Оценка ИТ-риска - как и почему

Майкл Аминзаде из Trustwave

Обеспечение полной защиты от киберпреступников может быть практически невыполнимой задачей, но организации могут дать себе лучший шанс избежать атаки, выполняя регулярную оценку ИТ-рисков. Текущий ландшафт угроз является нестабильным, и оценка процессов управления рисками, чтобы гарантировать, что они решают конкретные проблемы организации, должна быть приоритетом. Как только выявлены самые большие риски, можно начинать внедрение оптимального уровня безопасности, отвечающего конкретным потребностям бизнеса, - говорит Майкл Аминзаде, вице-президент по глобальному соответствию и рискам компании Trustwave . .

Конечным результатом выполнения оценки рисков информационной безопасности является определение наиболее серьезных недостатков и разработка плана, который учитывает их и может работать для смягчения угроз. Перед началом оценки рисков необходимо четкое понимание целей бизнеса. Первоначально необходимо установить потенциальные угрозы, вероятность компрометации и последствия потери. Проведение углубленных собеседований с высшим руководством, ИТ-администраторами и заинтересованными сторонами, охватывающими все аспекты организации, может помочь определить, где есть пробелы в безопасности.

Классический ЦРУ Триада - конфиденциальность, целостность и доступность - часто используется в качестве основы для проведения оценки и является полезной руководящей моделью для кибербезопасности. Трудно достичь хорошего баланса между триадой:акцент на доступности может поставить под угрозу конфиденциальность и целостность, в то время как слишком большой акцент на конфиденциальности или целостности также, вероятно, повлияет на доступность.

После проведения тщательной оценки следующим шагом будет определение мер безопасности, которые лучше всего подходят для снижения бизнес-рисков. Они могут включать сочетание технологии, политики, процесса и процедуры.

Основы оценки рисков

При проведении оценки рисков безопасности существует ряд структур безопасности, которые вы можете выбрать, чтобы помочь вам. Пять наиболее распространенных - это серия ISO 27000x, OCTAVE, COBIT, NIST 800-53 и NIST Cybersecurity Framework. Из пяти структур NIST (Национальный институт стандартов и технологий) стал наиболее популярным, поскольку его регулярно используют предприятия, образовательные учреждения и государственные учреждения.

NIST является подразделением Министерства торговли США и бесплатно выпускает руководящие документы. Структура кибербезопасности (CSF) была разработана, чтобы помочь организациям любого размера и любой степени сложности кибербезопасности применять передовые методы управления рисками.

Фреймворк состоит из трех компонентов:профиль фреймворка, ядро ​​фреймворка и уровни реализации фреймворка. Эта структура разработана так, чтобы быть гибкой, и ее можно использовать вместе с другими процессами управления рисками кибербезопасности, такими как стандарты ISO (Международной организации по стандартизации), поэтому они актуальны и для оценки рисков за пределами США.

NIST 800-53 был разработан для поддержки соответствия Федеральным стандартам обработки информации США (FIPS) и является предшественником NIST Cybersecurity Framework (CSF). Эта специальная публикация предоставляет официальным лицам организации доказательства эффективности внедренных средств контроля, показатели качества используемых процессов управления рисками и информацию о сильных и слабых сторонах информационных систем.

Рекомендации

С коммерциализацией киберпреступности многие организации переходят от чистого соблюдения требований к гораздо более широкой стратегии снижения рисков и защиты данных. Методология оценки рисков всегда касалась всей цепочки поставок, а не только внутренних систем. Однако в последнее время мы стали уделять больше внимания оценке рисков доступа сторонних поставщиков и к внутренним системам.

Точно так же тенденция BYOD (принесите собственное устройство) привела к тому, что все больше внимания уделяется безопасности конечных точек и рассмотрению влияния конечных точек на профиль риска организации. С учетом дополнительной сложности стоит рассмотреть преимущества работы с поставщиком управляемых услуг безопасности (MSSP). Их обширные знания и опыт могут помочь организациям понять, как лучше всего защитить постоянно расширяющуюся сеть.

При разработке модели оценки рисков важно, чтобы у вас была поддержка со стороны высшего руководства, которое должно понимать и принимать риски, присущие организации, или иметь план по их снижению и приведению состояния рисков в соответствие с организациями. ожидаемые уровни.

В идеале директор по информационной безопасности или ИТ-директор должен следить за графиком оценки рисков и выводами, а также за любыми планами исправления и предоставлять регулярные обновления остальному исполнительному руководству, но всем сотрудникам нужно напоминать, что они также разделяют ответственность, когда дело доходит до безопасность бизнеса.

Следует провести обучение тому, как распознавать риски, такие как вредоносные электронные письма, и каковы процедуры, если они подозревают, что они их идентифицировали. В конечном итоге предприятиям необходимо признать, что идеальной безопасности не существует, и цель должна заключаться в обеспечении оптимального уровня безопасности для организации.

Создание и оценка структуры рисков, а также оценка ИТ-рисков помогут определить соответствующий уровень безопасности для вашей организации. Как только слабые места будут выявлены, их можно будет устранить, максимально обезопасив свой бизнес.

Сочетание оценки рисков с оценками зрелости безопасности позволяет организации построить инвестиционную стратегию для дорожной карты безопасности, а также продемонстрировать доходность для бизнеса от утвержденных инвестиций.

Автор этого блога - Майкл Аминзаде, вице-президент по глобальному соответствию и рискам в Trustwave