managementul riscului de securitate cibernetică se reduce la trei factori cheie:
- probabilitatea producerii unui eveniment;
- severitatea impactului în cazul producerii acelui eveniment; și
- orice factori atenuanți care pot reduce fie probabilitatea, fie severitatea.
aceasta a fost concluzia noastră dintr-o excelentă discuție de grup facilitată de partenerii noștri de la Cylance, intitulată Cut Through the risk Confusion: Shedding Light on common security Misperceptions.
managementul riscului este adesea confuz, deoarece este plin de subiectivitate conform panoului. Cazul în cauză? Liderii de afaceri seniori-consilier general, CFO și CIO – toți au percepții diferite în ceea ce privește compoziția riscurilor și controalele adecvate.
în timp ce discuția s-a axat pe modul de eliminare a acestei subiectivități prin proces, panelistii au oferit câteva sfaturi excelente pe parcurs. Le-am articulat pe cele care ne-au ieșit în evidență mai jos.
- 1) chiar și pentru profesioniști, gestionarea riscurilor cibernetice este dificilă.
- 2) includ diversitatea în perspectiva riscului.
- 3) Comisia un contraargument.
- 4) un proces structurat de gestionare a riscurilor ajută la „gestionarea.”
- 6) doar „închiderea” nu este întotdeauna cea mai bună soluție.
- 7) traduceți vorbirea tehnologică în discuții de afaceri.
- 8) examinați tendințele și pregătiți-vă.
1) chiar și pentru profesioniști, gestionarea riscurilor cibernetice este dificilă.
a vedea, a identifica și a înțelege indicatorii de risc nu vine în mod natural pentru majoritatea oamenilor. Pentru a ilustra acest punct, un panelist a remarcat că a ratat indicatorii de risc după ce a pus noi scări din lemn de esență tare în casa sa.
în ciuda mai multor plângeri din partea oaspeților că noile scări erau alunecoase, el a căutat o soluție doar după ce a alunecat și și-a rupt o gleznă care a necesitat o intervenție chirurgicală. Soluția a fost $ 50 rola de bandă anti-alunecare.
acest lucru ilustrează scopul gestionării riscurilor – și valoarea unei investiții preventive relativ mici în comparație cu costul extins (și durerea) pentru remedierea după un eveniment.
2) includ diversitatea în perspectiva riscului.
o perspectivă diversă este esențială pentru o bună gestionare a riscurilor în securitatea cibernetică. Mai important, dezacordul nu este neloialitate. Examinarea unei probleme prin diferite puncte de vedere previne gândirea de grup și încrederea excesivă care poate duce la lacune și greșeli.
3) Comisia un contraargument.
este util să acuzi un membru sau o echipă cu sarcina de a argumenta punctul de vedere opus. Acest lucru este diferit de diversitatea în perspectivă, având în vedere că Comisia este de a căuta în mod intenționat lacune într-un argument sau idee.
dacă opinia consensuală consideră că un factor este cu risc scăzut, cereți cuiva să construiască un caz că este cu risc ridicat și invers. Grupul s-a referit la aceasta ca asigurând o „stratificare a dialogului” pentru a vedea toate opțiunile și impactul potențial.
4) un proces structurat de gestionare a riscurilor ajută la „gestionarea.”
un format de risc structurat aduce disciplina organizațională managementului riscului, care este utilă și pentru gestionarea riscurilor bazate pe știri. Panoul numit acest ” Wall Street Journal managementul riscului.”
ce înseamnă asta? Un membru al Consiliului citește o poveste despre pierderea de date pe porturile USB și trimite povestea CEO-ului. La rândul său, CEO-ul îl trimite CIO și brusc prioritatea principală pentru echipa de risc este prevenirea pierderilor de date la nivel de rețea și gazdă. În consecință, porturile USB sunt oprite, dar angajații au încă acces la site-uri comerciale de partajare a fișierelor.
un proces structurat permite echipei să ia în considerare toate opțiunile și oferă, de asemenea, un cadru pentru gestionarea diplomatică a anchetelor liderilor seniori pe baza evenimentelor de știri. Poveștile sunt un mod puternic și uimitor de a comunica, dar poveștile sunt puncte de date, Nu date.
5) unele riscuri par mai interesante decât altele.
orice organizație care efectuează teste reale de penetrare este probabil să ajungă la aceeași concluzie: echipa roșie va intra înăuntru. Cu toate acestea, asta nu înseamnă riscul pe care o echipă roșie îl găsește paralel cu riscul din lumea reală.
un panelist a remarcat, de exemplu, o echipă roșie care a scăpat un dispozitiv fizic în rețea. Deși interesant, șansele ca acest lucru să se întâmple cu adevărat au fost destul de mici. Acest fenomen poate distorsiona perspectiva riscului, poate crea îngrijorare executivă inutilă și poate ajunge la o alocare greșită a resurselor finite.
6) doar „închiderea” nu este întotdeauna cea mai bună soluție.
angajații unei companii au fost destul de vocali pe rețelele de socializare în timpul anunțurilor de câștig. Acest lucru a făcut ca echipa executivă să fie nervoasă din motive evidente de conformitate, potrivit unui panelist care spune povestea. Conducerea a vrut pur și simplu să închidă accesul la site-urile de socializare din rețeaua corporativă.
cu toate acestea, a face acest lucru în evaluarea echipei de securitate, a fost puțin probabil să împiedice angajații să facă același lucru din rețeaua de oaspeți sau de pe dispozitivele personale. Și mai rău, această acțiune ar limita vizibilitatea companiei pentru a monitoriza activitatea; s-ar întâmpla în continuare, pur și simplu nu ar vedea-o acum.
o soluție mai bună, sau cel puțin una care merită luată în considerare din perspectiva managementului riscului, a fost implicarea angajaților și modelarea comportamentului prin instruire și informare.
7) traduceți vorbirea tehnologică în discuții de afaceri.
spațiul de securitate cibernetică are partea sa echitabilă de cuvinte cheie pe care afacerea poate să nu le înțeleagă. Echipele de securitate trebuie să fie conștiente de acest lucru atunci când colegii din alte funcții sunt implicați în conversații de securitate.
unul dintre membrii grupului a reamintit o situație în care echipa tehnică a găsit software rău intenționat pe o unitate de rezervă. Probabilitatea de risc a fost scăzută, dar impactul a fost ridicat, astfel încât conversația a fost escaladată pentru a include alți membri ai echipei din întreaga afacere. În acest proces, a devenit evident că afacerea nu a urmărit discuția și, prin urmare, nu a putut contribui la evaluarea riscurilor.
panelistul a spus că a venit rapid cu o analogie pentru a descrie problema de rezervă a datelor la îndemână: încercăm să mutăm oamenii (datele) dintr-un punct în altul. Am folosit o mașină pentru a ridica oamenii, dar nu putem vedea câți pasageri sunt în mașină sau câți au ajuns în siguranță la destinație.
o tehnică bună este să ai o „pre-discuție” înainte de a vorbi cu alți colegi de afaceri pentru a te asigura că punctele cheie sunt prezentate la un nivel de afaceri, mai degrabă decât la nivel tehnic.
8) examinați tendințele și pregătiți-vă.
profesioniștii din domeniul securității sunt în multe privințe însărcinați cu prognozarea tendințelor viitoare și punerea în aplicare a planurilor de pregătire a planurilor de urgență. De exemplu, nu este o întindere pentru a prezice că ransomware-ul se va intensifica și se va concentra pe distrugerea datelor.
înțelegerea acestei tendințe, iar costul va ajuta articula la opțiunile de afaceri în cazul unui incident. Afacerea poate refuza să plătească răscumpărarea și poate pierde o săptămână sau mai mult din venituri în timp ce lucrează pentru a face sistemele operaționale. Sau poate avea mijloacele de a plăti răscumpărarea în bitcoin deja stabilită în cazul în care afacerea urmărește această opțiune – așa cum sunt unele companii.
securitatea cibernetică este „uimitor de complicată” și cu cât ești mai încrezător într-un răspuns, cu atât ar trebui să te simți mai îngrijorat. Un proces riguros de analiză a riscurilor cibernetice va merge mult spre îndeplinirea obiectivului de securitate al asigurării afacerilor. O înregistrare completă a acestei discuții de grup este disponibilă prin Cylance la linkul furnizat mai sus.
dacă ți-a plăcut această postare, s-ar putea să-ți placă și:
evoluția amenințării cibernetice pune accentul pe detectarea și prevenirea proactivă
credit Foto: (CC0 1.0)