В рубрику "Безопасная связь" | К списку рубрик | К списку авторов | К списку публикаций
Руководитель любого предприятия с готовностью согласится, что безопасность сети – задача критически важная. Но как измерить в количественных показателях выгоду, которую дает предприятию безопасность сети? Как предприятие может оценить и обосновать свои инвестиции в средства обеспечения безопасности сети (брандмауэры следующего поколения, системы предотвращения вторжений и устройства унифицированного управления угрозами)?
Head of any enterprise readily agrees that network security is a critical task. But how to measure in quantitative terms the benefits that network security provides the enterprise? How a company can evaluate and justify their investment in network security tools (next generation firewalls, intrusion prevention and unified threat management devices)?
Хотя не существует точной формулы или готового калькулятора для определения ущерба от атак, есть полезные рекомендации и исследования, из которых IТ-руководители могут почерпнуть методики и материалы для выработки собственной модели расчета. При оценке ущерба от сетевых атак и экономической эффективности брандмауэров следующего поколения необходимо:
Существуют сотни различных типов сетевых атак, которые могут нанести вред организации. Наиболее распространенными формами атак являются:
Это самый болезненный вопрос. Последствия атак (независимо от их конкретного типа) можно разделить на два основных вида: утечка данных и отказ в обслуживании.
Утечки данных в крупных организациях всегда оказываются в первых строках новостей, поскольку в таких случаях похищенная конфиденциальная информация чаще всего передается в руки преступников или конкурентов.
Ущерб от утечек данных очевиден и приводит к крайне болезненным последствиям. Это может быть как прямой финансовый ущерб (потеря прибыли, юридические и финансовые санкции регулирующих органов, потери и штрафы в результате судебных исков), так и нематериальные потери (потеря доверия и лояльности заказчиков) и потеря конкурентного преимущества (например, за счет потери интеллектуальной собственности). Компании, пострадавшие от утечек данных, затрачивают непропорционально большое количество средств и времени на обнаружение и техническое устранение вторжений, выявляя и блокируя атаки, оценивая понесенные убытки и реализуя меры по повышению безопасности. К тому же негативные упоминания об утечке данных, как правило, еще долго появляются в прессе после самой атаки.
Атаки типа "отказ в обслуживании" приводят к тому, что компьютерные системы (рабочие станции, Web-серве-ры, серверы приложений или серверы баз данных) работают с пониженной производительностью или совсем отключаются. Финансовые последствия таких атак довольно широки и могут быть катастрофическими. В пострадавшей от такой атаки компании темпы бизнеса/продаж падают или совсем замирают, что напрямую влияет на прибыль. Выполнение повседневных операций останавливается, так как из-за отключения сети сотрудники не могут выполнять свои обязанности. Как и в случае утечек данных, здесь налицо ощутимый ущерб, размер которого определяется тем, как и насколько быстро IТ-отдел и служба техподдержки могут диагностировать проблемы, проинструктировать сотрудников, запустить сервисы и восстановить зараженные компьютеры.
Как я уже отметил, единой и универсальной модели определения стоимости ущерба не существует.
Полезную информацию, которую IТ-руководители могут использовать при оценке последствий сетевых атак, дают два независимых исследования – опрос, проведенный компанией Pone-mon Institute в марте 2012 г., и исследование Cyber Liability and Data Breach Insurance Claims, опубликованное компанией NetDiligence® в октябре 2012 г.
В конце 2011 г. компания Ponemon Institute провела подробное исследование, в котором участвовали 49 американских компаний из 14 отраслей, столкнувшихся с потерей или кражей хранящихся у них данных заказчиков. Вот основные результаты исследования:
Такой расчет средних показателей на одно событие основывается на довольно большой статистике (обычно для расчетов берутся не менее 100 тыс. записей) и дает IТ-руководителям представление о размере ущерба от утечек данных, скорректированное с учетом масштаба предприятия и фактического количества атак.
Компания NetDiligence провела исследование на основе материалов страхования киберрисков. Для исследования были выбраны 137 страховых событий, имевших место между 2009 и 2011 гг., которые завершились выплатами возмещений страховыми компаниями. Вот данные по средним размерам выплат.
Хотя эти два исследования посвящены разным экономическим аспектам, связанным с сетевыми атаками, они оба показывают, сколь дорогостоящими в действительности являются сетевые атаки и как от них страдает финансовый баланс, репутация и конкурентоспособность предприятия.
Помимо этих показателей, полезно принимать в расчет и некоторые другие параметры, которые помогут оправдать вложения в брандмауэры следующего поколения:
При оценке стоимости атак могут быть также полезны другие методики. В некоторых организациях для расчета ущерба от атак используются подробные разветвленные схемы, созданные в результате игрового моделирования. Для моделирования берется репрезентативная выборка персонала отделов компании (IТ-отдела, отдела маркетинга, отдела кадров и т.п.) и для нее рассматривается сценарий атаки. Такая проработка не только помогает определить размер затрат в связи с утечками данных, но и может дать неожиданные результаты – например, в виде пересмотра договорных обязательств или корпоративных нормативных требований.
Какое значение все это имеет для IТ-руководителей? Первая новость – плохая. Сетевые атаки связаны с высоким ущербом, приводят к прерыванию бизнес-процессов, влекут за собой потенциально катастрофические последствия и поэтому должны предотвращаться любой ценой. Но есть и хорошая новость: в вашем распоряжении имеется широкий набор инструментов и сервисов, которые помогут оценить ущерб от утечек данных и DDoS-атак для вашего предприятия. Сравнивая эти показатели со стоимостью предотвращения атак с использованием технологий защиты следующего поколения, вы сможете лучше понять и четко определить финансовую и стратегическую выгоду от увеличения вложений в безопасность корпоративной сети. Вы быстро поймете, что это не теоретическое упражнение, а категорический императив бизнеса.
Опубликовано: Журнал "Технологии и средства связи" #6, 2013
Посещений: 28004
Статьи по теме
Автор
| |||
В рубрику "Безопасная связь" | К списку рубрик | К списку авторов | К списку публикаций