Omawiając cyberbezpieczeństwo, często zastanawiamy się „jak się bronić” przed cyberzagrożeniami i atakami.
Chodzi o to, co zrobić, aby zapewnić bezpieczeństwo i co zrobić, gdy coś pójdzie nie tak. Ale skąd wiadomo, że będą celem? Za co będą atakowani? Ile kosztowałoby postawienie organizacji na nogi po cyberataku?
Ocena ryzyka cybernetycznego może odpowiedzieć na wszystkie te pytania. Dlatego ocena jest jedną z kluczowych rzeczy podczas tworzenia strategii cyberbezpieczeństwa.
Spis treści:
Co to jest ocena ryzyka cybernetycznego?
Ocena ryzyka cybernetycznego to proces, który pomaga dostosować plan cyberbezpieczeństwa organizacji do jej celów biznesowych. Pomaga również lepiej zrozumieć cele i ocenić zasoby dostępne/wymagane do utrzymania płynności finansowej.
Raport z oceny będzie technicznie obejmował wszystkie rodzaje rzeczy związanych z grą w cyberbezpieczeństwo. Może również zwiększyć odporność cybernetyczną organizacji.
Od tego, jakie są zagrożenia, po wartość aktywów i zakresy ubezpieczenia. Wszystkie te informacje powinny pomóc interesariuszom i administracji w podjęciu świadomej decyzji, gdy istnieje ryzyko cyberataku (lub po incydencie).
Znaczenie oceny ryzyka w cyberbezpieczeństwie
Dzięki ocenie ryzyka otrzymujesz układ zagrożeń, który pomaga poznać szanse na atak, potencjalny cel złośliwych aktorów przeciwko Twojej organizacji oraz szkody, jakie wyrządzą.
Nie ograniczasz się do rodzajów zagrożeń skierowanych przeciwko Twojej organizacji, ale także jesteś świadomy tego, co mogą zrobić i jak to wpłynie na organizację.
Daje więc pełny obraz tego, co możesz zrobić w przypadku udanego cyberataku na Twoją firmę.
Innymi słowy, ocena ryzyka cyberbezpieczeństwa uświadamia stopień ryzyka związanego z cyberatakiem. Pomaga to organizacji, jej interesariuszom i każdemu z odpowiedzialnych współpracowników w organizacji przygotować się do zminimalizowania ryzyka i mieć solidny plan na wszystko.
Rodzaje ocen ryzyka
Chociaż etapy oceny ryzyka cybernetycznego pozostają w większości standardowe, rodzaje ocen są różne.
Typ oceny mówi, na czym dokładnie koncentruje się organizacja przy ocenie potrzeb bezpieczeństwa swojej działalności.
# 1. Ocena ogólna
Ocena oparta na kwestionariuszu dotyczy prostych, ale skutecznych rzeczy, które zmniejszają zagrożenia bezpieczeństwa.
Na przykład stan polityki haseł, typ zaimplementowanej zapory, regularne poprawki bezpieczeństwa oraz zasady uwierzytelniania/szyfrowania.
Chociaż może to być proste i bezproblemowe, może nie pasować do wszystkich rodzajów organizacji. Może to pasować do organizacji z ograniczonymi zasobami i mniej wrażliwymi danymi.
#2. Jakościowa ocena ryzyka
Jakościowa ocena ryzyka może być nieco spekulatywna, ponieważ zależy od tego, kto (osoba lub grupa osób) przegląda i sprawdza tło, aby omówić takie kwestie, jak naruszenia danych i ryzyko finansowe.
Nie jest to specjalny raport, a raczej sesja „burzy mózgów” dla osób najwyższego szczebla odpowiedzialnych za organizację.
#3. Ilościowa ocena ryzyka
Rozważając ocenę ilościową, mamy do czynienia z danymi i spostrzeżeniami oraz kalkulujemy ryzyko.
Ta ocena pomoże objąć szeroki zakres rzeczy w przypadku większych organizacji, w których ryzyko finansowe jest wyższe, a zasoby danych są większe i bardziej wartościowe.
#4. Specyficzna dla miejsca ocena ryzyka
Ocena ryzyka specyficznego dla miejsca koncentruje się tylko na jednym przypadku użycia. Niezależnie od tego, czy chodzi o jedną sekcję organizacji, czy o konkretną lokalizację, możesz rozważyć ten rodzaj oceny specyficzny dla niszy.
Ocenia tylko określoną sieć, technologię i podobne statyczne rzeczy. Nie możesz oczekiwać, że będzie to pomocne dla reszty organizacji.
#5. Dynamiczna ocena ryzyka
Dynamiczna ocena ryzyka konfrontuje zagrożenia, które zmieniają się w czasie rzeczywistym.
Aby było to skuteczne, organizacja musi monitorować i reagować na zagrożenia/ataki na bieżąco.
Kroki przeprowadzania oceny ryzyka cyberbezpieczeństwa
Kroki, które należy wykonać, aby przeprowadzić ocenę, zależą od organizacji i zasobów, którymi dysponuje, aby ją przeprowadzić.
Chociaż jest to prawie to samo, może istnieć kilka poprawek dla różnych organizacji. Na przykład liczba kroków oraz sposób, w jaki kategoryzują i nadają priorytet każdemu krokowi.
Tutaj omawiamy dziewięć kroków, które pozwalają nam zająć się wszystkimi drobiazgowymi szczegółami, które powinny pomóc w prawidłowej ocenie ryzyka cyberbezpieczeństwa.
# 1. Zidentyfikuj swoje aktywa
Identyfikacja zasobów w Twojej organizacji ma kluczowe znaczenie i powinna być priorytetem.
Aktywa mogą obejmować sprzęt (laptopy, telefony, dyski USB), oprogramowanie (bezpłatne lub licencjonowane), pliki, dokumenty PDF, infrastrukturę elektryczną i inne, takie jak dokumenty papierowe.
Od czasu do czasu może być konieczne uwzględnienie usług online, na których organizacje polegają, jako jednego z aktywów, ponieważ pośrednio/bezpośrednio wpływają one na niektóre operacje organizacji.
Na przykład rozwiązanie do przechowywania w chmurze, którego używasz do przechowywania dokumentów.
#2. Zidentyfikuj swoje zagrożenia
Zgodnie ze swoimi aktywami możesz zidentyfikować potencjalne zagrożenia, które byłyby z nimi związane.
Ale jak ty to robisz? Najprostszym sposobem jest śledzenie trendów i aktualności dotyczących cyberzagrożeń. Tak więc organizacja może być świadoma wszystkiego na powierzchni.
Następnie mogą korzystać z bibliotek zagrożeń, baz wiedzy i zasobów rządowych lub agencji bezpieczeństwa, aby dowiedzieć się o wszelkiego rodzaju cyberzagrożeniach.
Ostatecznie możesz również skorzystać z pomocy platform, takich jak łańcuch cyberzabójstw, aby ocenić, jakie kroki należy podjąć, aby chronić swoje zasoby przed tymi zagrożeniami.
#3. Oceń swoje słabe strony
Teraz, gdy znasz już swoje zasoby i związane z nimi potencjalne zagrożenia, w jaki sposób osoba atakująca może uzyskać do nich dostęp?
Oczywiście, jeśli Twoje urządzenia, sieć lub jakikolwiek zasób mają luki w zabezpieczeniach, może to pozwolić złośliwemu podmiotowi wykorzystać je w celu uzyskania nieautoryzowanego dostępu.
Luki mogą dotyczyć systemu operacyjnego na laptopie, telefonie, stronie portalu firmowego lub koncie online. Wszystko może otworzyć luki w zabezpieczeniach. Nawet proste hasło, które łatwo złamać, liczy się jako luka w zabezpieczeniach.
Możesz odnieść się do rząd wykorzystał luki w zabezpieczeniach katalog, aby dowiedzieć się więcej.
Ogólnie rzecz biorąc, niezależnie od tego, czy chodzi o coś z systemu, czy coś z zewnątrz, luki w zabezpieczeniach mogą znajdować się wszędzie. Dlatego podjęcie działań w celu wyeliminowania typowych/znanych luk w zabezpieczeniach powinno pomóc.
#4. Oblicz swoje ryzyko
Ryzyko jest obliczane na podstawie zagrożenia, podatności i wartości składnika aktywów.
Ryzyko = Zagrożenie x Wrażliwość x Wartość
Kiedy oceniasz ryzyko, odnosi się ono do prawdopodobieństwa wystąpienia zagrożenia dla organizacji.
Nie jest żadną tajemnicą, że im większe prawdopodobieństwo, tym większe ryzyko. Jednak nie można tego dokładnie przewidzieć, ponieważ krajobraz zagrożeń nieustannie się zmienia.
Dlatego zamiast tego należy obliczyć poziom ryzyka, który mówi, jak duże jest ryzyko — jeśli coś jest wykorzystywane. Poziom można określić, omawiając, który zasób jest bardziej wartościowy, a jeśli ten sam zasób zostanie naruszony lub skradziony, jaki wpływ będzie to miało na organizację?
Może się to różnić w zależności od organizacji. Na przykład plik PDF dla określonej firmy może być publicznie dostępną informacją, a dla innych może być wysoce poufny.
#5. Ustal priorytety dla swojego ryzyka
Po zmierzeniu poziomów ryzyka łatwo jest nadać im priorytet.
Na czym należy się skupić w pierwszej kolejności? Rodzaj ataku, który jest bardziej prawdopodobny i atak, który może spowodować najwięcej szkód, prawda?
Jak wszystko inne, może być subiektywne. Ale jeśli możesz kategoryzować zagrożenia, możesz ustalić dla nich kolejność priorytetów.
Może to być jedna z następujących czynności:
- Ustalasz priorytety ryzyka zgodnie z wartością z nim związaną.
- Filtruj zagrożenia w oparciu o sprzęt, oprogramowanie i inne czynniki zewnętrzne, takie jak dostawcy, usługi wysyłkowe itp.
- Filtruj zagrożenia, przewidując przyszły przebieg działań, jeśli określone ryzyko stanie się rzeczywistością.
Pozwólcie, że wyjaśnię tutaj trzy punkty:
Jeśli ryzyko jest wycenione na 1 milion dolarów, inne ryzyko ma wartość 1 miliarda dolarów. Oczywiście większy nacisk kładzie się na to drugie.
Następnie, jeśli Twoje cele biznesowe zależą od sprzętu, a nie czynników zewnętrznych, traktujesz je bardziej priorytetowo.
Podobnie, jeśli określone ryzyko wymaga dużego przedsięwzięcia, powinno ono mieć wyższy priorytet.
#6. Sterowanie narzędziami
Kiedy omawiamy wdrażanie kontroli, odnosimy się do środków bezpieczeństwa, które pomagają zarządzać ryzykiem.
Kontrole mogą pomóc zmniejszyć ryzyko, a czasem je wyeliminować.
Niezależnie od tego, czy chodzi o egzekwowanie kontroli dostępu, ścisłą politykę haseł czy zaporę ogniową, wszystkie środki pomagają zarządzać ryzykiem.
#7. Monitoruj i ulepszaj
Wszystkie zasoby, poprawki luk w zabezpieczeniach i potencjalne zagrożenia muszą być monitorowane, aby zidentyfikować wszelkie obszary wymagające ulepszeń.
Biorąc pod uwagę, że zagrożenia cybernetyczne ewoluują i mogą ostatecznie pokonać solidną strategię bezpieczeństwa, konieczne jest regularne sprawdzanie wszystkich gotowości.
Tak, audyty bezpieczeństwa pomagają, ale nie można przestać monitorować po uzyskaniu dobrych wyników w audycie.
Jeśli nie monitorujesz, obniżasz swoją czujność przed cyberzagrożeniami.
#8. Zgodność i przepisy
Chociaż ukończenie oceny bezpieczeństwa cybernetycznego w naturalny sposób sprawia, że Twoja organizacja przestrzega określonych norm i przepisów, możesz chcieć dowiedzieć się więcej na ten temat.
Nie należy przeprowadzać oceny zgodnie z wymaganiami dotyczącymi zgodności, zamiast tego dokonać oceny, a następnie wprowadzić poprawki w celu spełnienia wymagań dotyczących zgodności, które pozwolą działać bez łamania jakichkolwiek przepisów lub standardów.
Na przykład zgodność z ustawą HIPAA jest konieczna, jeśli Twoja organizacja zajmuje się informacjami dotyczącymi opieki zdrowotnej w Stanach Zjednoczonych.
Możesz zapoznać się z wymaganiami prawnymi w lokalizacji geograficznej Twojej firmy/organizacji, a następnie nad nimi pracować.
#9. Ciągłe doskonalenie
Bez względu na to, jak dobre są środki, kontrole i badania zagrożeń — zawsze sprowadza się to do ciągłych wysiłków w celu ich ulepszenia.
Jeśli organizacja nie chce ponownie sprawdzać, ulepszać lub wprowadzać subtelnych zmian w celu naprawy/ulepszenia rzeczy, strategia cyberbezpieczeństwa może zawieść wcześniej niż oczekiwano.
Ocena ryzyka cybernetycznego jest niezbędna
Ocena ryzyka cybernetycznego ma kluczowe znaczenie dla wszelkiego rodzaju organizacji.
Niezależnie od tego, czy jest duży, czy mały, opiera się na mniejszej lub większej liczbie usług online; to ma znaczenie. Ocena pomoże administratorowi, interesariuszom lub dostawcom powiązanym z organizacją poznać zasoby potrzebne do zapewnienia bezpieczeństwa i przygotować się do zminimalizowania szkód po jakimkolwiek cyberataku.
Możesz także zapoznać się z Listą kontrolną bezpieczeństwa cybernetycznego dla małych i średnich firm.