Cybersecurity risk management komt neer op drie belangrijke factoren:
- de waarschijnlijkheid dat een gebeurtenis zich voordoet;
- de ernst van de impact als die gebeurtenis zich voordoet; en
- alle verzachtende factoren die de waarschijnlijkheid of de ernst kunnen verminderen.
dat was ons resultaat van een uitstekende paneldiscussie, gefaciliteerd door onze partners bij Cylance, getiteld Cut Through the Risk Confusion: Shedding Light on Common Security misvattingen.
Risicobeheer is vaak verwarrend omdat het volgens het panel vol subjectiviteit zit. Een voorbeeld? Senior business leaders-general counsel, CFO en CIO – hebben allemaal verschillende percepties over de samenstelling van risico ‘ s en passende controles.
terwijl de discussie zich richtte op hoe die subjectiviteit door proces te elimineren, gaven de panelleden verschillende uitstekende tips langs de weg. We hebben degenen die voor ons opviel hieronder gearticuleerd.
- 1) zelfs voor professionals is cyberrisicomanagement moeilijk.
- 2) omvatten diversiteit in risicoperspectief.
- 3) een tegenargument van de Commissie.
- 4) een gestructureerd risicobeheerproces helpt bij het beheren.”
- 6) gewoon “afsluiten” is niet altijd de beste oplossing.
- 7) vertaal tech Talk naar business talk.
- 8) trends onderzoeken en voorbereiden.De veiligheidsprofessionals zijn in veel opzichten belast met het voorspellen van toekomstige trends en het opstellen van plannen om rampenplannen op te stellen. Bijvoorbeeld, het is niet een stuk om te voorspellen dat ransomware gaat intensiveren en zich richten op de vernietiging van gegevens.
1) zelfs voor professionals is cyberrisicomanagement moeilijk.
het zien, identificeren en begrijpen van de risico-indicatoren komt voor de meeste mensen niet vanzelf. Om dit punt te illustreren, merkte een panellid op dat hij de risico-indicatoren miste na het plaatsen van nieuwe hardhouten trappen in zijn huis.Ondanks diverse klachten van gasten dat de nieuwe trap glad was, zocht hij pas een oplossing nadat hij uitgleed en een enkel brak, waarvoor een operatie nodig was. De oplossing was $ 50 rol anti-slip tape.
dit illustreert het doel van risicobeheer – en de waarde van een relatief kleine preventieve investering in vergelijking met de uitgebreide kosten (en pijn) voor herstel na een gebeurtenis.
2) omvatten diversiteit in risicoperspectief.
een divers perspectief is van cruciaal belang voor een goed risicobeheer in cybersecurity. Nog belangrijker, onenigheid is geen ontrouw. Het onderzoeken van een probleem door middel van verschillende standpunten voorkomt groepsdenken en het overmoed dat kan leiden tot mazen en fouten.
3) een tegenargument van de Commissie.
het is nuttig om een lid, of een team, te belasten met de taak om het tegenovergestelde standpunt te beargumenteren. Dit is iets anders dan diversiteit in perspectief, aangezien de Commissie opzettelijk zoekt naar lacunes in een argument of idee.
als de consensusmening van mening is dat een factor een laag risico is, laat iemand een case bouwen dat het een hoog risico is en vice versa. Het panel noemde dit een “stratificatie van de dialoog” om alle opties en mogelijke effecten te zien.
4) een gestructureerd risicobeheerproces helpt bij het beheren.”
een gestructureerd risicomanagement brengt organisatorische discipline met zich mee voor risicomanagement dat ook nuttig is voor het managen van nieuwsgestuurde risico ‘ s. Het panel noemde dit “Wall Street Journal risk management.”
wat betekent dat? Een bestuurslid leest een verhaal over gegevensverlies op USB-poorten en stuurt het verhaal naar de CEO. De CEO, op zijn beurt, stuurt het naar de CIO en plotseling de topprioriteit voor het risico team is het verlies van gegevens te voorkomen op het netwerk en host niveau. Hierdoor worden USB-poorten uitgeschakeld, maar hebben medewerkers nog steeds toegang tot commerciële websites voor het delen van bestanden.
een gestructureerd proces stelt het team in staat alle opties in overweging te nemen en biedt ook een kader voor diplomatiek beheer van vragen van senior leader op basis van nieuwsgebeurtenissen. Verhalen zijn een krachtige en verbazingwekkende manier om te communiceren, maar verhalen zijn gegevenspunten, geen gegevens.
5) sommige risico ‘ s lijken interessanter dan andere.
elke organisatie die echte penetratietesten uitvoert, zal waarschijnlijk tot dezelfde conclusie komen: het rode team zal naar binnen komen. Echter, dat betekent niet het risico een rode team vindt parallels real-world risico.
een panellid merkte bijvoorbeeld een rood team op dat een fysiek apparaat op het netwerk had laten vallen. Hoewel interessant, de kans dat dit echt gebeurt was vrij laag. Dit fenomeen kan het risicoperspectief verstoren, onnodige uitvoerende zorg creëren en eindigen met een verkeerde toewijzing van eindige middelen.
6) gewoon “afsluiten” is niet altijd de beste oplossing.
werknemers bij één bedrijf waren nogal uitgesproken op sociale media tijdens het verdienen van aankondigingen. Dit maakte het executive team nerveus om voor de hand liggende compliance redenen, volgens een panellid vertellen het verhaal. De leiding wilde gewoon de toegang tot sociale media sites uit het bedrijfsnetwerk te sluiten.
echter, door dit in de beoordeling van het beveiligingsteam te doen, was het onwaarschijnlijk dat werknemers hetzelfde zouden doen vanaf het gastnetwerk of vanaf persoonlijke apparaten. Erger nog, deze actie zou de zichtbaarheid van het bedrijf beperken om de activiteit te controleren; het zou nog steeds gebeuren, ze zouden het alleen nu niet zien.
een betere oplossing, of ten minste één die het overwegen waard is vanuit een risicomanagementperspectief, was het betrekken van werknemers en het vormgeven van gedrag met training en informatie.
7) vertaal tech Talk naar business talk.
de cybersecurity-ruimte heeft een redelijk deel van de modewoorden die het bedrijf misschien niet begrijpt. Beveiligingsteams moeten zich hiervan bewust zijn wanneer collega ‘ s van andere functies betrokken zijn bij beveiligingsgesprekken.
een van de panelleden herinnerde aan een situatie waarin het technische team schadelijke software had gevonden op een back-upschijf. De kans op risico was laag, maar de impact was hoog, dus het gesprek werd geëscaleerd naar andere teamleden uit de hele business. In het proces werd duidelijk dat het bedrijf de discussie niet volgde en dus niet kon bijdragen aan de risicobeoordeling.
de panellid zei dat hij snel met een analogie kwam om het probleem van de data-back-up te beschrijven met het effect: we proberen mensen (data) van het ene punt naar het andere te verplaatsen. We hebben een auto gebruikt om mensen op te halen, maar we kunnen niet zien hoeveel passagiers er in de auto zitten of hoeveel er veilig op de bestemming zijn aangekomen.
een goede techniek is om een “voorafgaande discussie” te voeren alvorens met andere bedrijven te praten om ervoor te zorgen dat de belangrijkste punten op een bedrijf worden gepresenteerd, in plaats van op technisch niveau.
8) trends onderzoeken en voorbereiden.De veiligheidsprofessionals zijn in veel opzichten belast met het voorspellen van toekomstige trends en het opstellen van plannen om rampenplannen op te stellen. Bijvoorbeeld, het is niet een stuk om te voorspellen dat ransomware gaat intensiveren en zich richten op de vernietiging van gegevens.
inzicht in deze trend, en de kosten zullen helpen bij het afstemmen op de bedrijfsopties in het geval van een incident. Het bedrijf kan weigeren om het losgeld te betalen en verliest een week of meer van de inkomsten, terwijl het werkt om systemen operationeel te krijgen. Of het kan de middelen hebben om het losgeld te betalen in bitcoin al opgericht in het geval het bedrijf streeft die optie – zoals sommige bedrijven zijn.Cybersecurity is “verbazingwekkend ingewikkeld” en hoe meer vertrouwen je hebt in een antwoord, hoe meer je je zorgen moet maken. Een rigoureus proces van het analyseren van cyber risico ‘ s zal een lange weg te gaan in de richting van het bereiken van de veiligheidsdoelstelling van business assurance. Een volledige opname van deze paneldiscussie is beschikbaar via Cylance op de link hierboven.
Als u dit bericht leuk vond, zou u dit ook leuk vinden:
cyberdreiging Evolution verschuift de nadruk op proactieve detectie en preventie
foto credit: (CC0 1.0)