Vi vurderer ofte «hvordan vi skal forsvare oss» mot cybertrusler og -angrep når vi diskuterer cybersikkerhet.
Det handler om hva man skal gjøre for å holde ting trygt og hva man skal gjøre når ting går sørover. Men hvordan vet man at de vil bli målrettet? Hva vil de bli angrepet for? Hvor mye koster det å få organisasjonen på beina igjen etter et nettangrep?
En cybersikkerhetsrisikovurdering kan svare på alle disse spørsmålene. Derfor er vurderingen en av de avgjørende tingene når man lager en cybersikkerhetsstrategi.
Innholdsfortegnelse
Hva er cybersikkerhetsrisikovurdering?
En cybersikkerhetsrisikovurdering er en prosess som hjelper til med å tilpasse en organisasjons cybersikkerhetsplan med dens forretningsmål og mål. Det hjelper også med å forstå målene bedre og evaluere eiendelene som er tilgjengelige/nødvendige for å holde ting flytende.
Vurderingsrapporten vil teknisk dekke alle slags ting for sitt cybersikkerhetsspill. Det kan også forbedre organisasjonens cyberresiliens.
Alt fra hva truslene er til formuesverdi og forsikringsdekning. All denne informasjonen skal hjelpe interessentene og administrasjonen til å ta en informert beslutning når det er fare for et nettangrep (eller etter hendelsen).
Viktigheten av risikovurdering i cybersikkerhet
Med en risikovurdering får du et trusseloppsett som hjelper deg å vite sjansene for å bli angrepet, det potensielle målet til ondsinnede aktører mot organisasjonen din, og skaden den vil gjøre.
Du er ikke begrenset til typene trusler mot organisasjonen din, men du er også klar over hva de kan gjøre og hvordan det vil påvirke organisasjonen.
Så det gir deg hele bildet av hva du kan gjøre i tilfelle et vellykket nettangrep mot virksomheten din.
Med andre ord, cybersikkerhetsrisikovurderingen får deg til å innse graden av risiko forbundet med et cyberangrep. Og dette hjelper organisasjonen, dens interessenter og alle ansvarlige jevnaldrende i organisasjonen til å forberede seg på å minimere risikoen og ha en solid plan for alt.
Typer risikovurderinger
Mens trinnene for cybersikkerhetsrisikovurderinger for det meste forblir standard, er typene vurderinger forskjellige.
Vurderingstypen forteller deg nøyaktig hva organisasjonen fokuserer på for å evaluere sikkerhetsbehovene til virksomheten.
#1. Generisk vurdering
En spørreskjemabasert vurdering omhandler enkle, men effektive ting som reduserer sikkerhetsrisiko.
For eksempel statusen til passordpolicyen, typen brannmur som er implementert, vanlige sikkerhetsoppdateringer og autentiserings-/krypteringspolicyer.
Selv om dette kan være enkelt og problemfritt, passer det kanskje ikke alle typer organisasjoner. Dette kan passe for en organisasjon med begrensede eiendeler og mindre sensitive data.
#2. Kvalitativ risikovurdering
Kvalitativ risikovurdering kan være litt spekulativ, siden det avhenger av hvem (en enkeltperson eller en gruppe personer) som vurderer og sjekker bakgrunnen for å diskutere ting som datainnbrudd og økonomisk risiko.
Det innebærer ikke en spesiell rapport, men mer en «brainstorming»-sesjon for de øverste personene som er ansvarlige for organisasjonen.
#3. Kvantitativ risikovurdering
Når vi vurderer kvantitativ vurdering, forholder vi oss til data og innsikt og beregner risikoen.
Denne vurderingen vil bidra til å dekke et bredt spekter av ting for større organisasjoner, der den økonomiske risikoen er høyere og datamidlene er større og mer verdifulle.
#4. Stedsspesifikk risikovurdering
Stedsspesifikk risikovurdering fokuserer på kun ett brukstilfelle. Enten det handler om en del av organisasjonen eller et bestemt sted, kan du vurdere denne typen vurdering nisjespesifikk.
Den evaluerer bare et bestemt nettverk, en teknologi og lignende statiske ting. Du kan ikke forvente at dette skal være nyttig for resten av organisasjonen.
#5. Dynamisk risikovurdering
Dynamisk risikovurdering konfronterer risikoene som endres i sanntid.
For at det skal være effektivt, må organisasjonen overvåke og takle trusler/angrep etter hvert som de skjer.
Trinn for å utføre en cybersikkerhetsrisikovurdering
Trinnene for å utføre vurderingen avhenger av organisasjonen og ressursene de har for å få det til.
Selv om det er nesten det samme, kan det finnes noen få justeringer for forskjellige organisasjoner. For eksempel antall trinn og hvordan de kategoriserer og prioriterer hvert trinn.
Her diskuterer vi de ni trinnene som lar oss takle alle de tøffe detaljene, som skal hjelpe deg med å gjøre en risikovurdering for nettsikkerhet på riktig måte.
#1. Identifiser eiendelene dine
Identifisering av eiendelene i organisasjonen din er kritisk og bør være prioritet.
Eiendeler kan inkludere maskinvare (bærbare datamaskiner, telefoner, USB-stasjoner), programvare (gratis eller lisensiert), filer, PDF-dokumenter, infrastruktur for elektrisitet og andre som papirdokumenter.
Av og til må du kanskje inkludere nettjenestene organisasjonene er avhengige av som en av ressursene fordi de indirekte/direkte påvirker noen av organisasjonens operasjoner.
For eksempel skylagringsløsningen du bruker til å lagre dokumenter.
#2. Identifiser truslene dine
I henhold til dine eiendeler kan du identifisere potensielle trusler som kan være knyttet til dem.
Men hvordan gjør du det? Den enkleste måten er å følge med på trendene og nyhetene om nettrussel. Så en organisasjon kan være klar over alt på overflaten.
Deretter kan de bruke trusselbiblioteker, kunnskapsbaser og ressurser fra myndighetene eller sikkerhetsbyråer for å lære om alle typer cybertrusler.
Til syvende og sist kan du også ta hjelp av rammeverk som cyber kill chain for å evaluere hvilke skritt du må ta for å beskytte eiendelene dine mot disse truslene.
#3. Vurder dine sårbarheter
Nå som du kjenner dine eiendeler og deres potensielle trusler, hvordan kan en angriper få tilgang til dem?
Selvfølgelig, hvis enhetene, nettverket eller andre eiendeler har sårbarheter, kan det la en ondsinnet aktør utnytte det for å få uautorisert tilgang.
Sårbarhetene kan være med et operativsystem på en bærbar datamaskin, en telefon, en bedriftsportalnettside eller en nettkonto. Alt kan åpne for sårbarheter. Selv et enkelt passord som er lett å bryte, teller som en sårbarhet.
Du kan referere til regjeringen utnyttet sårbarheter katalog for å utforske mer.
Samlet sett, enten det er noe fra systemet eller noe utenfra, kan sårbarheter være hvor som helst. Så det bør hjelpe å ta tiltak for å eliminere vanlige/kjente sårbarheter.
#4. Beregn risikoen din
Risikoen beregnes ut fra eiendelens trussel, sårbarhet og verdi.
Risiko = Trussel x Sårbarhet x Verdi
Når du vurderer risiko, refererer det til sannsynligheten for at en trussel påvirker organisasjonen.
Det er ingen rakettvitenskap at jo høyere sannsynlighet, jo høyere risiko. Men det kan ikke forutsies nøyaktig fordi trussellandskapet endres kontinuerlig.
Så risikonivået bør beregnes i stedet, som sier hvor betydelig risikoen er – hvis noe blir utnyttet. Nivået kan bestemmes ved å diskutere hvilken eiendel som er mer verdifull, og hvis den samme eiendelen blir kompromittert eller stjålet, hvilken innvirkning vil det ha på organisasjonen?
Dette kan variere mellom organisasjoner. For eksempel kan en PDF-fil for et bestemt selskap være offentlig tilgjengelig informasjon, og for andre kan den være svært konfidensiell.
#5. Prioriter risikoene dine
Når du har målt risikonivåene, er det enkelt å prioritere dem.
Hva bør du fokusere på å beskytte først? Typen angrep som er mer sannsynlig og angrepet som kan forårsake mest skade, ikke sant?
Som alt annet kan det være subjektivt. Men hvis du kan kategorisere risikoene, kan du ha en prioritert rekkefølge for dem.
Det kan være ett av følgende:
- Du prioriterer risikoene i henhold til verdien knyttet til dem.
- Filtrer ned risikoen basert på maskinvare, programvare og andre eksterne faktorer som leverandørene dine, frakttjenester osv.
- Filtrer risikoene ved å forutsi den fremtidige handlingen hvis en viss risiko blir en realitet.
Tillat meg å presisere de tre punktene her:
Hvis en risiko er verdsatt til 1 million dollar, har en annen risiko en verdi på 1 milliard dollar. Det siste settes det selvsagt mer fokus på.
Deretter, hvis forretningsmålene dine avhenger av maskinvaren i stedet for eksterne faktorer, prioriterer du dem mer.
Tilsvarende, hvis en bestemt risiko trenger et stort foretak, bør det ha høyere prioritet.
#6. Implementer kontroller
Når vi diskuterer implementering av kontroller, refererer det til sikkerhetstiltakene som hjelper til med å håndtere risikoene.
Kontrollene kan bidra til å redusere risikoen og noen ganger eliminere dem.
Enten det handler om å håndheve tilgangskontroll, en streng passordpolicy eller en brannmur, hjelper alle tiltak deg med å håndtere risikoen.
#7. Overvåk og forbedre
Alle eiendeler, sårbarhetsoppdateringer og potensielle risikoer må overvåkes for å identifisere rom for forbedring.
Tatt i betraktning at cybersikkerhetstrusler utvikler seg og kan ende opp med å beseire en solid sikkerhetsstrategi, er det viktig at all beredskap vurderes regelmessig.
Ja, sikkerhetsrevisjoner hjelper, men man kan ikke slutte å overvåke etter å ha fått gode resultater i en revisjon.
Hvis du ikke overvåker, senker du vaktholdet mot cybertrusler.
#8. Samsvar og forskrifter
Selv om det å fullføre en nettsikkerhetsvurdering gjør at organisasjonen din følger spesifikke standarder og lover, kan det være lurt å sjekke mer om det.
Du bør ikke foreta vurderingen din i henhold til et samsvarskrav, i stedet foreta vurderingen og deretter foreta justeringer for å oppfylle samsvarskravene som lar deg operere uten å bryte noen lover eller standarder.
For eksempel er HIPAA-overholdelse nødvendig hvis organisasjonen din håndterer helseinformasjon i USA.
Du kan utforske de regulatoriske kravene i bedriftens/organisasjonens geografiske plassering og deretter jobbe med dem.
#9. Kontinuerlig forbedring
Uansett hvor gode tiltakene, kontrollene og trusselforskningen er – det koker alltid ned til konstant innsats for å forbedre dem.
Hvis en organisasjon ikke ønsker å revurdere, forbedre eller gjøre subtile endringer for å fikse/forbedre ting, kan cybersikkerhetsstrategien mislykkes raskere enn forventet.
Risikovurdering av cybersikkerhet er viktig
Risikovurdering av cybersikkerhet er avgjørende for alle typer organisasjoner.
Enten den er stor eller liten, er den avhengig av færre eller flere nettjenester; det har noe å si. Vurderingen vil hjelpe administratoren, interessentene eller leverandørene knyttet til organisasjonen å kjenne til ressursene som trengs for å holde ting trygge og være klar til å minimere skaden etter ethvert nettangrep.
Du kan også utforske Cybersecurity Checklist for små og mellomstore bedrifter.