XS
SM
MD
LG
Державний університет телекомунікацій

Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет телекомунікацій

Навчання принципам інтегрованої безпеки (SbD) – вимога часу та нові можливості для управлінців інформаційною та кібербезпекою

17:31, 06-05-2020

Сьогодні вже існують процедури забезпечення кібербезпеки окремої інформаційно-телекомунікаційної системи організації (установи, фірми тощо), які достатньо задокументовані різними стандартами та нормативами. Однак, їх, навіть 100- відсоткова, практична реалізація не дозволяє гарантувати повну безпеку організації. Свідченням цьому є відсутність позитивних тенденцій щодо зменшення результативності кібератак, втрат та негативних наслідків від їх реалізації.

Невирішеними залишаються дві основні проблеми:

  • відсутність дієвих механізмів мотивації та контролю персоналу організації щодо безумовного виконання правил кібербезпеки;
  • реактивність процедур аудиту кібербезпеки (тобто, аудит здійснюється шляхом аналізу подій, які вже відбулися).

Оцінка ризиків та прогнозування майбутніх загроз часто залишаються незрозумілими для керівництва організацій і не мотивують керівництво на вкладення коштів в інновації та розвиток в них кібербезпекової складової.

Цікавий аналіз внутрішньоорганізаційних загроз кібербезпеці проведений міжнародною компанією Ernst & Young Global Limited.

Логотип компанії Ernst & Young Global Limited

В результаті проведення цього аналізу встановлено:

  1. Крім організованих хакерських угрупувань, які є основним джерелом кіберзагроз (23% кібератак), зростає кількість кібератак - 21% проводяться «Хактивістами», вони переслідують політичні чи соціальні цілі. Причому, часто ці «Хактивісти» є співробітниками тих же організацій, проти яких проводяться атаки;
  2. Тільки 26% флагманів світової економіки розглядають питання забезпечення кібербезпеки вже на етапі планування нових бізнес-ініціатив;
  3. Інвестиції в кібербезпеку, в першу чергу, орієнтовані на захист, а не на інновацію та трансформацію (лише 5% від загального бюджету спрямовується на кібербезпеку, і з них 77% ресурсів витрачається на управління ризиками та виконання нормативних вимог);
  4. 59% організацій відмічають, що у службі кібербезпеки «натягнуті» чи, в кращому випадку, нейтральні відносини з іншими підрозділами. Часто різні підрозділи орагнізації взагалі не взаємодіють (з питань кібербезпеки) між собою;
  5. Лише близько 50% організацій, які досліджувались, виносять питання кібербезпеки на наради керівництва; менше половини керівників взагалі розуміють актуальність і необхідність забезпечення кібербезпеки;
  6. Лише 7% організацій вважають, що служба кібербезпеки сприяє розвитку, 93% впевнені, що дотримання безпекових процедур та виконання нормативних вимог тільки стримує розвиток.

Очевидно, що вирішення зазначених проблем стосується докорінно нових підходів в організації менеджменту кібербезпеки.

Одним з таких підходів є впровадження в діяльність організації принципів інтегрованої безпеки (SbD - Secure by Design), розроблених компанією Amazon.

Логотип компанії Amazon

Принципи інтегрованої безпеки компанії Amazon

Ці принципи полягають в:

  • перетворенні кібербезпеки в ключовий елемент цифрової трансформації (урахування аспектів кібербезпеки на етапі планування всіх нових проектів та грамотного використання механізмів забезпечення кібербезпеки для управління всіма ризиками організації, а також своєчасної розробки необхідних продуктів чи послуг);
  • розвитку довірливих відносин служби кібербезпеки з кожним підрозділом організації шляхом спільного аналізу ключових бізнес-процесів, визначення кіберизиків і розуміння того, як служба кібербезпеки може підвищити ефективність роботи кожного підрозділу організації;
  • розробці комплексних показників ефективності роботи організації з урахування кіберризиків, які дозволять керівництву організації чітко зрозуміти важливість заходів забезпечення кібербезпеки.

Практична реалізація принципів інтегрованої безпеки полягає в розробці гнучких механізмів забезпечення кібербезпеки, розробці відповідної політики безпеки, налаштуванні та використанні відповідних програмно-апаратних засобів відповідно до функцій підрозділів організації (тобто виробничі процедури різних підрозділів формують завдання для служби кібербезпеки, а не навпаки).

Виходячи  з цього стає можливим:

  • створення сервісів, недоступних для зміни коростувачами, які не мають відповідного дозволу;
  • організація надійної експлуатації системи контролю процесів організації;
  • безперервний аудит в режимі реального часу;
  • технічна реалізація управління підрозділами організації в формі безпечних програмних скриптів.

Зазначений підхід в організації менеджменту кібербезпеки вже розглядається кафедрою управління інформаційною та кібербезпекою (УІКБ) в навчальному процесі.

В реалізації інноваційного підходу до навчання студентів  в університеті, згідно освітньої моделі «12 кроків до якісної освіти», кафедра здійснює підготовку фахівців на основі сучасного розвитку науки і техніки в галузі інформаційної та кібернетичної безпеки та завжди впроваджує всі ефективні новації та досвід найкращих світових компаній.

*****

Читайте також

Про кафедру

Кафедра Управління інформаційною та кібернетичною безпекою

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Переглядів: 1 133