Как обосновать ценность информационной безопасности бизнесу, когда «всё и так работает»?
Типичная ситуация: служба кибербезопасности функционирует, инцидентов нет, недопустимые события не наступают — и именно поэтому бизнес не понимает, за что платит: нет языка, на котором можно объяснить ценность того, что не случилось.
Мы разработали методику расчета потерь от инцидента ИБ — подход, который переводит работу ИБ в понятные бизнесу цифры.
В компании функционирует SOC — Security Operations Center, центр мониторинга и реагирования на киберугрозы
Значимые инциденты, приводящие к негативным для бизнеса последствиям, отсутствуют
Бизнес не понимает, чем занимается ИБ: раз все и так хорошо, зачем еще за что-то платить?
Бизнес не выделяет ресурсов на развитие кибербезопасности
Есть задача объяснить ценность ИБ бизнесу — поможем выстроить аргументацию в цифрах
Методика расчёта потерь от инцидента ИБ переводит вашу работу в понятные бизнесу финансовые показатели.
1. Формирование ТОПа наиболее распространенных инцидентов на основе статистики SOC
Любой инцидент развивается по цепочке техник — от первого шага до недопустимого события. В 95% случаев существующие меры защиты обрывают эту цепочку на том или ином этапе. Место разрыва — точка включения SOC — и есть наша точка отсчёта: именно отсюда мы начинаем строить варианты потенциального развития цепочки в случае ее непредотвращения.
После регистрации события в SOC, как правило, ему присваивается техника MITRE ATT&CK. На основе этой информации формируется ТОП наиболее распространенных техник, для определения начальной техники killchain.
Пример ТОП-10 событий
T1098 Account Manipulation — Манипуляции с учетной записью
T1110 Brute Force — Метод перебора
T1566 Phishing — Фишинг
T1190 Exploiting public-facing applications — Недостатки в общедоступном приложении
T1078 Valid accounts — Существующие учетные записи
T1199 Trusted relationship — Доверительные отношения
T1059 Command and scripting interpreter — Интерпретаторы командной строки и сценариев
T1003 OS Credential Dumping — Дамп учетных данных
T1210 Exploitation of remote services — Эксплуатация уязвимостей в удалённых службах
T1569 System services — Системные службы
2. Формирование тепловых карт по наиболее релевантным техникам MITRE ATT&CK
Данные техники используют злоумышленники (APT-группировки, инсайдеры), применительно к Вашему бизнесу.
Пример тепловых карт
3. Формирование релевантных цепочек атак на основе полученной статистики
Пример цепочки атак
4. Расчет вероятности реализации цепочки атаки
Пример расчета вероятности
5. Оценка потенциального ущерба от реализации инцидента (на основе бизнес-метрик)
Пример бизнес метрик
6. Расчет величины риска от непредотвращения инцидента
Расчет величины риска от непредотвращения инцидента
Пример совокупного уровня риска
7. Расчет RoSI
RoSI (return on security investment) — показатель возврата инвестиций в безопасность, который характеризует экономическую эффективность систем защиты информации.
Как правило, показатель RoSI используется для обоснования финансовых вложений в СЗИ. В модели монетизации инцидентов показатель RoSI демонстрирует эффективность вложений в ИБ для предотвращения инцидентов
Для расчета показателя RoSI используется формула:
Где: ARO – annualized rate of occurrence, среднее количество инцидентов в год SLE – single loss expectancy, ожидаемые разовые потери, т.е. «стоимость» одного инцидента MF – mitigation factor, фактор снижения угрозы с помощью СЗИ TCO – total cost of ownership, совокупная стоимость владения СЗИ
Пример расчета RoSI
Результат — модель, позволяющая определить возможный риск от непредотвращения инцидентов
Пример реестра killchain
Запустим проект по монетизации инцидентов ИБ за 1 месяц
От статистики SOC и цепочек MITRE ATT&CK — до расчёта RoSI. Результат: модель, понятная финансовому блоку и совету директоров.
Проект ориентирован на CISO и руководителей ИБ-подразделений, которым необходимо обосновать бюджет на кибербезопасность на языке бизнеса — в виде конкретных финансовых показателей риска и возврата инвестиций.
Kill chain — это последовательность шагов злоумышленника: от первоначального проникновения в инфраструктуру до достижения конечной цели атаки. Понимание этой цепочки позволяет выявлять уязвимые точки и выстраивать эффективную защиту на каждом этапе.
По итогам проекта мы разработаем Методику оценки ущерба от реализации инцидентов ИБ и проведём обучение вашей команды. В результате вы получите все необходимые инструменты и компетенции для самостоятельного применения Методики в дальнейшей работе.
Да. Автоматизация процесса оценки — это естественное развитие проекта, и мы готовы реализовать её в рамках отдельного этапа на основе IRP/SGRC, которую вы используете.
Методику возможно адаптировать под любые типы инцидентов: неправомерные действия работников, ошибки операторов, мошеннические действия.
Сертификаты Infosecurity
Нам доверяют
Команда
Елизавета Маркова Опыт в сфере ИБ Специалист по ИБ – 6 лет Ведущий консультант – 3 года
Certified in Risk and Information Systems Control (CRISC)
ISO/IEC 27001 Lead Auditor
Релевантный опыт реализации
Внедрение и сопровождение систем менеджмента ИБ, разработка документации по ИБ, проведение аудитов по ИБ;
Выстраивание процесса управления рисками и проведение оценки рисков ИБ в организациях из различных отраслей – финансовый сектор, ритейл, операторы связи;
Проведение оценки зрелости процессов ИБ для организаций финансового сектора;
Разработка контента для профильноориентированных курсов повышения осведомленности работников в области ИБ для промышленной организации.
Елизавета Маркова Опыт в сфере ИБ Специалист по ИБ – 6 лет Ведущий консультант – 3 года
Образование ФГБОУ ВПО «Рязанский государственный радиотехнический университет»
Компетенции
Построение систем менеджмента ИБ
Построение систем управления рисками ИБ, оценка рисков ИБ
Аудит и формализация процессов ИБ
Разработка корпоративных стандартов по ИБ для группы компаний
Построение систем менеджмента непрерывности бизнеса
Курсы и сертификаты
ISO/IEC 27001 LeadImplementer
ISO/IEC 27001 LeadAuditor
Релевантный опыт реализации
Внедрение систем менеджмента ИБ более чем в 20 компаниях различных отраслей – ядерная энергетика, государственный сектор, авиаотрасль, облачные провайдеры, разработчики ПО.
Выстраивание систем управления рисками ИБ, оценка рисков ИБ – операторы связи, ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
Аудит и формализация процессов ИБ более чем в 30 компаниях различных отраслей - ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
Проведение BIA, разработка планов непрерывности деятельности для компаний из различных отраслей – ретейл, автомобилестроение, аутсорсинговые компании.
Участие в организации и проведении встреч в рамках аудита ИБ заказчика.
Проведение качественной и количественной оценки рисков ИБ.
Разработка практических рекомендаций по внедрению технических контролей и организационных мер.
Проведение сравнительного анализа текущих процессов ИБ заказчика с лучшими отраслевыми практиками и требованиями стандартов. Подготовка стратегических рекомендаций по повышению уровня зрелости ИБ.
Разработка внутренних организационно-распорядительных документов в области обеспечения ИБ.
Арина Азовцева Опыт в сфере ИБ Специалист по ИБ – 4 года