Все меры по управлению рисками, которые организация может предпринять для устранения угроз кибербезопасности, зависят от одного важного вопроса: какова толерантность организации к риску?
Толерантность к риску - это концепция, заимствованная из инвестиционной стратегии и являющаяся частью различных методологий оценки рисков. Инвесторы с высокой толерантностью к риску готовы терпеть волатильность на фондовом рынке и заниматься рискованными инвестициями; инвесторы с низкой толерантностью к риску более осторожны. Финансовые консультанты дают рекомендации своим клиентам в зависимости от толерантности каждого клиента к риску.
Толерантность к риску в сравнении с способностью к риску
Способность к риску - это еще один термин, заимствованный из инвестиционного мира, но это не то же самое, что толерантность к риску. Толерантность к риску - это уровень риска, который ваша компания готова принять для достижения конкретных целей. Способность к риску - это уровень риска, который вам необходим для достижения ваших долгосрочных и краткосрочных целей.
В финансовом мире инвестиционные стратегии с высоким уровнем риска могут приносить более высокую доходность. В сфере кибербезопасности такое случается редко. Если найти правильный баланс между способностью к риску и толерантностью к нему, то у вас получится достичь ваших целей, не подвергая компанию ненужным угрозам.
Уровни толерантности к риску
Различные типы толерантности к риску помогают организациям определять подходящие проекты и процедуры для их уровня комфорта. Мы можем разделить толерантность к риску на три категории: агрессивную, умеренную и консервативную.
Агрессивная толерантность к риску
Преимущество агрессивной (то есть более высокой) толерантности к рискам заключается в том, что вы можете быть более гибкими в своих мерах кибербезопасности. Это не означает, что вы можете довольствоваться своей стратегией управления рисками, но у вас больше свободы действий при определении приоритетов в областях, где требуется наибольшая защита. Это может сэкономить вам деньги в долгосрочной перспективе, поскольку у вас будет больше выбора в отношении того, куда направлять ваши средства.
Предприятия, которые либо не обрабатывают, либо хранят мало данных о клиентах (например, служба уборки помещений или коммерческая строительная фирма), имеют более высокую толерантность к риску. На вашу устойчивость к рискам также могут влиять ваше облачное хранилище, количество конечных устройств в вашей сети и текущая конфигурация вашей системы безопасности.
Умеренная толерантность к рискам
Умеренная толерантность к риску означает, что ваша компания не так открыта для принятия рисков, но все равно будет оценивать уровень риска в сравнении с выгодами от определенных действий, устанавливая меры по смягчению последствий для уменьшения вероятности или воздействия связанных с ними рисков.
Консервативная толерантность к риску
Компаниям с консервативной или низкой толерантностью к риску следует быть более осторожными в своем подходе к управлению рисками. Причинами более низкой толерантности к риску могут быть государственные контракты, доступ к конфиденциальной информации или торговля данными, что делает вас особенно привлекательной мишенью для киберворов. Примерами могут служить оборонные подрядчики, финансовые фирмы, больницы и высшие учебные заведения.
Определение уровня вашей толерантности к риску
При определении профиля рисков вашей организации вам следует рассмотреть несколько вопросов.
Каковы Ваши цели?
Как выглядят ваши прошлые показатели и чего ваша компания надеется достичь в будущем? Финансовые цели, задачи роста и потенциальные слияния или IPO - все это следует учитывать при принятии решения о том, на какой риск может пойти ваша компания.
Каковы ваши требования к соблюдению?
Подпадают ли ваши деловые операции под действие Стандарта безопасности данных индустрии платежных карт (PCI DSS) или Общего регламента по защите данных (GDPR)? Подпадаете ли вы под действие Закона о переносимости и подотчетности медицинского страхования (HIPAA) или Федерального закона об управлении информационной безопасностью (FISMA)? Если ваша отрасль, местоположение или размер диктуют соблюдение определенной системы безопасности, то эта система должна учитываться при принятии вами решений.
Кому необходимо участвовать в обсуждении толерантности к риску?
Ваша компания не сможет точно определить вашу толерантность к риску без информации от отделов на всех уровнях. У разных членов команды может быть разный уровень комфорта, и важно запрашивать информацию у всех них.
Какие конкретные риски присущи Вашей отрасли?
Есть ли у вас полная оценка рисков для вашей отрасли и стратегия внутреннего контроля для их устранения? Например, компании, получающие доступ к медицинским данным или обрабатывающие их, статистически чаще сталкиваются с попытками взлома; поэтому им необходимы более строгие меры контроля. Кроме того, общедоступный профиль вашей компании может сделать вас уязвимым для атак программ-вымогателей. Рассмотрите уникальные способы, которыми ваша компания может привлекать риски, или у вас есть обязательства по соблюдению требований для защиты от этих рисков; а затем планируйте соответствующим образом.