The approach, tools and practice, how to take decisions on information security in uncertain business environment.

1. Управління ризиками ІБ
як визначати пріоритети та окупність інвестицій в ІБ з огляду на ризики бізнеса
1

2. Управління ризиками
Зменшити невизначеність
при досягненні МЕТИ
2
ISO 31000:2018
COSO ERM 2017
СОВІТ 2019
в операціях
при прийнятті рішень
в бізнес-процесі
в діяльності організації
операції
рішення
бізнес-процеса
діяльності організації
пов’язану з ринком, контрагентом, технологією, регулюванням,
людиною, країною, політикою, погодою…
WEF 2020

3. Сучасне ІТ організації Безпека
3
«Складна система», за замовчанням відкрита
математичний апарат – стохастичне моделювання
Починається з
визначення периметру
та має гарантувати його вміст
Детерміновано за замовчанням
Чому ІБ зараз складно?

4. 4

5. За природою сучасних ІТ:
В певний момент часу
актив
належить – або не належить
до периметру безпеки
залежно від актуальної гіпотези
про розподіл випадкової величини
5
Проблема з результатами оцінки ризиків
Актив загроза вразливість
Наслідки,
зважені на
ймовірність
експлойту
Ризик
ISO, NIST,
etc,
раз на рік
VUCA –
Volatility,
Uncertainty,
Complexity,
Ambiquity
однакові дії
дають
різні результати
математика середовищепрактика
Актив

6. 1. критичні;
не працює – організації немає
2. Периметр (value chain), базові
контролі +додаткові за наявності
ресурсів
3. Додаткові сервіси та проєкти
- гігієна
4.По зовнішнім (клієнти, партнери,
держава) – фейс-контроль і ризики
третіх сторін
За іншим – 1)оцінити та
2)прийняти/уникнути ризик
Безпека за пріоритетами в відкритій системі
6
Критичних – мало
не вся база, а окремі дані;
не вся мережа, а
невеликий сегмент;
не всі системи, а
ланцюжок value chain за
основним продуктом
Забезпечте
безперервність
критичних, в
тому числі,
ручними
контролями
Призначений периметр для
застосування стандартів безпеки
ISO 22301
CIS controls
CMMC

7. Що робити безпеці в умовах невизначеності?
1. Визначити та гарантувати критичну діяльність
2. Підтримувати ресурси для розвитку, не
заважати працювати
3. Страхувати інновації, приймаючи ризик
7
Якщо горизонт планування довший тижня, і це не стартап
ISO 22301
KING IV
COBIT 2019
SAFe

8. Визначаємо пріоритети (знаємо, куди йдемо)
процеси та проєкти, які
забезпечують реалізацію стратегії
як досягаємо мету
(стратегія)
те, за рахунок чого досягаємо мету
(бізнес-модель)
Мета діяльності організації
8
Перший пріоритет
+Другий пріоритет, в
периметрі
+Третій пріоритет
Коли горизонт довгий, і треба корпоративне управління
ISO 9001
King IV
COSO ICS
ISO 38500

9. Інновації (не знаємо, куди йдемо)
Безпечне
середовище,
без загрози
критичному
Ітераційні
процеси, з
накопиченням
досвіду
Надлишкові
ресурси, бо
ітерації
Здатність
вчасно
зупинитися
9
В межах організації
PMBOK
BABOK
SAFe

10. Оцінка ризиків (ІБ)
10
Для організації; там де про життя – окрема справа
Природні
катастрофи
страшніші проблем
з технологіями
WEF 2020, long-term
ISACA, 2019, 4500 респондентів
58% вміють
Але для бізнесу – ІБ
- чи не найдорожче
Allianz risk barometer 2020

11. Кількісна оцінка ризиків ІБ
Час
Доступність систем за критичними
процесами
Час на ліквідацію наслідків подій ризику
Порушення дедлайнів через ІТ (операції,
договори, звітність, податки)
Гроші
Середня вартість години простою
процеса
Оплата праці та інших ресурсів,
витрачених на ліквідацію наслідків
Недоотримані доходи, штрафи, пеня
Прямі втрати від інцидентів
Порушення дедлайнів при розробці (time-to-
market), вкл. аутсорсинг
Недоотримані доходи
11
За принципом типових методів моделювання нефінансових ризиків в економіці

12. Інструменти кількісної оцінки ризиків (ІБ)
BI – або управлінська звітність
Скоринги
Сценарний аналіз інцидентів
12
https://data-flair.training/blogs/data-science-tools/
https://www.first.org/cvss/calculator/3.1
https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/documents/Exercise15CalculatorCIC.xlsx
https://advisera.com/27001academy/free-tools/free-return-security-investment-calculator/
Excel ToolPak

13. Як працює інструмент: розрахунок ROSI*
1- Вхідні дані
2- SLE for DDoS
13
3-5- ALE
6- ROSI
Припущення - або ВІ * https://www.slideshare.net/AnastasiiaKonoplova/an-argument-for-budget-acceptancerosi-and-how-to-calculate-it
Окупність інвестицій в ІБ, або за який час вам повернуться кошти, витрачені на безпеку

14. Коли доцільно впроваджувати кількісну оцінку
Рішення приймає колегіальний орган
Розпорядник бюджету не є кінцевим бенефіціаром
Власник вирішує на підставі об’єктивних даних
Є нормативні вимоги
CFO –
союзник
14
ISO 9001
IFRS
COSO ICF

15. Коли інвестиції в ІБ не мають шанса
Невпевненість в
існуванні/короткий
горизонт
• ІБ потрібна тільки
якщо є
стратегічне
рішення
досягати
визначену мету
Об’єктивні
обмеження
• Фінансових
джерел не
вистачає у
горизонті часу
Невраховані
фактори
• Ризики менші, ніж
видно з позиції
безпеки
(неавтоматизовані
процеси, інші
напрями
діяльності тощо)
15
Вчіть англійську та здобувайте технічні навички – це ресурс змін

16. Джерела, інформація з яких застосована при підготовці доповіді
16
Тренди та огляди безпеки
•Застосування кіберзброї в 2020
https://www.forbes.com/sites/steveandriole/2020
/01/14/cyberwarfare-will-explode-in-2020-
because-its-cheap-easy--
effective/#2cf129226781
•Топ-10 найгірших кібератак десятиріччя
https://www.controlglobal.com/blogs/off-site-
insights/top-10-worst-cyber-attacks-of-the-
decade/
•Китай, MLPS 2.0 – контроль інтернета
https://www.reedsmith.com/en/perspectives/201
9/10/mlps-20-chinas-enhanced-data-security-
multi-level-protection
Глобальні тренди та стратегії щодо
технологій, стратегічний рівень
•World economic forum Global risk report 2020
https://www.weforum.org/reports/the-global-
risks-report-2020
•The Age of Digital Interdependence: Report of
the UN Secretary-General’s High-level Panel on
Digital Cooperation. June 2019.
https://digitalcooperation.org/wp-con-
tent/uploads/2019/06/DigitalCooperation-re-port-
web-FINAL-1.pdf
•Технологічні тренди 2020
https://www.gartner.com/en/newsroom/press-
releases/2019-10-21-gartner-identifies-the-top-
10-strategic-technology-trends-for-2020
•Ризики бізнесу від страховика
https://www.agcs.allianz.com/news-and-
insights/reports/allianz-risk-barometer.html
• Технологічні тренди 2025-2035 з прикладами
https://tci.agcs.allianz.com/
Практика управління ризиками технологій
•Практика управління ризиками в корпоративному
світі
https://www.isaca.org/info/state-of-enterprise-risk-
management-survey/index.html
•Управління ризиками третіх сторін
https://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/Mana
ging-Third-Party-Risk.aspx
•Співпраця ризиків та безпеки, ролі
https://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/Bridgi
ng-the-Digital-Risk-Gap.aspx
•Операційні та кібер ризики фінансового сектору
https://www.bis.org/publ/work840.pdf
•
https://managingrisktogether.orx.org/cyber-risk-
programme
ТРЕНДИ, ДОСЛІДЖЕННЯ ТА ПОГЛЯДИ, ГОРИЗОНТ 2020-2030
Data Science
DMBOK v.2
Математическая энциклопедия в пяти
томах, 1985
СТАНДАРТИ ТА КОНЦЕПЦІЇ
EBA ICT Risk Guidelines
Cybersecurity act (Regulation (EU) 2019/881)
Cybersecurity Maturity Model Certification (CMMC)
COBIT 2019
NIST SP 800-37r2
ISO 31000:2018
COSO ERM 2017
ISO 22301
Методологія моделювання Корпоративне управління ризиками Управління ризиками технологій

17. Анастасія Конопльова
За знаннями та кращими практиками:
https://www.facebook.com/Kyiv.ISACA/
CISA, CISA Trainer
Президент ISACA Kyiv
Директор LLC UAG
a.konopleva@isaca.org.ua
a.konopleva@uag.kiev.ua
+38(050)9570596
17
Замість висновків
Як працює управління ризиками в умовах
невизначеності, з прикладів за 20 років:
За розрахунком ризиків ІБ:
LLC UAG
*https://www.weforum.org/agenda/2019/12/davos-manifesto-2020-the-universal-
purpose-of-a-company-in-the-fourth-industrial-revolution/
Довгий горизонт, мета – безпека: забезпечуйте
зобов’язання за будь-яких умов.
Ціна – розвиток.
Короткий горизонт, мета – швидкий прибуток: рахуйте
момент, коли вийти.
Ціна – безпека.
Довгий горизонт, мета – сталий розвиток*:
забезпечувати критичне, накопичувати в коротких
горизонтах, вкладати в інновації. Рахувати ризики.
Ціна – надприбутки.