a kiberbiztonsági kockázatkezelés három kulcsfontosságú tényezőre vezethető vissza:
- az esemény bekövetkezésének valószínűsége;
- az ütközés súlyossága, ha az esemény bekövetkezik; és
- minden olyan enyhítő tényező, amely csökkentheti a valószínűséget vagy a súlyosságot.
ez volt a mi elvihető egy kiváló panelbeszélgetés megkönnyítette partnereink Cylance címmel átvágni a kockázat zavart: fényt derít a közös biztonsági tévhitekre.
a kockázatkezelés gyakran zavaró, mert a testület szerint szubjektivitással teli. Mi a helyzet? A vezető üzleti vezetők-a jogtanácsos, a pénzügyi igazgató és a CIO – mind eltérő felfogással rendelkeznek a kockázat összetételéről és a megfelelő ellenőrzésekről.
míg a vita középpontjában az állt, hogyan lehet megszüntetni ezt a szubjektivitást a folyamat révén, a panelisták számos kiváló tippet adtak az út mentén. Az alábbiakban felsoroltuk azokat, amelyek kiemelkedtek számunkra.
- 1) még a szakemberek számára is nehéz a kiberkockázat-kezelés.
- 2) tartalmazza a kockázati perspektíva sokféleségét.
- 3) ellenérv benyújtása.
- 4) a strukturált kockázatkezelési folyamat segít ” kezelni.”
- 6) a “kikapcsolás” nem mindig a legjobb megoldás.
- 7) a tech speak fordítása üzleti beszélgetésbe.
- 8) vizsgálja meg a trendeket és készítse elő.
1) még a szakemberek számára is nehéz a kiberkockázat-kezelés.
a kockázati mutatók látása, azonosítása és megértése a legtöbb ember számára nem természetes. Ennek szemléltetésére az egyik panelista megjegyezte, hogy elmulasztotta a kockázati mutatókat, miután új keményfa lépcsőket helyezett otthonába.
a vendégek számos panasza ellenére, hogy az új lépcsők csúszósak voltak, csak akkor keresett megoldást, amikor megcsúszott és eltörte a bokáját, ami műtétet igényelt. A megoldás 50 dolláros csúszásgátló szalag volt.
ez szemlélteti a kockázatkezelés célját – és egy viszonylag kis megelőző befektetés értékét, összehasonlítva az esemény utáni kármentesítés kiterjedt költségével (és fájdalmával).
2) tartalmazza a kockázati perspektíva sokféleségét.
a kiberbiztonságban a jó kockázatkezelés szempontjából kritikus fontosságú a sokszínű perspektíva. Ennél is fontosabb, hogy a nézeteltérés nem hűtlenség. Egy probléma különböző nézőpontokból történő vizsgálata megakadályozza a csoportgondolkodást és a túlzott önbizalmat, amely kiskapukhoz és hibákhoz vezethet.
3) ellenérv benyújtása.
hasznos egy tagot vagy egy csapatot azzal a feladattal vádolni, hogy az ellenkező nézetet érvelje. Ez valami más, mint a perspektíva sokfélesége, mivel a Bizottság szándékosan keresi a hiányosságokat egy érvben vagy ötletben.
ha a konszenzus nézet úgy véli, hogy egy tényező alacsony kockázatú, akkor valaki építsen fel egy esetet, hogy magas kockázatú és fordítva. A testület erre úgy hivatkozott, hogy biztosítja a “párbeszéd rétegződését” annak érdekében, hogy megismerje az összes lehetőséget és lehetséges hatást.
4) a strukturált kockázatkezelési folyamat segít ” kezelni.”
a strukturált kockázati formátum szervezeti fegyelmet hoz a kockázatkezelésbe, amely szintén hasznos a hírvezérelt kockázatok kezelésében. A testület ezt “Wall Street Journal kockázatkezelésnek” nevezte.”
mit jelent ez? Egy igazgatósági tag elolvassa az USB portok adatvesztéséről szóló történetet, és elküldi a történetet a vezérigazgatónak. A vezérigazgató viszont elküldi a CIO-nak, és hirtelen a kockázati csapat legfontosabb prioritása az adatvesztés megelőzése hálózati és host szinten. Következésképpen az USB-portok ki vannak kapcsolva, de az alkalmazottak továbbra is hozzáférhetnek a kereskedelmi fájlmegosztó oldalakhoz.
a strukturált folyamat lehetővé teszi a csapat számára, hogy minden lehetőséget mérlegeljen, és keretet biztosít a magas rangú vezetők megkereséseinek diplomáciai irányításához a híresemények alapján. A történetek erőteljes és csodálatos módja a kommunikációnak, de a történetek adatpontok, nem ADATOK.
5) egyes kockázatok csak érdekesebbnek tűnnek, mint mások.
minden olyan szervezet, amely valódi penetrációs tesztelést végez, valószínűleg ugyanarra a következtetésre jut: a vörös csapat be fog jutni. Ez azonban nem jelenti azt a kockázatot, amelyet egy piros csapat párhuzamot talál a valós kockázattal.
az egyik panelista megjegyezte például egy piros csapatot, amely fizikai eszközt dobott a hálózatra. Bár érdekes, ennek esélye valóban meglehetősen alacsony volt. Ez a jelenség torzíthatja a kockázati perspektívát, szükségtelen vezetői aggodalmat kelthet, és a véges erőforrások helytelen elosztásával zárulhat le.
6) a “kikapcsolás” nem mindig a legjobb megoldás.
az egyik vállalat alkalmazottai meglehetősen hangosan nyilatkoztak a közösségi médiában. Ez nyilvánvaló megfelelési okokból idegesítette a végrehajtó csapatot, a történetet elmesélő panelista szerint. A vezetés egyszerűen le akarta állítani a közösségi média oldalakhoz való hozzáférést a vállalati hálózatról.
a biztonsági csapat értékelése szerint azonban ez nem valószínű, hogy megakadályozná az alkalmazottakat abban, hogy ugyanezt tegyék a vendéghálózatról vagy a személyes eszközökről. Még rosszabb, hogy ez a művelet korlátozná a vállalat láthatóságát a tevékenység figyelemmel kísérésére; még mindig megtörténne, csak most nem látnák.
egy jobb megoldás, vagy legalább egy kockázatkezelési szempontból érdemes megfontolni, az volt, hogy a munkavállalókat bevonják és a viselkedésformálást képzéssel és információkkal látják el.
7) a tech speak fordítása üzleti beszélgetésbe.
a kiberbiztonsági tér méltányos részesedéssel rendelkezik a hívószavakból,amelyeket az üzlet nem ért. A biztonsági csapatoknak tisztában kell lenniük ezzel, amikor más funkciók társai részt vesznek a biztonsági beszélgetésekben.
az egyik vizsgálóbizottság emlékeztetett arra a helyzetre, amikor a műszaki csapat rosszindulatú szoftvert talált egy biztonsági mentési meghajtón. A kockázat valószínűsége alacsony volt, de a hatás magas volt, ezért a beszélgetést kibővítették, hogy bevonják a csapat többi tagját az üzletből. A folyamat során nyilvánvalóvá vált, hogy az üzlet nem követte a vitát, így nem tudott hozzájárulni a kockázatértékeléshez.
a panelista azt mondta, hogy gyorsan előállt egy analógiával, amely leírja a szóban forgó adatmentési problémát: embereket (adatokat) próbálunk áthelyezni egyik pontról a másikra. Autóval vettük fel az embereket, de nem látjuk, hogy hány utas van az autóban, vagy hányan érkeztek biztonságosan a célállomásra.
egy jó technika az, hogy van egy “pre-vita”, mielőtt beszél más üzleti társaik, hogy biztosítsák a kulcsfontosságú pontok kerülnek bemutatásra az üzleti, nem pedig technikai szinten.
8) vizsgálja meg a trendeket és készítse elő.
a biztonsági szakemberek sok szempontból feladata a jövőbeli trendek előrejelzése és a készenléti tervek elkészítése. Például, ez nem egy szakaszon megjósolni, hogy a ransomware fog fokozni, illetve összpontosítani adatok megsemmisítése.
ennek a trendnek a megértése és a költségek segítenek az üzleti lehetőségek megfogalmazásában incidens esetén. A vállalkozás megtagadhatja a váltságdíj kifizetését, és egy vagy több hét bevételt veszíthet, miközben a rendszerek működőképessé tételén dolgozik. Vagy rendelkezhet a váltságdíj kifizetésére a már létrehozott Bitcoinban, ha az üzlet ezt a lehetőséget választja – mint néhány vállalkozás.
a kiberbiztonság “elképesztően bonyolult”, és minél magabiztosabb vagy a válaszban, annál jobban aggódsz. A kiberkockázatok elemzésének szigorú folyamata hosszú utat tesz meg az üzleti biztosítás biztonsági céljának teljesítése felé. A panelbeszélgetés teljes felvétele a Cylance-en keresztül elérhető a fenti linken.
ha tetszett ez a bejegyzés, akkor is tetszik:
a Cyberthreat Evolution a proaktív észlelésre és megelőzésre helyezi a hangsúlyt
fotó: (CC0 1.0)
