CEO, CIO и CISO, удержитесь ли в кресле, если вашу компанию взломали?
Быть директором в современной компании является задачей более требовательной, чем когда-либо прежде. Руководители должны знать о практически все аспектах компании, а не только о корпоративной стратегии или продажах.
Быть директором в современной компанииявляется задачей более требовательной, чем когда-либо прежде.
Руководители должны знать о практически всех аспектах компании, а не только о корпоративной стратегии или продажах.
Как директору вам нужно знать о том, какразвивать компанию, но также вы должны знать, как защитить важные данные иоставить их внутри компании.
Если мы вернемся в 2000-е, то обеспечениезащиты данных было бы относительно простым делом. Большая часть важнойинформации состояла из прав на интеллектуальную собственность, бумаг и знанийлюдей. Теперь вы должны защищать все выше описанное и данные ваших клиентов,ваш веб-сайт и вашу бизнес-инфраструктуру. Кроме того, если у вас бизнес связанс массовыми рынками, то у вас, скорее всего, есть много данных, которыеквалифицируются как BIG DATA, особенно если ваш бизнес в первую очередьнаходится в Интернете.
Сейчасвам необходимо знать не только о том, как защитить данные, вы также должнызнать ее стоимость и ценность для бизнеса, потому что вы можете быть уверены,что другие уже ее оценили и ищут пути, чтобы ею завладеть.
Есть ИТ-угрозы и как они влияют на моюкарьеру?
Окей, скорее всего вы думаете: "Ну,конечно, наши конкуренты наблюдают за нами, оценивают стоимость наших данных ипробуют их украсть". Но я не говорю сейчас о ваших конкурентах. Они,безусловно хотели бы иметь доступ к вашим данным, но кроме них есть еще другие,кто готов совершить преступление, чтобы получить вашу базу данных. Я имею ввидуопределенную группу людей, которые специализируются на краже данных, и они небеспокоятся о законах, они современные ИТ-преступники - хакеры, которым можетбыть и 17 лет (Среднийвозраст современного киберпреступника снизился до 17 лет). Они могут радиудовольствия и проверки личных способностей положить ваш веб-сайт или получитьдоступ в вашу компьютерную сеть. Возможно, выдаже об этом не узнаете, пока вашипродажи не пойдут вниз, и вы решете искать причину, а уже будет поздно… Аплохие парни уже сделали свою работу.
“55% процентов всех атак совершаются инсайдерамиили непреднамеренно. Другими словами, они были спровоцированы людьми, которымвы скорее всего доверяете.”
Источник IBM
Если у вас есть Большие Данные, то вы скорее всего в Большой Проблеме.
Давайте рассмотрим к чему могутпривести действия хакеров на примере компаний Target и Sony
Ниже схематически указаны шаги хакеров,которые позволили им украсть у американского ритейлера (Target) 40 млнномеров кредитных карт.
Источник Bloomberg
Это была сложная и хорошо спланированная атакана компанию, которая прошла PCIаудит и штатспециалистов по ИТ-безопасности составлял около 300 человек. Возможно, атакапрошла успешно благодаря человеческому фактору, так как человек является самымслабым звеном в ИТ-безопасности, который сам открывает доступ к данным,например, нажимая на вложение в письме. Как результат, все деньги, потраченныена ИТ-безопасность, идут на ветер, а данные утекают к хакерам\конкурентам. И все вспоминают, что хорошо бы повыситьосведомленность сотрудников по ИТ безопасности, только после утечки данныхи так у нас всегда в бизнесе, все делается опосля, когда стоимостьвосстановления информации и жизнедеятельности бизнеса дороже, чем допроисшествия. А потом думают, а зачем нам обучать пользователей или вообщечто-то делать, ведь с нами такого во 2-й раз не случиться, а нет случитьсяпросто вопрос в том: “Когда это случиться?”
Кто ответственен за безопасностькомпании? ИТ-директор? CISO? Генеральный директор?
Вы как Генеральный директор думаете, что этоответственность Вашего ИТ-директора или CISOрешать такие вопросы, и Вы правы. Тем не менее, оценка рисков и Васкасается. Вы должны принимать участие в вопросе безопасности ИТ и убедиться,что Ваша компания имеет достаточный фокус в этом направлении. Так все-таки этодолжно больше волновать ИТ-директора и CISO, а? Да, именно их. Уважаемый Генеральный директор, что я хочудо Вас донести: держите в Вашем фокусе ситуацию по ИТ-безопасности, чтобыхакеры\конкуренты не держали в руках Ваши базы данных.
Так почему же я поднял данную тему?
Я не говорю: срочно увеличьте свои расходы наИТ-безопасность в 100 раз. Я просто хочу подчеркнуть, что вам нужно убедиться,что вы можете правильно понимать риски ИТ-безопасности, стоимость утечки данныхи предпринять шаги для защиты бизнеса, потому что от этого зависит ваша карьера.
Несмотря на то, что сейчас происходят болеецеленаправленные атаки, и рисков каждый день становиться все больше, вбольшинстве компаний существует все еще проблема взаимопонимания и слаженнойработы между генеральным директором и ИТ-директором над улучшением уровняИТ-безопасности до момента возникновения проблемы. Итакая проблема может стоит потери работы как это произошло с руководящимсоставом в компании Target.
Ок, кейс Target разобрали.
А чтоже произошло в Sony?
После того, как ваши данные ушли или вашукомпьютерную сеть взломали - это очень сильно повлияет на стоимость компании,инвесторы могут полагать, что произошла утечка важной информации, хотя этоможет фактически быть не основной целью хакеров. Если вы посмотрите на кейс с Sony, их акции торговались в апреле2011 года около 35$ за день до утечки данных. После инцидента стоимость акцийопустилась в течении нескольких месяцев до 25$. При 1 млн акций в обращении -это 10$ млрд потерь для Sony. В добавок им необходимо было восстанавливать долгои дорого репутацию, снова завоёвывать marketshare, тратить сотни миллионов долларов навосстановление и расследование инцидента.
Для Вас как Генерального директора или CIO недолжно быть сюрпризом, что утечка данных представляет реальную опасность.Хакеры проникают в крупные, средние и малые компании ежедневно, и тенденциятакова, что они становятся умнее. Хакерызнают, что Большие Данные равно БольшиеДеньги.
А что происходит в Украине сИТ-безопасностью в бизнесе?
У нас тоже не все гуд. Думаю, что большинствослышали про атаки на украинскую электроэнергетику (Хакеры опять атаковали украинскую энергетикувирусом BlackEnergy). Интересно, кого-то уволили? Что было сделано дляпредотвращения подобных атак?
К сожалению, у нас не принято делать публичныезаявления о том произошла утечка данных или компьютерная сесть была взломана, апытаются все “закрыть” и по-тихому залатать пластырем. Поэтому новостей поУкраине особо и не найти. Но если пообщаться с бизнесом тет-а-тет, то узнаютсялюбопытные данные =)
Вотличии от американских и европейских компаний, которые понимают, чтоинвестирование в ИТ-безопасность – это жизненно важно для бизнеса, в Украине с этим всегда было очень напряженно. Что говорить, еслиантивирус не всегда обновленный и резервные копии хранятся там же где и основные данные, а про более серьезные решения и страшно писать.
Что нам делать?
Уважаемый читатель и особенно руководители,надеюсь сейчас, Вы подумаете: что я должен делать? Это не статья про построениеархитектуры ИТ-безопасности в вакууме, это повод и хорошее начало для CEO, CIOи CISO сесть за круглый стол и трезво оценить стоимость ваших Данных. Здесь вамв помощь показатели: EBIT, EBITDA, TCO, ROI, CAPEX и OPEX.
Оценитеваши усилия в материальной и нематериальной защите важной информации посравнению с ее фактическим значением для компании, а затем посмотрите, сколько денегвы тратите сейчас.
Посчитали, проанализировали и сделали выводы. Отлично! А теперь пора защищать информацию!
Что вы делаете для защиты информации?
- 1000+ днів війни: чи достатньо покарати агрессора правовими засобами?! Дмитро Зенкін вчора о 21:35
- Горизонтальний моніторинг як сучасний метод податкового контролю Юлія Мороз вчора о 13:36
- Ієрархія протилежних правових висновків суду касаційної інстанції Євген Морозов вчора о 12:39
- Чужий серед своїх: право голосу і місце в політиці іноземців у ЄС Дмитро Зенкін 20.11.2024 21:35
- Сталий розвиток рибного господарства: нові можливості для інвестицій в Україні Артем Чорноморов 20.11.2024 15:59
- Кремль тисне на рубильник Євген Магда 20.11.2024 15:55
- Судова реформа в контексті вимог ЄС: очищення від суддів-корупціонерів Світлана Приймак 20.11.2024 13:47
- Як автоматизувати процеси в бізнесі для швидкого зростання Даніелла Шихабутдінова 20.11.2024 13:20
- COP29 та План Перемоги. Як нашу стратегію зробити глобальною? Ксенія Оринчак 20.11.2024 11:17
- Ухвала про відмову у прийнятті зустрічного позову підлягає апеляційному оскарженню Євген Морозов 20.11.2024 10:35
- Репарації після Другої світової, як передбачення майбутнього: компенсації постраждалим Дмитро Зенкін 20.11.2024 00:50
- Що робити під час обшуку? Сергій Моргун 19.11.2024 19:14
- Як реагувати на вимоги поліції та ТЦК: поради адвоката Павло Васильєв 19.11.2024 17:55
- Як зниження міжнародної підтримки впливає на гуманітарне розмінування в Україні Дмитро Салімонов 19.11.2024 14:12
- Українські діти війни: більше 10 років російської агресії, 1000 днів незламності Юрій Гусєв 19.11.2024 12:16
-
Віктор Ющенко та партнери відчужили право на видобуток газу на Полтавщині
Бізнес 94512
-
Головний прапор країни приспустили: яка причина
Життя 78350
-
"Ситуація критична". У Кривому Розі 110 000 жителів залишаються без опалення
Бізнес 17607
-
Ми втрачаємо покоління інженерів і програмістів. Як математика впливає на майбутнє України
12036
-
Британія утилізує п'ять військових кораблів, десятки гелікоптерів і дронів задля економії
Бізнес 9041