CC BY
0
4. The Network Readiness Index 2019: Towards a Future-Ready Society / Soumitra Dutta and Bruno Lanvin (editors), USA, Washington D.C., Portulans Institute. 2019. 310p. Mode of Access: https://networkreadinessindex.org/wp-content/uploads/2020/03/The-NetworkReadiness-Index-2019-New-version-March-2020.pdf
(date of access: 15.09.2021).
5. Digital Evolution Index (DEI). [Electronic resource] - Mode of Access: https://knoema.com/DEI2020/digital-evolution-index-dei. (date of access: 15.09.2021).
6. The 2015 BCG e-Intensity Index. (2015) // The Boston Consulting Group. - Mode of Access: https://www.bcg.com/ru-ru/publications/interactives/bcg-e-intensityindex.aspx (date of access: 15.09.2021).
7. The UN Global E-Government Development Index (EGDI). [Electronic resource] - Mode of Access: https://publicadministration.un.org/egovkb/en-us/About/Overview/-E-Government-Development-Index (date of access: 15.09.2021).
8. Welcome to Huawei's GCI 2020. [Electronic resource] - Mode of Access: https://www.huawei.com/minisite/gci/en/index.html. (date of access: 15.09.2021).
9. The Digital Economy and Society Index (DESI). [Electronic resource] Mode of Access: https://digital-strategy.ec.europa.eu/en/policies/desi. (date of access: 15.09.2021).
10. Индекс развития ИКТ 2020 года: Предложение. Справочный документ. [Электронный pecypc].URL:https://www.itu.int/en/ITU-D/Statistics/Documents/ events/egh2020/IDI2020_BackgroundDocument_R.pdf (дата обращения: 15.09.2021).
11. Цзя Ц., Родионов Д.Г. Применение цифровых двойников для развития промышленности / В сборнике: Цифровая трансформация экономических систем: проблемы и перспективы (ЭК0ПР0М-2022). сборник трудов VI Всероссийской научно-практической конференции с зарубежным участием. Санкт-Петербург, 2022. С. 159-162.
12. Родионов Д.Г. Влияние инфраструктурной компоненты на развитие региональной социально-экономической системы // В сборнике: Цифровой регион: опыт, компетенции, проекты. Сборник трудов IV Международной научно-практической конференции, приуроченной к Году науки и технологий в России. Брянск, 2021. С. 527-536.
13. Родионов Д.Г., Мугутдинов Р.М., Конников Е.А. Автоматизированный алгоритм системного анализа конкурентоспособности цифрового предприятия в рамках информационной среды // Экономические науки. 2021. № 200. С. 98-108.
14. Бабкин А. В., Чэнь Л., Жеребов Е. Д. Стратегия цифровой трансформации предприятий в цифровой экономике //Экономика и Индустрия 5.0 в условиях новой реальности (ИНПР0М-2022) - 2022. - С. 370-373.
15. Тюшняков, В. Н. Инструменты оценки уровня развития цифровой экономики / В.Н. Тюшняков // Вестник Северо-Кавказского федерального университета. - 2020. - № 1 (76). - С. 158 - 165.
16. Шеремет, Т. Г. Международные и национальные методики оценки уровня развития цифровой экономики / Т.Г. Шеремет // Дистанционные образовательные технологии: Сб. трудов V Международной научно-практической конференции. Отв. редактор В. Н. Таран. Симферополь, 2020. - С. 350 - 355
17. Хахина, А. М. Инструментальные средства оценки уровня развития цифровой экономики / А. М. Хахина, Е. Д. Жеребов, Д. А. Лебедев // //Кластеризация цифровой экономики: Глобальные вызовы. - 2020. - С. 364-371.
18. Горбачев, М. И. Международный опыт определения уровня развития цифровой экономики с помощью индексов / М. И. Горбачев, А. П. Петренко, Н. А. Карпунин // Управление рисками в АПК. - 2019. - № 2(30). - С. 69-82.
EDN: KRSPQV
Э.С. Гасанов - соискатель, Уфимский государственный нефтяного технический университет, Уфа, Россия, [email protected],
E.S. Gasanov - applicant, Ufa State Petroleum Technical University, Ufa, Russia;
Е.В. Жогова - к.э.н., доцент, Высшая инженерно-экономическая школа, Санкт-Петербургский политехнический университет Петра Великого, Санкт-Петербург, Россия, [email protected],
E.V. Zhogova - candidate of economic sciences, Associate Professor at the Graduate School of Industrial Economics, Peter the Great St. Petersburg Polytechnic University, St. Petersburg, Russia.
ЦИФРОВАЯ ТРАНСФОРМАЦИЯ БИЗНЕСА В КОРПОРАТИВНОЙ ПРЕДПРИНИМАТЕЛЬСКОЙ
СРЕДЕ В УСЛОВИЯХ КИБЕРУГРОЗ DIGITAL BUSINESS TRANSFORMATION IN THE CORPORATE ENTREPRENEURIAL ENVIRONMENT UNDER THE CONDITIONS OF CYBER THREATS
Аннотация. В статье рассматриваются вопросы осуществления цифровой трансформации бизнеса в рамках корпоративной предпринимательской среды. Исследование данного вопроса представляет значительную важность, учитывая ускоренную цифровизацию экономики, в которой корпоративная предпринимательская среда выступает в роли "инкубатора" для цифровых трансформаций. Статья детализирует структуру цифрового предприятия, обращая внимание на ключевые аспекты, необходимые для успешной реализации цифровой трансформации. Особое внимание уделяется кибербезопасности, которая выделяется в качестве отдельного релевантного элемента. Поскольку цифровые трансформации часто сталкиваются с угрозами кибербезопасности, понимание и применение эффективных мер по обеспечению безопасности становится неотъемлемым аспектом успешной цифровой стратегии предприятия. Результаты и выводы данного исследования могут быть полезны как академическому сообществу, так и практикующим предпринимателям, с целью более эффективной реализации цифровых трансформаций в корпоративной среде. В рамках процессного подхода к реактивному управлению информационной безопасностью, осуществление управления событиями и инцидентами, связанными с информационной безопасностью, авторы предлагают определенную последовательность шагов, которая изложена в данной статье.
Abstract. The article examines the issues of implementing digital business transformation within the framework of the corporate entrepreneurial environment. Studying this issue is of significant importance, considering the accelerated digitalization of the economy, where the corporate entrepreneurial environment serves as an "incubator" for digital transformations. The article details the structure of a digital enterprise, highlighting key aspects necessary for successful digital transformation. Special attention is given to cybersecurity, which is emphasized as a separate relevant element. Since digital transformations often face cybersecurity threats, understanding and implementing effective security measures become integral aspects of a successful digital enterprise strategy. The results and conclusions of this research can be valuable to both the academic community and practicing entrepreneurs for the more effective implementation of digital transformations in the corporate setting. As part of the process-based approach to reactive information security management, the authors propose a specific sequence of steps for managing events and incidents related to information security, which is outlined in this article.
Ключевые слова: цифровая трансформация, корпоративная среда, кибер угрозы.
Keywords: digital transformation, corporate environment, cyber threats.
Благодарности. Работы выполнены в рамках реализации проекта "Разработка методологии формирования инструментальной базы анализа и моделирования пространственного социально-экономического развития систем в условиях цифровизации с опорой на внутренние резервы" (FSEG-2023-0008).
Acknowledgments. The work was carried out within the framework of the project "Development of a methodology for the formation of an instrumental base for the analysis and modeling of spatial socio-economic development of systems in the context of digitalization based on internal reserves" (FSEG-2023-0008).
Введение
В условиях развития цифровой экономики задача обеспечения бесперебойной и четкой работы системы информационной и экономической безопасности является одной из приоритетных стратегических задач любого бизнеса. Данные процессы неотделимы от развития цифровой трансформацией бизнеса, интенсивность и успешность которой во многом зависит от характеристик корпоративной предпринимательской среды.
В условиях ускоренной цифровизации экономики корпоративная предпринимательская среда становится своего рода «инкубатором» цифровых трансформаций.
Само по себе понятие корпоративной предпринимательской среды подразумевает по собой интегрированную совокупность экономических отношений, условий и факторов, обеспечивающих реализацию предпринима-
тельской инициативы и развитие деловой активности в организованной экономической системе, функционирующей под воздействием факторов внешней и внутренней среды. Соответственно именно изучение основных составляющих корпоративной предпринимательской среды позволяет более детально проработать стратегии осуществления цифровой трансформации бизнеса и адаптировать систему безопасности предприятия к сложившимся условиям. При сбалансированном сочетании цифровой трансформации с традиционными методами функционирования и развития корпоративной среды предприятия могут получить значительный синергетический эффект в виде увеличения конкурентных преимуществ [1-3], снижения издержек, улучшение качества товара и т.д.
Результаты
Основные направления развития цифровой трансформации приведены на рисунке 1.
Рисунок 1 - Направления стратегии цифровой трансформации [4]
Процессы цифровой трансформации налагают особые требования, предъявляемые к информационной среде предприятия, для обеспечения ее конкурентоспособности: она должна содержать полноту и актуальность данных, осуществлять контроль достоверности и логичности информации, обеспечивать безопасность и возможность управления доступом к данным, обладать достаточной производительностью систем, стабильностью внутренней информационной среды.
В исследовании Харламова А.В., Тершукова Е.Д. [5] также проводится исследование взаимосвязи корпоративной предпринимательской среды и экономической безопасности субъектов страны. В данном исследовании понятие корпоративной предпринимательской среды складывается из «совокупности внутренних экономических условий для развития предпринимательства» и «комбинации формальных и неформальных механизмов, регулирующих взаимодействие между различными заинтересованными сторонами, относящимися к внутренней и внешней среде фирмы, обеспечивающие ее функционирование и развитие с учетом уровня экономической безопасности».
Дополнительно в исследовании в рамках корпоративной предпринимательской среды отдельно выделяются организационная и корпоративная культуры, корпоративное управление. И именно корпоративное управление названо тем адаптивным механизмом, который обеспечивает возможность функционирования компании согласно установленным миссии, целям и задачам, в том числе и в сфере экономической безопасности.
Важность экономической безопасности в сочетании с развитием и укрепление корпоративной предпринимательской среды обусловлена возможностью повышения скорости решения управленческих задач, их результативности и также в порождении особого синергического эффекта, повышающего конкурентоспособность корпоративных структур, как и было указано ранее.
Схематически цифровое предприятие можно представить с точки зрения единого комплекса, включающего себя и ядро производственных процессов - цифровое предприятие, то есть базовую часть в которой находится весь имущественный фонд и осуществляется производство товаров, работ, услуги и часть которая надстраивается на цифровое предприятие для обеспечения его безопасности и возможности восстановления с учетом угроз цифровой среды, состоящую из компонентов информационной и кибер безопасности, схематически это может быть представлено в виде рисунка 2.
Также следует добавить, что цифровая трансформация заставляет выделять кибербезоасность в отдельный важный компонент безопасности любого предприятия.
Таким образом, для активизации процессов развития цифровой экономики в корпоративной предпринимательской среде в современных условиях непрерывного воздействия киберугроз, компаниям необходимо обеспечить своевременное предвидение, противостояние и максимально оперативное восстановление в случае киберинцидентов.
Рисунок 2 - Структура компонентов цифрового предприятия с учетом информационной и кибер-безопасности
Соответственно особенности осуществления деятельности цифрового предприятия, можно представить в виде рисунка 3.
Рисунок 3 - Особенности функционирования цифрового предприятия
Выявление отклонений и оперативная объективная диагностика возникших проблем развития цифровой экономики применительно к корпоративной предпринимательской среде может служить основанием для дальнейших диагностических и прогностических процедур и разработки соответствующих решений, реализация которых будет определять успешность развития цифровой экономики в корпоративной предпринимательской среде.
В нашей стране до настоящего времени наиболее распространен реактивный подход к управлению информационной безопасностью, который предполагает инвестирование в развитие системы защиты информации как реакцию на инцидент, в то время как более эффективным и действенным является проактивный подход к управлению, цель которого является предотвращение возникновения инцидентов [6].
Учитывая, что по прогнозам специалистов в цифровом мире киберугрозы станут одним из основных бизнес-рисков, управление информационной безопасностью целесообразно выстраивать на основе процессного подхода, ориентированного на стратегическую перспективу с превентивной направленностью.
Процессный подход к управлению информационной безопасностью составляет основу обеспечения соответствия различным отраслевым и международным стандартам (например, ISO 27001, СТО БР ИББС-1.0-2014, PCI DSS v3.1.). При этом одними из ключевых моментов являются процессы по моделированию угроз и оценке рисков, в том числе, с учетом результатов выполнения задач по управлению: активами (инвентаризация), изменениями, техническими уязвимостями, сетевой безопасностью, инцидентами, контролем защитных мер.
Процессный подход к реактивному управлению информационной безопасностью предполагает реализацию жизненного цикла управления событиями и инцидентами, связанными с информационной безопасностью, в самом общем виде включающего следующую последовательность этапов:
1) обнаружение киберугрозы;
2) анализ данных о безопасности;
3) регистрация инцидента;
4) установление причин возникновения инцидента;
5) реагирование на инцидент;
6) выявление, оценка и ликвидация последствий инцидента;
7) анализ результатов ликвидации последствий инцидента.
Неавтоматизированные методы реализации перечисленных задач управления информационной безопасностью в условиях большого объема данных и постоянно изменяющейся информационной среды являются неэффективными, что снижает или сводит на нет возможность оперативного контроля состояния защищенности и принятия персоналом обоснованных решений по снижению рисков информационной безопасности.
В цифровом мире автоматизация процессов управления информационной безопасностью при использовании проактивного подхода к управлению является объективной необходимостью [7].
Для автоматизации любой из задач в рамках процессов управления информационной безопасностью необходимо собрать исходные данные изразличных источников, в качестве которых могут выступать средства защиты информации, инфраструктурные элементы и корпоративные информационные системы. От качества и полноты исходных данных зависит очень многое, поэтому в процессе внедрения средств автоматизации процессов, как правило, вскрываются проблемы функционирования систем защиты информации (ложные срабатывания правил в SIEM, отсутствие результатов анализа защищенности для отдельных сегментов, различие в версиях используемого ПО, отсутствие актуальной информации об активах, сетевой топологии и т.п.).
После сбора данных в единую универсальную базу в составе системы требуется выполнить их программную обработку, целью которой является расчет ключевых показателей и наглядное представление сводной информации, поддерживающих принятие управленческих решений пользователями различных уровней (с учетом ролевой модели и матрицы разграничения доступа), либо подлежащих передаче в целевые системы [7].
При обработке данных учитываются следующие параметры:
- целевые формы представления и передачи данных;
- роль пользователя, для которого эти данные предназначены;
- характеристики имеющихся в компании процессов по управлению информационной безопасностью -цели использования и срок хранения, контролируемые параметры защиты, частота и аудитория предоставления, целевые системы для выдачи данных.
Таким образом, средство автоматизации вскрывает следующий пласт проблем - выявляется реальный уровень зрелости процессов управления информационной безопасностью в компании, который значительно улучшается при внедрении средств автоматизации процессов управления ИБ, так как для настройки системы требуется согласовать и документально зафиксировать все основные процедуры и метрики целевых и смежных с ними процессов (например, управление обновлениями ПО при устранении выявленных уязвимостей) [7].
На практике одним из первых этапов подготовки к автоматизации процессов управления информационной безопасностью является построение процесса управления информационными активами, которые представляют собой имеющиеся технические средства ИКТ инфраструктуры компании (например: АРМ, серверы, сетевое оборудование) и информационные системы, базирующиеся на данных средствах.
Наиболее важным активом, напрямую влияющим на функционирование информационных систем, является сетевая инфраструктура. Знание уровня ее защищенности и реального статуса функционирования необходимо как ИТ, так и ИБ подразделению [8]. Популярные и наиболее хорошо освоенные средства автоматизации процессов управления информационной безопасностью предоставляют либо первичную информацию о состоянии защищенности информационно-телекоммуникационной инфраструктуры и способах ее использования, либо возможности по реактивной обработке зарегистрированных событий и инцидентов, связанных с информационной безопасностью без учета возможности автоматического ранжирования обрабатываемых данных с учетом действующих конфигураций применяющихся технических средств защиты, модели угроз и оценки рисков [7].
Реализация данной задачи возможна путем создания (в рамках выделенной подсистемы) модели информационно-телекоммуникационной инфраструктуры, которая описывает все основные параметры системы, внутренние связи и каналы между ее компонентами, на основании чего предусматривается возможность осуществлять оценку соответствия параметров системы заданным параметрам информационной безопасности и выполнять проактивное моделирование негативных ситуационных инцидентов в отношении элементов информационной безопасности. Создание модели позволит не только консолидировать данные об информационных активах, и выполнять проверку планирующихся изменений (например, в части изменения сетевого доступа), но и проводить эффективную приори-тизацию уязвимостей с использованием процессов моделирования сетевых атак [7].
Ввиду большого объема разнородных данных, в настоящий момент все, либо выделенные процессы управления информационной безопасностью, не могут быть полностью автоматизированы. При этом значительная часть функций все равно будет выделена на выполнение специалистами подразделений ИТ и ИБ. Также при всей привлекательности проактивного управления и идеи с его помощью предотвратить все инциденты до их возникновения, необходимо понимать, что это невозможно и неоправданно с позиций ресурсозатратности.
Существуют инциденты, которые дешевле устранить по факту, чем предотвращать. Поэтому целесообразно находить и поддерживать разумный баланс между реактивным и проактивным управлением. На рынке есть ряд продуктов, в которых решаются задачи автоматизации процессов управления информационной безопасностью, но их внедрение должно быть постепенным, последовательным, с адаптацией под требования конкретной компании и с применением заложенных производителем лучших практик. Результаты становятся видны уже на этапе внедрения, когда решаются проблемы с источниками данных, описываются или уточняются описания действующих процессов, а у пользователей появляется осознание важности и целей проводимой работы [7].
При осуществлении цифровой трансформации и цифровизации корпоративной предпринимательской среды взрывной рост киберугроз стал ответом на возрастающую скорость появления и распространения новых цифровых технологий.
Решение проблемы роста киберугроз информационной безопасности в корпоративной предпринимательской среде лежит в области проактивного управления, основанного на технологиях проактивной защиты информации посредством превентивных методов обнаружения вредоносного программного обеспечения позволяющих обнаруживать угрозу до ее проявления.
Реализацию данной задачи необходимо осуществлять с позиций системного подходя в соответствии со следующими положениями рекомендательного характера:
1. разработать единую методологию обеспечения киберустойчивости компании, которая будет документально закреплена в организационно-распорядительных документах компании;
2. создать систему управления информационной безопасностью (ИБ), имеющую четкую структуру обеспечения кибербезопасности, полностью интегрированную в ключевые системы и бизнес-процессы компании и ориентированную на минимизацию последствий в случае возникновения киберинцидента и минимизацию времени восстановления бизнес-процессов и автоматизированных систем имеющих критическое значение для компании, в целях обеспечения киберустойчивости в условиях постоянных киберугроз;
Заключение
В рамках системы управления ИБ для любой компании целесообразно сформировать единый комплекс программ защиты от различных типов вторжения, включающий: антивирусные программы, корпоративные и персональные межсетевые экраны (файерволы) и программы проактивной защиты ПК;
Реализация предложенных рекомендательных положений, в комплексе обеспечивающих системный подход в области менеджмента киберустойчивостью, обеспечит решение задачи соблюдения баланса риска и доходности от использования новых цифровых технологий, нивелируя при этом последствия сопутствующих ки-беррисков.
Для обеспечения киберустойчивости требуется вовлечение персонала компании в части развития цифровых компетенций персонала в области знания основ кибербезопасности и владения методами и инструментами защиты цифровых устройств, информации и персональных данных.
Подводя итог также, следует отметить, что согласно исследованиям 2023 года на портале vc.ru [9,10] , корпоративная среда строится сегодня в условиях меняющейся бизнес-среды. И уже сейчас одной из тенденций является развитие и внедрение сквозных технологий в корпоративные структуры и культивирование отдельными из них цифровых экосистем, которые только и будут набирать оборот к развитию и расширению.
Дополнительно, хотелось бы отметить, что применение систем с возможностью моделирования различных негативных ситуаций, угрожающих информационной безопасности, позволяет подготовиться к внедрению полноценной системы по автоматизации процессов управления ИБ и качественно повысить эффективность автоматизируемых процессов.
Использованные в данных системах подходы по моделированию информационно-технологической инфраструктуры, сетевых атак, а также проактивному управлению ИБ, на наш взгляд, являются перспективными. Подтверждением этого является и то, что, ряд существующих и разрабатываемых SIEM решений уже содержат или будут включать в свой состав функциональные компоненты по моделированию сетевой инфраструктуры и сетевых атак.
Источники.
1. Родионов Д.Г., Дмитриев Н.Д., Дубаневич Л.Э. Построение эконометрической модели устойчивого развития промышленного предприятия// Вестник Алтайской академии экономики и права. 2021. № 7-1. С. 61-71.
2. Родионов Д.Г., Мугутдинов Р.М., Конников Е.А. Автоматизированный алгоритм системного анализа конкурентоспособности цифрового предприятия в рамках информационной среды / // Экономические науки. 2021. № 200. С. 98-108.
3. Михайлов А. Цифровая трансформация бизнеса основные разделы стратегии цифровой трансформации [Электронный ресурс] URL: https://www.info-strategy.ru/wp-content/uploads/digital-transformation-book.pdf (Дата обращения 12.08.2023).
4. Адаменко А. А., Михалев И. И. Стратегия цифровой трансформации организации //Естественно-гуманитарные исследования. - 2023. - №. 45 (1). - С. 10-16.
5. Харламов А. В., Тершуков Е. Д. Обеспечение экономической безопасности хозяйствующих субъектов на основе развития корпоративной предпринимательской среды //Экономика и управление. - 2021. - Т. 27. - №. 7. - С. 530-536.
6. Родионов Д. Г., Конников Е. А., Тенишев Т. В. Методика оценки влияния цифровой трансформации на организационную деятельность банка //Вестник Рязанского государственного радиотехнического университета. - 2021. - №. 75. - С. 121-132.
7. Гасанов Э. С., Самарина Е. А. Управление информационной безопасностью в корпоративной предпринимательской среде в условиях киберугроз цифровой экономики //Инновации и инвестиции. - 2020. - №. 9. - С. 117-120.
8. Родионов Д. Г., Ялымов С. В., Конников Е. А. Влияние информационной среды на субъекты малого и среднего предпринимательства //Экономические науки. - 2020. - №. 189. - С. 86-91.
9. Беляков. М. Просто о сложном: что такое цифровая трансформация. Часть 2. [Электронный ресурс] URL: https://vc.ru/flood/709297-prosto-o-slozhnom-chto-takoe-cifrovaya-transformaciya-chast-2 (Дата обращения 12.08.2023).
10. 10 бизнес-трендов 2023 года. [Электронный ресурс] URL: https://vc.ru/marketing/574349-10-biznes-trendov-2023-goda (Дата обращения 12.08.2023).
