Cybersäkerhetsriskhantering kokar ner till tre nyckelfaktorer:
- sannolikheten för att en händelse inträffar;
- svårighetsgraden av påverkan om den händelsen inträffar; och
- eventuella förmildrande faktorer som kan minska antingen Sannolikhet eller svårighetsgrad.
det var vår takeaway från en utmärkt paneldiskussion som underlättades av våra partners på Cylance, med titeln Cut Through the Risk Confusion: Shedding Light on Common Security Misperceptions.
riskhantering är ofta förvirrande eftersom det är förenat med subjektivitet enligt panelen. Typexempel? Ledande företagsledare-chefsjurist, CFO och CIO – har alla olika uppfattningar kring sammansättningen av risk och lämpliga kontroller.
medan diskussionen handlade om hur man eliminerar den subjektiviteten genom processen, gav paneldeltagarna flera utmärkta tips på vägen. Vi har formulerat de som stod ut för oss nedan.
- 1) även för proffs är cyberriskhantering svår.
- 2) inkludera mångfald i riskperspektiv.
- 3) beställa ett motargument.
- 4) en strukturerad riskhanteringsprocess hjälper ”hantera upp.”
- 6) bara ”stänga av det” är inte alltid den bästa lösningen.
- 7) Översätt tech speak till business talk.
- 8) Undersök trender och förbereda.
1) även för proffs är cyberriskhantering svår.
att se, identifiera och förstå indikatorerna för risk kommer inte naturligt för de flesta. För att illustrera denna punkt noterade en paneldeltagare att han missade riskindikatorerna efter att ha satt nya lövträtrappor i sitt hem.
Trots flera klagomål från gästerna att de nya trapporna var hala, sökte han bara en lösning efter att han halkade och bröt en fotled som krävde operation. Lösningen var $50 rulle antislipband.
detta illustrerar syftet med riskhantering-och värdet av en relativt liten förebyggande investering jämfört med den omfattande kostnaden (och smärtan) för sanering efter en händelse.
2) inkludera mångfald i riskperspektiv.
ett mångsidigt perspektiv är avgörande för god riskhantering inom cybersäkerhet. Ännu viktigare är oenighet inte illojalitet. Att undersöka ett problem genom olika synvinklar förhindrar grupptänkande och övertro som kan leda till kryphål och misstag.
3) beställa ett motargument.
det är användbart att ladda en medlem eller ett team med uppgiften att argumentera motsatt uppfattning. Detta är något annat än mångfald i perspektiv eftersom kommissionen är att avsiktligt leta efter luckor i ett argument eller en tanke.
om konsensusvyn anser att en faktor är lågrisk, låt någon bygga ett fall att det är högrisk och vice versa. Panelen hänvisade till detta som att säkerställa en ”stratifiering av dialogen” för att se alla alternativ och potentiella effekter.
4) en strukturerad riskhanteringsprocess hjälper ”hantera upp.”
ett strukturerat riskformat ger organisatorisk disciplin till riskhantering som också är användbar för att hantera nyhetsdrivna risker. Panelen kallade detta ” Wall Street Journal riskhantering.”
Vad betyder det? En styrelseledamot läser en berättelse om dataförlust på USB-portar och skickar berättelsen till VD. VD skickar i sin tur den till CIO och plötsligt är högsta prioritet för riskteamet förebyggande av dataförlust på nätverks-och värdnivå. Följaktligen stängs USB-portar av, men anställda har fortfarande tillgång till kommersiella fildelningssidor.
en strukturerad process gör det möjligt för teamet att överväga alla alternativ och ger också en ram för diplomatiskt hantering av seniorledarförfrågningar baserat på nyhetshändelser. Berättelser är ett kraftfullt och fantastiskt sätt att kommunicera, men berättelser är datapunkter, inte data.
5) vissa risker verkar bara mer intressanta än andra.
varje organisation som kör verklig penetrationstestning kommer sannolikt att komma till samma slutsats: det röda laget kommer att komma in. Men det betyder inte risken ett rött lag finner paralleller verkliga risker.
en paneldeltagare noterade till exempel ett rött lag som hade tappat en fysisk enhet i nätverket. Även intressant, chanserna för detta verkligen händer var ganska låg. Detta fenomen kan snedvrida riskperspektivet, skapa onödig verkställande oro och sluta med en felfördelning av ändliga resurser.
6) bara ”stänga av det” är inte alltid den bästa lösningen.
anställda på ett företag var ganska högljudda på sociala medier under intjäningsmeddelanden. Detta gjorde ledningsgruppen nervös av uppenbara efterlevnadsskäl, enligt en paneldeltagare som berättade historien. Ledningen ville helt enkelt stänga av tillgången till sociala medier från företagets nätverk.
att göra det i säkerhetsgruppens bedömning var dock osannolikt att hindra anställda från att göra samma sak från gästnätverket eller från personliga enheter. Ännu värre, denna åtgärd skulle begränsa företagets synlighet för att övervaka aktiviteten; det skulle fortfarande hända, de skulle bara inte se det nu.
en bättre lösning, eller åtminstone en som är värd att överväga ur ett riskhanteringsperspektiv, var att engagera medarbetare och forma beteende med utbildning och information.
7) Översätt tech speak till business talk.
cybersäkerhetsutrymmet har sin rättvisa andel av buzzwords som verksamheten kanske inte förstår. Säkerhetsteam måste vara medvetna om detta när kamrater från andra funktioner är inblandade i säkerhetssamtal.
en av paneldeltagarna påminde om en situation där det tekniska teamet hade hittat skadlig programvara på en säkerhetskopia. Sannolikheten för risk var låg, men effekten var hög, så konversationen eskalerades till att inkludera andra teammedlemmar från hela verksamheten. I processen blev det uppenbart att verksamheten inte följde diskussionen och kunde därför inte bidra till riskbedömningen.
panelisten sa att han snabbt kom med en analogi för att beskriva data-backup-problemet till hands: vi försöker flytta människor (data) från en punkt till en annan. Vi använde en bil för att hämta folk, men vi kan inte se hur många passagerare som är i bilen eller hur många som har kommit säkert till destinationen.
en bra teknik är att ha en ”pre-diskussion” innan du pratar med andra företag kamrater att säkerställa de viktigaste punkterna presenteras på ett företag, snarare än teknisk nivå.
8) Undersök trender och förbereda.
säkerhetspersonal har på många sätt till uppgift att förutse framtida trender och sätta planer på plats för att förbereda beredskapsplaner. Det är till exempel inte en sträcka att förutsäga att ransomware kommer att intensifiera och fokusera på dataförstöring.
förstå denna trend, och kostnaden kommer att hjälpa artikulera till affärsalternativ i händelse av en incident. Verksamheten kan vägra att betala lösen och förlora en vecka eller mer av intäkter medan det fungerar för att få system i drift. Eller det kan ha möjlighet att betala lösen i bitcoin redan etablerat om verksamheten bedriver det alternativet – som vissa företag är.
cybersäkerhet är ”otroligt komplicerat” och ju mer säker du är på ett svar, desto mer bekymrad borde du känna. En rigorös process för att analysera cyberrisker kommer att gå långt mot att uppfylla säkerhetsmålet för Business assurance. En fullständig inspelning av denna paneldiskussion är tillgänglig via Cylance på länken ovan.
om du gillade det här inlägget kanske du också gillar:
Cyberthreat Evolution skiftar tonvikten till proaktiv upptäckt och förebyggande
Fotokredit: (CC0 1.0)
