[Информационная безопасность, Исследования и прогнозы в IT] Cyber Risk Index: сравниваем компании по уровню киберзащищённости
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Процесс изучения защищённости компаний от киберугроз осложняется тем, что отсутствуют какие-либо объективные критерии, по которым можно произвести сравнение. Чтобы решить эту проблему, Trend Micro совместно с Институтом Понемона (Ponemon Institute) разработали индекс киберриска (Cyber Risk Index, CRI) — методику оценки защищённости, которая помогает руководителям и командам безопасности сравнить свой уровень защищённости с компаниями-конкурентами. В этом посте расскажем о том, как рассчитывается CRI и какие данные необходимы для его расчёта, а также приведём данные CRI за 2020 год.
МетодикаПоскольку объективных критериев, показывающих уровень защищённости компании от кибератак, пока не разработано, для построения индекса киберриска мы используем опрос, который проводится среди профессионалов в области ИТ и ИБ. В 2020 году в состав включили респондентов из стран Европы и Азиатско-Тихоокеанского региона, что позволяет говорить о том, что CRI 2020 стал глобальным. Результаты опроса и стали основой индекса, который отражает готовность компаний реагировать на кибератаки.Для построения индекса мы использовали ответы 2795 респондентов, что составляет 4,1% от общего числа опрошенных в рамках выборки 67 679 человек. Ответы 211 респондентов были исключены из окончательной выборки из-за недостаточной надёжности.33% ответов мы получили от компаний, в которых работает менее 100 человек. Ещё 33% ответов — от компаний со штатом от 100 до 999 работников, а остальные 35% — из более крупных компаний, в которых трудится 1000 и более человек.Отраслевая классификация респондентов включает 15 секторов. Наиболее крупные из них:
- финансовые услуги — 13%,
- здравоохранение и фармацевтика — 10%,
- услуги — 9%,
- промышленность/производство — 9%,
- розничная торговля — 9%,
- технологии и программное обеспечение — 9%.
Сектора экономики компаний, вошедших в CRI. Источник: Trend Micro.Расчёт CRIИндекс киберриска рассчитывается как разность между индексом киберготовности (cyber preparedness index) и индексом киберугроз (cyber threat index). При этом индекс киберготовности показывает, каков уровень подготовленности организации к защите от кибератак, а индекс киберугроз представляет состояние ландшафта угрозы на момент расчёта CRI.Индекс киберготовности Для его расчёта используются ответы респондентов на 31 вопрос относительно различных связанных с безопасностью факторов в организации. Примеры вопросов:
- Каков бюджет организации на безопасность достаточен для защиты активов данных и IT-инфраструктуры?
- Обладает ли персонал организации, отвечающий за IT безопасность, достаточными знаниями, навыками и опытом для защиты информационных активов и IT-инфраструктуры?
- Рассматривают ли руководители организации IT-безопасность как главный бизнес-приоритет?
- Отчитывается ли руководитель отдела IT-безопасности организации перед высшим руководством?
- Принимают ли генеральный директор и Совет директоров организации активное участие в управлении безопасностью?
- Тратит ли организация значительные средства на обучение сотрудников требованиям безопасности?
- Тратит ли организация значительные ресурсы на оценку рисков безопасности третьих сторон, включая «облако» и всю цепочку поставок?
- Способна ли ИБ-служба моей организации обнаруживать атаки нулевого дня?
Ответы на вопросы оцениваются так:
- Совершенно согласен = 10 баллов;
- Согласен = 7,5 балла;
- Не уверен в ответе = 5 баллов;
- Не согласен = 2,5 балла;
- Сильно не согласен = 0 баллов.
Индекс киберугрозУчитывает ответы на 10 вопросов, относящихся к происходившим в компании в течение года событиям. Примеры вопросов:
- Q1. Сколько отдельных инцидентов, связанных с утерей или кражами данных о клиентах, произошло в вашей организации за последние 12 месяцев?
- Q2. Сколько отдельных случаев нарушения безопасности данных, связанных с утечкой информационных активов, произошло в вашей организации за последние 12 месяцев?
- Q3. Сколько успешных кибератак с проникновением в сети и/или корпоративные системы вашей организации произошло за последние 12 месяцев?
Часть вопросов в составе индекса киберугроз позволяют оценить риски, связанные с используемыми в компании данными, наиболее вероятные для компании угрозы, последствия киберинцидентов и наиболее уязвимые области инфраструктуры компании. Ограничения методикиПоскольку и индекс готовности, и индекс киберугроз основаны на результатах опросов, имеются характерные для таких исследований ограничения, которые необходимо учитывать. Наиболее характерные для опросов ограничения:
- Предвзятость в ответах. Текущие результаты основаны на выборке результатов опросов. Мы разослали опросы репрезентативной выборке, в результате чего было получено 2795 пригодных для использования ответов, однако всегда остаётся возможность, что другие сотрудники организаций имеют существенно отличное от мнения респондента мнение.
- Смещение рамки выборки. Точность основана на контактной информации и степени репрезентативности списка респондентов, которые являются практикующими специалистами в области ИТ или ИТ-безопасности. Результаты могут быть не вполне объективными в связи с внешними событиями, а также из-за того, что мы собирали данные через интернет. Возможно, что опрос по телефону даст совсем другие результаты.
- Субъективность результатов. Качество опроса основано на достоверности конфиденциальных ответов, полученных от субъектов. Несмотря на то, что вопросы составлены так, чтобы уравновешивать субъективность, всегда существует вероятность того, что субъект не предоставил точные ответы.
Основные выводы CRI 2020Несмотря на имеющиеся ограничения индекс киберриска позволяет получить достаточно объективную картину уровня защищённости компаний в различных регионах.
Все регионы, участвовавшие в исследовании, показали повышенный риск уязвимости к кибератакам, который отражает отрицательное значение CRI. Самый высокий уровень риска по сравнению с другими регионами наблюдается в США. Это связано с тем, что США имели более низкий уровень киберготовности по сравнению с другими регионами. Основные факторы риска в области кибербезопасности, с которыми сталкиваются предприятия, можно разделить на пять категорийРиски кибербезопасности:
- фишинг и социальная инженерия,
- клик-джек,
- вымогатели,
- бесфайловые атаки,
- ботнеты,
- атаки типа «человек посередине».
Риски, связанные с данными:
- невозможность обнаружить атаки нулевого дня,
- неспособность остановить большинство кибератак.
Риски, связанные с персоналом:
- руководство компании не рассматривает безопасность как конкурентное преимущество,
- ИБ-руководитель организации (CISO) не имеет достаточных полномочий и ресурсов для повышения уровня защищённости компании.
Инфраструктурные риски:
- ИТ и ИБ-службы не владеют сведениями о физическом расположении критически важных для бизнеса данных и приложений,
- ИТ и ИБ-службы не участвует в определении приемлемого использования потенциально уязвимых технологий (таких как мобильные, «облачные», социальные сети, IoT-устройства) на рабочем месте.
Операционный риск:
- неготовность к борьбе с утечками данных,
- задержки в тестировании и установке исправлений безопасности.
Индексы киберготовности и киберугроз в 2020 году. Источник: Trend MicroНаши результаты показывают, что у мирового бизнеса очень высокие шансы быть затронутым кибератакой:
- вероятность утечки данных клиентов в ближайшие 12 месяцев: 75%;
- вероятность компрометации критически важных данных в ближайшие 12 месяцев: 77%;
- вероятность одной или нескольких успешных кибератак в ближайшие 12 месяцев: 83%.
Рекомендации по защите бизнеса от киберугрозПринимая во внимание текущую ситуацию с угрозами и основываясь на выводах, полученных в процессе расчёта CRI, глобальный бизнес всё ещё может значительно минимизировать свои риски, внедряя лучшие методы обеспечения безопасности. К ним относятся:
- построение системы безопасности на основе критических данных путём сосредоточения внимания на управлении рисками и угрозах, которые могут быть направлены на эти данные;
- минимизация сложности инфраструктуры и улучшение согласованности по всему стеку безопасности;
- смена позиции высшего руководства компаний в части восприятия безопасности как конкурентного преимущества;
- улучшение защиты бизнес-среды, включая надлежащую защиту BYOD, устройств IoT и промышленных устройств IoT, а также облачной инфраструктуры;
- инвестирование в новых талантливых сотрудников и в существующий персонал службы безопасности, чтобы помочь им идти в ногу с быстро меняющимся ландшафтом угроз, а также улучшить показатели удержания персонала;
- проверка существующих решений безопасности с использованием новейших технологий для обнаружения актуальных угроз, таких как программы-вымогатели и бот-сети;
- формирование функциональной, масштабируемой и динамичной архитектуры безопасности ИТ.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Security Week 05: sudo, уязвимость в iOS и атака на исследователей
- [Информационная безопасность, Криптография] В библиотеке Libgcrypt нашли серьёзную уязвимость безопасности
- [Информационная безопасность, Системное администрирование, Сетевые технологии] Lawful Interception, поиск по вложениям и персонализация страницы аутентификации Zimbra OSE
- [Информационная безопасность] Вебинар DataLine «Как выполнить требования 152-ФЗ в облаке?» 11 февраля
- [Информационная безопасность, IT-стандарты] (не)Безопасный дайджест: пароли по дефолту, персданные в подарок и зарплата для фишеров
- [Информационная безопасность, Open source, DevOps] Автоматизируем поиск секретов в git и ansible
- [Информационная безопасность, Мессенджеры, Законодательство в IT] ProtonMail, Threema, Tresorit и Tutanota просят Евросоюз пересмотреть усилия по запрету шифрования
- [Информационная безопасность, Криптография, Разработка под Android, Софт] Google по ошибке удалила мессенджер Element из каталога Google Play, затем вернула обратно
- [Информационная безопасность, Системное администрирование] Обнаружена 0day уязвимость повышения привилегий в Windows 7-10
- [Информационная безопасность, CTF] HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_issledovanija_i_prognozy_v_it (Исследования и прогнозы в IT), #_trend_micro, #_cyber_risk_index, #_kiberbezopasnost (кибербезопасность), #_kiberugrozy (киберугрозы), #_blog_kompanii_trend_micro (
Блог компании Trend Micro
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_issledovanija_i_prognozy_v_it (
Исследования и прогнозы в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:25
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Процесс изучения защищённости компаний от киберугроз осложняется тем, что отсутствуют какие-либо объективные критерии, по которым можно произвести сравнение. Чтобы решить эту проблему, Trend Micro совместно с Институтом Понемона (Ponemon Institute) разработали индекс киберриска (Cyber Risk Index, CRI) — методику оценки защищённости, которая помогает руководителям и командам безопасности сравнить свой уровень защищённости с компаниями-конкурентами. В этом посте расскажем о том, как рассчитывается CRI и какие данные необходимы для его расчёта, а также приведём данные CRI за 2020 год. МетодикаПоскольку объективных критериев, показывающих уровень защищённости компании от кибератак, пока не разработано, для построения индекса киберриска мы используем опрос, который проводится среди профессионалов в области ИТ и ИБ. В 2020 году в состав включили респондентов из стран Европы и Азиатско-Тихоокеанского региона, что позволяет говорить о том, что CRI 2020 стал глобальным. Результаты опроса и стали основой индекса, который отражает готовность компаний реагировать на кибератаки.Для построения индекса мы использовали ответы 2795 респондентов, что составляет 4,1% от общего числа опрошенных в рамках выборки 67 679 человек. Ответы 211 респондентов были исключены из окончательной выборки из-за недостаточной надёжности.33% ответов мы получили от компаний, в которых работает менее 100 человек. Ещё 33% ответов — от компаний со штатом от 100 до 999 работников, а остальные 35% — из более крупных компаний, в которых трудится 1000 и более человек.Отраслевая классификация респондентов включает 15 секторов. Наиболее крупные из них:
Сектора экономики компаний, вошедших в CRI. Источник: Trend Micro.Расчёт CRIИндекс киберриска рассчитывается как разность между индексом киберготовности (cyber preparedness index) и индексом киберугроз (cyber threat index). При этом индекс киберготовности показывает, каков уровень подготовленности организации к защите от кибератак, а индекс киберугроз представляет состояние ландшафта угрозы на момент расчёта CRI.Индекс киберготовности Для его расчёта используются ответы респондентов на 31 вопрос относительно различных связанных с безопасностью факторов в организации. Примеры вопросов:
Все регионы, участвовавшие в исследовании, показали повышенный риск уязвимости к кибератакам, который отражает отрицательное значение CRI. Самый высокий уровень риска по сравнению с другими регионами наблюдается в США. Это связано с тем, что США имели более низкий уровень киберготовности по сравнению с другими регионами. Основные факторы риска в области кибербезопасности, с которыми сталкиваются предприятия, можно разделить на пять категорийРиски кибербезопасности:
Индексы киберготовности и киберугроз в 2020 году. Источник: Trend MicroНаши результаты показывают, что у мирового бизнеса очень высокие шансы быть затронутым кибератакой:
=========== Источник: habr.com =========== Похожие новости:
Блог компании Trend Micro ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_issledovanija_i_prognozy_v_it ( Исследования и прогнозы в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:25
Часовой пояс: UTC + 5