8 overvejelser i cybersikkerhed risikostyring

cybersikkerhed risikostyring koger ned til tre nøglefaktorer:

  • sandsynligheden for, at en begivenhed indtræffer;
  • alvorligheden af påvirkningen, hvis denne begivenhed indtræffer; og
  • eventuelle formildende faktorer, der kan reducere enten Sandsynlighed eller sværhedsgrad.

det var vores afhentning fra en fremragende paneldiskussion, der blev lettet af vores partnere på Cylance, med titlen Cut Through the Risk Confusion: Shedling Light on Common Security misopfattelser.

risikostyring er ofte forvirrende, fordi det er fyldt med subjektivitet ifølge panelet. Sag i punkt? Senior virksomhedsledere – General counsel, CFO og CIO – har alle forskellige opfattelser omkring sammensætningen af risiko og passende kontrol.

mens diskussionen var centreret om, hvordan man kunne eliminere denne subjektivitet gennem processen, gav paneldeltagerne flere gode tip undervejs. Vi har formuleret dem, der stod ud for os nedenfor.

1) selv for fagfolk er cyberrisikostyring svært.

at se, identificere og forstå indikatorerne for risiko kommer ikke naturligt for de fleste mennesker. For at illustrere dette punkt bemærkede en paneldeltager, at han savnede risikoindikatorerne efter at have lagt nye hårdttræstrapper i sit hjem.

på trods af flere klager fra gæster om, at de nye trapper var glatte, søgte han kun en løsning, efter at han gled og brækkede en ankel, som krævede operation. Løsningen var $ 50 rulle anti-slip tape.

dette illustrerer formålet med risikostyring – og værdien af en relativt lille forebyggende investering sammenlignet med de omfattende omkostninger (og smerter) til afhjælpning efter en begivenhed.

2) Inkluder mangfoldighed i risikoperspektiv.

et mangfoldigt perspektiv er afgørende for god risikostyring i cybersikkerhed. Endnu vigtigere er uenighed ikke illoyalitet. At undersøge et problem gennem forskellige synspunkter forhindrer gruppetænkning og den overtillid, der kan føre til smuthuller og fejl.

3) Kommissionen et modargument.

det er nyttigt at opkræve et medlem eller et hold med opgaven at argumentere for det modsatte synspunkt. Dette er noget andet end mangfoldighed i perspektiv, da Kommissionen med vilje søger huller i et argument eller en ide.

hvis konsensusvisningen mener, at en faktor er lavrisiko, skal nogen opbygge en sag om, at den er højrisiko og omvendt. Panelet henviste til dette som at sikre en “stratificering af dialog” for at se alle muligheder og potentielle virkninger.

4) en struktureret risikostyringsproces hjælper “Administrer op.”

et struktureret risikoformat bringer organisatorisk disciplin til risikostyring, der også er nyttigt til styring af nyhedsdrevne risici. Panelet kaldte dette ” risk management.”

Hvad betyder det? Et bestyrelsesmedlem læser en historie om datatab på USB-porte og sender historien til administrerende direktør. Administrerende direktør sender det til CIO, og pludselig er risikoteamets højeste prioritet forebyggelse af datatab på Netværks-og værtsniveau. Derfor er USB-porte slukket, men medarbejderne har stadig adgang til kommercielle fildelingssteder.

en struktureret proces giver både teamet mulighed for at overveje alle muligheder og giver også en ramme for diplomatisk styring af seniorlederhenvendelser baseret på nyhedshændelser. Historier er en kraftfuld og fantastisk måde at kommunikere på, men historier er datapunkter, ikke data.

5) nogle risici forekommer kun mere interessante end andre.

enhver organisation, der kører reel penetrationstest, kommer sandsynligvis til den samme konklusion: Det Røde hold kommer ind. Det betyder dog ikke, at risikoen et rødt hold finder paralleller i den virkelige verden.

en paneldeltager bemærkede for eksempel et rødt hold, der havde tabt en fysisk enhed på netværket. Mens det var interessant, var chancerne for, at dette virkelig skete, ret lave. Dette fænomen kan fordreje risikoperspektivet, skabe unødvendig udøvende bekymring og afvikle med en forkert fordeling af begrænsede ressourcer.

6) bare “lukke det ud” er ikke altid den bedste løsning.

medarbejdere i et firma var ret vokale på sociale medier under indtjeningsmeddelelser. Dette gjorde ledelsesteamet nervøst af åbenlyse overholdelsesårsager, ifølge en paneldeltager, der fortæller historien. Ledelsen ønskede simpelthen at lukke adgangen til sociale mediesider fra virksomhedsnetværket.

det var imidlertid usandsynligt, at det i sikkerhedsteamets vurdering forhindrede medarbejderne i at gøre det samme fra gæstenetværket eller fra personlige enheder. Endnu værre ville denne handling begrænse virksomhedens synlighed for at overvåge aktiviteten; det ville stadig ske, de ville bare ikke se det nu.

en bedre løsning, eller i det mindste en værd at overveje ud fra et risikostyringsperspektiv, var at engagere medarbejdere og forme adfærd med træning og information.

7) Oversæt tech tale til business snak.

cybersikkerhedsområdet har sin rimelige andel af brusord, som virksomheden muligvis ikke forstår. Sikkerhedsteams skal være opmærksomme på dette, når jævnaldrende fra andre funktioner er involveret i sikkerhedssamtaler.

en af paneldeltagerne mindede om en situation, hvor det tekniske team havde fundet ondsindet program på et backup-drev. Sandsynligheden for risiko var lav, men virkningen var høj, så samtalen blev eskaleret til at omfatte andre teammedlemmer fra hele virksomheden. I processen blev det tydeligt, at virksomheden ikke fulgte diskussionen og derfor ikke kunne bidrage til risikovurderingen.

paneldeltageren sagde, at han hurtigt kom op med en analogi til at beskrive data-backup-problemet ved hånden til effekten: vi forsøger at flytte folk (data) fra et punkt til et andet. Vi brugte en bil til at hente folk, men vi kan ikke se, hvor mange passagerer der er i bilen, eller hvor mange der er ankommet sikkert til destinationen.

en god teknik er at have en “pre-diskussion”, før du taler med andre forretningsfolk for at sikre, at nøglepunkterne præsenteres på en virksomhed snarere end teknisk niveau.

8) undersøge tendenser og forberede.

sikkerhedspersonale har på mange måder til opgave at forudsige fremtidige tendenser og lægge planer for at udarbejde beredskabsplaner. For eksempel er det ikke en strækning at forudsige, at løsepenge vil intensivere og fokusere på ødelæggelse af data.

forståelse af denne tendens, og omkostningerne vil hjælpe med at formulere forretningsmulighederne i tilfælde af en hændelse. Virksomheden kan nægte at betale løsepenge og miste en uge eller mere af indtægterne, mens det fungerer for at få systemer i drift. Eller det kan have midlerne til at betale løsepenge i bitcoin, der allerede er etableret, hvis virksomheden forfølger denne mulighed – som nogle virksomheder er.

Cybersikkerhed er “utroligt kompliceret”, og jo mere sikker du er på et svar, jo mere bekymret skal du føle. En streng proces med at analysere cyberrisici vil gå langt i retning af at opfylde sikkerhedsmålet for forretningsforsikring. En komplet optagelse af denne paneldiskussion er tilgængelig via Cylance på linket ovenfor.

hvis du nød dette indlæg, kan du måske også lide:
Cyberthreat Evolution skifter vægt på proaktiv detektion og forebyggelse

Fotokredit: (CC0 1.0)



+