Cybersecurity risikostyring koker ned til tre viktige faktorer:
- sannsynligheten for at en hendelse inntreffer;
- alvorlighetsgraden av virkningen hvis den hendelsen inntreffer; og
- eventuelle formildende faktorer som kan redusere enten sannsynlighet eller alvorlighetsgrad.
Det var vår takeaway fra en utmerket paneldiskusjon tilrettelagt av våre partnere På Cylance, med tittelen Cut Through The Risk Confusion: Shedding Light on Common Security Misperceptions.
Risikostyring er ofte forvirrende fordi Det er fulle av subjektivitet i henhold til panelet. Case in point? Senior bedriftsledere-general counsel, CFO og CIO-alle har ulike oppfatninger rundt sammensetningen av risiko og passende kontroller.
mens diskusjonen sentrert på hvordan å eliminere at subjektivitet gjennom prosessen, paneldeltakerne gitt flere gode tips underveis. Vi har formulert de som stod ut for oss nedenfor.
- 1) selv for fagfolk er cyber risikostyring vanskelig.
- 2) Inkluder mangfold i risikoperspektiv.
- 3) Kommisjonen et motargument.
- 4) en strukturert risikostyringsprosess hjelper «å håndtere opp.»
- 6) Bare «slå den av» er ikke alltid den beste løsningen.
- 7) Oversett teknisk tale til forretningssamtale.
- 8) Undersøke trender og forberede.
1) selv for fagfolk er cyber risikostyring vanskelig.
Å Se, identifisere og forstå indikatorene for risiko kommer ikke naturlig for de fleste. For å illustrere dette punktet, bemerket en paneldeltaker at han savnet risikoindikatorene etter å ha satt nye tretrapper i hjemmet.
Til tross for flere klager fra gjester om at de nye trappene var glatte, søkte han bare en løsning etter at han gled og brøt en ankel som krevde kirurgi. Løsningen var $ 50 rull med anti-slip tape.
dette illustrerer formålet med risikostyring-og verdien av en relativt liten forebyggende investering sammenlignet med de omfattende kostnadene (og smerten) for utbedring etter en hendelse.
2) Inkluder mangfold i risikoperspektiv.
et mangfoldig perspektiv er avgjørende for god risikostyring i cybersikkerhet. Enda viktigere, uenighet er ikke illojalitet. Undersøke et problem gjennom ulike synspunkt hindrer gruppetenkning og overdreven som kan føre til smutthull og feil.
3) Kommisjonen et motargument.
det er nyttig å belaste et medlem, eller et lag, med oppgaven å argumentere motsatt syn. Dette er noe annet enn mangfold i perspektiv gitt kommisjonen er å forsettlig se etter hull i et argument eller en ide.
hvis konsensusvisningen mener at en faktor er lavrisiko, må noen bygge en sak om at den er høyrisiko og omvendt. Panelet refererte til dette som å sikre en «stratifisering av dialog» for å se alle alternativene og potensielle konsekvenser.
4) en strukturert risikostyringsprosess hjelper «å håndtere opp.»
et strukturert risikoformat bringer organisatorisk disiplin til risikostyring som også er nyttig for å håndtere nyhetsdrevne risikoer. Panelet kalte Dette » Wall Street Journal risk management.»
Hva betyr det? Et styremedlem leser en historie om tap av data PÅ USB-porter og sender historien til KONSERNSJEFEN. KONSERNSJEFEN sender DET igjen til CIO, og plutselig er topp prioritet for risikoteamet forebygging av datatap på nettverks – og vertsnivå. FØLGELIG er USB-porter slått av, men ansatte har fortsatt tilgang til kommersielle fildelingssteder.
en strukturert prosess som både gjør det mulig for teamet å vurdere alle alternativer og gir også et rammeverk for diplomatisk håndtering av senior leder henvendelser basert på nyhetshendelser. Historier er en kraftig og fantastisk måte å kommunisere på, men historier er datapunkter, ikke data.
5) noen risikoer virker bare mer interessante enn andre.
enhver organisasjon som kjører ekte penetrasjonstesting, vil sannsynligvis komme til samme konklusjon: det røde laget kommer til å komme inn. Det betyr imidlertid ikke at risikoen et rødt lag finner paralleller til reell risiko.
en paneldeltaker bemerket for eksempel et rødt lag som hadde mistet en fysisk enhet på nettverket. Mens interessant, sjansene for dette virkelig skjer var ganske lav. Dette fenomenet kan forvride risikoperspektivet, skape unødvendig utøvende bekymring, og ende opp med en misallokering av begrensede ressurser.
6) Bare «slå den av» er ikke alltid den beste løsningen.
Ansatte i ett selskap var ganske vokal på sosiale medier under tjene kunngjøringer. Dette gjorde ledergruppen nervøs for åpenbare compliance grunner, ifølge en paneldeltaker som forteller historien. Ledelsen ønsket bare å stenge tilgangen til sosiale medier fra bedriftsnettverket.
det var imidlertid ikke sannsynlig at ansatte gjorde det samme fra gjestenettverket eller fra personlige enheter ved å gjøre det i sikkerhetsteamets vurdering. Enda verre, denne handlingen ville begrense selskapets synlighet for å overvåke aktiviteten; det ville fortsatt skje, de ville bare ikke se det nå.
en bedre løsning, eller minst en verdt å vurdere fra et risikostyringsperspektiv, var å engasjere ansatte og forme atferd med opplæring og informasjon.
7) Oversett teknisk tale til forretningssamtale.
cybersikkerhetsrommet har sin rettferdige andel av buzzwords virksomheten kanskje ikke forstår. Sikkerhetsteam må være bevisst på dette når kolleger fra andre funksjoner er involvert i sikkerhetssamtaler.
en av paneldeltakerne husket en situasjon der det tekniske teamet hadde funnet skadelig programvare på en backup-stasjon. Sannsynligheten for risiko var lav, men virkningen var høy, så samtalen ble eskalert til å inkludere andre teammedlemmer fra hele virksomheten. I prosessen ble det tydelig at virksomheten ikke fulgte diskusjonen, og kunne derfor ikke bidra til risikovurderingen.
paneldeltakeren sa han raskt kom opp med en analogi for å beskrive data-backup problem for hånden til effekten: vi prøver å flytte folk (data) fra ett punkt til et annet. Vi brukte en bil for å plukke folk opp, men vi kan ikke se hvor mange passasjerer som er i bilen eller hvor mange som har kommet trygt til destinasjonen.
en god teknikk er å ha en «pre-diskusjon» før du snakker med andre forretnings kolleger for å sikre at de viktigste punktene er presentert på en bedrift, snarere enn teknisk nivå.
8) Undersøke trender og forberede.
Sikkerhetspersonell er på mange måter opptatt av å forutsi fremtidige trender og sette planer på plass for å forberede beredskapsplaner. For eksempel er det ikke en strekk å forutsi at ransomware kommer til å intensivere og fokusere på data ødeleggelse.
Forstå denne trenden, og kostnadene vil hjelpe artikulere til virksomheten alternativer i tilfelle en hendelse. Virksomheten kan nekte å betale løsepenger og miste en uke eller mer av inntektene MENS det arbeider for å få systemer i drift. Eller det kan ha midler til å betale løsepenger i bitcoin allerede etablert i tilfelle virksomheten forfølger det alternativet – som noen bedrifter er.
Cybersikkerhet er «utrolig komplisert» og jo mer trygg du er på et svar, desto mer bekymret bør du føle. En grundig prosess for å analysere cyberrisiko vil gå langt i retning av å oppfylle sikkerhetsmålet for business assurance. Et komplett opptak av denne paneldebatten er tilgjengelig via Cylance på lenken ovenfor.
hvis du likte dette innlegget, kan du også like:
Cyberthreat Evolution Skifter Vekt På Proaktiv Deteksjon Og Forebygging
fotokreditt: (CC0 1.0)