Как бизнесу поставить цели по информационной безопасности на 2025 год?

Информационная безопасность является важной составляющей работы любого предприятия, поэтому необходимо уделить достаточное внимание установлению четких задач и оценке ожидаемых результатов работы в этой области. Цели информационной безопасности должны быть выстроены на основе анализа уязвимостей и угроз, с которыми может столкнуться компания, а также учитывать законодательные требования в области защиты данных.

Определение и достижение этих целей позволит повысить уровень защиты информации, снизить вероятность возникновения киберугроз и обеспечит более эффективное управление рисками в области информационной безопасности.

У информационной безопасности, как отдельной зоны ответственности, должны быть четкие задачи и оцифрованный ожидаемый результаты работы. Творческая задача - выставить эти показатели. Например,

• в количестве зафиксированных инцидентов,
• числе расследованных серьезных инцидентов,
• или же величине серьезных инцидентов, которые не достигли целевой системы и не привели к ущербу.
• А может быть, имеет смысл поставить показатель в скорости реакции?

У каждого из этих параметров есть свои плюсы и минусы, и однозначно нельзя подходить формально к установлению количественных показателей - важно понимать саму суть, что именно мы хотим замерить и ведет ли это к реализации стратегии информационной безопасности - то есть в конечном счете к уменьшению рисков для бизнеса.

Мы рекомендуем разбить весь процесс построения системы защиты информации на следующие шаги:

1. Синхронизировать текущие результаты и планируемые финансовые цели компании с привязкой к направлениям бизнеса и ключевым бизнес-процессам
2. Выделить направления, которые оказывают наибольшее эффект на результат бизнеса
3. Составить перечень критичных рисков для выделенных бизнес-процессов
4. Сформировать набор мер и средств защиты, которые необходимо будет внедрить, чтобы избежать выделенных рисков (проведение аудита информационной безопасности может быть одной из тактических задач, чтобы реализовать стратегию информационной безопасности, если самостоятельно выделить риски или описать целевое состояние системы защиты не представляется возможным из-за отсутствия экспертизы)

За планирование стратегии информационной безопасности отвечают два человека:

1. Собственник бизнеса, который разбирается в бизнес процессах в целом, и может выделить наиболее критичные из них
2. Руководитель IT (ИБ), которые разбираются в активах и понимают бизнес-процессы, могут ранжировать риски и выполнить атрибуцию рисков на ключевые активы компании

______________________________________________________

Также важно отметить, что для формирования стратегии информационной безопасности необходимо исходить не только из ключевых бизнес процессов, но также опираться на лучшие практики и минимально необходимый набор средств защиты (“гигиенический набор”), куда входят средства, о которых мы писали неоднократно:

• антивирусная безопасность;
• контроль каналов коммуникации, включая электронную почту;
• контроль систем бухгалтерской отчетности;
• контроль финансовой системы (платежей и проводок);
• контроль CRM системы;
• повышение осведомленности сотрудников в вопросах информационной безопасности.

______________________________________________________

Начало года - отличное время заняться выстраиванием нового бизнес-процесса в вашей компании. Подумайте об информационной безопасности уже сейчас, чтобы не попасть под случайную или направленную (заказную) хакерскую атаку. Записаться на бесплатную консультацию вы можете через форму ниже.