Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Деятельность, затрагивающая множество функций в нескольких подразделениях, является программой. Функция УРК, как правило, как раз реализуется в различных подразделениях. Команда количественного анализа рисков занимается технической стороной, но всё вместе, от вовлечения через обучение и развитие до технологий, связывает функция управления программой. Не стоит перегибать палку в этом вопросе, но и не экономьте на управлении программой, иначе вас ждет провал.

Можно было бы еще подробнее обсудить каждую роль и функцию, расписав различные матрицы, должностные инструкции, диаграммы Ганта и т. п. Но в этом нет необходимости. Все описанные в книге практики знакомят с основным содержанием более крупной функции управления рисками кибербезопасности. Роли и обязанности достаточно адаптивны. Вы можете для начала потренироваться с минимальными затратами на одном или двух проектах с помощью одних лишь предоставленных электронных таблиц. Однако, если вы всерьез намерены противостоять злоумышленникам с помощью аналитики, вам нужен план. Прежде всего определите, на каком этапе модели зрелости, описанной в начале третьей части, вы находитесь. Затем наметьте курс развития навыков и систем, которые позволят создать возможности для предписывающей аналитики. Наличие плана устраняет ключевое препятствие на пути к успеху. Как сказал Бенджамин Франклин: «Те, кто не готовится, готовятся к неудаче!»

Существует множество потенциальных преград вроде неудачного планирования, мешающих добиться успеха, но есть одна институциональная преграда, способная затруднить количественный анализ: аудиты соответствия. В теории аудиторские проверки должны помочь убедиться, что действия происходят в нужное время и нужным образом. В этом смысле аудиты – отличная вещь. Но они становятся проблемой, когда функции управления рисками фокусируются на удовлетворении аудита вместо управления реальными рисками. Именно поэтому, вероятно, генеральный директор компании Target был шокирован, когда у них произошла утечка данных. Согласно его официальному заявлению, компания соответствовала стандарту индустрии платежных карт. Другими словами, настрой на соответствие преобладает над настроем на управление рисками, и это смертельная ошибка перед лицом наших врагов.

А если бы существовала функция аудита, оценивающая (действительно измеряющая) эффективность подходов к управлению рисками? То есть могла бы она определить фактическое влияние на снижение риска мягких методов в сравнении с количественными методами? А если проверить алгоритмы балльной оценки? Конечно же, тогда нужно будет протестировать и передовые методы, такие как симуляции по методу Монте-Карло, бета-распределение и т. п. Прекрасно! Опять же мы считаем одной из причин неудач непроверенные мягкие методы.

Однако есть риск, что это приведет к противоположному результату. Например, что, если методы, основанные на измерении неопределенности, подвергались бы аудиту потому, что считаются новыми, а методы, где используются матрицы рисков, порядковые шкалы и системы балльных оценок, уже по обратной причине оставались без проверки? Это могло бы помешать внедрению количественных методов. К сожалению, как вы узнаете далее, так и произошло по крайней мере в одной отрасли. Мы приводим эту ситуацию как пример аудита соответствия, который вышел из-под контроля и мог бы оказать сильное негативное влияние на управление рисками кибербезопасности.

Аудит играет ключевую роль в обеспечении качества моделей риска, особенно в таких жестко регулируемых областях, как банковское дело и страхование. При разработке новых количественных моделей, оказывающих влияние на финансовые операции, аудит является необходимой контрольной точкой, позволяющей убедиться, что модели не приведут к непредвиденным последствиям, скажем, из-за простых ошибок, вкравшихся в сложные формулы. Подобный тщательный анализ должен применяться к любой модели, предложенной для финансовых операций и, конечно, для решений, касающихся подверженности организации таким рискам, как неопределенность рынка и кибератаки.

Аудиторы могут воодушевиться, увидев модель, содержащую сложные математические вычисления. Каждый аудитор в какой-то момент своей карьеры проходит через подобное. Здорово ведь наконец-то получить возможность применить на практике что-то, на изучение чего когда-то было потрачено так много времени и сил. Поэтому они с рвением, как им и следует, примутся за модели, содержащие некоторые статистические данные и, возможно, симуляции по методу Монте-Карло. Если заявляется, что метод основан на каких-то научных исследованиях, о которых аудиторы не слышали, они должны потребовать ссылки на исследования. Если модель довольно сложная, вероятно, следует провести аудит дважды, пригласив двух разных специалистов. И если в процессе проверки в модели обнаружится ошибка, то те, кто эту модель разработал, если их интересует в первую очередь качество, должны с радостью ее исправить.