Индекс Киберриска: Сравнение Компаний По Уровню Кибербезопасности

Процесс изучения защищенности компаний от киберугроз осложняется тем, что нет объективных критериев, по которым можно проводить сравнения.

Чтобы решить эту проблему, Trend Micro и Институт Ponemon разработали Индекс киберрисков (CRI) — методологию оценки безопасности, которая помогает руководителям и командам безопасности сравнивать свой уровень безопасности с конкурентами.

В этом посте мы поговорим о том, как рассчитывается CRI и какие данные нужны для его расчета, а также приведем данные CRI за 2020 год.

Методология

В 2020 году были включены респонденты из Европы и Азиатско-Тихоокеанского региона, что говорит о том, что CRI 2020 стал глобальным.

Результаты опроса легли в основу индекса, отражающего готовность компаний реагировать на кибератаки.

Для построения индекса мы использовали ответы 2795 респондентов, что составляет 4,1% от общей выборки из 67 679 респондентов.

Ответы 211 респондентов были исключены из окончательной выборки из-за недостаточной достоверности.

Мы получили 33% ответов от компаний со штатом менее 100 сотрудников.

Еще 33% ответов поступили от компаний со штатом от 100 до 999 сотрудников, а остальные 35% — от более крупных компаний с 1000 и более сотрудников.

Отраслевая классификация респондентов включает 15 секторов.

Самые крупные из них:

• финансовые услуги - 13%,
• здравоохранение и фармацевтика - 10%,
• услуги - 9%,
• промышленность/производство - 9%,
• розничная торговля - 9%,
• технологии и программное обеспечение – 9%.

Источник: Тренд Микро.

расчет индекса цветопередачи

При этом индекс киберготовности показывает уровень готовности организации к защите от кибератак, а индекс киберугроз представляет состояние ландшафта угроз на момент расчета CRI. Индекс киберготовности Он рассчитывается на основе ответов респондентов на 31 вопрос, касающийся различных факторов, связанных с безопасностью в организации.

Примеры вопросов:

1. Какая часть бюджета безопасности организации достаточна для защиты ее информационных ресурсов и ИТ-инфраструктуры?
2. Обладает ли персонал ИТ-безопасности организации достаточными знаниями, навыками и опытом для защиты информационных активов и ИТ-инфраструктуры?
3. Считают ли руководители организаций ИТ-безопасность главным приоритетом бизнеса?
4. Подотчетен ли менеджер по ИТ-безопасности организации высшему руководству?
5. Активно ли участвуют в управлении безопасностью генеральный директор и совет директоров организации?
6. Тратит ли организация значительные ресурсы на обучение сотрудников вопросам безопасности?
7. Тратит ли организация значительные ресурсы на оценку рисков безопасности третьих сторон, включая облако и всю цепочку поставок?
8. Способна ли служба информационной безопасности моей организации обнаружить атаки нулевого дня?

• Полностью согласен = 10 баллов;
• Согласен = 7,5 баллов;
• Не уверен в ответе = 5 баллов;
• Не согласен = 2,5 балла;
• Категорически не согласен = 0 баллов.

Примеры вопросов:

• Вопрос 1. Сколько отдельных инцидентов, связанных с потерей или кражей данных клиентов, произошла в вашей организации за последние 12 месяцев?
• В2. Сколько отдельных инцидентов безопасности данных, связанных с утечкой информационных активов, произошло в вашей организации за последние 12 месяцев?
• Вопрос 3. Сколько успешных кибератак произошло в сетях и/или корпоративных системах вашей организации за последние 12 месяцев?

Ограничения метода

Наиболее распространенными ограничениями для опросов являются:

• Предвзятость ответа.

  Текущие результаты основаны на выборочных результатах опроса.

  Мы разослали опросы репрезентативной выборке, в результате чего было получено в общей сложности 2795 полезных ответов, но всегда возможно, что у других сотрудников организации мнения существенно отличаются от взглядов респондента.

• Смещение кадра выборки.

  Точность основана на контактной информации и степени репрезентативности списка респондентов, практикующих ИТ или специалистов по ИТ-безопасности.

  Результаты могут быть не совсем объективными из-за внешних событий, а также из-за того, что мы собирали данные через Интернет. Вполне возможно, что телефонный опрос даст совсем другие результаты.

• Субъективность результатов.

  Качество опроса основано на достоверности конфиденциальных ответов, полученных от испытуемых.

  Хотя вопросы созданы для того, чтобы сбалансировать субъективность, всегда существует вероятность того, что испытуемый не дал точных ответов.

Основные выводы CRI 2020

Во всех регионах, участвовавших в исследовании, отмечен повышенный риск уязвимости к кибератакам, о чем свидетельствует отрицательное значение CRI. Самый высокий уровень риска по сравнению с другими регионами наблюдается в США.

Это связано с тем, что в США был более низкий уровень киберготовности по сравнению с другими регионами.

Основные риски кибербезопасности, с которыми сталкиваются предприятия, делятся на пять категорий: Риски кибербезопасности:

• фишинг и социальная инженерия,
• клик джек,
• вымогатели,
• бесфайловые атаки,
• ботнеты,
• Атаки «человек посередине».

• неспособность обнаружить атаки нулевого дня,
• неспособность остановить большинство кибератак.

• руководство компании не рассматривает безопасность как конкурентное преимущество,
• Сотрудник по информационной безопасности организации (CISO) не имеет достаточных полномочий и ресурсов для повышения уровня безопасности компании.

• Службы ИТ и информационной безопасности не владеют информацией о физическом местонахождении критически важных для бизнеса данных и приложений,
• Службы ИТ и информационной безопасности не участвуют в определении допустимости использования потенциально уязвимых технологий (таких как мобильные, облачные, социальные сети, устройства IoT) на рабочем месте.

• неготовность к борьбе с утечками данных,
• задержки в тестировании и установке обновлений безопасности.

Источник: Trend Micro Наши результаты показывают, что глобальный бизнес имеет очень высокую вероятность подвергнуться кибератаке:

• вероятность утечки данных клиентов в ближайшие 12 месяцев: 75%;
• вероятность компрометации критически важных данных в ближайшие 12 месяцев: 77%;
• вероятность одной или нескольких успешных кибератак в ближайшие 12 месяцев: 83%.

Рекомендации по защите вашего бизнеса от киберугроз

К ним относятся:

• построение системы безопасности на основе критически важных данных с упором на управление рисками и угрозами, которые могут быть направлены на эти данные;
• Минимизация сложности инфраструктуры и повышение согласованности всего стека безопасности;
• изменение позиции топ-менеджмента компаний относительно восприятия безопасности как конкурентного преимущества;
• повышение безопасности бизнес-среды, включая адекватную безопасность BYOD, устройств IoT и промышленных устройств IoT, а также облачной инфраструктуры;
• инвестирование в новые таланты и существующий персонал службы безопасности, чтобы помочь им идти в ногу с быстро меняющимся ландшафтом угроз и повысить уровень удержания сотрудников;
• тестирование существующих решений безопасности с использованием новейших технологий для обнаружения текущих угроз, таких как программы-вымогатели и ботнеты;
• формирование функциональной, масштабируемой и динамичной архитектуры ИТ-безопасности.

• «Билайн» Начал Консультировать Своих Абонентов В Роуминге Через Whatsapp

  19 Oct, 24

• Контейнер На Конвейер: Cri-O Теперь Используется По Умолчанию В Openshift Container Platform 4.

  19 Oct, 24

• Чрезмерная Сложность

  19 Oct, 24

• Идея. Бесплатный Государственный Хостинг

  19 Oct, 24

• Без Границы. Системный Подход И Алгоритмы Творчества

  19 Oct, 24

• Вы Настраиваете Инструменты Или Предпочитаете Инструменты По Умолчанию?

  19 Oct, 24

• Высокотехнологичная Природа Американской Экономики — Это Чистая Чушь.

  19 Oct, 24

• Идея Стартапа: Ideaexchange

  19 Oct, 24

• Mipsfpga – Практический Опыт

  19 Oct, 24

• Флеш-Игры, В Которые Стоит Поиграть

  19 Oct, 24