Kybernetické bezpečnosti, řízení rizik, se scvrkává na tři klíčové faktory:
- pravděpodobnost, že událost nastane;
- závažnost dopad v případě, že událost nastane; a
- Žádné polehčující faktory, které mohou snížit pravděpodobnost nebo závažnost.
To byl náš stánek s jídlem z vynikající panelová diskuse usnadněno tím, že naši partneři v Cylance, s názvem Řez Přes Riziko Záměny: vrhá Světlo na Společné Bezpečnostní Nepochopení.
řízení rizik je často matoucí, protože je podle panelu plné subjektivity. Příklad? Vedoucí představitelé podniků-generální rada, finanční ředitel a CIO – všichni mají odlišné vnímání složení rizik a vhodných kontrol.
zatímco diskuse se soustředila na to, jak eliminovat tuto subjektivitu procesem, panelisté poskytli několik vynikajících tipů. Níže jsme vyjádřili ty, které pro nás vynikly.
- 1) i pro profesionály je řízení kybernetických rizik těžké.
- 2) zahrnout rozmanitost z hlediska rizika.
- 3) uveďte protiargument.
- 4) strukturovaný proces řízení rizik pomáhá “ spravovat.“
- 6) jen „vypnutí“ není vždy nejlepším řešením.
- 7) přeložit tech mluvit do obchodní diskuse.
- 8) zkoumat trendy a připravit.
1) i pro profesionály je řízení kybernetických rizik těžké.
vidět, identifikovat a porozumět ukazatelům rizika nepřichází pro většinu lidí přirozeně. Pro ilustraci tohoto bodu, jeden panelista poznamenal, že po uvedení nových schodů z tvrdého dřeva do svého domu zmeškal ukazatele rizika.
navzdory několika stížnostem hostů, že nové schody byly kluzké, hledal řešení až poté, co uklouzl a zlomil kotník, což vyžadovalo operaci. Řešením bylo 50 dolarů role protiskluzové pásky.
to ilustruje účel řízení rizik – a hodnotu relativně malé preventivní investice ve srovnání s rozsáhlými náklady (a bolestí) na sanaci po události.
2) zahrnout rozmanitost z hlediska rizika.
různorodá perspektiva je rozhodující pro dobré řízení rizik v kybernetické bezpečnosti. Ještě důležitější je, že nesouhlas není neloajálnost. Zkoumá problém přes různá hlediska zabraňuje skupinové myšlení a sebedůvěra, která může vést k nedostatky a chyby.
3) uveďte protiargument.
je užitečné účtovat členovi nebo týmu úkol argumentovat opačným názorem. To je něco jiného než rozmanitost v perspektivě vzhledem k tomu, že Komise záměrně hledá mezery v argumentu nebo myšlence.
pokud se konsensuální názor domnívá, že faktor je nízkorizikový, nechte někoho postavit případ, že je vysoce rizikový a naopak. Panel to označil za zajištění „stratifikace dialogu“, aby bylo možné vidět všechny možnosti a potenciální dopady.
4) strukturovaný proces řízení rizik pomáhá “ spravovat.“
strukturovaný formát rizik přináší organizační disciplínu do řízení rizik, která je také užitečná pro řízení rizik řízených zprávami. Panel to nazval “ Wall Street Journal risk management.“
co to znamená? Člen představenstva přečte příběh o ztrátě dat na USB portech a odešle příběh generálnímu řediteli. Generální ředitel jej zase odešle CIO a najednou je hlavní prioritou rizikového týmu prevence ztráty dat na úrovni sítě a hostitele. V důsledku toho jsou porty USB vypnuty, ale zaměstnanci mají stále přístup ke komerčním webům pro sdílení souborů.
strukturovaný proces umožňuje týmu zvážit všechny možnosti a také poskytuje rámec pro diplomatické řízení dotazů vedoucích vedoucích na základě zpravodajských událostí. Příběhy jsou silný a úžasný způsob komunikace, ale příběhy jsou datové body, ne data.
5) některá rizika se zdají být zajímavější než jiná.
každá organizace, která provádí skutečné penetrační testování, pravděpodobně dospěje ke stejnému závěru: červený tým se dostane dovnitř. To však neznamená, že riziko, které červený tým najde, odpovídá reálnému riziku.
jeden panelista poznamenal například červený tým, který upustil fyzické zařízení v síti. I když je to zajímavé, šance, že se to skutečně stane, byly poměrně nízké. Tento jev může narušit perspektivu rizika, vytvářet zbytečné výkonné obavy a skončit s nesprávným přidělením konečných zdrojů.
6) jen „vypnutí“ není vždy nejlepším řešením.
zaměstnanci jedné společnosti byli během oznámení o výdělku na sociálních médiích spíše hlasití. To způsobilo, že výkonný tým byl nervózní ze zřejmých důvodů dodržování předpisů, podle panelisty, který vyprávěl příběh. Vedení prostě chtělo vypnout přístup na stránky sociálních médií z podnikové sítě.
nicméně podle hodnocení bezpečnostního týmu nebylo pravděpodobné, že by zaměstnanci zabránili tomu, aby dělali totéž z hostující sítě nebo z osobních zařízení. Ještě horší je, že tato akce by omezila viditelnost společnosti při sledování aktivity; stále by se to stalo, prostě by to teď neviděli.
lepší řešení, nebo alespoň jeden stojí za zvážení z hlediska řízení rizik, bylo zapojit zaměstnance a tvarování chování s výcvikem a informace.
7) přeložit tech mluvit do obchodní diskuse.
prostor pro kybernetickou bezpečnost má svůj spravedlivý podíl na buzzwords, kterým podnik nemusí rozumět. Bezpečnostní týmy si toho musí být vědomy, když jsou do bezpečnostních konverzací zapojeni kolegové z jiných funkcí.
jeden z panelistů připomněl situaci, kdy technický tým našel škodlivý software na záložní jednotce. Pravděpodobnost rizika byla nízká, ale dopad byl vysoký, takže konverzace byla eskalována tak, aby zahrnovala další členy týmu z celého podniku. V průběhu, vyšlo najevo, že podnik nesleduje diskusi, a tak nemohl přispět k posouzení rizik.
rozhodců řekl, že rychle přišel s analogii k popisu dat-zálohování problém na straně efekt: snažíme se pohybují lidé (data) z jednoho bodu do druhého. K vyzvednutí lidí jsme použili auto, ale nevidíme, kolik cestujících je v autě nebo kolik bezpečně dorazilo do cíle.
dobrou technikou je mít „předběžnou diskusi“ před rozhovorem s ostatními obchodními partnery, aby se zajistilo, že klíčové body budou prezentovány na obchodní, spíše než na technické úrovni.
8) zkoumat trendy a připravit.
bezpečnostní odborníci jsou v mnoha ohledech pověřeni předpovídáním budoucích trendů a zaváděním plánů pro přípravu pohotovostních plánů. Například, není to úsek předvídat, že ransomware se zintenzivní a zaměří se na zničení dat.
pochopení tohoto trendu a náklady pomohou artikulovat obchodní možnosti v případě incidentu. Podnik může odmítnout zaplatit výkupné a ztratit týden nebo více příjmů, zatímco pracuje na zprovoznění systémů. Nebo může mít prostředky na zaplacení výkupného v bitcoinech již zavedených v případě, že podnik tuto možnost sleduje – jak jsou některé podniky.
kybernetická bezpečnost je „úžasně komplikovaná“ a čím jistější jste odpovědí, tím více byste se měli cítit. Přísný proces analýzy kybernetických rizik povede dlouhou cestu k naplnění bezpečnostního cíle obchodního zajištění. Kompletní záznam této panelové diskuse je k dispozici prostřednictvím Cylance na výše uvedeném odkazu.
Pokud se vám to líbilo tento post, můžete také rád:
Kyberhrozba Vývoj Směny Důraz na Proaktivní Detekce a Prevence
Foto úvěru: (CC0 1.0)