Tazabek — Риск-менеджмент в кибербезопасности должен быть простым и понятным для управленцев, а не только для технических специалистов. Об этом 3 октября заявил руководитель отдела надзора Департамента государственных информационных систем Эстонии (RIA) Илмар Тоом, выступая на форуме Cyber Kun 2025.
По его словам, суть анализа рисков сводится к базовому вопросу: «Что может пойти не так и что делать, если это произойдёт». Он подчеркнул, что ключ к эффективной коммуникации с руководством — упрощение технических деталей и перевод их в понятные управленческие формулировки.
«Руководство не понимает CVE Apache, но понимает: если сервис не работает — денег нет», — отметил Тоом.
Он напомнил простую формулу:
Риск = Актив × Угроза × Уязвимость.
Если один из элементов равен нулю, риска нет.
Эксперт также подчеркнул, что управление рисками не может быть статичным.
«Бумажные отчёты устарели. Сегодня рисками управляют онлайн, потому что среда быстро меняется», — сказал он.
В качестве примера Тоом привёл ситуацию, когда организация исключила из анализа физическую безопасность из-за аренды офиса, полагаясь на арендодателя. Однако это не гарантирует нужного уровня защиты.
Он также обратил внимание на распространённое заблуждение, что наличие ISO-сертификата у поставщика полностью защищает заказчика. Сертификат лишь подтверждает, что поставщик соблюдает прописанные клиентом требования, а если они не зафиксированы — это не даёт реальных гарантий.
По словам Тоома, в аутсорсинге важно чётко указывать требования и понимать, что ответственность остаётся на стороне заказчика.
Он напомнил, что любые современные угрозы, включая deepfake и ИИ, так или иначе связаны с тремя базовыми принципами информационной безопасности — конфиденциальностью, целостностью и доступностью (треугольник «CIA» — Confidentiality, Integrity, Availability).
За последними событиями следите в Телеграм-канале @tazabek_official
По сообщению сайта Tazabek