Обзор рисков информационной безопасности, управления информационной безопасностью и неудач ее реализации

Введение
Интенсивный перевод финансовой отчетности с материальных на электронные носители имеет значительные последствия информационных технологий (ИТ) для целей финансовой отчетности. Высокая зависимость от ИТ может подвергнуть компании риску информационной безопасности. Надежное управление информационной безопасностью может сигнализировать Советам об общем отношении к риску информационной безопасности. В данной статье будет проведен обзор рисков информационной безопасности, управления информационной безопасностью и неудач ее реализации.
Информационная угроза безопасности
Растущая уязвимость риска ИТ, в частности риска информационной безопасности (InfoSes), стала основным вниманием в большинстве глобальных исследований информационной безопасности [1]. Среди областей риска InfoSec, которые респондент ставит в число главных приоритетов, - непрерывность бизнеса и аварийное восстановление, киберриски и киберугрозы, предотвращение утечки и потери данных, преобразование информационной безопасности и мониторинг соответствия . Целью информационной безопасности является защита и сохранение конфиденциальности, целостности и доступности информации. Она может также включать защиту и сохранение подлинности и надежности информации, а также обеспечение того, чтобы субъекты отношений в сфере информации могли быть привлечены к ответственности (ISO 27000). ISO 31000 определяет риск как «влияние неопределенности на цели». Поэтому «Риск информационной безопасности» (ISR) определяется в стандарте ISO 31000 как «комбинация двух факторов: вероятности и последствий». Он задает два основных вопроса: какова вероятность того, что конкретное событие информационной безопасности произойдет в будущем? И каковы будут последствия этого события и какое влияние оно окажет в том случае, если действительно произойдет?
Глобальное исследование информационной безопасности E&Y 2014 года под названием «Опередить киберпреступность» подчеркнуло, что более высокая уязвимость и угроза информационной безопасности в основном вызваны устаревшими средствами управления информационной безопасностью или архитектурой, за которыми следят неосторожные или неосведомленные сотрудники. Глобальное исследование информационной безопасности, проведенное EY в 2018 году, сообщало о том, что, несмотря на увеличение инвестиций в средства контроля информационной безопасности (46%) и соответствие бизнес-стратегии банка их соответствующей стратегии информационной безопасности (46%), 31% опрошенных признали, что количество инцидентов информационной безопасности в их организации увеличилось за последние 12 месяцев как минимум на 5%.
Финансовые институты, особенно банковские учреждения, уделяют больше внимания кибер-риску и киберугрозам из-за своей природы наукоемких отраслей. По данным PWC Global Economic Crime 2018, киберпреступность становится все более распространенной (39% из 5 фактических экономических преступлений, зарегистрированных в 2018 году) [2] по сравнению с отмыванием денег, мошенничеством, взяточничеством и коррупцией в банковской сфере. Например, 28 сентября 2014 года Малайзия проснулась после сообщений о банкоматах в 14 отделениях банка в Селангоре, Джохоре и Малакке, взломанных группой стран Латинской Америки, которые всего за два дня украли более 3 миллионов юаней [3]. Хакеры - одна из самых больших угроз информационной безопасности, с которой сталкиваются банковские учреждения по всему миру. Банковское учреждение уязвимо перед бесчисленной угрозой InfoSec из-за его высокой зависимости от ИТ для выполнения своих основных бизнес-операций и поддержки процесса финансовой отчетности.
Ввиду растущей уязвимости риска ИТ, в частности риска информационной безопасности (РИБ), в значительном количестве литературы подчеркивается важность включения информационной безопасности в состав корпоративного управления любой организации [4,5,6]. Подверженность риску информационной безопасности создает потребность в информационной безопасности, которая должна рассматриваться Советом директоров (СД) в качестве такого важного приоритета, как другие важные области корпоративного управления.
Управление информационной безопасностью
Исследования на сегодняшний день, как правило, фокусируются на управлении ИТ, а не на управлении информационной безопасностью (УИБ) как таковом. Соуза Бермехо и др. (2014) определяет управление информационной безопасностью как «структуры, процессы и реляционные механизмы для руководства и контроля, или литературу, единообразно определяющую ее как организационные навыки, имеющие большое значение для согласования и достижения организационной ценности посредством информационных технологий» [7]. Как указывалось в предыдущем разделе, УИБ является частью корпоративного управления, чтобы помочь организациям управлять рисками и защитить себя от рисков, связанных с ИТ

. Недавние события в области информационной безопасности повысили потребность в информационной безопасности, чтобы стать частью корпоративного управления организаций для достижения конкурентного преимущества, обеспечить удовлетворенность клиентов и создать доверие. Купер и др. (2011) утверждают, что, хотя УИБ в настоящее время широко принято и признано многими авторами в качестве обязательного механизма управления рисками в сфере ИТ, оно имеет некоторые ограничения [8]. Основное ограничение, подчеркнутое автором, заключается в том, что УИБ фокусируется на управлении использованием ресурсов для преобразования информации и связанных с ней рисков, но затем упускает из виду сам процесс преобразования (созданный, разыскиваемый, обрабатываемый и обмениваемый).
Мухамед Каур и Джан Сингх [9] проанализировали перспективы управления ИТ из предыдущей литературы и выделил четыре перспективы УИБ, а именно:
- Механизм управления;
- Принятие решений;
- Стратегическое выравнивание бизнеса и ИТ;
- Cтратегическое ИТ-планирование и контроль.
Они также обнаружили, что от различных ассоциаций и регулирующих органов были приняты вспомогательные меры для внедрения УИБ посредством внедрения структур управления ИТ, которые удовлетворяют конкретным целям, включая структуру управления ИТ, защиту инвестиций в ИТ, безопасность и контроль ИТ, защиту информации от потерь, обеспечение целостности информации, качественных ИТ-услуг и качественного программного обеспечения. Управление информационной безопасностью становится очень сфокусированным видом деятельности, с особыми ценностными факторами, включая целостность информации, непрерывность услуг и защиту информационных активов.
Термин «Управление информационной безопасностью» показывают, как руководство организации занимается безопасностью. Авторы призвали Совет Безопасности (СБ) рассматривать информационную безопасность так же высоко, как и другие важные области корпоративного управления. Рональд Саулл (директор по информационным технологиям и старший вице-президент компании по страхованию жизни Great-West) заявил, что «директор несет ответственность за защиту акционерной стоимости. Эта ответственность распространяется на ценные информационные активы так же строго, как и на любой другой актив. Правление должно признать, что обеспечение такой информации - это не просто инвестиции; это важно для выживания во всех случаях, и для многих это может даже создать конкурентное преимущество» [10]
Внедрение управления информационной безопасностью требует участия и приверженности нескольких отделов в организациях с соблюдением корпоративной политики информационной безопасности и ссылкой на кодексы поведения в области информационной безопасности. Существуют кодексы поведения, структура или руководящие принципы, чтобы направлять практиков в осуществлении наилучшего управления. В следующем разделе мы обсудим основы управления ИТ в целом и особенно в области информационной безопасности
Структура управления информационной безопасностью
Мухамед Каур и Джан Сингх заявили, что различные ассоциации и регулирующие органы приняли меры для внедрения УИБ посредством внедрения структур управления ИТ, которые удовлетворяют конкретным целям, включая структуру управления ИТ, защиту инвестиций в ИТ, безопасность и контроль ИТ, защита информации от потерь, обеспечение целостности информации, качественные ИТ-услуги и качественное программное обеспечение. Таким образом, означает, что информационная безопасность (IS) подпадает в сегмент управления ИТ. В число известных ITG Framework входят COSO, COBIT, ISO 27001 и Стандарт аудиторского заключения № 70. Таттл и Вандервельде (2007) в своих исследованиях подчеркивают, что, хотя концепция COSO 2002 широко использовалась в качестве руководства для оценки внутреннего контроля, она не соответствует общему характеру COSO и не учитывает сложности и особых рисков, присущих информационным технологиям. Даже пересмотренная версия COSO 2013 подверглась критике как не относящаяся конкретно к информационным технологиям [11]. Цели управления информационными технологиями (CobiT) - это широко признанная структура контроля, которая становится вспомогательной структурой выбора для системы оценки Комитета спонсорских организаций (COSO). Тем не менее, все еще существуют лазейки, из-за которых в структуре COBIT отсутствует некоторая важная переменная для оценки риска для процесса ИТ, в частности, для риска информационной безопасности.
Мухамед Каур и Джан Сингх также упомянули стандарт ISO 27001 в качестве основной структуры информационной безопасности для удовлетворения целей информационной безопасности в рамках структуры категории ITG. ISO 27001 (ранее известный как BS 7799) предоставляет формальный набор спецификаций для организаций для управления рисками информационной безопасности и получения сертификации для их Системы управления информационной безопасностью (СУИБ)