Cybersecurity risk management kiteytyy kolmeen keskeiseen tekijään:
- tapahtuman todennäköisyys;
- iskun vakavuus, jos kyseinen tapahtuma tapahtuu; ja
- mahdolliset lieventävät tekijät, jotka voivat vähentää joko todennäköisyyttä tai vakavuutta.
That was our takeaway from an excellent panel discussion fasilitated by our partners at Cylance, titled cut Through the Risk Confusion: Shedding Light on Common Security Misperceptions.
Riskienhallinta on raadin mukaan usein hämmentävää, koska se on täynnä subjektiivisuutta. Hyvä esimerkki? Johtavilla yritysjohtajilla – pääjohtajalla, talousjohtajalla ja TIETOHALLINTOJOHTAJALLA – on kaikilla erilaiset käsitykset riskien koostumuksesta ja asianmukaisesta valvonnasta.
vaikka keskustelu keskittyi siihen, miten tuon subjektiivisuuden voi poistaa prosessin kautta, panelistit antoivat matkan varrella useita erinomaisia vinkkejä. Olemme artikuloineet ne, jotka erottuivat meistä alla.
- 1) kyberriskien hallinta on ammattilaisillekin vaikeaa.
- 2) sisältää riskinäkökulman monimuotoisuuden.
- 3) Komissio vasta-argumentin.
- 4) strukturoitu riskienhallintaprosessi auttaa ”hallinnoimaan upia.”
- 6) pelkkä ”sammuttaminen” ei ole aina paras ratkaisu.
- 7) Käännä tekniikkapuhe bisnespuheeksi.
- 8) tutkii suuntauksia ja varautuu.
1) kyberriskien hallinta on ammattilaisillekin vaikeaa.
riskimittareiden näkeminen, tunnistaminen ja ymmärtäminen ei tule useimmille luonnostaan. Tätä valaisee se, että eräs panelisti totesi, että hän ei huomannut riskimittareita asetettuaan kotiinsa uudet jalopuiset portaat.
huolimatta useista vieraiden valituksista uusien portaiden liukkaudesta, hän haki ratkaisua vasta liukastuttuaan ja murrettuaan leikkausta vaatineen nilkkansa. Ratkaisu oli 50 dollarin rullalla luistonestoteippiä.
tämä kuvaa riskienhallinnan tarkoitusta – ja suhteellisen pienen ennalta ehkäisevän investoinnin arvoa verrattuna mittaviin kustannuksiin (ja kipuihin), joita aiheutuu tapahtuman jälkeisestä kunnostamisesta.
2) sisältää riskinäkökulman monimuotoisuuden.
monipuolinen näkökulma on kriittinen kyberturvallisuuden hyvän riskienhallinnan kannalta. Mikä vielä tärkeämpää, erimielisyys ei ole uskottomuutta. Ongelman tarkasteleminen erilaisten näkökulmien kautta ehkäisee ryhmäajattelua ja liiallista itsevarmuutta, joka voi johtaa porsaanreikiin ja virheisiin.
3) Komissio vasta-argumentin.
on hyödyllistä syyttää jäsentä tai tiimiä, jonka tehtävänä on esittää vastakkainen näkemys. Tämä on eri asia kuin moninaisuus näkökulmasta, koska komissio on tarkoituksellisesti etsiä aukkoja argumentti tai ajatus.
jos konsensusnäkemys uskoo jonkin tekijän olevan vähäriskinen, käske jonkun rakentaa juttu, että se on korkean riskin juttu ja päinvastoin. Lautakunnan mukaan näin varmistetaan ”dialogin ositus”, jotta nähdään kaikki vaihtoehdot ja mahdolliset vaikutukset.
4) strukturoitu riskienhallintaprosessi auttaa ”hallinnoimaan upia.”
strukturoitu riskiformaatti tuo riskienhallintaan organisaatiokurin, josta on hyötyä myös uutisvetoisten riskien hallinnassa. Paneeli kutsui tätä ” Wall Street Journalin riskienhallinnaksi.”
mitä se tarkoittaa? Hallituksen jäsen lukee jutun tietojen katoamisesta USB-porteilla ja lähettää tarinan toimitusjohtajalle. Toimitusjohtaja puolestaan lähettää sen TIETOHALLINTOJOHTAJALLE ja yhtäkkiä riskitiimin ykkösprioriteetti on tietojen häviämisen ehkäisy verkko-ja isäntätasolla. Näin ollen USB-portit suljetaan, mutta työntekijöillä on edelleen pääsy kaupallisille tiedostonjakosivustoille.
jäsennelty prosessi antaa tiimille mahdollisuuden harkita kaikkia vaihtoehtoja ja tarjoaa myös puitteet ylimmän johtajan tiedustelujen diplomaattiselle johtamiselle uutistapahtumien perusteella. Tarinat ovat tehokas ja hämmästyttävä tapa kommunikoida, mutta tarinat ovat datapisteitä, eivät dataa.
5) jotkut riskit näyttävät vain mielenkiintoisemmilta kuin toiset.
mikä tahansa organisaatio, joka suorittaa todellista penetraatiotestausta, tulee todennäköisesti samaan johtopäätökseen: punainen joukkue pääsee sisälle. Kuitenkin, se ei tarkoita riskiä punainen joukkue löytää yhtäläisyyksiä reaalimaailman riski.
eräs panelisti huomasi esimerkiksi punaisen joukkueen pudottaneen fyysisen laitteen verkkoon. Vaikka mielenkiintoista, mahdollisuudet tämän todella tapahtuu olivat melko pienet. Tämä ilmiö voi vääristää riskinäkökulmaa, aiheuttaa tarpeetonta huolta toimeenpanovallasta ja johtaa rajallisten resurssien väärään kohdentamiseen.
6) pelkkä ”sammuttaminen” ei ole aina paras ratkaisu.
yhden yrityksen työntekijät olivat sosiaalisessa mediassa varsin äänekkäitä ansaintailmoitusten aikana. Asiasta kertoneen panelistin mukaan tämä hermostutti johtoryhmää ilmeisistä sääntöjen noudattamiseen liittyvistä syistä. Johto halusi vain sulkea pääsyn sosiaalisen median sivustoille yritysverkosta.
Turvatiimin arviossa näin toimiminen ei kuitenkaan todennäköisesti estänyt työntekijöitä tekemästä samaa vierasverkkoon tai henkilökohtaisiin laitteisiin. Vielä pahempaa olisi, että tämä toiminta rajoittaisi yhtiön näkyvyyttä toiminnan seuraamiseen; sitä tapahtuisi edelleen, he eivät vain näkisi sitä nyt.
parempi tai ainakin riskienhallinnan näkökulmasta harkinnan arvoinen ratkaisu oli sitouttaa työntekijät ja muokata käyttäytymistä koulutuksella ja tiedolla.
7) Käännä tekniikkapuhe bisnespuheeksi.
kyberturvallisuusavaruudessa on melkoinen osuus niitä buzzwordeja, joita bisnes ei välttämättä ymmärrä. Turvatiimien on oltava tietoisia tästä, kun muiden toimintojen ikätoverit ovat mukana turvallisuuskeskusteluissa.
yksi panelisteista muisteli tilannetta, jossa tekninen tiimi oli löytänyt haittaohjelman vara-asemalta. Riskin todennäköisyys oli pieni, mutta vaikutus suuri, joten keskustelu eskaloitui käsittämään myös muita tiimin jäseniä eri puolilta bisnestä. Samalla kävi ilmi, että yritys ei seurannut keskustelua, eikä siksi voinut osallistua riskinarviointiin.
panelisti sanoi keksineensä nopeasti analogian kuvaamaan käsillä olevaa tietojen varmuuskopiointiongelmaa: yritämme siirtää ihmisiä (dataa) pisteestä toiseen. Haimme ihmisiä autolla, mutta emme näe, kuinka monta matkustajaa autossa on tai kuinka moni on saapunut turvallisesti määränpäähän.
hyvä tekniikka on käydä ”esikeskustelu” ennen kuin keskustelee muiden liikekumppaneiden kanssa, jotta avainkohdat voidaan esittää yrityksen tasolla eikä teknisellä tasolla.
8) tutkii suuntauksia ja varautuu.
turvallisuusalan ammattilaisten tehtävänä on monin tavoin ennakoida tulevia kehityssuuntia ja laatia suunnitelmia varasuunnitelmien laatimiseksi. Esimerkiksi kiristyshaittaohjelman voimistumista ja keskittymistä tietojen tuhoamiseen ei voi venyttää.
tämän suuntauksen ymmärtäminen, ja kustannukset auttavat ilmaisemaan liiketoimintavaihtoehdot mahdollisessa tapauksessa. Yritys voi kieltäytyä maksamasta lunnaita ja menettää viikon tai enemmän tuloja, kun se toimii saada järjestelmät toimimaan. Tai sillä voi olla jo olemassa olevat keinot maksaa lunnaat bitcoineina, jos yritys pyrkii kyseiseen vaihtoehtoon – kuten jotkut yritykset ovat.
kyberturvallisuus on ”hämmästyttävän monimutkaista”, ja mitä varmempi vastauksesta on, sitä huolestuneempi pitäisi olla. Tiukka kyberriskien analysointiprosessi menee pitkälle kohti liiketoiminnan varmuuden turvallisuustavoitteen täyttämistä. Täydellinen tallenne tästä paneelikeskustelusta on saatavilla cylancen kautta yllä olevasta linkistä.
jos pidit tästä postauksesta, saatat pitää myös:
Cyberthreat Evolution Shives focus to Proactive Detection and Prevention
Photo credit: (CC0 1.0)
