CEO, CIO и CISO, удержитесь ли в кресле, если вашу компанию взломали?

CEO, CIO и CISO, удержитесь ли в кресле, если вашу компанию взломали?

Как директору вам нужно знать о том, как развивать компанию, но также вы должны знать, как защитить важные данные и оставить их внутри компании.

Быть директором в современной компании является задачей более требовательной, чем когда-либо прежде.

Руководители должны знать о практически всех аспектах компании, а не только о корпоративной стратегии или продажах.

Как директору вам нужно знать о том, как развивать компанию, но также вы должны знать, как защитить важные данные и оставить их внутри компании.

Если мы вернемся в 2000-е, то обеспечение защиты данных было бы относительно простым делом. Большая часть важной информации состояла из прав на интеллектуальную собственность, бумаг и знаний людей. Теперь вы должны защищать все выше описанное и данные ваших клиентов, ваш веб-сайт и вашу бизнес-инфраструктуру. Кроме того, если у вас бизнес связан с массовыми рынками, то у вас, скорее всего, есть много данных, которые квалифицируются как BIG DATA, особенно если ваш бизнес в первую очередь находится в Интернете. 

Сейчас вам необходимо знать не только о том, как защитить данные, вы также должны знать ее стоимость и ценность для бизнеса, потому что вы можете быть уверены, что другие уже ее оценили и ищут пути, чтобы ею завладеть.


Есть ИТ-угрозы и как они влияют на мою карьеру? 

Окей, скорее всего вы думаете: "Ну, конечно, наши конкуренты наблюдают за нами, оценивают стоимость наших данных и пробуют их украсть". Но я не говорю сейчас о ваших конкурентах. Они, безусловно хотели бы иметь доступ к вашим данным, но кроме них есть еще другие, кто готов совершить преступление, чтобы получить вашу базу данных. Я имею ввиду определенную группу людей, которые специализируются на краже данных, и они не беспокоятся о законах, они современные ИТ-преступники - хакеры, которым может быть и 17 лет (Средний возраст современного киберпреступника снизился до 17 лет). Они могут ради удовольствия и проверки личных способностей положить ваш веб-сайт или получить доступ в вашу компьютерную сеть. Возможно, выдаже об этом не узнаете, пока ваши продажи не пойдут вниз, и вы решете искать причину, а уже будет поздно… А плохие парни уже сделали свою работу.


“55% процентов всех атак совершаются инсайдерами или непреднамеренно. Другими словами, они были спровоцированы людьми, которым вы скорее всего доверяете.”

Источник IBM

Если у вас есть Большие Данные, то вы скорее всего в Большой Проблеме.


Давайте рассмотрим к чему могут привести действия хакеров на примере компаний Target и Sony

Ниже схематически указаны шаги хакеров, которые позволили им украсть у американского ритейлера ( Target ) 40 млн номеров кредитных карт.

 Источник Bloomberg

Это была сложная и хорошо спланированная атака на компанию, которая прошла PCI аудит и штат специалистов по ИТ-безопасности составлял около 300 человек. Возможно, атака прошла успешно благодаря человеческому фактору, так как человек является самым слабым звеном в ИТ-безопасности, который сам открывает доступ к данным, например, нажимая на вложение в письме. Как результат, все деньги, потраченные на ИТ-безопасность, идут на ветер, а данные утекают к хакерам\конкурентам. И все вспоминают, что хорошо бы повысить осведомленность сотрудников по ИТ безопасности, только после утечки данных и так у нас всегда в бизнесе, все делается опосля, когда стоимость восстановления информации и жизнедеятельности бизнеса дороже, чем до происшествия. А потом думают, а зачем нам обучать пользователей или вообще что-то делать, ведь с нами такого во 2-й раз не случиться, а нет случиться просто вопрос в том: “Когда это случиться?”

 

Кто ответственен за безопасность компании? ИТ-директор? CISO ? Генеральный директор?

Вы как Генеральный директор думаете, что это ответственность Вашего ИТ-директора или CISO решать такие вопросы, и Вы правы. Тем не менее, оценка рисков и Вас касается. Вы должны принимать участие в вопросе безопасности ИТ и убедиться, что Ваша компания имеет достаточный фокус в этом направлении. Так все-таки это должно больше волновать ИТ-директора и CISO , а? Да, именно их.Уважаемый Генеральный директор, что я хочу до Вас донести: держите в Вашем фокусе ситуацию по ИТ-безопасности, чтобы хакеры\конкуренты не держали в руках Ваши базы данных. 

Так почему же я поднял данную тему? 

Я не говорю: срочно увеличьте свои расходы на ИТ-безопасность в 100 раз. Я просто хочу подчеркнуть, что вам нужно убедиться, что вы можете правильно понимать риски ИТ-безопасности, стоимость утечки данных и предпринять шаги для защиты бизнеса, потому что от этого зависит ваша карьера.

Несмотря на то, что сейчас происходят более целенаправленные атаки, и рисков каждый день становиться все больше, в большинстве компаний существует все еще проблема взаимопонимания и слаженной работы между генеральным директором и ИТ-директором над улучшением уровня ИТ-безопасности до момента возникновения проблемы. И такая проблема может стоит потери работы как это произошло с руководящим составом в компании Target.

Ок, кейс Target разобрали. 


А что же произошло в Sony? 

После того, как ваши данные ушли или вашу компьютерную сеть взломали - это очень сильно повлияет на стоимость компании, инвесторы могут полагать, что произошла утечка важной информации, хотя это может фактически быть не основной целью хакеров. Если вы посмотрите   на кейс с Sony, их акции торговались в апреле 2011 года около 35$ за день до утечки данных. После инцидента стоимость акций опустилась в течении нескольких месяцев до 25$. При 1 млн акций в обращении - это 10$ млрд потерь для Sony. В добавок им необходимо было восстанавливать долго и дорого репутацию, снова завоёвыватьmarket share , тратить сотни миллионов долларов на восстановление и расследование инцидента.

 

Для Вас как Генерального директора или CIO не должно быть сюрпризом, что утечка данных представляет реальную опасность. Хакеры проникают в крупные, средние и малые компании ежедневно, и тенденция такова, что они становятся умнее. Хакеры знают, что Большие Данные равно Большие Деньги.


А что происходит в Украине с ИТ-безопасностью в бизнесе? 

У нас тоже не все гуд. Думаю, что большинство слышали про атаки на украинскую электроэнергетику (Хакеры опять атаковали украинскую энергетику вирусом BlackEnergy). Интересно, кого-то уволили? Что было сделано для предотвращения подобных атак?

К сожалению, у нас не принято делать публичные заявления о том произошла утечка данных или компьютерная сесть была взломана, а пытаются все “закрыть” и по-тихому залатать пластырем. Поэтому новостей по Украине особо и не найти. Но если пообщаться с бизнесом тет-а-тет, то узнаются любопытные данные =)

В отличии от американских и европейских компаний, которые понимают, что инвестирование в ИТ-безопасность – это жизненно важно для бизнеса , в Украине с этим всегда было очень напряженно. Что говорить, если антивирус не всегда обновленный и резервные копии хранятся там же где и основные данные, а про более серьезные решения и страшно писать. 


Что нам делать? 

Уважаемый читатель и особенно руководители, надеюсь сейчас, Вы подумаете: что я должен делать? Это не статья про построение архитектуры ИТ-безопасности в вакууме, это повод и хорошее начало для CEO, CIO и CISO сесть за круглый стол и трезво оценить стоимость ваших Данных. Здесь вам в помощь показатели: EBIT, EBITDA, TCO, ROI, CAPEX и OPEX.

Оцените ваши усилия в материальной и нематериальной защите важной информации по сравнению с ее фактическим значением для компании, а затем посмотрите, сколько денег вы тратите сейчас.


Посчитали, проанализировали и сделали выводы. Отлично! А теперь пора защищать информацию!

Что вы делаете для защиты информации?


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії Project management, управління проектами Менеджмент, керування, KPI Охорона праці, санітарні норми