Списки приоритетов: потеря каких данных наиболее опасна для бизнеса?

Лишь очень немногие компании четко представляют себе, какие коммерческие данные являются наиболее важными. В связи с этим службы безопасности со- вместно с руководством должны прежде всего проанализировать всю цепочку создания стоимости и выяснить, на каких ее участках риски максимальны. По- теря каких данных может привести к наиболее серьезным последствиям: сведе- ний о разработке нового продукта, информации о самообучающемся производ- ственном процессе или конфиденциальных клиентских данных? По мере развития возможностей монетизации данных компаний через инструменты продвинутой аналитики их ценность для компаний будет только расти, равно как и риски раз- ных категорий, включая репутационные, коммерческие, регуляторные и т.д.

Банки и страховые компании оценивают свои риски таким образом уже многие годы. Этот подход называется у них программой по охране «королевских бриллиантов» (так именуются наиболее ценные информационные активы), и его можно использовать как образец во многих других отраслях.

 

196                                                                                                       6. Что? Укрепление фундамента

В состав рабочей группы должны входить специалисты по работе с клиентами, понимающие, что данные — это ценный актив

Лишь те сотрудники, которые сами работают с данными, способны понимать их истинную ценность и серьезно относиться к вопросам безопасности, поэтому персонал необходимо соответствующим образом обучать.

Например, основатель компании Microsoft Билл Гейтс лично занялся этой проблемой еще в далеком 2002 г. Безопасность продуктов — это безусловный приоритет, написал он тогда в срочном меморандуме, адресованном всем со- трудникам. Если приходится выбирать между дополнительными характеристи- ками и безопасностью нового продукта, писал он, предпочтение всегда нужно отдавать безопасности. В 2003 г. Гейтс запустил в Microsoft постоянный проект Patch Tuesday («Вторник патчей»), цель которого — систематически устранять проблемы с безопасностью в ПО.

 

 

Обеспечение киберустойчивости как часть управления рисками

Кибербезопасность напрямую связана с корпоративными рисками, поэтому и управлять ею нужно именно с этих позиций. Риск интернет-атак необходимо оценивать наряду со всеми прочими рисками компании, а результаты этой оценки следует доводить до сведения соответствующих руководителей и об- суждать на уровне топ-менеджмента.

Для обеспечения киберустойчивости необходимо уже при планирова- нии всех процессов принимать меры по предотвращению интернет-атак. Еще в 2012 г., на заре «Индустрии 4.0» и промышленного интернета, компания General Electric (GE) заявила о намерении включать компоненты обеспечения безопасности в конструкцию всего выпускаемого ею оборудования, программ и сетей. А в 2014 г. для развития своих навыков в этой области группа приоб- рела фирму Wurdtech, специализирующуюся в сфере безопасности.

 

 

«Военные учения» в киберпространстве: постоянное тестирование защитных систем

Стоит ли сидеть сложа руки в ожидании злонамеренных хакерских действий, если можно организовать атаку самому, чтобы выявить в системе слабые ме- ста до того, как это сделают хакеры? Именно так поступила авиакомпания United Airlines, предложив бесплатные мили тем искусным хакерам, которые смогут найти уязвимости в ее программах. А банк Barclays Bank и вовсе со- здал из хакеров целый отдел, поручив ему атаковать свои ИТ-системы, а затем

 

 

6.3. Кибербезопасность: искусная защита цифровой экономики

197

незамедлительно устранять все обнаруженные проблемы. Наконец, глава одной из европейских групп, выпускающих электронику, даже сложил с себя полномо- чия на пару дней, чтобы принять участие в кибернетической «военной игре», в которой имитировались интернет-атаки на его организацию.

Те компании, которые осознают реальность угроз, также отрабатывают реагирование на кибератаки. Ведь если произойдет утечка данных и это ста- нет достоянием гласности, некорректные заявления могут повлечь за собой весьма серьезные последствия. Таким образом, необходимо быть готовыми к принятию ответных мер — это касается не только представителей службы ИТ, но и специалистов по маркетингу, по работе с клиентами и, разумеется, по связям с общественностью.