Kockázatkezelési megállapítások

  • Cikk

Egy vállalkozás üzemeltetése kockázattal jár. A biztonsági csapat feladata, hogy tájékoztassa és tájékoztassa a döntéshozókat arról, hogyan illeszkednek a biztonsági kockázatok a keretrendszereikbe. A biztonság célja, hogy megismerje vállalkozását, majd biztonsági szakértelmével azonosítsa az üzleti célokat és eszközöket érintő kockázatokat. A biztonság ezután tájékoztatja a döntéshozókat az egyes kockázatokról, majd javasolja, hogy mely kockázatok elfogadhatók. Ezek az információk azzal a megértéssel szolgálnak, hogy ezekért a döntésekért az eszköz vagy a folyamat tulajdonosa a felelős.

Megjegyzés

A kockázati elszámoltathatóság általános szabálya a következő:

Az a személy, aki birtokolja és elfogadja a kockázatot, az a személy, aki elmagyarázza a világnak, hogy mi történt (gyakran TV kamerák előtt).

Az érettség esetén a biztonság célja a kockázatok felfedése és csökkentése, majd a vállalat számára a minimális kockázattal történő változás engedélyezése. Az érettségi szint kockázatelemzést és mély biztonsági integrációt igényel. A szervezet bármely érettségi szintjén a legfontosabb biztonsági kockázatoknak szerepelnie kell a kockázati nyilvántartásban. Ezeket a kockázatokat ezután elfogadható szintre kezelik.

Az alábbi videóból megismerheti a biztonsági igazítást, és megtudhatja, hogyan kezelheti a kockázatokat a szervezeten belül.

Mi a kiberbiztonsági kockázat?

A kiberbiztonsági kockázat az üzleti eszközök, a bevételek és a jó hírnév potenciális károsodása vagy megsemmisítése. Ezt a kárt az okozza, hogy az emberi támadók pénzt, információt vagy technológiát próbálnak ellopni.

Bár ezek a támadások technikai környezetben történnek, gyakran kockázatot jelentenek a teljes szervezet számára. A kiberbiztonsági kockázatokat a kockázatmérési, nyomon követési és kockázatcsökkentési keretrendszerhez kell igazítani. Számos szervezet továbbra is megoldandó technikai problémaként kezeli a kiberbiztonsági kockázatot. Ez a felfogás téves következtetésekhez vezet, amelyek nem csökkentik a kockázat stratégiai üzleti hatását.

Az alábbi ábrán egy tipikus műszakilag orientált programról egy üzleti keretrendszerre való áttérés látható.

Diagram, amely egy tipikus műszakilag orientált programról egy üzleti keretrendszerre való áttérést mutatja be.

A biztonsági vezetőknek vissza kell lépnie a műszaki szemszögből, és meg kell tudniuk, hogy milyen eszközök és adatok fontosak az üzleti vezetők számára. Ezután rangsorolja, hogy a csapatok hogyan töltik az idejüket, a figyelmet és a költségvetést az üzleti jelentőséggel kapcsolatban. A technikai objektívet újra alkalmazza a rendszer, mivel a biztonság és az informatikai csapatok megoldásokon keresztül dolgoznak. A kiberbiztonsági kockázatokat azonban csak technológiai problémaként tekintve fennáll annak a kockázata, hogy nem a megfelelő problémákat oldja meg.

A biztonsági kockázatkezelés igazítása

Folyamatosan dolgozik, hogy erősebb hidat építsen a kiberbiztonság és a szervezeti vezetés között. Ez a fogalom az emberi kapcsolatokra és az explicit folyamatokra egyaránt vonatkozik. A biztonsági kockázat természete és az üzleti lehetőségek eltérő dinamikája mindig változik. A biztonsági kockázati forrásoknak folyamatos befektetésre van szükségük a kapcsolat kiépítésébe és javításába.

Ennek a kapcsolatnak a kulcsa annak megértése, hogy az üzleti érték hogyan kapcsolódik bizonyos technikai eszközökhöz. Enélkül az irány nélkül a biztonság nem biztos abban, hogy mi a legfontosabb a szervezet számára. Csak szerencsés találgatásokkal tudják megvédeni a legfontosabb eszközöket.

Fontos, hogy ezt a folyamatot azonnal el kell kezdeni. Első lépésként jobban megismerheti a szervezet bizalmas és üzleti szempontból kritikus eszközeit.

Az átalakítás elindításának tipikus folyamata a következő:

  1. Az üzlet kétirányú kapcsolathoz igazítása :
    • Kommunikáljon a saját nyelvén , és magyarázza el a biztonsági fenyegetéseket az üzletbarát terminológiával. Ez a magyarázat segít számszerűsíteni az általános üzleti stratégiát és küldetést érintő kockázatokat és hatásokat.
    • Aktívan figyelhet és tanulhat azáltal, hogy az üzlet minden területén beszél az emberekkel. Annak megértéséhez, hogy milyen hatással vannak a fontos üzleti szolgáltatásokra és információkra, ha illetéktelenek vagy illetéktelenek lettek. Ez a megértés világos betekintést nyújt a politikákba, szabványokba, képzésbe és biztonsági ellenőrzésekbe való befektetés fontosságába.
  2. Az üzleti prioritásokkal és kockázatokkal kapcsolatos ismereteket konkrét és fenntartható tevékenységekké fordítja le, például:
    • Rövid távú , amely a fontos prioritások kezelésével foglalkozik.
      • Megfelelő biztonsági vezérlőkkel védheti a kritikus fontosságú eszközöket és a nagy értékű információkat. Ezek a vezérlők növelik a biztonságot, miközben lehetővé teszik az üzleti hatékonyságot.
      • Összpontosítson az azonnali és újonnan megjelenő fenyegetésekre, amelyek nagy valószínűséggel okoznak üzleti hatást.
      • Az üzleti stratégiák és kezdeményezések változásainak monitorozása az összhang megőrzése érdekében.
    • A hosszú távú célokat és prioritásokat úgy határozza meg, hogy az idő múlásával folyamatosan haladjon, javítva az általános biztonsági helyzeten.
      • A Nulla megbízhatóság használatával stratégiát, tervet és architektúrát hozhat létre a szervezet kockázatainak csökkentésére. Illessze be azokat a zéró megbízhatósági alapelvekhez, amelyek a biztonsági rés, a minimális jogosultság és az explicit ellenőrzés feltételezését jelentik. Ezeknek az alapelveknek az elfogadása a statikus vezérlőkről a dinamikusabb kockázatalapú döntésekre vált. Ezek a döntések a furcsa viselkedés valós idejű észlelésén alapulnak, függetlenül attól, hogy hol kezdődött a fenyegetés.
      • A műszaki adósságok egységes stratégiaként való kiegyenlítése a biztonsági ajánlott eljárások szervezeten belüli működtetésével. Cserélje le például a jelszóalapú hitelesítést jelszó nélküli és többtényezős hitelesítésre, alkalmazza a biztonsági javításokat, és vonja ki vagy különítse el az örökölt rendszereket. Mint kifizető egy jelzálogot, akkor kell, hogy állandó kifizetések megvalósítása a teljes előnye és értéke a befektetések.
      • Adatbesorolások, bizalmassági címkék és szerepköralapú hozzáférés-vezérlés alkalmazásával megvédheti az adatokat az adatok elvesztésétől vagy sérülésétől az életciklus során. Ezek az erőfeszítések nem képesek teljes mértékben rögzíteni az üzleti környezet és a megállapítások dinamikus jellegét és gazdagságát. Ezek a fő engedélyezők azonban az információvédelem és az irányítás irányítására szolgálnak, ami korlátozza a támadások lehetséges hatásait.
  3. Hozzon létre egy egészséges biztonsági kultúrát a megfelelő viselkedés explicit gyakorlásával, kommunikációjával és nyilvános modellezésével. A kultúrának az üzleti, informatikai és biztonsági munkatársak közötti nyílt együttműködésre kell összpontosítania. Ezután alkalmazza ezt a fókuszt a folyamatos tanulás "növekedési gondolkodásmódjára". A kultúra változásainak fókuszában a silók eltávolítása a biztonságból, az informatikai részlegből és a nagyobb üzleti szervezetből. Ezek a változások nagyobb tudásmegosztási és rugalmassági szinteket eredményeznek.

További információ: Biztonsági stratégia definiálása.

A kiberbiztonsági kockázatok ismertetése

A kiberbiztonsági kockázatot az okozza, hogy az emberi támadók pénzt, információt vagy technológiát próbálnak ellopni. Fontos megérteni ezeknek a támadóknak a motivációit és viselkedési mintáit.

Motivációk

A különböző típusú támadók motivációi és ösztönzői a legitim szervezetek motivációit tükrözik.

A támadók motivációit bemutató ábra.

A támadók motivációinak megértése segíthet megérteni a különböző típusú támadások valószínűségét és lehetséges hatásait. Bár a biztonsági stratégiák és a legfontosabb technikai vezérlők hasonlóak a szervezetekhez, ez a környezet segíthet a biztonsági befektetések fókuszterületeinek irányításában.

További információ: A támadó megtérülésének megzavarása a befektetés során.

Viselkedési minták

A szervezetek számos emberi támadómodellel szembesülnek, amelyek alakítják a viselkedésüket:

  • Áru: A legtöbb fenyegetés, amelyet a szervezetek általában a nyereséges támadóknak jelentenek, a befektetés pénzügyi megtérülése (ROI) hajtja. Ezek a támadók általában a legolcsóbb és leghatékonyabb elérhető eszközöket és módszereket használják. Ezeknek a támadásoknak a kifinomultsága (például a lopakodás és az eszközhasználat) általában növekszik, mivel az új módszereket mások is bizonyították, és nagy léptékű használatra elérhetővé tették.

  • Élvonalbeli: A kifinomult támadási csoportokat hosszú távú küldetéseredmények vezérlik, és gyakran rendelkezésre állnak finanszírozások. Ezt a finanszírozást az innovációra fordítják. Ez az innováció magában foglalhatja az ellátási lánc támadásaiba való befektetést, vagy a támadási kampányon belüli taktikák megváltoztatását az észlelés és a vizsgálat akadályozása érdekében.

A támadók általában a következők:

  • Rugalmas: Egynél több támadási vektort használnak a hálózatba való belépéshez.
  • Célalapú: A környezet eléréséhez meghatározott célt érnek el. Előfordulhat, hogy a célok a személyekre, az adatokra vagy az alkalmazásokra vonatkoznak, de bizonyos célosztályokhoz is illeszkedhet. Például: "Egy nyereséges vállalat, amely valószínűleg fizetni fog az adataikhoz és rendszereikhez való hozzáférés helyreállításáért."
  • Lopakodó: Óvintézkedéseket tesznek, hogy eltávolítsák a bizonyítékokat, vagy elrejtsék a nyomaikat, általában különböző befektetési és prioritási szinteken.
  • Beteg: Időt vesznek igénybe, hogy felderítsék az infrastruktúra és az üzleti környezet megértését.
  • Jól erőforrásokkal és képzettséggel: Az általuk megcélzott technológiákban tanultak, bár a képesség mélysége eltérő lehet.
  • Tapasztalt: A bevett technikákat és eszközöket arra használják, hogy emelt szintű jogosultságokat szerezzenek a vagyon különböző aspektusaihoz való hozzáféréshez vagy vezérléshez.

Következő lépések

Ahhoz, hogy a kockázatkezelés hatékony legyen, azt az irányítási és megfelelőségi tevékenységek minden aspektusába be kell illeszteni. A kockázatok megfelelő értékeléséhez a biztonságot mindig egy átfogó megközelítés részeként kell figyelembe venni.