку Начальник служби інформаційної безпеки), але він буде відповідати виключно за цей напрямок. У свою чергу СISO вже більш предметно оцінить фронт роботи (інфраструктуру компанії, внутрішні процеси, активи, цілі і т. Д.) І підбере профільну команду "під себе".

    2. Вибір неправильної схеми субординації

    Дуже часто в компаніях твориться безлад в ієрархічних процесах (відсутність чітких моделей підпорядкування, розмиті посадові інструкції та ін.). Це типова проблема незрілого бізнесу. Але в інформаційній безпеці цей сумбур може бути присутнім навіть у структурованих організаціях (з огляду на ту ж традиційної необізнаність в суті самого поняття кібербезпеки). Найпопулярніші "граблі", на які наступає керівництво таких архітектур - підпорядкування CISO IT-директору, - прямий шлях до конфлікту інтересів. Чому конфлікту? Та тому, що завдання цих двох підрозділів часто стоять в протилежних кутках. Мета IT-команди - щоб все працювало швидко і ефективно. Мета підрозділу ІБ - щоб все працювало безпечно. У 99% випадків "безпечно" - антагоніст по відношенню до "швидко і гнучко".

    Висновок простий: підпорядкувати CISO IT-департаменту - значить обрізати йому крила і всерйоз обмежити в діях. Скажемо більше: якщо звернутися до світової практики, то як раз таки безпечники повинні контролювати IT-шників.

    3. недооцінювання ризику фінансових збитків і репутаційних втрат від кібератак

    Цифри говорять самі за себе. Щодня в світі через інформаційної незахищеності сотні компаній стають жертвами кібератак. Для України 2017 р теж став нелегким випробуванням. Економічні втрати від кібератак у світі досягли $ 53 млрд, $ 850 млн з яких - наслідки атаки вірусу "NonPetya". Ці цифри офіційно представили в доповіді Міжнародного валютного фонду . За неофіційними оцінками, втрати для України склали 10 млрд грн за три дні найбільшої в історії країни кібератаки. Атака торкнулася від 60 до 80% підприємств країни. Протягом 2017 року Європі відбувалося більше 4000 кібератак з вимаганням щодня. 80% європейських компаній вразила як мінімум одна кібератака. Це офіційні показники, які оголосила Комісія Євросоюзу. За рівнем шкоди і впливу з фінансовими втратами конкурують репутаційні.

    Навіть такі монстри як Uber, Maersk змушені були визнати свою вразливість і беззахисність перед кібератаками, жертвами яких вони стали. Великі компанії з бездоганною репутацією так само не можуть гарантувати абсолютну безпеку даних своїх клієнтів, як і більш дрібні.

    Саме тому питання побудови кіберзахисту актуальний для всіх гравців бізнесу.

    4. Недостатнє фінансування

    Хрестоматійний пункт для будь-якої галузі. Тільки в кібербезпеки дефіцит інвестицій обумовлений радше не небажанням виділяти кошти, а низькою поінформованістю про ризики, наслідки безпечності щодо кіберзахисту. Небажання виділяти бюджети на "незрозуміле щось", що ні поповнює скарбницю, але при цьому вимагає чималих інвестицій. ТОП-менеджеру, який займається стратегічними питаннями, складно вникнути в деталі і зрозуміти необхідність подібних капіталовкладень без бачення кінцевої вигоди. Саме тому в компанії потрібен кваліфікований людина, здатна виразно пояснити доцільність фінансування в ІБ і підтвердити його ефективність результатами своєї роботи.

    Будь-яка оргструктура вимагає фінансування. Будь-які проекти, які вона тягне за собою, вимагають фінансування.

    Якщо говорити про фінансування в кібербезпека, то існує негласна пропорція витрат на IT і ІБ - ідеальне співвідношення бюджетів 85% / 15% (де 85% - витрати на IT, а 15% - на ІБ).

    Це не аксіома, але та планка, до якої бажано тягнутися.

    І хоч питання фінансовий, тут доречне порівняння: коли ви інвестуєте в своє здоров'я (регулярні тренування, планові огляди у лікарів і т. Д.), Ви не піддаєте сумніву доцільність таких кроків. А ж не піди ви в спортзал, або НЕ Проскануй свій організм на предмет прихованих недуг, ви не обов'язково піддасте себе ризику інфаркту або інсульту. Але: ніхто не буде сперечатися з тим, що це здорові дії якої розсудливої людини - обстежитися превентивно, не чекаючи поганого повороту подій. Так і з кібербезпекою. Ваші вкладення в цю область - це свого роду профілактика "хвороб" та інвестиції в майбутнє.

    5. Нерозуміння принципу управління інформаційною безпекою

    Ситуація, коли вище керівництво компанії не занурюється в оперативні процеси - нормальна практика. Виділити разову, нехай навіть дуже велику за обсягом грошову суму, - недостатньо. Забезпечення кібербезпеки - це безперервний хронічний генез. І саме на цьому моменті менеджери вищої ланки найчастіше роблять помилку: приймають рішення про інвестиції в ІБ одноразово і не бачать сенсу повертатися до цього питання повторно. Тобто сприймають інформаційну безпеку, як продукт, а не як процес.

    "Так я вам вже в минулому році гроші давав на безпеку! Скільки ж ще треба?" - звучить жартівливо, але до болю знайоме. Реалії такі, що фаєрвол і антивірус, в які вклали гроші один раз, не працюватимуть самі по собі. Найдорожче "залізо" не захистить вас від кібератак без кваліфікованих людей, без відточених процесів, без цілодобового моніторингу та аналізу всіх подій. Ефект від одноразових капіталовкладень в ІБ - практично нульовий. Сучасна кібербезпека - це дуже складна багатокомпонентна система, яку можна зробити висновок в рамки зв'язки "люди-процеси-технології". Ефективна робота цієї системи - безперебійний метаболізм, що вимагає регулярного фінансування. Це важливо розуміти керівництву, у якого фізично не вистачає часу помічати подібні деталі.

    6. Низькі стандарти в області кібергігіени

    Багато компаній нехтують самими базовими правилами кібербезпеки. Але ж з них все починається. І транслюватися вони повинні з позиції керівника. Перший крок - навчання співробітників. Фахівці, які мають доступ до мережі (а це практично 99% колективу) повинні пройти навчання з питань політики безпеки мережі у вашій компанії. Кожен співробітник повинен підписати документ, який підтверджує, що він поінформований про відповідальність і розуміє: умисні або навіть необережні дії матимуть негативні наслідки для нього. Такий крок однозначно підвищує персональну відповідальність кожної людини в компанії.

    Вчасно оновлювати паролі, не відкривати електронні листи від невідомих відправників, не використовувати робочу пошту для особистих цілей. Практика показує, що цими, такими елементарними на перший погляд, пунктами безпеки нехтують найчастіше.

    Важливо регулярно створювати резервні копії даних і переконатися, що вони зберігаються в автонмном місці на випадок пожежі або стихійного лиха.

    Використання SIEM для контролю всіх подій і запобігання виникненню помилок; DLP - для захисту даних від втрати або крадіжки, Identity and Access Management - для захисту даних від внутрішніх зловмисників; шифрування даних на пристроях - для запобігання їх втрати при фізичному крадіжці; захист WEB-додатків від розкрадання даних користувачів і фінансових даних (наприклад, Клієнт-банк) за допомогою WAF, SIEM і мультифакторній аутентифікації - все це вже традиційні методи забезпечення інформаційної безпеки, які свідчать про високі стандарти ІБ в компанії.

    7. Недовіра до зовнішніх експертів

    Швидше за стереотип, ніж помилка ТОП-менеджменту. І що примітно, тримає позиції він на території країн колишнього СНД. Західний світ давно лояльно сприймає аутсорсинг в кібербезпеки. SOC, як центр надання послуг з ІБ, - вже даність, зручний і фінансово вигідний спосіб отримати якісну послугу, а не новаторський стартап, що викликає підозру.

    Боязнь дати зовнішнім експертам доступ до внутрішньої конфіденційної інформації нічим не обґрунтована: виключно страхами пустити "чужих" на свою територію. Але для "чужих" питання збереження інформації клієнта - це питання репутації їх бізнесу. Більш того, фактично послуги з безпеки безпосередньо не стосуються комерційної інформації: це моніторинг та робота з потоками даних без доступу до інформаційних процесів. Крім цього, аутсорсинг в кібербезпеки - це не аутсорсинг в класичному вираженні (коли процеси передаються зовнішньому виконавцеві повністю). Це завжди гнучке Взаимодествие замовника з компанією-провайдером, при цьому весь процес управління - виключно внутрішній і здійснюється СISO (він контролює рівні доступів і визначає глибину впровадження зовнішніх фахівців, отримуючи при цьому захист від загроз 24/7, найсучасніші технології і команду професіоналів ззовні ). Додаткова гарантія конфіденційності - обов'язково підписання договору SLA (service level agreement).

    Важливо, що набір і обсяг послуг - не статична система. Вхідний потік сервісів з кібербезпеки можна регулювати, як потік води в крані: в залежності від потреб бізнесу.

    Дізнайтеся, як захистити свій бізнес від кібератак на конференції "CyberSafe.next: захист держави і бізнесу"

    Чому конфлікту?
    Скільки ж ще треба?

    www.fashionpark.kiev.ua © 2016