사이버 보안 위험 관리는 세 가지 주요 요인으로 귀결:
- 이벤트가 발생할 확률;
- 해당 이벤트가 발생할 경우 영향의 심각도;및
- 확률 또는 심각도를 줄일 수 있는 완화 요인.
그것은 사일런스에서 우리의 파트너들에 의해 촉진 된 훌륭한 패널 토론에서 우리의 테이크 아웃이었다,제목 위험 혼란을 통해 컷:일반적인 보안 오해에 빛을 발산.
리스크 관리는 패널에 따라 주관성을 내포하기 때문에 종종 혼란 스럽습니다. 적절한 경우? 수석 비즈니스 리더-법률 고문,기업 재무부 및 중앙 은행-모두 위험 및 적절한 통제의 구성에 대해 서로 다른 인식을 가지고 있습니다.
토론 과정을 통해 그 주관을 제거하는 방법에 초점을 맞추고 있지만,패널리스트는 길을 따라 몇 가지 훌륭한 팁을 제공했다. 우리는 아래에 우리를 위해 눈에 띄는 사람들을 분명히했습니다.
1)전문가에게도 사이버 위험 관리가 어렵습니다.
위험 지표를 보고,식별하고 이해하는 것이 대부분의 사람들에게 자연스럽게 오는 것은 아닙니다. 이 점을 설명하기 위해 한 패널리스트는 자신의 집에 새로운 경재 계단을 놓은 후 위험 지표를 놓쳤다 고 지적했다.
손님들이 새 계단이 미끄러졌다는 몇 가지 불평에도 불구하고,그는 미끄러져 수술이 필요한 발목을 부러 뜨린 후에야 해결책을 모색했다. 이 솔루션은 미끄럼 방지 테이프의$50 롤이었다.
이것은 위험 관리의 목적과 사건 이후 치료를 위한 광범위한 비용(및 고통)에 비해 상대적으로 적은 예방 투자의 가치를 보여줍니다.
2)위험 관점의 다양성을 포함한다.
다양한 관점은 사이버 보안에서 좋은 위험 관리에 중요합니다. 더 중요한 것은 불일치가 불충실이 아니라는 것입니다. 다양한 관점을 통해 문제를 검토하면 허점과 실수로 이어질 수있는 집단 사고와 과신을 방지 할 수 있습니다.
3)반론을 의뢰하십시오.
멤버나 팀에게 반대 견해를 주장하는 임무를 맡기는 것이 유용하다. 이위원회가 의도적으로 인수 또는 아이디어의 격차를 찾는 것입니다 주어진 관점에서 다양성과는 다른 무언가이다.
합의의 견해가 어떤 요인이 위험도가 낮다고 믿는다면,누군가가 위험도가 높은 사례를 만들게 하고 그 반대도 마찬가지이다. 이 패널은 모든 옵션과 잠재적 영향을 확인하기 위해”대화의 계층화”를 보장하는 것으로 언급했습니다.
4)구조화 된 위험 관리 프로세스는”최대 관리하는 데 도움이됩니다.”
구조화 된 위험 형식은 뉴스 중심의 위험을 관리하는 데 유용한 위험 관리에 조직의 규율을 제공합니다. 이 패널은”월스트리트 저널 위험 관리.”
그게 무슨 뜻이야? 한 임원이 데이터 손실에 대한 이야기를 읽고 그 이야기를 최고 경영자에게 보냅니다. 위험 팀의 최우선 순위는 네트워크 및 호스트 수준의 데이터 손실 방지입니다. 그러나 직원들은 여전히 상용 파일 공유 사이트에 액세스할 수 있습니다.
구조화 된 프로세스를 통해 팀은 모든 옵션을 고려할 수 있으며 뉴스 이벤트를 기반으로 고위 지도자 문의를 외교적으로 관리 할 수있는 프레임 워크를 제공합니다. 이야기는 강력하고 놀라운 의사 소통 방법이지만 이야기는 데이터가 아니라 데이터 포인트입니다.
5)일부 위험은 다른 위험보다 더 흥미롭게 보입니다.
실제 침투 테스트를 실행하는 모든 조직은 같은 결론에 도달 할 가능성이:레드 팀은 내부 얻을 것입니다. 그러나,그 레드 팀이 평행 실제 위험을 발견 위험을 의미하지 않는다.
한 패널리스트는 예를 들어 네트워크에 물리적 장치를 떨어 뜨린 빨간색 팀에 주목했습니다. 흥미로운 동안,이 정말 일어날 가능성은 상당히 낮았다. 이 현상은 위험 관점을 왜곡하고 불필요한 경영진의 우려를 야기하며 유한 자원의 잘못 할당으로 이어질 수 있습니다.
6)”종료”가 항상 최선의 해결책은 아닙니다.
한 회사의 직원들은 발표를하는 동안 소셜 미디어에서 다소 목소리를 높였습니다. 이 이야기를 패널리스트에 따르면,명백한 준수 이유로 경영진 긴장했다. 리더십은 단순히 기업 네트워크에서 소셜 미디어 사이트에 대한 액세스를 차단하기를 원했습니다.
그러나 보안 팀의 평가에서 그렇게하면 직원이 게스트 네트워크 또는 개인 장치에서 동일한 작업을 수행하지 못하게되지 않았습니다. 더 나쁜 것은,이 작업은 활동을 모니터링 할 수있는 회사의 가시성을 제한 할 것이다;그것은 여전히 일어날 것입니다,그들은 단지 지금 그것을 볼 수 없을 것입니다.
더 나은 솔루션,또는 위험 관리 관점에서 고려 가치가 적어도 하나는,직원 참여 및 교육 및 정보와 행동을 형성하는 것이 었습니다.
7)기술 발언을 비즈니스 토크로 번역합니다.
사이버 보안 공간은 비즈니스가 이해하지 못할 수있는 유행어의 정당한 몫을 가지고 있습니다. 보안 팀은 다른 기능의 피어가 보안 대화에 참여할 때 이를 인식해야 합니다.
패널리스트 중 한 명은 기술 팀이 백업 드라이브에서 악성 소프트웨어를 발견 한 상황을 회상했습니다. 위험 가능성은 낮았지만 영향은 높았으므로 비즈니스 주변의 다른 팀 구성원을 포함하도록 대화가 확대되었습니다. 이 과정에서 비즈니스가 토론을 따르지 않았으므로 위험 평가에 기여할 수 없다는 것이 분명해졌습니다.
패널리스트는 그가 신속하게 효과에 손에있는 데이터 백업 문제를 설명하는 비유를 내놓았다 말했다:우리는 한 지점에서 다른 지점으로 사람(데이터)를 이동하려고합니다. 우리는 사람들을 데리러 차를 사용하지만,우리는 얼마나 많은 승객이 차에 또는 얼마나 많은 목적지에 안전하게 도착 볼 수 없습니다.
좋은 기술은 다른 비즈니스 동료와 이야기하기 전에”사전 토론”을 통해 핵심 사항이 기술 수준이 아닌 비즈니스에서 제시되도록하는 것입니다.
8)동향을 검토하고 준비하십시오.
보안 전문가들은 여러 가지 방법으로 미래 동향을 예측하고 비상 계획을 준비하기 위해 계획을 수립하는 임무를 수행하고 있습니다. 예를 들어,랜섬웨어가 강화되고 데이터 파괴에 집중할 것이라고 예측하는 것은 쉽지 않습니다.
이러한 추세를 이해하고 비용은 사고 발생시 비즈니스 옵션을 명확하게 설명하는 데 도움이됩니다. 사업은 몸값을 지불하고 시스템을 운영하기 위해 노력하는 동안 일주일 또는 그 이상의 수익을 잃는 것을 거부 할 수 있습니다. 또는 일부 비즈니스와 마찬가지로 비즈니스가 해당 옵션을 추구 할 경우 이미 설정된 비트 코인의 몸값을 지불 할 수있는 수단을 가질 수 있습니다.
사이버 보안은”놀라울 정도로 복잡하다”고 확신할 수록 더 많은 관심을 느껴야 한다. 사이버 위험을 분석하는 엄격한 프로세스는 비즈니스 보증의 보안 목표를 달성하기 위해 먼 길을 갈 것입니다. 이 패널 토론의 전체 기록은 위에 제공된 링크에서 사일런스를 통해 확인할 수 있습니다.
이 게시물을 즐겼다면 다음과 같습니다.
사이버 위협의 진화는 사전 탐지 및 예방에 중점을 둡니다.
