
Η ανάληψη κινδύνων είναι φυσικό μέρος της επιχειρηματικής δραστηριότητας. Η διαχείριση κινδύνων ενημερώνει τις αποφάσεις έτσι ώστε να μπορεί να επιτευχθεί η σωστή ισορροπία απειλών και ευκαιριών για την καλύτερη επίτευξη των επιχειρηματικών σας στόχων. Η διαχείριση κινδύνων στον τομέα της ασφάλειας στον κυβερνοχώρο διασφαλίζει ότι η τεχνολογία, τα συστήματα και οι πληροφορίες στον οργανισμό σας προστατεύονται με τον πιο κατάλληλο τρόπο και ότι οι πόροι εστιάζονται στα πράγματα που έχουν μεγαλύτερη σημασία για την επιχείρηση σας. Μια καλή προσέγγιση διαχείρισης κινδύνων θα ενσωματωθεί σε ολόκληρο τον οργανισμό σας και θα συμπληρώσει τον τρόπο διαχείρισης άλλων επιχειρηματικών κινδύνων.
Ποια είναι τα οφέλη;
Η Καλή διαχείριση κινδύνου:
- ενημερώνει και βελτιώνει τη λήψη αποφάσεων
- βοηθά στη λήψη αποφάσεων για ανάθεση σε ολόκληρο τον οργανισμό σας, διατηρώντας παράλληλα την κατάλληλη εποπτεία σε επίπεδο διοικητικού συμβουλίου
- παρέχει ένα θεμέλιο για την αποτελεσματική προσαρμογή και ανταπόκριση στις νέες απειλές και ευκαιρίες που προκύπτουν
Είτε είστε νέοι στη διαχείριση κινδύνων στον κυβερνοχώρο είτε προσπαθείτε να αξιολογήσετε την αποτελεσματικότητα της υπάρχουσας προσέγγισής σας, αυτή η καθοδήγηση θα σας βοηθήσει να κατανοήσετε πώς φαίνεται μια καλή προσέγγιση στη διαχείριση κινδύνων, στο πλαίσιο του οργανισμού σας .
Τι πρέπει να κάνετε?
1. Σκεφτείτε το ευρύτερο πλαίσιο στο οποίο θέλετε να διαχειριστείτε τον κίνδυνο στον κυβερνοχώρο.
- Σκεφτείτε τι κάνει ο οργανισμός σας και τι νοιάζεται. Ποιες είναι οι επιχειρηματικές προτεραιότητες και στόχοι; Αυτό μπορεί να φαίνεται περίεργο σημείο εκκίνησης για την ασφάλεια στον κυβερνοχώρο, αλλά θέτει το σκηνικό για τη διαχείριση κινδύνων στον κυβερνοχώρο. Η διαχείριση κινδύνων στον κυβερνοχώρο δεν είναι ξεχωριστή από αυτό που θέλει να επιτύχει ο οργανισμός σας, αλλά πρέπει να υποστηρίζει τους οργανωτικούς σας στόχους. Σκεπτόμενοι τους κινδύνους που θα (ή δεν θα) είστε διατεθειμένοι να αναλάβετε με την τεχνολογία για να επιτύχετε τους σκοπούς και τους στόχους σας θα σας βοηθήσουν να λάβετε αποφάσεις σχετικά με τα βήματα που πρέπει να λάβετε για τη διαχείριση του κινδύνου ασφάλειας στον κυβερνοχώρο.
- Σκεφτείτε ποιες δομές διακυβέρνησης υπάρχουν για τη διαχείριση άλλων τύπων επιχειρηματικού κινδύνου. Πώς ταιριάζει η διαχείριση και η επικοινωνία σχετικά με τον κίνδυνο στον κυβερνοχώρο σε αυτές τις δομές; Η αποτελεσματική διακυβέρνηση είναι σημαντική για την καλή διαχείριση κινδύνων στον κυβερνοχώρο, διότι ελέγχει και κατευθύνει τις δραστηριότητες και τις ενέργειες που λαμβάνει ένας οργανισμός για τη διαχείριση των κινδύνων ασφάλειας στον κυβερνοχώρο που αντιμετωπίζει. Η προσέγγισή σας για τη διαχείριση κινδύνων που σχετίζονται με την ασφάλεια στον κυβερνοχώρο πρέπει να διέπεται αποτελεσματικά με τρόπους που λειτουργούν για τον οργανισμό σας.
- Βεβαιωθείτε ότι ο οργανισμός διαθέτει επαρκείς πολιτικές εγκεκριμένες και ιδιοκτησία του διοικητικού συμβουλίου που καθορίζουν τη στρατηγική διαχείρισης κινδύνων για τον οργανισμό στο σύνολό του και ότι η ασφάλεια στον κυβερνοχώρο λαμβάνεται υπόψη σε άλλες οργανωτικές πολιτικές όπου απαιτείται. Θα πρέπει να διασφαλίσετε ότι το διοικητικό συμβούλιο σας συλλογικά έχει αρκετά καλή κατανόηση της ασφάλειας στον κυβερνοχώρο ώστε να κατανοεί πώς η ασφάλεια στον κυβερνοχώρο υποστηρίζει τους γενικούς οργανωτικούς στόχους τους. Θα πρέπει να λάβουν τις πληροφορίες που χρειάζονται, σε μορφή που κατανοούν, τη στιγμή που τις χρειάζονται για να επιτρέψουν τη λήψη αποφάσεων.
2. Κατανοήστε πού πρέπει να εφαρμόσετε τη διαχείριση κινδύνων στον κυβερνοχώρο
- Σκεφτείτε το εύρος της τεχνολογίας, των συστημάτων, των υπηρεσιών και των πληροφοριών που χρησιμοποιεί ο οργανισμός σας και βασίζεται για να επιτύχει τους οργανωτικούς του στόχους και προτεραιότητες. Θα πρέπει να χρησιμοποιήσετε μια ποικιλία πηγών πληροφοριών για να σας βοηθήσουμε να προσδιορίσετε αυτό το πεδίο. Για παράδειγμα, για υπάρχοντα συστήματα θα μπορούσατε να χρησιμοποιήσετε καταχωρητές στοιχείων και διαγράμματα συστήματος. για συστήματα σε ανάπτυξη μπορείτε να ξεκινήσετε με σχέδια υψηλού επιπέδου. Η συνομιλία με αυτούς που χρησιμοποιούν, διαχειρίζονται ή επηρεάζονται από τα συστήματα ή τις υπηρεσίες θα σας δώσει επίσης χρήσιμες πληροφορίες για το τι θέλετε να προστατεύσετε και γιατί. Για περισσότερες πληροφορίες, ανατρέξτε στο βήμα διαχείρισης περιουσιακών στοιχείων για να σας βοηθήσουμε να ξεκινήσετε.
- Θυμηθείτε να συμπεριλάβετε στοιχεία που ενδέχεται να βρίσκονται εκτός του άμεσου ελέγχου σας, αλλά εξακολουθούν να αποτελούν μέρος των ευρύτερων ανησυχιών σας για κινδύνους (όπως η αλυσίδα εφοδιασμού, η χρήση υπηρεσιών τρίτων και οι υπηρεσίες cloud
- Μην ξεχάσετε να σκεφτείτε πώς οι άνθρωποι αλληλεπιδρούν με την τεχνολογία, τα συστήματα και τις υπηρεσίες. Το πώς υποστηρίζονται για να το κάνουν αυτό με ασφαλείς και εύχρηστους τρόπους συμβάλλει στη διαχείριση των κινδύνων ασφάλειας του κυβερνοχώρου του οργανισμού. Τα συστήματα περιλαμβάνουν άτομα, διαδικασίες και τεχνολογία και η προσέγγισή σας στη διαχείριση κινδύνων στον κυβερνοχώρο θα πρέπει να λαμβάνει υπόψη αυτά τα διαφορετικά στοιχεία και τον τρόπο με τον οποίο αλληλεπιδρούν μεταξύ τους.
3. Επιλέξτε μια προσέγγιση διαχείρισης κινδύνων στον κυβερνοχώρο που είναι κατάλληλη για τον οργανισμό σας
- Σκεφτείτε ποια προσέγγιση στη διαχείριση κινδύνου ασφάλειας στον κυβερνοχώρο ή συνδυασμός προσεγγίσεων είναι σωστή για τον οργανισμό σας. Υπάρχουν πολλά εργαλεία, μέθοδοι, πλαίσια και πρότυπα για να διαλέξετε - μερικά μπορεί να έχουν καθοριστεί για εσάς μέσω προτύπων ή κανονισμών, κάποια από τα οποία πρέπει να πληρώσετε, άλλα είναι δωρεάν. Είναι σημαντικό να επιλέξετε μια κατάλληλη προσέγγιση για την επιχείρησή σας και μια προσέγγιση που θα αποκαλύπτει καλές πληροφορίες κινδύνου για τα συστήματα και τις υπηρεσίες σας.
- Κατανοήστε ότι δεν είναι πάντοτε απαραίτητο να πραγματοποιείται μια λεπτομερής αξιολόγηση κινδύνου. Για παράδειγμα, θα μπορούσατε να χρησιμοποιήσετε μια βασική γραμμή όπως το Cyber Essentials για να παρέχετε πληροφορίες σχετικά με τα βασικά στοιχεία ελέγχου που απαιτούνται για την προστασία του οργανισμού σας από τις πιο κοινές διαδικτυακές επιθέσεις. Ωστόσο, η χρήση μιας γραμμής βάσης όπως το Cyber Essentials από μόνη της έχει τους περιορισμούς του, καθώς μόνο οι κίνδυνοι που θεωρούνται γενικά από το πρόγραμμα Cyber Essentials θα καλύπτονται από τους προτεινόμενους ελέγχους του. Δεν έχουν σχεδιαστεί για τη διαχείριση όλων των κινδύνων που σχετίζονται με την ασφάλεια στον κυβερνοχώρο που ενδέχεται να αντιμετωπίσει ο οργανισμός σας. Για να αποκτήσουν μια πιο προσαρμοσμένη προοπτική, οι οργανισμοί θα πρέπει να διεξάγουν ανάλυση κινδύνου και αξιολόγηση για τον εαυτό τους για να αντιμετωπίσουν τις δικές τους συγκεκριμένες ανάγκες.
- Διαφορετικές μέθοδοι παρέχουν διαφορετικές προοπτικές για τον κίνδυνο. Θα χρειαστεί να χρησιμοποιήσετε ένα συνδυασμό μεθόδων και προσεγγίσεων για να έχετε την καλύτερη δυνατή εικόνα των κινδύνων που αντιμετωπίζετε.
4. Κατανοήστε τους κινδύνους που αντιμετωπίζετε και πώς να τους διαχειριστείτε
- Χρησιμοποιήστε την επιλεγμένη προσέγγισή σας για να προσδιορίσετε, να αναλύσετε, να αξιολογήσετε και να δώσετε προτεραιότητα στους κινδύνους και να λάβετε αποφάσεις για το πώς πρόκειται να τους διαχειριστείτε. Για παράδειγμα, πρόκειται να μετριάσετε έναν κίνδυνο εφαρμόζοντας κάποιο τεχνικό ή μη τεχνικό έλεγχο; Πρόκειται να αποδεχτείτε έναν κίνδυνο και να συνεχίσετε χωρίς να λάβετε περαιτέρω μέτρα για να τον μετριάσετε; Πρόκειται να μεταφέρετε έναν κίνδυνο σε κάποιον άλλο (για παράδειγμα εξετάζοντας την ασφάλεια στον κυβερνοχώρο ); Ή θα αποφύγετε έναν κίνδυνο αλλάζοντας τι κάνετε για να εξαλείψετε την πιθανότητα εμφάνισης του κινδύνου;
- Βεβαιωθείτε ότι λαμβάνετε υπόψη μια μεγάλη ποικιλία πληροφοριών σχετικά με τον κίνδυνο και αναζητήστε πληροφορίες από ειδικούς ή αξιόπιστες πηγές πληροφοριών. Θα μπορούσατε επίσης να σκεφτείτε να συμμετάσχετε σε εταιρικές σχέσεις ανταλλαγής γνώσεων εντός της βιομηχανίας και της κυβέρνησης (όπως η πλατφόρμα ανταλλαγής πληροφοριών CiSP, η οποία επιτρέπει στους οργανισμούς του Ηνωμένου Βασιλείου να μοιράζονται πληροφορίες για απειλές στον κυβερνοχώρο σε ένα ασφαλές και εμπιστευτικό περιβάλλον).
- Να θυμάστε ότι εάν έχετε επιλέξει να εφαρμόσετε ελέγχους για τη διαχείριση του κινδύνου, θα πρέπει να διασφαλίσετε ότι οι έλεγχοι αυτοί είναι ανάλογοι προς τον κίνδυνο, χρησιμοποιήσιμο και δεν επηρεάζουν δυσμενώς τον τρόπο λειτουργίας της επιχείρησης.
5. Επικοινωνήστε αποτελεσματικά για τους κινδύνους στον κυβερνοχώρο και τη διαχείριση των κινδύνων στον κυβερνοχώρο
- Βεβαιωθείτε ότι επικοινωνείτε αποτελεσματικά την προσέγγιση διαχείρισης κινδύνων στο προσωπικό και τους υπεύθυνους λήψης αποφάσεων, έτσι ώστε να κατανοούν πώς πρέπει να διαχειρίζονται τους κινδύνους ασφάλειας στον κυβερνοχώρο και να τους βοηθάτε να λαμβάνουν αποφάσεις σχετικά με αυτούς.
- Βεβαιωθείτε ότι επικοινωνείτε στον κυβερνοχώρο με τρόπο που να ταιριάζει με τον τρόπο με τον οποίο ο οργανισμός σας μιλά για άλλους τύπους κινδύνων (όπως νομικός ή οικονομικός κίνδυνος).
- Βεβαιωθείτε ότι χρησιμοποιείτε νόημα γλώσσα και εξηγείτε πλήρως τυχόν ετικέτες κινδύνου ή βαθμολογίες που χρησιμοποιείτε. Η χρήση ετικετών χωρίς νόημα ή κακής επικοινωνίας μπορεί να οδηγήσει σε παρερμηνεία και παρανόηση. Για παράδειγμα, είναι η ίδια η ερμηνεία όλων για το τι συνιστά μεσαίο κίνδυνο σε ολόκληρο τον οργανισμό σας;
6. Εφαρμόστε και αναζητήστε εμπιστοσύνη στους ελέγχους που έχετε επιλέξει
- Εφαρμόστε τους ελέγχους που έχετε επιλέξει για να μετριάσετε τον κίνδυνο στα συστήματα και τις υπηρεσίες σας. Τα ακόλουθα βήματα σε αυτή τη συλλογή μπορεί να σας βοηθήσει να εφαρμόσει τους κατάλληλους ελέγχους ασφαλείας και μετριασμούς: αρχιτεκτονική και τη διαμόρφωση , τη διαχείριση της ευπάθειας , ταυτότητας και διαχείρισης πρόσβασης , την ασφάλεια των δεδομένων , καθώς και την καταγραφή και παρακολούθηση .
- Βεβαιωθείτε ότι κατανοείτε ποιοι κίνδυνοι παραμένουν μετά την εφαρμογή των στοιχείων ελέγχου. Είτε εφαρμόζετε ένα σύνολο στοιχείων ελέγχου που είναι ανάλογα με τους κινδύνους του οργανισμού σας είτε βασίζονται σε μια βασική γραμμή όπως το Cyber Essentials, δεν είναι δυνατόν να εξαλειφθεί πλήρως ο κίνδυνος. Ο υπόλοιπος κίνδυνος (γνωστός ως υπολειπόμενος κίνδυνος), πρέπει να γίνει κατανοητός από τους υπεύθυνους και υπεύθυνοι για τον κίνδυνο εντός του οργανισμού σας.
- Αναζητήστε εμπιστοσύνη ότι το πακέτο μέτρων μετριασμού που εφαρμόσατε έχει διαχειριστεί αποτελεσματικά τον κίνδυνο που εντοπίσατε και σκεφτείτε πώς θα διατηρήσετε αυτήν την εμπιστοσύνη καθώς τα συστήματά σας χρησιμοποιούνται στο μέλλον.
7. Βελτιώστε συνεχώς την προσέγγισή σας στη διαχείριση κινδύνων
- Να θυμάστε ότι η διαχείριση κινδύνου είναι μια επαναληπτική διαδικασία. Η τεχνολογία αλλάζει, όπως και το επιχειρηματικό περιβάλλον και οι σχετικές απειλές και ευκαιρίες τους.
- Ελέγχετε τακτικά τους κινδύνους σας για να βεβαιωθείτε ότι οι τρόποι που έχετε αποφασίσει να τους διαχειριστείτε παραμένουν αποτελεσματικοί και κατάλληλοι. Ειδικότερα, θα πρέπει να επανεξετάσετε τις εκτιμήσεις κινδύνου όταν αλλάξει κάτι σημαντικό. Αυτό μπορεί να συμβαίνει όταν υπάρχει αλλαγή στις απειλές που αντιμετωπίζετε ή όταν αλλάζετε την τεχνολογία που χρησιμοποιείται για την παράδοση και τη διαχείριση ενός συστήματος ή υπηρεσίας ή ο τρόπος με τον οποίο χρησιμοποιείτε ένα σύστημα αλλάζει σημαντικά.
- Θα πρέπει επίσης να αναθεωρήσετε τις μεθόδους, τα πλαίσια και τα εργαλεία που χρησιμοποιείτε για τη διαχείριση κινδύνων για να διασφαλίσετε ότι θα συνεχίσουν να είναι αποτελεσματικά στο επιχειρηματικό σας πλαίσιο και ενόψει ενός συνεχώς εξελισσόμενου τοπίου ασφάλειας στον κυβερνοχώρο και απειλών.