Как бизнесу поставить цели в ИБ на 2025 год?

Важно планировать не только финансовые цели, но также строить и стратегию информационной безопасности

В начале каждого нового года мы обязательно ставим личные цели. А предпринимателям необходимо также спланировать цели, которые должен достичь их бизнес.

И если с финансовыми целями все понятно, здесь есть большое число инструментов, которые можно использовать для постановки планов, то с информационной безопасности сложнее. Каким именно образом поставить стратегические цели на год, а из них сформулировать тактические задачи с разбивкой по кварталам и месяцам?

Процесс формирования системы защиты не должен быть хаотичным и спонтанным. Необходимость установления целей информационной безопасности необходима для того, чтобы минимизировать риски потенциальных кибератак, ведущих к утечкам конфиденциальной информации или уничтожению информации, которые могут серьезно поставить под угрозу деятельность любого бизнеса. Отсутствие четкой постановки целей информационной безопасности может привести к непредвиденным последствиям, где утечка данных - это меньшее из зол. Штрафы за нарушения законодательства, потеря доверия со стороны клиентов и деловых партнеров, остановка бизнес процессов - это то, что на самом деле часто снится в страшных снах собственникам и руководителям. Почему? Потому что иногда такие инциденты могут даже привести даже к банкротству компании.

Информационная безопасность является важной составляющей работы любого предприятия, поэтому необходимо уделить достаточное внимание установлению четких задач и оценке ожидаемых результатов работы в этой области. Цели информационной безопасности должны быть выстроены на основе анализа уязвимостей и угроз, с которыми может столкнуться компания, а также учитывать законодательные требования в области защиты данных.

Определение и достижение этих целей позволит повысить уровень защиты информации, снизить вероятность возникновения киберугроз и обеспечит более эффективное управление рисками в области информационной безопасности.

У информационной безопасности, как отдельной зоны ответственности, должны быть четкие задачи и оцифрованный ожидаемый результаты работы. Творческая задача - выставить эти показатели. Например,

в количестве зафиксированных инцидентов,
числе расследованных серьезных инцидентов,
или же величине серьезных инцидентов, которые не достигли целевой системы и не привели к ущербу.

А может быть, имеет смысл поставить показатель в скорости реакции?

У каждого из этих параметров есть свои плюсы и минусы, и однозначно нельзя подходить формально к установлению количественных показателей - важно понимать саму суть, что именно мы хотим замерить и ведет ли это к реализации стратегии информационной безопасности -то есть в конечном счете к уменьшению рисков для бизнеса.

Мы рекомендуем разбить весь процесс построения системы защиты информации на следующие шаги:

Синхронизировать текущие результаты и планируемые финансовые цели компании с привязкой к направлениям бизнеса и ключевым бизнес-процессам

Выделить направления, которые оказывают наибольшее эффект на результат бизнеса

Составить перечень критичных рисков для выделенных бизнес-процессов

Сформировать набор мер и средств защиты, которые необходимо будет внедрить, чтобы избежать выделенных рисков (проведение аудита информационной безопасности может быть одной из тактических задач, чтобы реализовать стратегию информационной безопасности, если самостоятельно выделить риски или описать целевое состояние системы защиты не представляется возможным из-за отсутствия экспертизы)

За планирование стратегии информационной безопасности отвечают два человека:

Собственник бизнеса, который разбирается в бизнес процессах в целом, и может выделить наиболее критичные из них

Руководитель IT (ИБ), которые разбираются в активах и понимают бизнес-процессы, могут ранжировать риски и выполнить атрибуцию рисков на ключевые активы компании

Также важно отметить, что для формирования стратегии информационной безопасности необходимо исходить не только из ключевых бизнес процессов, но также опираться на лучшие практики и минимально необходимый набор средств защиты (“гигиенический набор”), куда входят средства, о которых мы писали неоднократно:

антивирусная безопасность;

контроль каналов коммуникации, включая электронную почту;

контроль систем бухгалтерской отчетности;

контроль финансовой системы (платежей и проводок);

контроль CRM системы;

повышение осведомленности сотрудников в вопросах информационной безопасности.

Начало года - отличное время заняться выстраиванием нового бизнес-процесса в вашей компании. Подумайте об информационной безопасности уже сейчас, чтобы не попасть под случайную или направленную (заказную) хакерскую атаку.

Записаться на бесплатную консультацию вы можете по ссылке