Zarządzanie ryzykiem cyberbezpieczeństwa sprowadza się do trzech kluczowych czynników:
- prawdopodobieństwo wystąpienia zdarzenia;
- dotkliwość wpływu, jeśli wystąpi takie zdarzenie; oraz
- wszelkie czynniki łagodzące, które mogą zmniejszyć prawdopodobieństwo lub dotkliwość.
to był nasz wykład z doskonałej dyskusji panelowej prowadzonej przez naszych partnerów z Cylance, zatytułowanej Cut Through the Risk Confusion: Shedding Light on Common Security Misperceptions.
zarządzanie ryzykiem jest często mylące, ponieważ według panelu jest obarczone subiektywnością. Przykład? Senior business leaders – general counsel, CFO i CIO – wszyscy mają różne poglądy na temat struktury ryzyka i odpowiednich kontroli.
podczas gdy dyskusja koncentrowała się na tym, jak wyeliminować tę podmiotowość poprzez proces, paneliści dostarczyli po drodze kilku doskonałych wskazówek. Wyartykułowaliśmy te, które wyróżniały się dla nas poniżej.
- 1) nawet dla profesjonalistów zarządzanie ryzykiem cybernetycznym jest trudne.
- 2) uwzględniają różnorodność w perspektywie ryzyka.
- 3) zleć kontrargument.
- 4) zorganizowany proces zarządzania ryzykiem pomaga ” zarządzać.”
- 6) samo „wyłączenie” nie zawsze jest najlepszym rozwiązaniem.
- 7) Przetłumacz tech speak na rozmowę biznesową.
- 8) zbadaj trendy i przygotuj się.
1) nawet dla profesjonalistów zarządzanie ryzykiem cybernetycznym jest trudne.
widzenie, identyfikowanie i zrozumienie wskaźników ryzyka nie przychodzi naturalnie do większości ludzi. Aby zilustrować tę kwestię, jeden z panelistów zauważył, że po umieszczeniu w swoim domu nowych schodów z drewna liściastego pominął wskaźniki ryzyka.
Pomimo kilku skarg gości, że nowe schody są śliskie, szukał rozwiązania dopiero po poślizgu i złamaniu kostki, co wymagało operacji. Rozwiązaniem było 50 rolek taśmy antypoślizgowej .
to ilustruje cel zarządzania ryzykiem – i wartość stosunkowo niewielkiej inwestycji zapobiegawczej w porównaniu do rozległych kosztów (i bólu) remediacji po zdarzeniu.
2) uwzględniają różnorodność w perspektywie ryzyka.
zróżnicowana perspektywa ma kluczowe znaczenie dla dobrego zarządzania ryzykiem w cyberbezpieczeństwie. Co ważniejsze, niezgoda nie jest nielojalnością. Badanie problemu poprzez różne punkty widzenia zapobiega grupowemu myśleniu i nadmiernej pewności siebie, która może prowadzić do luk i błędów.
3) zleć kontrargument.
warto obciążyć członka lub zespół zadaniem argumentowania przeciwnego poglądu. Jest to coś innego niż różnorodność w perspektywie, ponieważ Komisja celowo szuka luk w argumencie lub pomyśle.
jeśli opinia konsensusu uważa, że czynnik jest niskiego ryzyka, niech ktoś zbuduje sprawę, że jest wysoki ryzyko i odwrotnie. Panel określił to jako zapewnienie „rozwarstwienia dialogu” w celu zapoznania się ze wszystkimi opcjami i potencjalnymi skutkami.
4) zorganizowany proces zarządzania ryzykiem pomaga ” zarządzać.”
zorganizowany format ryzyka wprowadza dyscyplinę organizacyjną do zarządzania ryzykiem, która jest również przydatna do zarządzania ryzykiem opartym na wiadomościach. Panel nazwał to ” zarządzanie ryzykiem Wall Street Journal.”
Co to znaczy? Członek zarządu czyta historię o utracie danych na portach USB i wysyła ją do Prezesa. Z kolei dyrektor generalny wysyła je do CIO i nagle priorytetem zespołu ds. ryzyka jest zapobieganie utracie danych na poziomie sieci i hosta. W związku z tym porty USB są wyłączone, ale pracownicy nadal mają dostęp do komercyjnych witryn udostępniania plików.
zorganizowany proces pozwala zespołowi rozważyć wszystkie opcje, a także zapewnia ramy dyplomatycznego zarządzania zapytaniami starszych liderów w oparciu o wydarzenia informacyjne. Historie są potężnym i niesamowitym sposobem komunikowania się, ale historie są punktami danych, nie danymi.
5) niektóre zagrożenia wydają się bardziej interesujące niż inne.
każda organizacja, która przeprowadzi prawdziwe testy penetracyjne, prawdopodobnie dojdzie do tego samego wniosku: czerwona drużyna dostanie się do środka. Nie oznacza to jednak, że ryzyko, jakie drużyna czerwona znajduje, jest podobne do rzeczywistego ryzyka.
jeden z panelistów zauważył, na przykład, czerwony zespół, który upuścił fizyczne urządzenie w sieci. Chociaż interesujące, szanse na to naprawdę się wydarzyły były dość niskie. Zjawisko to może zniekształcić perspektywę ryzyka, stworzyć niepotrzebne obawy wykonawcze i skończyć się niewłaściwym przydziałem skończonych zasobów.
6) samo „wyłączenie” nie zawsze jest najlepszym rozwiązaniem.
pracownicy jednej firmy byli dość głośni w mediach społecznościowych podczas ogłoszeń o zarobkach. To sprawiło, że zespół wykonawczy był zdenerwowany z oczywistych powodów zgodności, zgodnie z panelistą opowiadającym tę historię. Kierownictwo po prostu chciało wyłączyć dostęp do portali społecznościowych z sieci korporacyjnej.
jednak zrobienie tego w ocenie zespołu ds. bezpieczeństwa było mało prawdopodobne, aby uniemożliwić pracownikom robienie tego samego z sieci gościnnej lub z urządzeń osobistych. Co gorsza, takie działanie ograniczyłoby widoczność firmy w celu monitorowania aktywności; nadal by się to działo, po prostu nie zobaczyliby tego teraz.
lepszym rozwiązaniem, a przynajmniej godnym rozważenia z punktu widzenia zarządzania ryzykiem, było zaangażowanie pracowników i kształtowanie zachowań poprzez szkolenia i informacje.
7) Przetłumacz tech speak na rozmowę biznesową.
przestrzeń cyberbezpieczeństwa ma swój udział w buzzwords, których biznes może nie zrozumieć. Zespoły ds. bezpieczeństwa muszą być tego świadome, gdy osoby z innych funkcji uczestniczą w rozmowach dotyczących bezpieczeństwa.
jeden z panelistów przypomniał sobie sytuację, w której zespół techniczny znalazł złośliwe oprogramowanie na dysku kopii zapasowej. Prawdopodobieństwo ryzyka było niskie, ale wpływ był wysoki, więc rozmowa została eskalowana, aby objąć innych członków zespołu z całego biznesu. W tym procesie okazało się, że firma nie śledzi dyskusji, a więc nie może przyczynić się do oceny ryzyka.
panelista powiedział, że szybko wymyślił analogię do opisania problemu tworzenia kopii zapasowych danych: staramy się przenosić ludzi (dane) z jednego punktu do drugiego. Użyliśmy samochodu, aby odebrać ludzi, ale nie możemy zobaczyć, ilu pasażerów jest w samochodzie lub ilu dotarło bezpiecznie do miejsca przeznaczenia.
dobrą techniką jest „wstępna dyskusja” przed rozmową z innymi partnerami biznesowymi, aby zapewnić, że kluczowe punkty są prezentowane na poziomie biznesowym, a nie technicznym.
8) zbadaj trendy i przygotuj się.
Specjaliści ds. bezpieczeństwa mają za zadanie na wiele sposobów przewidywać przyszłe trendy i opracowywać plany w celu przygotowania planów awaryjnych. Na przykład nie można przewidzieć, że oprogramowanie ransomware będzie się nasilać i skupi się na niszczeniu danych.
zrozumienie tego trendu, a koszt pomoże wyartykułować opcje Biznesowe w przypadku incydentu. Firma może odmówić zapłaty okupu i stracić tydzień lub więcej przychodów, podczas gdy działa, aby uruchomić systemy. Lub może mieć środki do zapłaty okupu w bitcoin już ustalone w przypadku, gdy firma realizuje tę opcję-jak niektóre firmy są.
cyberbezpieczeństwo jest „niesamowicie skomplikowane” i im bardziej jesteś pewny odpowiedzi, tym bardziej powinieneś się czuć zaniepokojony. Rygorystyczny proces analizy ryzyka cybernetycznego pozwoli osiągnąć cel bezpieczeństwa, jakim jest Business assurance. Pełne nagranie z tej dyskusji panelowej jest dostępne za pośrednictwem Cylance pod linkiem podanym powyżej.
Jeśli podobał Ci się ten post, Możesz również polubić:
Ewolucja zagrożenia cybernetycznego przesuwa nacisk na proaktywne wykrywanie i zapobieganie
zdjęcie: (CC0 1.0)