La gestion des risques de cybersécurité se résume à trois facteurs clés:
- La probabilité qu’un événement se produise;
- La gravité de l’impact si cet événement se produit; et
- Tous les facteurs atténuants pouvant réduire la probabilité ou la gravité.
C’est ce que nous avons retenu d’une excellente table ronde animée par nos partenaires de Cylance, intitulée Couper dans la confusion des risques: Faire la lumière sur les perceptions erronées communes en matière de sécurité.
La gestion des risques est souvent déroutante car elle est lourde de subjectivité selon le panel. Exemple concret ? Les dirigeants d’entreprise – avocat général, directeur financier et DSI – ont tous des perceptions différentes quant à la composition du risque et aux contrôles appropriés.
Bien que la discussion ait porté sur la façon d’éliminer cette subjectivité par le processus, les panélistes ont fourni plusieurs excellents conseils en cours de route. Nous avons articulé ceux qui se sont démarqués pour nous ci-dessous.
- 1) Même pour les professionnels, la gestion des cyberrisques est difficile.
- 2) Inclure la diversité dans la perspective du risque.
- 3) Commander un contre-argument.
- 4) Un processus structuré de gestion des risques aide à » gérer. »
- 6) Le « fermer » n’est pas toujours la meilleure solution.
- 7) Traduisez tech speak en business talk.
- 8) Examiner les tendances et se préparer.
1) Même pour les professionnels, la gestion des cyberrisques est difficile.
Voir, identifier et comprendre les indicateurs de risque ne vient pas naturellement pour la plupart des gens. Pour illustrer ce point, un panéliste a noté qu’il avait manqué les indicateurs de risque après avoir installé de nouveaux escaliers en bois dur dans sa maison.
Malgré plusieurs plaintes de clients selon lesquelles les nouveaux escaliers étaient glissants, il n’a cherché une solution qu’après avoir glissé et s’être cassé une cheville qui a nécessité une intervention chirurgicale. La solution était un rouleau de ruban antidérapant de 50 $.
Cela illustre l’objectif de la gestion des risques – et la valeur d’un investissement préventif relativement faible par rapport au coût important (et à la douleur) de la réparation après un événement.
2) Inclure la diversité dans la perspective du risque.
Une perspective diversifiée est essentielle à une bonne gestion des risques en matière de cybersécurité. Plus important encore, le désaccord n’est pas de la déloyauté. L’examen d’un problème à travers différents points de vue empêche la pensée de groupe et l’excès de confiance qui peut conduire à des failles et à des erreurs.
3) Commander un contre-argument.
Il est utile de charger un membre, ou une équipe, de faire valoir le point de vue opposé. C’est quelque chose de différent de la diversité en perspective étant donné que la commission cherche intentionnellement des lacunes dans un argument ou une idée.
Si l’opinion consensuelle estime qu’un facteur est à faible risque, demandez à quelqu’un de prouver qu’il est à haut risque et vice versa. Le groupe d’experts a appelé cela à assurer une « stratification du dialogue » afin de voir toutes les options et les impacts potentiels.
4) Un processus structuré de gestion des risques aide à » gérer. »
Un format de risque structuré apporte une discipline organisationnelle à la gestion des risques qui est également utile pour gérer les risques liés à l’actualité. Le panel a appelé cela « gestion des risques du Wall Street Journal. »
Qu’est-ce que cela signifie? Un membre du conseil lit une histoire sur la perte de données sur les ports USB et l’envoie au PDG. Le PDG, à son tour, l’envoie au DSI et soudain, la priorité absolue de l’équipe de gestion des risques est la prévention des pertes de données au niveau du réseau et de l’hôte. Par conséquent, les ports USB sont coupés, mais les employés ont toujours accès à des sites de partage de fichiers commerciaux.
Un processus structuré permet à l’équipe d’envisager toutes les options et fournit également un cadre pour gérer diplomatiquement les demandes de renseignements des dirigeants en fonction des événements d’actualité. Les histoires sont un moyen puissant et étonnant de communiquer, mais les histoires sont des points de données, pas des données.
5) Certains risques apparaissent seulement plus intéressants que d’autres.
Toute organisation qui exécute des tests de pénétration réels est susceptible de parvenir à la même conclusion: l’équipe rouge va entrer à l’intérieur. Cependant, cela ne signifie pas que le risque qu’une équipe rouge trouve est parallèle au risque réel.
Un panéliste a noté, par exemple, une équipe rouge qui avait abandonné un périphérique physique sur le réseau. Bien qu’intéressant, les chances que cela se produise vraiment étaient assez faibles. Ce phénomène peut fausser la perspective du risque, créer des préoccupations inutiles de la direction et aboutir à une mauvaise allocation de ressources limitées.
6) Le « fermer » n’est pas toujours la meilleure solution.
Les employés d’une entreprise ont été plutôt virulents sur les médias sociaux lors des annonces de gains. Cela a rendu l’équipe de direction nerveuse pour des raisons évidentes de conformité, selon un panéliste racontant l’histoire. La direction voulait simplement fermer l’accès aux sites de médias sociaux du réseau d’entreprise.
Cependant, le fait de le faire dans l’évaluation de l’équipe de sécurité n’empêchait probablement pas les employés de faire la même chose à partir du réseau invité ou d’appareils personnels. Pire encore, cette action limiterait la visibilité de l’entreprise pour surveiller l’activité; cela se produirait toujours, ils ne le verraient tout simplement pas maintenant.
Une meilleure solution, ou du moins une solution à considérer du point de vue de la gestion des risques, consistait à impliquer les employés et à façonner le comportement par la formation et l’information.
7) Traduisez tech speak en business talk.
L’espace de la cybersécurité a sa part de mots à la mode que l’entreprise peut ne pas comprendre. Les équipes de sécurité doivent en être conscientes lorsque des pairs d’autres fonctions sont impliqués dans des conversations de sécurité.
L’un des panélistes a rappelé une situation où l’équipe technique avait trouvé un logiciel malveillant sur un disque de sauvegarde. La probabilité de risque était faible, mais l’impact était élevé, de sorte que la conversation a été intensifiée pour inclure d’autres membres de l’équipe de l’entreprise. Au cours du processus, il est devenu évident que l’entreprise ne suivait pas la discussion et ne pouvait donc pas contribuer à l’évaluation des risques.
Le panéliste a dit qu’il avait rapidement trouvé une analogie pour décrire le problème de sauvegarde des données en question: Nous essayons de déplacer des personnes (données) d’un point à un autre. Nous avons utilisé une voiture pour aller chercher les gens, mais nous ne pouvons pas voir combien de passagers se trouvent dans la voiture ni combien sont arrivés en toute sécurité à destination.
Une bonne technique consiste à avoir une « pré-discussion » avant de parler à d’autres pairs pour s’assurer que les points clés sont présentés au niveau d’une entreprise plutôt qu’au niveau technique.
8) Examiner les tendances et se préparer.
Les professionnels de la sécurité sont à bien des égards chargés de prévoir les tendances futures et de mettre en place des plans pour préparer des plans d’urgence. Par exemple, il n’est pas exagéré de prédire que les ransomwares vont s’intensifier et se concentrer sur la destruction des données.
Comprendre cette tendance et le coût aideront à articuler les options commerciales en cas d’incident. L’entreprise peut refuser de payer la rançon et perdre une semaine ou plus de revenus pendant qu’ELLE travaille pour rendre les systèmes opérationnels. Ou il peut avoir les moyens de payer la rançon en bitcoin déjà établie au cas où l’entreprise poursuivrait cette option – comme le sont certaines entreprises.
La cybersécurité est « incroyablement compliquée » et plus vous avez confiance en une réponse, plus vous devriez vous sentir concerné. Un processus rigoureux d’analyse des cyberrisques contribuera grandement à la réalisation de l’objectif de sécurité de l’assurance commerciale. Un enregistrement complet de cette table ronde est disponible via Cylance au lien fourni ci-dessus.
Si vous avez aimé cet article, vous pourriez aussi aimer:
Cybermenace Evolution Met l’accent sur la Détection et la prévention proactives
Crédit photo: (CC0 1.0)
