09.09.2021

Оценка урона от инцидентов ИБ

В каждой компании, рано или поздно задумываются об оценке возможного ущерба от инцидентов, связанных с информационной безопасностью. Для ее проведения можно пригласить консалтинговую компанию, специализирующуюся на ИБ, а можно выполнить работу силами своих специалистов, конечно, при наличии у них достаточной компетенции. Сегодня о том, как сделать оценку ущерба быстро, а результат получить в наглядном и простом для понимания виде.

Оценка урона от инцидентов ИБ - Фото: geralt / unsplash - Источник

Читайте также

О подтверждении полномочий использования электронной подписи

О новых правилах создания электронной подписи для юридических лиц

О выборе безопасного корпоративного мессенджера

Начнем с того, что в реальности, точная, вплоть до копейки, оценка возможного ущерба не реальна. Но часто достаточно предварительной оценки, чтобы уже на ее основе принимать решение о дальнейших действиях. Такая оценка подразумевает ответы на определенные вопросы. Например: «А сколько мы зарабатываем в единицу времени при помощи нашего сервиса?» и «Что будет, если он перестанет работать на одну минуту? Десять? Час?». Простой в одну минуту для компаний, занимающихся денежными переводами и онлайн оплатами, может принести огромный ущерб. Конечно, его величина будет зависеть от того, когда инцидент произошел, и от скорости его последствий. Глубокой ночью, при быстрой реакции специалистов ИБ, ущерб будет минимальным, а в часы пик - он может вырасти многократно. Для адекватности оценки, лучше брать среднее значение.

Если сервис напрямую не участвует в генерации прибыли, но критически важен для создания денежного потока, стоит обратить внимание на сервисы, находящиеся под его непосредственным влиянием. А если прибыль в компании генерируется за счет сотрудников и получение выплат растянуто по времени, оценку возможного ущерба необходимо провести, основываясь на времени простоя сотрудников, а именно: «Сколько компания заплатит денег в качестве заработной платы сотрудникам, которые не смогут выполнять свою работу в связи с инцидентом ИБ?»

Конечно, приведенные подходы не включают в себя оценку косвенных издержек - репутационных или судебных. Они не учитывают потери от утечек коммерческой тайны и недополученной прибыли. Они не являются комплексными, оставляя без внимания множество факторов. Однако, подходы в оценке вполне пригодны для быстрой и примерной первичной оценки ущерба от инцидентов ИБ.

И в заключение… Руководителю на заметку:

Помните, создание систем ИБ начинается с осознания того, что у вас есть что защищать и эти активы имеют стоимость. Проведите для своих сервисов и приложений примерную оценку возможного ущерба от инцидентов, связанных с информационной безопасностью. Если вы не уверены в своих силах или сомневаетесь в своих расчетах, поручите эту работу профессионалам. Они всегда готовы прийти к вам на помощь.

Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.

Автор: Business FM Санкт-Петербург

Комментировать Связь с редакцией

Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.

Рекомендуем

Группа компаний Volts Battery

Основатель группы Volts Александр Кияница рассказывает о накопителе Volts и о возможности продавать самостоятельно сгенерированную электроэнергию.

По следам конкистадоров, 2 часть

Согласно легенде, о существовании этих загадочных островов богатых жемчугом испанскому конкистадору Васко Нуньесу де Бальбоа поведал вождь одного из местных…

Какие знания и компетенции необходимы генеральному директору для успешного управления предприятием?

Тема августовского выпуска программы «Бизнес-доктор»

Комментарии

Написать комментарий