Итоги года подводят не только в Яндекс.Музыке и финансовых отчетах. ИБ-отделу и ТОП-менеджменту итоги помогут увидеть значимые события внутри компании, понять и оценить достижения и ошибки, зафиксировать их и сравнить с плановыми показателями на текущий год. В итоге это поможет ИБ-отделу стать эффективнее в следующем году. Расскажем подробнее, как подвести итоги года в ИБ-отделе.
Инвентаризация активов
Зачем нужно
В ИБ-среде есть шутка: в любой непонятной ситуации проводи инвентаризацию активов. Это действительно базовое действие: важно знать информационные системы компании, количество инцидентов и затраты, которые планово и внепланово несет ИБ-отдел.
Что смотреть
- Количество сотрудников.
- Количество и перечень информационных систем, где ты «папа» (заказчик бизнес-функциональности)
- Количество и перечень информационных систем, где ты мама (ответственный за эксплуатацию системы).
- Количество инцидентов с разбивкой по уровням.
- Затраты ИБ-отдела. Лучше если они будут посчитаны в CAPEX и OPEX. CAPEX (CApital EXpenditures)это долгосрочные затраты на приобретение, улучшение или модернизацию активов. OPEX (OPerational EXpenditures) это текущие регулярные затраты, связанные с повседневной деятельностью компании.
- ROI от внедрения инструментов и процессов.
Важно в этом и следующем пунктах учитывать динамику. Если вы не первый раз подводите итоги года, сравнивайте с прошлогодними показателями.
Разбор инцидентов высокого рискового уровня и недопустимых событий
Зачем нужно
Если инциденты произошли, важно осознать, что к ним привело это поможет внедрить те или иные изменения, чтобы снизить число подобных инцидентов в следующем году.
Что учитывать
-
Разбор инцидента в метриках:
-
TTD [Time-to-Detect, время обнаружения атаки]
-
TTC [Time-to-Contain, время локализации атаки, включая расследование]
-
TTR [Time-to-Response, время реагирования на атаку]
Насколько уложились в:
-
MTD [maximum tolerable downtime, допустимое время в течение которого критичный процесс может быть прерванным]
-
RTO [recovery time objective, целевое время восстановления]
-
RPO [recovery point objective, максимальное время, за которое могут быть потеряны данные]
-
-
Ущерб от инцидента.
-
Краткая хронология инцидента и реагирования
-
Правильные и неправильные действия команды.
-
Меры, принятые по итогам инцидента.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Процессные показатели эффективности ИБ-отдела
Зачем нужно
ИБ-отдел отвечает за бесперебойную работу некоторых систем: uptime, регулярный мониторинг уязвимостей и их закрытие. С помощью метрик можно увидеть эффективность работы в этой сфере.
Что смотреть
-
Uptime ИС и инфраструктуры.
-
Работа с уязвимостями:
-
Сколько было обнаружено CVE в ИС и инфраструктуре.
-
Какой процент уязвимостей закрыт.
-
Насколько уложились в сроки по закрытию (зависит от уровня критичности).
-
Количество ИС, получивших обновления.
-
-
SLA по услугам и сервисам которые вы используете (внешним и внутренним).
-
SLA по услугам и сервисам которые вы предоставляете.
Результаты прохождения аудитов
Зачем нужно
Кроме постоянных процессов существуют внеплановые аудиты, которые также помогают выявлять и закрывать уязвимости в компании.
Что смотреть
-
Количество аудитов внутренних или второй- третьей- сторон.
-
Результаты этих аудитов, итоги и дорожные карты по итогам. Реализация дорожных карт.
-
Фактчекинг по утверждённым рискам. Какие реализовались, а какие нет? Возможно, нужно проверить актуальность модели рисков и пересмотреть ее.
-
Анализ поставщиков из цепочки поставок (скоринг из устойчивости и защищенности).
Эффективность обучения сотрудников
Зачем смотреть
Один из методов работы ИБ-отдела это провокация сотрудников с помощью симуляций фишинга и последующее переобучение. Важно замерять эффективность этой работы. Также необходимо проводить киберучения по реагированию на инциденты..
Что смотреть
-
Сколько было учений и каковы их результаты
-
Сколько сотрудников было обучено, % успешных, % провальных.
-
Сколько было «провалов» по фишинговым проверкам.
Планы на следующий год
Зачем смотреть
Без планов руководителям других зон сложно будет понять, какие вы цели ставите и сколько вам понадобится ресурсов. Также в планах стоит учесть, как компанию коснутся требования регуляторов.
Что смотреть
-
Роадмап задач на следующий год.
-
Задачи, их количественные и качественные показатели.
-
Необходимые ресурсы
-
Запросы на инвестиции и ставки персонала.
-
-
Нормативка, которая может «аукнуться» в следующем году.
-
Приказы
-
Необходимые меры
-
Планы действий
-
-
Инциденты «у соседей» о которых нужно вспомнить и знать
Как презентовать отчет
При составлении отчета важно помнить, что кроме ИБ-отдела его будут читать и руководители других функциональных зон. Значит отчет должен быть
- коротким. Важно уместить всю информацию на 5-6 слайдов или страниц.
- оцифрованным. Чем больше чисел, тем больше понимания, как отражается ваша работа на компании.
- отвечающим запросам руководителей. Говорим с ними на языке бизнеса.
- простым и понятным. Тем более перед новогодними праздниками.