Kockázatkezelési megállapítások
Egy vállalkozás üzemeltetése kockázattal jár. A biztonsági csapat feladata, hogy tájékoztassa és tájékoztassa a döntéshozókat arról, hogyan illeszkednek a biztonsági kockázatok a keretrendszereikbe. A biztonság célja, hogy megismerje vállalkozását, majd biztonsági szakértelmével azonosítsa az üzleti célokat és eszközöket érintő kockázatokat. A biztonság ezután tájékoztatja a döntéshozókat az egyes kockázatokról, majd javasolja, hogy mely kockázatok elfogadhatók. Ezek az információk azzal a megértéssel szolgálnak, hogy ezekért a döntésekért az eszköz vagy a folyamat tulajdonosa a felelős.
Megjegyzés
A kockázati elszámoltathatóság általános szabálya a következő:
Az a személy, aki birtokolja és elfogadja a kockázatot, az a személy, aki elmagyarázza a világnak, hogy mi történt (gyakran TV kamerák előtt).
Az érettség esetén a biztonság célja a kockázatok felfedése és csökkentése, majd a vállalat számára a minimális kockázattal történő változás engedélyezése. Az érettségi szint kockázatelemzést és mély biztonsági integrációt igényel. A szervezet bármely érettségi szintjén a legfontosabb biztonsági kockázatoknak szerepelnie kell a kockázati nyilvántartásban. Ezeket a kockázatokat ezután elfogadható szintre kezelik.
Az alábbi videóból megismerheti a biztonsági igazítást, és megtudhatja, hogyan kezelheti a kockázatokat a szervezeten belül.
Mi a kiberbiztonsági kockázat?
A kiberbiztonsági kockázat az üzleti eszközök, a bevételek és a jó hírnév potenciális károsodása vagy megsemmisítése. Ezt a kárt az okozza, hogy az emberi támadók pénzt, információt vagy technológiát próbálnak ellopni.
Bár ezek a támadások technikai környezetben történnek, gyakran kockázatot jelentenek a teljes szervezet számára. A kiberbiztonsági kockázatokat a kockázatmérési, nyomon követési és kockázatcsökkentési keretrendszerhez kell igazítani. Számos szervezet továbbra is megoldandó technikai problémaként kezeli a kiberbiztonsági kockázatot. Ez a felfogás téves következtetésekhez vezet, amelyek nem csökkentik a kockázat stratégiai üzleti hatását.
Az alábbi ábrán egy tipikus műszakilag orientált programról egy üzleti keretrendszerre való áttérés látható.
A biztonsági vezetőknek vissza kell lépnie a műszaki szemszögből, és meg kell tudniuk, hogy milyen eszközök és adatok fontosak az üzleti vezetők számára. Ezután rangsorolja, hogy a csapatok hogyan töltik az idejüket, a figyelmet és a költségvetést az üzleti jelentőséggel kapcsolatban. A technikai objektívet újra alkalmazza a rendszer, mivel a biztonság és az informatikai csapatok megoldásokon keresztül dolgoznak. A kiberbiztonsági kockázatokat azonban csak technológiai problémaként tekintve fennáll annak a kockázata, hogy nem a megfelelő problémákat oldja meg.
A biztonsági kockázatkezelés igazítása
Folyamatosan dolgozik, hogy erősebb hidat építsen a kiberbiztonság és a szervezeti vezetés között. Ez a fogalom az emberi kapcsolatokra és az explicit folyamatokra egyaránt vonatkozik. A biztonsági kockázat természete és az üzleti lehetőségek eltérő dinamikája mindig változik. A biztonsági kockázati forrásoknak folyamatos befektetésre van szükségük a kapcsolat kiépítésébe és javításába.
Ennek a kapcsolatnak a kulcsa annak megértése, hogy az üzleti érték hogyan kapcsolódik bizonyos technikai eszközökhöz. Enélkül az irány nélkül a biztonság nem biztos abban, hogy mi a legfontosabb a szervezet számára. Csak szerencsés találgatásokkal tudják megvédeni a legfontosabb eszközöket.
Fontos, hogy ezt a folyamatot azonnal el kell kezdeni. Első lépésként jobban megismerheti a szervezet bizalmas és üzleti szempontból kritikus eszközeit.
Az átalakítás elindításának tipikus folyamata a következő:
- Az üzlet kétirányú kapcsolathoz igazítása :
- Kommunikáljon a saját nyelvén , és magyarázza el a biztonsági fenyegetéseket az üzletbarát terminológiával. Ez a magyarázat segít számszerűsíteni az általános üzleti stratégiát és küldetést érintő kockázatokat és hatásokat.
- Aktívan figyelhet és tanulhat azáltal, hogy az üzlet minden területén beszél az emberekkel. Annak megértéséhez, hogy milyen hatással vannak a fontos üzleti szolgáltatásokra és információkra, ha illetéktelenek vagy illetéktelenek lettek. Ez a megértés világos betekintést nyújt a politikákba, szabványokba, képzésbe és biztonsági ellenőrzésekbe való befektetés fontosságába.
- Az üzleti prioritásokkal és kockázatokkal kapcsolatos ismereteket konkrét és fenntartható tevékenységekké fordítja le, például:
- Rövid távú , amely a fontos prioritások kezelésével foglalkozik.
- Megfelelő biztonsági vezérlőkkel védheti a kritikus fontosságú eszközöket és a nagy értékű információkat. Ezek a vezérlők növelik a biztonságot, miközben lehetővé teszik az üzleti hatékonyságot.
- Összpontosítson az azonnali és újonnan megjelenő fenyegetésekre, amelyek nagy valószínűséggel okoznak üzleti hatást.
- Az üzleti stratégiák és kezdeményezések változásainak monitorozása az összhang megőrzése érdekében.
- A hosszú távú célokat és prioritásokat úgy határozza meg, hogy az idő múlásával folyamatosan haladjon, javítva az általános biztonsági helyzeten.
- A Nulla megbízhatóság használatával stratégiát, tervet és architektúrát hozhat létre a szervezet kockázatainak csökkentésére. Illessze be azokat a zéró megbízhatósági alapelvekhez, amelyek a biztonsági rés, a minimális jogosultság és az explicit ellenőrzés feltételezését jelentik. Ezeknek az alapelveknek az elfogadása a statikus vezérlőkről a dinamikusabb kockázatalapú döntésekre vált. Ezek a döntések a furcsa viselkedés valós idejű észlelésén alapulnak, függetlenül attól, hogy hol kezdődött a fenyegetés.
- A műszaki adósságok egységes stratégiaként való kiegyenlítése a biztonsági ajánlott eljárások szervezeten belüli működtetésével. Cserélje le például a jelszóalapú hitelesítést jelszó nélküli és többtényezős hitelesítésre, alkalmazza a biztonsági javításokat, és vonja ki vagy különítse el az örökölt rendszereket. Mint kifizető egy jelzálogot, akkor kell, hogy állandó kifizetések megvalósítása a teljes előnye és értéke a befektetések.
- Adatbesorolások, bizalmassági címkék és szerepköralapú hozzáférés-vezérlés alkalmazásával megvédheti az adatokat az adatok elvesztésétől vagy sérülésétől az életciklus során. Ezek az erőfeszítések nem képesek teljes mértékben rögzíteni az üzleti környezet és a megállapítások dinamikus jellegét és gazdagságát. Ezek a fő engedélyezők azonban az információvédelem és az irányítás irányítására szolgálnak, ami korlátozza a támadások lehetséges hatásait.
- Rövid távú , amely a fontos prioritások kezelésével foglalkozik.
- Hozzon létre egy egészséges biztonsági kultúrát a megfelelő viselkedés explicit gyakorlásával, kommunikációjával és nyilvános modellezésével. A kultúrának az üzleti, informatikai és biztonsági munkatársak közötti nyílt együttműködésre kell összpontosítania. Ezután alkalmazza ezt a fókuszt a folyamatos tanulás "növekedési gondolkodásmódjára". A kultúra változásainak fókuszában a silók eltávolítása a biztonságból, az informatikai részlegből és a nagyobb üzleti szervezetből. Ezek a változások nagyobb tudásmegosztási és rugalmassági szinteket eredményeznek.
További információ: Biztonsági stratégia definiálása.
A kiberbiztonsági kockázatok ismertetése
A kiberbiztonsági kockázatot az okozza, hogy az emberi támadók pénzt, információt vagy technológiát próbálnak ellopni. Fontos megérteni ezeknek a támadóknak a motivációit és viselkedési mintáit.
Motivációk
A különböző típusú támadók motivációi és ösztönzői a legitim szervezetek motivációit tükrözik.
A támadók motivációinak megértése segíthet megérteni a különböző típusú támadások valószínűségét és lehetséges hatásait. Bár a biztonsági stratégiák és a legfontosabb technikai vezérlők hasonlóak a szervezetekhez, ez a környezet segíthet a biztonsági befektetések fókuszterületeinek irányításában.
További információ: A támadó megtérülésének megzavarása a befektetés során.
Viselkedési minták
A szervezetek számos emberi támadómodellel szembesülnek, amelyek alakítják a viselkedésüket:
Áru: A legtöbb fenyegetés, amelyet a szervezetek általában a nyereséges támadóknak jelentenek, a befektetés pénzügyi megtérülése (ROI) hajtja. Ezek a támadók általában a legolcsóbb és leghatékonyabb elérhető eszközöket és módszereket használják. Ezeknek a támadásoknak a kifinomultsága (például a lopakodás és az eszközhasználat) általában növekszik, mivel az új módszereket mások is bizonyították, és nagy léptékű használatra elérhetővé tették.
Élvonalbeli: A kifinomult támadási csoportokat hosszú távú küldetéseredmények vezérlik, és gyakran rendelkezésre állnak finanszírozások. Ezt a finanszírozást az innovációra fordítják. Ez az innováció magában foglalhatja az ellátási lánc támadásaiba való befektetést, vagy a támadási kampányon belüli taktikák megváltoztatását az észlelés és a vizsgálat akadályozása érdekében.
A támadók általában a következők:
- Rugalmas: Egynél több támadási vektort használnak a hálózatba való belépéshez.
- Célalapú: A környezet eléréséhez meghatározott célt érnek el. Előfordulhat, hogy a célok a személyekre, az adatokra vagy az alkalmazásokra vonatkoznak, de bizonyos célosztályokhoz is illeszkedhet. Például: "Egy nyereséges vállalat, amely valószínűleg fizetni fog az adataikhoz és rendszereikhez való hozzáférés helyreállításáért."
- Lopakodó: Óvintézkedéseket tesznek, hogy eltávolítsák a bizonyítékokat, vagy elrejtsék a nyomaikat, általában különböző befektetési és prioritási szinteken.
- Beteg: Időt vesznek igénybe, hogy felderítsék az infrastruktúra és az üzleti környezet megértését.
- Jól erőforrásokkal és képzettséggel: Az általuk megcélzott technológiákban tanultak, bár a képesség mélysége eltérő lehet.
- Tapasztalt: A bevett technikákat és eszközöket arra használják, hogy emelt szintű jogosultságokat szerezzenek a vagyon különböző aspektusaihoz való hozzáféréshez vagy vezérléshez.
Következő lépések
Ahhoz, hogy a kockázatkezelés hatékony legyen, azt az irányítási és megfelelőségi tevékenységek minden aspektusába be kell illeszteni. A kockázatok megfelelő értékeléséhez a biztonságot mindig egy átfogó megközelítés részeként kell figyelembe venni.
- A biztonsági integráció a biztonság következő fókuszterülete.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: