Наиболее часто используемые критерии для приоритизации рисков кибербезопасности

Если посмотреть на результаты опроса специалистов насчет приоритизации из небольшого исследования про управление киберрисками от Qualys, то можно заметить, что большинство (зарубежных) компаний отказались от использования оценки CVSS как единственного критерия ранжирования рисков: 68% опрошенных заявили, что используют несколько критериев для оценки рисков или количественную оценку.
При этом наиболее популярными критериями ранжирования киберрисков стали:
Критичность уязвимости
Потенциальное влияние на бизнес
Стоимость и критичность активов
Соответствие нормативным требованиям
Вероятность компрометации

Это свидетельствует о том, что специалисты стали чаще учитывать бизнес-контекст для приоритизации киберрисков. Примечательно, что в целом только 13% опрошенных сообщили о применении количественной оценки киберрисков, что указывает на то, что для многих это по-прежнему является сложной задачей

Также стоит отметить, что наиболее распространенными критериями классификации активов и определения их ценности являются:
Критичность для бизнес-операций
Категория обрабатываемых данных
Оценочная стоимость актива

Однако частота пересмотра классификации активов остается довольно низкой: большинство компаний обновляет данные ежегодно или реже, например, только после значительных изменений в рассматриваемых системах.

#risk #vulnerability #vm #prioritization #value #assessment #cvss