CISO СберКорус: «Безопасность ЭДО — это не аудит с печатью, а живые метрики»

23-го октября СберКорус и другие представители операторов электронного документооборота и СЭДов приняли участие в практическом мероприятии о безопасных практиках и процессах в ЭДО совместно с отраслевой Ассоциацией РОСЭУ.

Спикером от СберКорус выступил заместитель генерального директора по информационной безопасности (ИБ) компании Иван Дмитриев, который поделился опытом построения эффективной системы управления киберрисками и метриками ИБ в компании-операторе ЭДО. Мероприятие прошло в Москве.

Ключевая часть доклада эксперта была посвящена метрикам безопасности как основе для управленческих решений. Выступление сосредоточилось также вокруг ключевого вопроса: «Как правильно оценивать и поддерживать нужный уровень защиты, соблюдая баланс между эффективностью и затратами?». Дмитриев подчеркнул важность комплексной оценки рисков и разработки прозрачных и информативных метрик для мониторинга состояния информационной безопасности организаций.

Основными выводами выступления стали такие тезисы:

1. Определение уровня безопасности: Необходимо различать требуемый и оптимальный уровень ИБ, учитывая особенности бизнеса и рыночного окружения.
2. Практика оценки рисков: Важно применять риск-ориентированные методы, однако эта стратегия эффективна далеко не везде и зависит от уровня зрелости процессов управления рисками внутри организации.
3. Использование подходящих метрик: Эффективные метрики позволяют своевременно выявлять угрозы и предотвращать инциденты, повышая общую защищенность системы.
4. Баланс между инвестициями и результатами: Обеспечение высокого уровня информационной безопасности требует значительных вложений, но важно помнить, что чрезмерные расходы снижают рентабельность бизнеса.

Отдельный акцент сделан на отраслевых рисках: необходимость постоянного обмена информацией об инцидентах и IoC (индикаторы компроментации) через профильные контуры, включая Национальный координационный центр по компьютерным инцидентам (НКЦКИ), и учёт новых векторов, таких как подмена контента до подписания в ЭДО, что становится доступнее злоумышленникам с развитием новых ИИ-инструментов.

«В Группе Сбер требования к кибербезопасности традиционно высоки. Для нас в СберКорус ИБ — это не издержки, а конкурентное преимущество компании, которое позволяет ей быть ответственным и безопасным поставщиком услуг ЭДО для наших клиентов партнёров»

Иван Дмитриев, заместитель генерального директора по безопасности СберКорус

Особое внимание в презентации представителя оператора ЭДО также уделялось сравнению подходов к оценке безопасности путем проведения аудиторских проверок и использованием специализированных метрик. Иван Дмитриев объяснил преимущества каждого метода и рекомендовал компаниям комбинировать оба подхода для максимальной эффективности.

В заключение представитель компании подчеркнул важную роль регулярных коммуникаций между подразделениями и менеджерами высшего звена для поддержания культуры безопасности в организации. Использование очевидных, но эффективных инструментов вроде онлайн-таблиц, дашбордов и систем бизнес-аналитики, на начальных этапах позволяет быстро наладить процесс измерения уровня кибербезопасности и эффективно управлять рисками.