segurança Cibernética de gestão de risco, se resume a três fatores-chave:
- A probabilidade de ocorrência de um evento;
- A gravidade do impacto se que o evento ocorre; e
- Quaisquer factores atenuantes que podem reduzir a probabilidade ou a gravidade.
esse foi o nosso ponto de partida de uma excelente discussão de painel facilitada pelos nossos parceiros na Cylance, intitulada Cut Through the Risk Confusion: Shedding Light on Common Security Misperceptions.
a gestão do risco é muitas vezes confusa porque é repleta de subjectividade de acordo com o painel. Caso em questão? Os principais líderes empresariais-consultores gerais, CFO e CIO – têm percepções diferentes sobre a composição do risco e os controlos adequados.
enquanto a discussão se centrava em como eliminar essa subjetividade através do processo, os palestrantes forneceram várias dicas excelentes ao longo do caminho. Nós articulamos aqueles que se destacaram para nós lá em baixo.
- 1) mesmo para os profissionais, a gestão do risco cibernético é difícil.
- 2) incluem diversidade na perspectiva do risco.
- 3) Comissão um contra-argumento.
- 4) um processo estruturado de gestão de risco ajuda “a gerir.”
- 6) apenas “desligá-lo” nem sempre é a melhor solução.
- 7) traduza a fala tecnológica em conversa de negócios.
- 8) examinar as tendências e preparar.Os profissionais de segurança são, em muitos aspectos, encarregados de prever as tendências futuras e de estabelecer planos para preparar planos de contingência. Por exemplo, não é um alongamento prever que o ransomware vai intensificar e se concentrar na destruição de dados.
1) mesmo para os profissionais, a gestão do risco cibernético é difícil.
ver, identificar e compreender os indicadores de risco não vem naturalmente para a maioria das pessoas. Para ilustrar este ponto, um palestrante observou que ele perdeu os indicadores de risco depois de colocar novas escadas de madeira dura em sua casa.Apesar de várias queixas dos hóspedes de que as novas escadas eram escorregadias, ele só procurou uma solução depois de escorregar e Partir um tornozelo, o que exigiu cirurgia. A solução era um rolo de 50 dólares de fita anti-deslizamento.
isto ilustra o objectivo da gestão do risco – e o valor de um investimento preventivo relativamente pequeno em comparação com o custo (e dor) extensivo para a reparação após um evento.
2) incluem diversidade na perspectiva do risco.
uma perspectiva diversificada é fundamental para uma boa gestão do risco na cibersegurança. Mais importante, o desacordo não é deslealdade. A análise de um problema através de vários pontos de vista impede a reflexão em grupo e o excesso de confiança que pode levar a lacunas e erros.
3) Comissão um contra-argumento.
é útil acusar um membro, ou uma equipe, com a tarefa de argumentar a visão oposta. Trata-se de algo diferente da diversidade na perspectiva, uma vez que a Comissão procura intencionalmente lacunas num argumento ou numa ideia.
se a visão consensual acredita que um fator é de baixo risco, ter alguém construir um caso que é de alto risco e vice-versa. O painel referiu-se a isto como assegurando uma “estratificação do diálogo”, a fim de ver todas as opções e potenciais impactos.
4) um processo estruturado de gestão de risco ajuda “a gerir.”
um formato de risco estruturado traz disciplina organizacional para a gestão de risco que também é útil para a gestão de riscos de notícias. O painel chamou a isto “Gestão de risco do Wall Street Journal”.”
o que significa isso? Um membro do Conselho lê uma história sobre a perda de dados em portas USB e envia a história para o CEO. O CEO, por sua vez, envia-o para o CIO e, de repente, a principal prioridade para a equipe de risco é a prevenção de perda de dados a nível de rede e host. Consequentemente, as portas USB são desligadas, mas os funcionários ainda têm acesso a sites de compartilhamento de arquivos comerciais.
um processo estruturado permite à equipa considerar todas as opções e também fornece um quadro para a gestão diplomática dos inquéritos do Líder Sénior com base em eventos noticiosos. As histórias são uma forma poderosa e incrível de comunicar, mas as histórias são pontos de dados, não dados.Alguns riscos apenas parecem mais interessantes do que outros.
qualquer organização que execute testes de penetração real provavelmente chegará à mesma conclusão: a equipe vermelha vai entrar. No entanto, isso não significa o risco de uma equipa vermelha encontrar paralelos de risco no mundo real.
um palestrante observou, por exemplo, uma equipe vermelha que havia deixado cair um dispositivo físico na rede. Embora interessante, as chances de isso realmente acontecer eram bastante baixas. Este fenómeno pode distorcer a perspectiva do risco, criar preocupações executivas desnecessárias e acabar com uma má afectação de recursos finitos.
6) apenas “desligá-lo” nem sempre é a melhor solução.
os funcionários de uma empresa eram bastante vocais nas redes sociais durante os anúncios de ganhos. Isso deixou a equipe executiva nervosa por razões óbvias de Conformidade, de acordo com um palestrante contando a história. A liderança simplesmente queria fechar o acesso a sites de mídia social a partir da rede corporativa.
no entanto, fazendo isso na avaliação da equipe de segurança, era improvável que os funcionários de fazer a mesma coisa a partir da rede de convidados, ou de dispositivos pessoais. Pior ainda, esta ação limitaria a visibilidade da empresa para monitorar a atividade; ainda assim aconteceria, eles simplesmente não iriam vê-la agora.
uma solução melhor, ou pelo menos uma que vale a pena considerar a partir de uma perspectiva de gestão de risco, foi envolver os funcionários e moldar o comportamento com treinamento e informação.
7) traduza a fala tecnológica em conversa de negócios.
o espaço de cibersegurança tem a sua quota-parte de palavras-chave que o negócio pode não entender. As equipes de segurança precisam estar conscientes disso quando os colegas de outras funções estão envolvidos em conversas de segurança.
um dos panelistas lembrou uma situação em que a equipe técnica tinha encontrado software malicioso em uma unidade de backup. A probabilidade de risco era baixa, mas o impacto era alto, então a conversa foi escalada para incluir outros membros da equipe de todo o negócio. No processo, tornou-se evidente que o negócio não estava acompanhando a discussão, e assim não poderia contribuir para a avaliação de risco.
the panelist said he quickly came up with an analogy to describe the data-backup problem at hand to the effect: We’re trying to move people (data) from one point to another. Usamos um carro para pegar as pessoas, mas não podemos ver quantos passageiros estão no carro ou quantos chegaram em segurança ao destino.
uma boa técnica é ter uma “pré-discussão” antes de falar com outros colegas de negócios para garantir que os pontos-chave são apresentados em um negócio, ao invés de nível técnico.
8) examinar as tendências e preparar.Os profissionais de segurança são, em muitos aspectos, encarregados de prever as tendências futuras e de estabelecer planos para preparar planos de contingência. Por exemplo, não é um alongamento prever que o ransomware vai intensificar e se concentrar na destruição de dados.
compreender esta tendência, e o custo irá ajudar a articular as opções de negócio em caso de um incidente. O negócio pode se recusar a pagar o resgate e perder uma semana ou mais de receita, enquanto ele trabalha para pôr os sistemas operacionais. Ou pode ter os meios para pagar o resgate em bitcoin já estabelecido no caso de a empresa perseguir essa opção-como algumas empresas são.
a cibersegurança é “incrivelmente complicada” e quanto mais confiante estiver de uma resposta, mais preocupado se deve sentir. Um rigoroso processo de análise dos riscos cibernéticos irá contribuir muito para o cumprimento da meta de segurança da garantia empresarial. Uma gravação completa desta discussão está disponível através da Cylance no link acima.
Se gostou deste post, também pode gostar:
evolução Cyberthreat muda a ênfase para detecção e prevenção proactiva
crédito fotográfico: (CC0 1.0)
