Как технологические гиганты повышают киберустойчивость
Недоверие толкает нас на самоограничивающие стигмы, но международные стандарты могут помочь нам быть уверенными в своей уязвимости и устойчивости.
Что общего между Microsoft, Apple, Google, Intel и IBM? Все перечисленные технологические гиганты, входящие в список 500 крупнейших компаний мира, используют стандарт ISO/IEC 27001. С растущим глобальным распространением, представленный на тысячах сайтов по всему миру, ISO/IEC 27001 стал повсеместно принятым основным стандартом для систем управления информационной безопасностью.
Чтобы защитить свои критически важные активы данных от цифровых угроз и уязвимостей, организациям необходимо принять образ мыслей, способствующий киберустойчивости. Киберустойчивость должна быть неотъемлемой частью не только технических систем, но и команд, организационной культуры и повседневной деятельности компании. На самом деле, сегодня руководители компаний гораздо лучше осведомлены о киберугрозах, чем годом ранее. Согласно докладу Всемирного экономического форума (ВЭФ) "Глобальные перспективы безопасности до 2023 года", 91 % респондентов заявили, что, по их мнению, масштабное и катастрофическое киберсобытие "по крайней мере, в некоторой степени вероятно в ближайшие два года".
Компании по всему миру отреагировали на подобное давление внедрением ISO/IEC 27001[1], самого известного в мире стандарта для систем управления информационной безопасностью (СУИБ). Он представляет собой документированный набор политик, процедур, процессов и систем, которые управляют рисками потери данных в результате кибератак, взломов, утечки или кражи.
Организациям необходимо принять образ мыслей, способствующий киберустойчивости.
Что такое киберустойчивость?
Киберустойчивость - это способность организации работать в условиях кибератаки или другого кибер-инцидента. Она подразумевает наличие необходимых технических и организационных мер для обнаружения, реагирования и восстановления после подобных инцидентов, а также способность адаптироваться и извлекать из них уроки для повышения устойчивости в будущем.
"Киберустойчивость - это то, что приходит на смену, когда меры по предотвращению безопасности дают сбой", - говорит Андреас Вольф (Andreas Wolf), возглавляющий группу экспертов, ответственных за стандарты ИСО/МЭК по ИТ-безопасности. "В цифровой экономике именно способность преодолевать киберугрозы отличает тех, кто доминирует на рынке. Организации, которые превращают свою уязвимость в силу, будут уверены в себе и смогут идти на здоровый риск".
В сфере безопасности Вольф далеко не новичок. Он и его команда отвечают за новую и улучшенную версию стандарта ISO/IEC 27001, опубликованную в октябре прошлого года для решения глобальных проблем ИТ-безопасности и повышения доверия к цифровым технологиям. Его работа приносит огромную пользу организациям, побуждая их защищать все формы информации, разрабатывать централизованно управляемую структуру, сокращать расходы на неэффективные технологии защиты, а также защищать целостность, конфиденциальность и доступность своих данных.
Но устойчивость относится не только к внутренней работе организации; она должна распространяться на все партнерские отношения с третьими сторонами и на всю цепочку поставок. К счастью, Индекс киберустойчивости (CRI): продвижение организационной киберустойчивости, также опубликованный ВЭФ, призван служить справочной основой для обеспечения наглядности и прозрачности практики обеспечения киберустойчивости в различных отраслях, среди коллег и в цепочке поставок.
CRI предоставляет киберлидерам государственного и частного секторов общую основу передовой практики для обеспечения истинной киберустойчивости, а также механизм для измерения эффективности работы организации и четкие формулировки для передачи ценности. В соответствии с принципами, последующими основными и воспомогательными практиками CRI для обеспечения здоровой киберустойчивости организации используется признанная система безопасности и отраслевые стандарты, такие как ISO/IEC 27001.
Мы не можем позволить себе идти на компромиссы в вопросах киберустойчивости в цифровую эпоху.
Уязвимость как строительный блок для обеспечения устойчивости
Прозрачность внутренней практики и обмен информацией с конкурентами и политиками могут заставить организации чувствовать себя уязвимыми. Но именно такая уязвимость приведет к настоящему сотрудничеству и прогрессу.
Мы не можем позволить себе идти на компромиссы в вопросах киберустойчивости в цифровую эпоху. Для этого есть и бизнес-обоснование. Организации, которые принимают киберустойчивость через уверенную уязвимость, быстро становятся лидерами в своей отрасли и устанавливают стандарты для своей экосистемы. Целостный подход ISO/IEC 27001 означает, что охвачена вся организация, а не только её ИТ-отдел. Люди, технологии и процессы - все получают одинаковую выгоду.
- Стандарт ISO/IEC 27001 опубликован совместно с Международной электротехнической комиссией (МЭК).