Czym jest zarządzanie ryzykiem cybernetycznym?
Zarządzanie ryzykiem cybernetycznym to proaktywne podejście do cyberbezpieczeństwa skoncentrowane na przewidywaniu i ograniczaniu ryzyka na całej powierzchni ataku.
Czym jest zarządzanie ryzykiem cybernetycznym?
Zarządzanie ryzykiem cybernetycznym to sposób na poprawę świadomości sytuacyjnej organizacji w zakresie cyberbezpieczeństwa — identyfikowanie, ustalanie priorytetów i ograniczanie zagrożeń. Zarządzanie powierzchnią ataku (ASM) jest podstawowym elementem zarządzania ryzykiem cybernetycznym.
Zarządzanie ryzykiem cybernetycznym można podzielić na cztery różne części:
- Identyfikacja ryzyka: Zrozumienie infrastruktury IT organizacji, wiedza o jej słabościach i identyfikacja zagrożeń.
- Ocena ryzyka: Ocena prawdopodobieństwa wykorzystania luk w zabezpieczeniach w organizacji i ocena skutków takiego wykorzystania.
- Ograniczenie ryzyka: Wdrażanie środków, takich jak kontrole techniczne, administracyjne i fizyczne, pomoże zmniejszyć wpływ zagrożeń. Ponadto szkolenie organizacji w zakresie najlepszych praktyk w zakresie cyberbezpieczeństwa i ustanawianie wytycznych dotyczących operacji bezpieczeństwa i reagowania na incydenty zwiększy odporność.
- Monitorowanie ryzyka: Ciągłe monitorowanie i sprawdzanie krajobrazu ryzyka poprzez regularne oceny, monitorowanie kontroli i reagowanie na incydenty w celu identyfikacji nowych zagrożeń i oceny skuteczności środków łagodzących
Zarządzanie ryzykiem cybernetycznym obejmuje te same trzy fazy, co zarządzanie powierzchnią ataku: wykrywanie, ocena i ograniczanie ryzyka. Faza oceny obejmuje ocenę ryzyka, dzięki czemu organizacja może w miarę upływu czasu porównywać i monitorować swój profil ryzyka.
Czym są zagrożenia cybernetyczne?
National Institute of Standards and Technology definiuje ryzyko cybernetyczne na dwa różne, ale powiązane sposoby:
- Ryzyko polegania na zasobach cybernetycznych (tj. ryzyko polegania na systemie lub elementach systemu, które istnieją w cyberprzestrzeni lub są w niej okresowo obecne)".
- „Ryzyko strat finansowych, zakłóceń operacyjnych lub szkód wynikających z awarii technologii cyfrowych wykorzystywanych do celów informacyjnych i/lub operacyjnych wprowadzonych do systemu produkcyjnego za pomocą środków elektronicznych w wyniku nieuprawnionego dostępu, użycia, ujawnienia, zakłócenia, modyfikacji lub zniszczenia systemu produkcyjnego”.
Obie definicje odnoszą się do konieczności wdrożenia przez organizacje proaktywnej struktury zarządzania ryzykiem cybernetycznym.
Dlaczego zarządzanie ryzykiem cybernetycznym ma znaczenie?
Rosnąca powierzchnia ataku oznacza, że organizacje stają przed większą niż kiedykolwiek wcześniej liczbą cyberzagrożeń. Skala i złożoność środowiska zagrożeń utrzymują wiele zespołów ds. bezpieczeństwa w trybie reaktywnym przez lata, nie dysponując odpowiednią przepustowością, widocznością i wglądem, aby wyprzedzić zagrożenia i zapobiegać naruszeniom.
W ramach ogólnego podejścia do zarządzania powierzchnią ataku, zarządzanie ryzykiem cybernetycznym zapewnia pracownikom ochrony kompleksowy obraz zagrożeń, z jakimi borykają się ich organizacje. Dobre ramy zarządzania ryzykiem cybernetycznym pomagają również określić, które zagrożenia są najbardziej istotne, wspierając „podejmowanie decyzji w oparciu o ryzyko” w celu zmniejszenia ogólnego narażenia na zagrożenia.
Dzięki analizom, które zdobywają, zespoły ds. bezpieczeństwa mogą wzmacniać mechanizmy obronne, minimalizować luki w zabezpieczeniach i informować o ogólnych procesach zarządzania ryzykiem i planowania strategicznego swoich organizacji.
Jakie są konsekwencje prawne lub regulacyjne cyberzagrożeń?
Organizacje, które nie zarządzają cyberzagrożeniami skutecznie, mogą zostać ukarane grzywnami lub wszczętymi postępowaniami sądowymi — nawet postępowaniami karnymi i karami pozbawienia wolności. Wiele przepisów i regulacji zawiera wymagania dotyczące terminowego zgłaszania naruszeń bezpieczeństwa danych oraz zapewnienia prywatności i bezpieczeństwa danych osobowych i wrażliwych. Ogólne rozporządzenie o ochronie danych UE (RODO) i amerykańska ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) to jedne z najbardziej wyróżniających się i znanych ram.
Oprócz ponoszenia kar organizacje, które źle zarządzają ryzykiem cybernetycznym i poniosą naruszenie lub utratę, mogą również ponieść utratę zaufania i reputacji wśród klientów, partnerów i pracowników.
Biorąc pod uwagę potencjalne konsekwencje, wiele zarządów korporacji aktywnie interesuje się zarządzaniem ryzykiem cybernetycznym w firmie. Wielu dyrektorów jest pociąganych do odpowiedzialności za cyberbezpieczeństwo.
Jak działa zarządzanie ryzykiem cybernetycznym?
Zarządzanie ryzykiem cybernetycznym polega na przyjęciu strategicznego podejścia do cyberbezpieczeństwa, które jest dostosowane do potrzeb organizacji i promuje silną postawę zgodności. Składa się z sześciu głównych elementów lub obszarów aktywności, z których wszystkie są wymagane w połączeniu. Oto one:
- Identyfikacja i klasyfikacja zasobów w oparciu o ryzyko: Uzyskanie pełnego obrazu całej powierzchni ataku, aby wszystkie zasoby i dane były znane i mogły być zabezpieczone przed cyberatakami.
- Oparta na ryzyku analiza luk w zabezpieczeniach: Regularne, ciągłe skanowanie zasobów i testowanie pod kątem luk w zabezpieczeniach, ze szczególnym uwzględnieniem luk, które stwarzają największe ryzyko.
- Oparta na ryzyku ocena zagrożeń: Analiza ryzyka w zakresie świadomości zmieniającego się środowiska zagrożeń i określenie, które zagrożenia są potencjalnie najbardziej niebezpieczne dla krytycznych zasobów organizacji.
- Priorytetyzacja ryzyka: Zrozumienie, które zagrożenia są najpilniejsze i potencjalnie poważne, aby podejmować decyzje i kierować inwestycjami w cyberbezpieczeństwo.
- Kontrola oparta na zerowym zaufaniu i ryzyku: Przyjmowanie ram i architektur zero-trust w celu zmniejszenia ogólnej powierzchni ataku i ograniczenia ryzyka.
- Ciągłe monitorowanie i doskonalenie: Centralizacja widoczności na powierzchni ataku w celu umożliwienia ciągłego zarządzania ryzykiem i dostosowania się do zmieniającego się krajobrazu zagrożeń.
Czym jest struktura zarządzania ryzykiem cybernetycznym?
Struktura zarządzania ryzykiem cybernetycznym zapewnia organizacjom ustrukturyzowany sposób proaktywnego identyfikowania, oceniania i ograniczania ryzyka cyberbezpieczeństwa. Obejmuje zasady i procedury, które wymagają platformy cyberbezpieczeństwa dla przedsiębiorstw.
Amerykański Narodowy Instytut Standardów i Technologii (National Institute of Standards and Technology, NIST) publicznie udostępnił swoje ramy cyberbezpieczeństwa, aby służyć jako wzór dla innych organizacji. Ramy NIST koncentrują się na wynikach — pomaganiu organizacjom w określeniu, co konkretnie chcą osiągnąć poprzez zarządzanie ryzykiem cybernetycznym — a nie na podyktowaniu, jak należy zarządzać ryzykiem cybernetycznym.
Struktura NIST umożliwia organizacjom zrozumienie i ocenę ich aktualnego stanu bezpieczeństwa, ustalanie priorytetów zagrożeń i działań, które należy podjąć, oraz określanie wspólnego lub wspólnego sposobu komunikowania działań w zakresie cyberbezpieczeństwa, zarówno wewnątrz, jak i na zewnątrz firmy.
Jak możemy wdrożyć zarządzanie ryzykiem cybernetycznym?
Organy sektora publicznego w wielu krajach określiły krokowe podejście do wdrażania ram zarządzania ryzykiem cybernetycznym. Na przykład brytyjskie Krajowe Centrum Cyberbezpieczeństwa proponuje ośmioetapową metodę:
- Ustal kontekst organizacyjny
- Identyfikacja decydentów, procesów zarządzania i ograniczeń
- Zdefiniuj wyzwania związane z ryzykiem cyberbezpieczeństwa
- Wybierz podejście
- Zrozumienie zagrożeń i sposobów zarządzania nimi
- Komunikacja i konsultacje
- Wdrożenie i zapewnienie
- Monitorowanie i przegląd
Model brytyjski podkreśla znaczenie nie tylko zrozumienia powierzchni ataku i krajobrazu zagrożeń, ale także unikalnego kontekstu i warunków samej organizacji. Obejmuje to koncentrację i wartości firmy, kluczowych interesariuszy i konkretne ryzyko. Na przykład firma z branży usług finansowych będzie miała wymagania dotyczące przeciwdziałania oszustwom i praniu pieniędzy, aby spełnić wymagania, których producent prawdopodobnie nie spełni. Zamiast tego producent może zarządzać ryzykiem cybernetycznym w swoim łańcuchu dostaw.
Stworzenie wspólnej struktury zarządzania ryzykiem cybernetycznym i posiadanie jednego widoku na środowisko ryzyka (powierzchnia ataku) ma kluczowe znaczenie dla wdrożenia struktury zarządzania ryzykiem cybernetycznym. Obie te funkcje zależą od kilku kluczowych funkcji. Jak wspomniano powyżej, jednym z nich jest podejście oparte na zerowym zaufaniu do cyberbezpieczeństwa. Druga z nich wykorzystuje technologię rozszerzonego wykrywania i reagowania (XDR) w celu gromadzenia i analizowania danych o powierzchni ataku.
Przyjęcie platformy cyberbezpieczeństwa może pomóc w przejściu na zero zaufania. Kompletna platforma będzie również obejmować operacje bezpieczeństwa, takie jak XDR, zapewniając podstawowe warunki wstępne zarządzania ryzykiem cybernetycznym.
Jak zarządzanie powierzchnią ataku wpisuje się w zarządzanie ryzykiem cybernetycznym?
Zarządzanie powierzchnią ataku (ASM) jest kluczowym aspektem ogólnego zarządzania ryzykiem cybernetycznym. Jak sama nazwa wskazuje, zarządzanie powierzchnią ataku dotyczy konkretnie powierzchni ataku: całego zestawu luk w zabezpieczeniach, punktów dostępu i wektorów ataku, które można wykorzystać do uzyskania nieuprawnionego dostępu do systemów i danych organizacji.
ASM koncentruje się na odkrywaniu, ocenie i ograniczaniu ryzyka związanego z powierzchnią ataku, najlepiej w ciągłym i ciągłym procesie.
Wykrywanie polega na zdefiniowaniu powierzchni ataku i wszystkich zasobów, które ją tworzą. Wymaga to rozwiązania do zarządzania powierzchnią ataku, które umożliwia skanowanie środowiska IT w celu identyfikacji wszystkich znanych i nieznanych urządzeń, oprogramowania, systemów i punktów dostępu. Wykrywanie ma również na celu identyfikację aplikacji Shadow IT, połączonych technologii innych firm i technologii, które nie były częścią poprzednich inwentaryzacji.
Ocena to proces określania pilności i potencjalnej wagi ryzyka związanego ze wszystkimi odkrytymi zasobami. Obejmuje to analizę ilościową ryzyka i ocenę ryzyka — sposoby ustalania priorytetów i klasyfikacji luk w zabezpieczeniach i zagrożeń w obiektywny sposób.
Łagodzenie zagrożeń polega na podejmowaniu działań mających na celu wyeliminowanie wykrytych luk w zabezpieczeniach. Może to oznaczać uruchamianie aktualizacji oprogramowania lub instalowanie poprawek, konfigurowanie zabezpieczeń i sprzętu lub wdrażanie ram ochrony, takich jak zero trust. Może to również obejmować pozbycie się starych systemów i oprogramowania.
Gdzie mogę uzyskać pomoc w zarządzaniu ryzykiem cybernetycznym?
Firma Trend Micro Research stworzyła Cyber Risk Index (CRI) wraz z Ponemon Institute w celu zbadania zagrożeń cybernetycznych i określenia kluczowych obszarów poprawy cyberbezpieczeństwa. Regularnie odświeżany wskaźnik CRI mierzy dystans między aktualnym stanem zabezpieczeń w organizacji a prawdopodobieństwem ataku. Skorzystaj z kalkulatora CRI tutaj, aby określić ocenę ryzyka swojej organizacji.
Trend Vision One™ oferuje rozwiązanie do zarządzania ryzykiem i ekspozycją na zagrożenia cybernetyczne (CREM), które zapewnia organizacjom możliwość wykraczania poza ASM w celu zmniejszenia śladu ryzyka cybernetycznego. CREM wykorzystuje rewolucyjne podejście, łącząc kluczowe funkcje, takie jak zarządzanie powierzchnią zewnętrznego ataku (EASM), zarządzanie powierzchnią ataku cybernetycznego (CAASM), zarządzanie lukami w zabezpieczeniach i zarządzanie postawą bezpieczeństwa — w chmurze, danych, tożsamości, interfejsach API, sztucznej inteligencji, zgodności i aplikacjach SaaS w jednym potężnym, łatwym w użyciu rozwiązaniu. Nie chodzi tylko o zarządzanie zagrożeniami, ale o budowanie prawdziwej odporności na ryzyko.
Dowiedz się więcej o tym, jak zarządzanie ekspozycją na ryzyko cybernetyczne może pomóc w identyfikowaniu, ustalaniu priorytetów i ograniczaniu zagrożeń.