サイバーセキュリティリスク管理は三つの重要な要因に要約されます:
- イベントが発生する確率、
- そのイベントが発生した場合の影響の重大度、および
- 確率または重大度を低下させる可能性のある緩和要因。
これは、サイランスのパートナーによって促進された優れたパネルディスカッションからのお持ち帰りでした。
リスク管理は、パネルによると主観性をはらんでいるので、しばしば混乱しています。 ポイントのケース? 上級ビジネスリーダー–法務顧問、CFO、CIO–は、すべてのリスクと適切なコントロールの構成について異なる認識を持っています。
プロセスを通じてその主観性をどのように排除するかを中心に議論が行われましたが、パネリストは途中でいくつかの優れたヒントを提供しました。 私たちは、以下の私たちのために際立っていたものを明確にしました。
1)専門家にとっても、サイバーリスクマネジメントは難しい。
リスクの指標を見て、特定し、理解することは、ほとんどの人に自然に来るものではありません。 この点を説明するために、あるパネリストは、彼が彼の家に新しい広葉樹の階段を入れた後、リスク指標を逃したと指摘した。
新しい階段が滑りやすいという客からの苦情にもかかわらず、彼は手術を必要とする足首を滑って骨折した後に解決策を模索しただけである。 解決策は、スリップ防止テープの$50ロールでした。
これは、リスク管理の目的と、イベント後の修復のための広範なコスト(および痛み)と比較して、比較的小さな予防投資の価値を示しています。
2)リスクの観点に多様性を含める。
サイバーセキュリティにおける優れたリスク管理には、多様な視点が不可欠です。 さらに重要なのは、意見の相違は不忠ではないということです。 さまざまな視点で問題を調べることは、グループ思考と抜け穴や間違いにつながる過信を防ぎます。
3)反論を委ねる。
メンバー、またはチームに、反対の見解を主張するタスクを請求すると便利です。 これは、委員会が意図的に議論やアイデアのギャップを探すことであることを考えると、視点の多様性とは異なるものです。
コンセンサスビューが要因が低リスクであると考えている場合は、誰かがそれが高リスクであり、その逆であるというケースを構築してもらいます。 パネルは、すべてのオプションと潜在的な影響を確認するために、”対話の層別化”を確保すると呼ばれています。
4)構造化されたリスク管理プロセスは、”管理する”のに役立ちます。”
構造化されたリスク形式は、リスク管理に組織の規律をもたらし、ニュース主導のリスクを管理するのにも役立ちます。 パネルはこれを”ウォールストリートジャーナルリスクマネジメント”と呼んだ。”
それはどういう意味ですか? ボードメンバーは、USBポート上のデータ損失についての話を読み取り、CEOにその話を送信します。 CEOは、順番に、CIOにそれを送信し、突然、リスクチームの最優先事項は、ネットワークとホストレベルでのデータ損失防止です。 その結果、USBポートは遮断されますが、従業員はまだ商用ファイル共有サイトにアクセスできます。
構造化されたプロセスは、チームがすべてのオプションを検討することを可能にし、ニュースイベントに基づいて上級リーダーの問い合わせを外交的に管 ストーリーは強力で素晴らしいコミュニケーション方法ですが、ストーリーはデータポイントであり、データではありません。
5)いくつかのリスクは他のリスクよりも興味深いだけです。
実際の侵入テストを実行している組織は、同じ結論に達する可能性があります:赤チームは中に入るつもりです。 しかし、それはredチームがparallels実世界のリスクを見つけるリスクを意味するものではありません。
あるパネリストは、例えば、ネットワーク上の物理デバイスを落としたレッドチームに注目した。 興味深いが、これが実際に起こっている可能性はかなり低かった。 この現象は、リスクの視点を歪め、不必要な経営上の懸念を引き起こし、有限のリソースの誤った割り当てに巻き込まれる可能性があります。
6)単に”シャットダウン”するだけでは、必ずしも最善の解決策ではありません。
ある会社の従業員は、収益の発表時にソーシャルメディアでかなり声を上げました。 これは、明らかなコンプライアンス上の理由から、エグゼクティブチームを緊張させた。 リーダーシップは、単に企業ネットワークからのソーシャルメディアサイトへのアクセスをシャットダウンしたかっただけです。
しかし、セキュリティチームの評価でそうすることは、従業員がゲストネットワークや個人用デバイスから同じことをするのを妨げる可能性は低い さらに悪いことに、このアクションは、活動を監視するために、会社の可視性を制限するだろう;それはまだ起こるだろう、彼らは今それを見ないだろう。
より良い解決策、またはリスク管理の観点から検討する価値のある少なくとも一つは、従業員を従事させ、トレーニングと情報で行動を形作ることでした。
7)tech speakをビジネストークに翻訳します。
サイバーセキュリティスペースは、ビジネスが理解していないかもしれない流行語の公正なシェアを持っています。 セキュリティチームは、他の機能のピアがセキュリティの会話に関与しているときに、これを意識する必要があります。
パネリストの一人は、技術チームがバックアップドライブ上で悪意のあるソフトウェアを発見した状況を想起した。 リスクの確率は低かったが、影響は高かったので、会話はビジネスの周りから他のチームメンバーを含むようにエスカレートしました。 その過程で、ビジネスが議論に従っていないことが明らかになり、リスク評価に貢献できなかったことが明らかになりました。
パネリストは、すぐにデータバックアップの問題を説明するための類推を思いついたと述べました。 私たちは車を使って人を迎えに行きましたが、車の中に何人の乗客がいるのか、何人が目的地に安全に到着したのかはわかりません。
技術的なレベルではなく、重要なポイントがビジネスで提示されるように、他のビジネス仲間と話す前に”事前議論”をするのが良いテクニックです。
8)動向を調べ、準備する。
セキュリティの専門家は、多くの点で、将来の傾向を予測し、緊急時対応計画を準備するための計画を立てることを任されています。 たとえば、ランサムウェアが強化され、データ破壊に焦点を当てることを予測するのはストレッチではありません。
この傾向を理解し、コストはインシデントが発生した場合のビジネスオプションを明確にするのに役立ちます。 ビジネスは身代金の支払いを拒否し、システムを運用するために働く間に1週間以上の収入を失う可能性があります。 あるいは、ビジネスがそのオプションを追求している場合に備えて、ビットコインで身代金を支払う手段をすでに確立している可能性があります。
サイバーセキュリティは”驚くほど複雑”であり、あなたが答えに自信を持っているほど、あなたはより心配する必要があります。 サイバーリスクを分析する厳格なプロセスは、ビジネスアシュアランスのセキュリティ目標を達成するために長い道のりを行くでしょう。 このパネルディスカッションの完全な記録は、上記のリンクでCylanceを通じて入手できます。
あなたはこの記事を楽しんだ場合,あなたも好きかもしれません:
サイバー脅威の進化は、積極的な検出と予防に重点をシフト
写真クレジット:(CC0 1.0)