Аудит дешевле инцидентов

Построение надёжной системы защиты данных и оценка её качества — это часть работы каждого специалиста по безопасности. Не умея самостоятельно искать уязвимости и несовершенства в своей работе сотрудник ИБ не сможет нормально развивать и совершенствовать процессы информационной безопасности. Однако, способны ли сами сотрудники, не привлекая сторонних специалистов сделать заключение о достаточности мер защиты в организации? Почти никогда. Опишем нашу позицию подробнее и поясним, почему даже самый дорогой аудит информационной безопасности всегда лучше, чем инцидент ИБ.

В открытом доступе нетрудно найти множество новостей за прошедший год о крупных инцидентах в отечественных и международных компаниях, потери от которых исчисляются миллионами долларов. Подсчёт потерь в целом по миру связан с некоторыми трудностями из-за отсутствия полной информации, однако и некоторого количества разрозненных новостей достаточно, чтобы оценить масштаб возможных расходов, связанных с обслуживанием инцидента.

 

Что такое аудит информационной безопасности и чем он полезен

В профессиональной среде укрепилось мнение об аудите, как о мероприятии, необходимом только для того, чтобы выполнить требования регулятора. Конечно, для того чтобы просто соответствовать требованиям законодательства можно ограничиться подобным формальным подходом, но он не позволит организации получить даже долю той возможной пользы, которую может принести аудит информационной безопасности. Консультант по информационной безопасности всегда сможет обратить внимание на ошибки, которые при взгляде изнутри покажутся незначительными, но на деле несут существенную угрозу безопасности.

Существует предубеждение, что аудиторы не смогут найти по-настоящему серьёзных уязвимостей. Конечно, например, оценка соответствия требованиям ГОСТ 57580.1 не предполагает творческого подхода к поиску ошибок, однако даже классический системный способ почти всегда и гарантированно укажет на серьёзные недочёты в работе службы ИБ.

Не стоит также закрывать глаза на рекомендации аудиторов по итогам проведённой проверки – эти советы выполнимы и могут серьёзно увеличить общий уровень защищённости.

Если организация по своему статусу не обязана проводить оценку соответствия требованиям законодательства, вопрос необходимости аудита информационной безопасности, очевидно, чаще решается проведением внутренней проверки собственными силами. В то же время инцидент безопасности в такой компании повредит работе бизнес-процессов не меньше, чем в тех, которые по требованиям регулятора обязаны контролировать качество работы системы информационной безопасности.

 

Потери

Рассмотрим перечень финансовых последствий, с которыми может встретиться компания по факту инцидента.
Траты вследствие остановки деятельности. Действительно, для любой организации даже обыкновенный простой в работе может повлечь огромные траты. Сколько времени понадобится отделу ИТ, чтобы полностью восстановить функционал системы? Сколько составит упущенная выгода за данный время? Сюда же можно отнести долгосрочные последствия невыполнения обязательств перед клиентами.

Выплаты шантажистам. Некоторые компании, либо, не имея другого выхода, либо оценивая такой вариант как наиболее быстрый дешёвый, при атаках вирусов-вымогателей переводят деньги хакерам. Не оценивая такой подход в целом, отметим, что такие траты точно относятся к расходам на ликвидацию последствий инцидента.

Репутационные и иные косвенные потери. Подобные расходы тяжело поддаются прогнозированию и численной оценке. Сколько клиентов откажется от услуг компании из-за утраты доверия? Как информация, опубликованная вследствие инцидента, повлияет на имидж организации и во сколько обойдётся восстановление доверия?

Траты на совершенствование инфраструктуры. Если предприятие не желает снова встретиться с последствиями аналогичных атак, то ему придётся выделить средства на внесение изменений в информационную инфраструктуру, обучение персонала, разработку обновлённых документов в сфере защиты информации. Зачастую подобные действия в сжатые сроки (не исключена возможность повторения атаки) обходятся для организации внушительными тратами.

В целом, список прямых и косвенных трат вследствие инцидента ИБ обширен. Вероятно, компании придётся столкнуться с проблемами, которых можно было бы избежать, располагай она информацией об опасных уязвимостях и ошибках, имеющихся в инфраструктуре.

 

Подытожим

После беглого подсчёта суммы возможных трат из-за успешной атаки, легко сравнить его со стоимостью аудита информационной безопасности. Второй вариант всегда дешевле. Надеемся, что доводы, приведённые в этой статье, окажутся достаточно убедительны и повлияют на отношение специалистов к профессиональной консультации по вопросам безопасности.

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.

Добавить комментарий

Ваш адрес email не будет опубликован.

*

Сайт защищен reCAPTCHA. Ознакомьтесь с разделами Политика конфиденциальности и Условия обслуживания.