Βήματα διαχείρισης κινδύνων στον κυβερνοχώρο

Υπάρχουν ορισμένα βήματα που μπορούν να λάβουν οι οργανισμοί για να εξασφαλίσουν αποτελεσματική διαχείριση κινδύνων στον κυβερνοχώρο σε συνεχή βάση.

Ας ρίξουμε μια ματιά στα πιο σημαντικά ζητήματα που πρέπει να έχουν υπόψη οι οργανισμοί κατά την επίβλεψη του οικοσυστήματος πληροφορικής τους:..

WALLPAPER_23

1. Δημιουργήστε μια εταιρική κουλτούρα

Το πρώτο πράγμα που πρέπει να λάβετε υπόψη όταν σχεδιάζετε το πρόγραμμα διαχείρισης κινδύνου στον κυβερνοχώρο του οργανισμού σας είναι η κουλτούρα της εταιρείας σας. Το μέσο κόστος μιας κυβερνοεπίθεσης υπερβαίνει πλέον το 1,1 εκατομμύριο δολάρια και επιπλέον, το 37% των εταιρειών που δέχονται επίθεση βλέπουν μείωση της φήμης τους μετά την επίθεση. Αυτός είναι ο λόγος για τον οποίο πρέπει να δημιουργήσετε μια κουλτούρα εστιασμένη στην κυβερνοασφάλεια σε ολόκληρο τον οργανισμό, από το προσωπικό μερικής απασχόλησης μέχρι τη σουίτα στελεχών.

2. Κατανείμετε την ευθύνη

Το βάρος για τη διατήρηση της κυβερνοασφάλειας δεν μπορεί να βαρύνει αποκλειστικά τα τμήματα πληροφορικής ή ασφάλειας. Κάθε εργαζόμενος στον οργανισμό πρέπει να έχει επίγνωση των πιθανών κινδύνων και να είναι υπεύθυνος για την πρόληψη παραβιάσεων της ασφάλειας. Τα σχέδια ασφαλείας σας πρέπει να λαμβάνουν υπόψη όχι μόνο το υλικό και το λογισμικό σας, αλλά και τους ανθρώπινους παράγοντες. Σύμφωνα με την Έκθεση Έρευνας Παραβίασης Δεδομένων 2018 της Verizon , το 93% όλων των παραβιάσεων δεδομένων προκαλούνται από ηλεκτρονικό ψάρεμα (phishing) .

Για να προστατευτούν από αυτές τις εισβολές που σχετίζονται με τον άνθρωπο, οι εργαζόμενοι χρειάζονται τα κατάλληλα εργαλεία και εκπαίδευση για να αναγνωρίζουν κακόβουλο λογισμικό, μηνύματα ηλεκτρονικού ψαρέματος και άλλες επιθέσεις κοινωνικής μηχανικής. Αυτό αποτελεί αναπόσπαστο μέρος της ανάπτυξης μιας οργανωτικής κουλτούρας ασφάλειας .

PC_0049
MEETING-0037

3. Εκπαιδεύστε τους υπαλλήλους

Για να εφαρμόσετε το σχέδιο κυβερνοασφάλειας, πρέπει να καθιερώσετε συνεχή εκπαίδευση εργαζομένων στον τομέα της κυβερνοασφάλειας και να εκπαιδεύσετε πλήρως το προσωπικό σε όλα τα επίπεδα σχετικά με τους εντοπισμένους κινδύνους και τις διαδικασίες και τα συστήματα που έχουν σχεδιαστεί για τον μετριασμό αυτών των κινδύνων. Η εκπαίδευση των εργαζομένων είναι απαραίτητη για τη διάδοση και την ενθάρρυνση μιας κουλτούρας με επίγνωση της ασφάλειας, καθώς και για να διασφαλιστεί ότι όλοι οι εργαζόμενοι γνωρίζουν πώς να χρησιμοποιούν τα συστήματα και τα εργαλεία κυβερνοασφάλειας που σκοπεύετε να εφαρμόσετε.

Ένα ισχυρό πρόγραμμα ευαισθητοποίησης για την ασφάλεια θα πρέπει να εκπαιδεύει τους υπαλλήλους σχετικά με τις εταιρικές πολιτικές και τις κατάλληλες διαδικασίες κατά την εργασία με στοιχεία πληροφορικής και ευαίσθητα δεδομένα. Οι εργαζόμενοι θα πρέπει να εκπαιδευτούν ώστε να γνωρίζουν ακριβώς ποιοι τύποι δεδομένων δεν πρέπει να κοινοποιούνται μέσω email και με ποιον να επικοινωνήσουν εάν έχουν ανακαλύψει μια απειλή για την ασφάλεια. Ορισμένα σημαντικά θέματα που πρέπει να συμπεριληφθούν στην εκπαίδευση μπορεί να περιλαμβάνουν την ασφάλεια κωδικού πρόσβασης, τις ασφαλείς συνήθειες στο διαδίκτυο, τις πολιτικές καθαρού γραφείου, τη διαχείριση δεδομένων και το απόρρητο, τις πολιτικές φέρτε τη συσκευή σας (BYOD) και πολλά άλλα.

4. Μοιραστείτε πληροφορίες

Η τοποθέτηση της κυβερνοασφάλειας σε ένα σιλό θα έχει ως αποτέλεσμα την αποτυχία. Οι πληροφορίες σχετικά με τους κινδύνους της κυβερνοασφάλειας πρέπει να κοινοποιούνται σε όλα τα τμήματα και σε όλα τα επίπεδα. Αυτό που κάνετε σχετικά με την ασφάλεια στον κυβερνοχώρο πρέπει να κοινοποιείται σε όλους τους κατάλληλους ενδιαφερόμενους φορείς, ειδικά αυτούς που εμπλέκονται στη λήψη αποφάσεων της εταιρείας σας. Πρέπει να καταστήσετε σαφές σε όλα τα κατάλληλα μέρη τον πιθανό επιχειρηματικό αντίκτυπο των σχετικών κινδύνων στον κυβερνοχώρο — και στη συνέχεια να τους κρατήσετε ενήμερους και να συμμετέχουν σε συνεχείς δραστηριότητες.

PC_00
MEETING-0012

5. Εφαρμογή πλαισίου κυβερνοασφάλειας

Είναι σημαντικό να εφαρμόσετε το κατάλληλο πλαίσιο κυβερνοασφάλειας για την εταιρεία σας. Αυτό συνήθως υπαγορεύεται από τα πρότυπα που υιοθετεί ο κλάδος σας. Από αυτή την άποψη, τα πιο συχνά υιοθετούμενα πλαίσια κυβερνοασφάλειας είναι:

  • Πρότυπο ασφάλειας δεδομένων βιομηχανίας καρτών πληρωμής (PCI DSS)
  • ISO 27001/27002
  • Κέντρο Ελέγχου Ασφάλειας Διαδικτύου (CIS).
  • Πλαίσιο NIST για τη βελτίωση της ασφάλειας υποδομής ζωτικής σημασίας

6. Δώστε προτεραιότητα στους κινδύνους της κυβερνοασφάλειας

Θυμηθείτε, δεν έχετε άπειρο αριθμό υπαλλήλων ή απεριόριστο προϋπολογισμό. Με απλά λόγια, δεν μπορείτε να προστατεύσετε από όλους τους πιθανούς κινδύνους στον κυβερνοχώρο. Κατά συνέπεια, πρέπει να ιεραρχήσετε τους κινδύνους όσον αφορά τόσο την πιθανότητα όσο και το επίπεδο του αντίκτυπου και, στη συνέχεια, να ιεραρχήσετε τις προετοιμασίες ασφαλείας σας ανάλογα.

PC_0029
MEETING-0033

7. Ενθαρρύνετε διαφορετικές απόψεις

Πολύ συχνά το προσωπικό της κυβερνοασφάλειας και η διοίκηση αντιμετωπίζουν τον κίνδυνο από μία μόνο οπτική γωνία, συχνά με βάση την προσωπική εμπειρία ή το ιστορικό της εταιρείας. Αλλά οι εγκληματίες του κυβερνοχώρου σπάνια συμμερίζονται την ίδια άποψη. Οι κακόβουλοι ηθοποιοί είναι πιο πιθανό να σκέφτονται "εκτός από το κουτί" και να εντοπίζουν αδύναμα σημεία στο σύστημά σας που δεν έχετε δει πριν ούτε καν σκεφτείτε. Για αυτόν τον λόγο, είναι χρήσιμο να ενθαρρύνετε τα μέλη της ομάδας να σκέφτονται και να υποστηρίζουν διαφορετικές απόψεις. Αυτό το είδος της διαφορετικότητας στη σκέψη θα σας βοηθήσει να εντοπίσετε περισσότερους κινδύνους και περισσότερες πιθανές λύσεις.

8. Δώστε έμφαση στην ταχύτητα

Όταν συμβεί παραβίαση ασφάλειας ή κυβερνοεπίθεση, απαιτείται άμεση απάντηση . Όσο περισσότερος χρόνος χρειάζεται για την αντιμετώπιση της απειλής, τόσο μεγαλύτερη ζημιά μπορεί να προκληθεί. Μελέτες δείχνουν ότι το 56% των διευθυντών πληροφορικής χρειάζονται περισσότερα από 60 λεπτά για να λάβουν πληροφορίες σχετικά με μια συνεχιζόμενη κυβερνοεπίθεση. Αλλά μπορεί να γίνει μεγάλη ζημιά σε μια ώρα.

Η ταχεία αντίδραση πρέπει να είναι μέρος της κουλτούρας σας για την ασφάλεια. Αυτό σημαίνει ότι πρέπει να αναπτύξετε έγκαιρη αναγνώριση των πιθανών κινδύνων, άμεση αναγνώριση των επιθέσεων και παραβιάσεων και ταχεία απόκριση σε συμβάντα ασφαλείας. Όσον αφορά τον περιορισμό του κινδύνου, η ταχύτητα είναι η ουσία.

BUSINESS_0006
airfocus-v89zhr0iBFY-unsplash

9. Αναπτύξτε μια διαδικασία αξιολόγησης κινδύνου

Η αξιολόγηση κινδύνου αποτελεί σημαντικό μέρος οποιουδήποτε σχεδίου διαχείρισης κινδύνων στον κυβερνοχώρο . Χρειάζεται να:

  • Προσδιορίστε όλα τα ψηφιακά περιουσιακά στοιχεία της εταιρείας σας, συμπεριλαμβανομένων όλων των αποθηκευμένων δεδομένων και της πνευματικής ιδιοκτησίας.
  • Προσδιορίστε όλες τις πιθανές απειλές στον κυβερνοχώρο, τόσο εξωτερικές (hacking, επιθέσεις, ransomware, κ.λπ.) όσο και εσωτερικές (τυχαία διαγραφή αρχείων, κλοπή δεδομένων, κακόβουλοι νυν ή πρώην υπάλληλοι κ.λπ.).
  • Προσδιορίστε τις επιπτώσεις (οικονομικές και άλλες) εάν κάποιο από τα περιουσιακά σας στοιχεία πρόκειται να κλαπεί ή να καταστραφεί.
  • Βαθμολογήστε την πιθανότητα εμφάνισης κάθε πιθανού κινδύνου.

10. Σχέδιο αντιμετώπισης περιστατικών

Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών , εστιάζοντας στην προτεραιότητα των κινδύνων που έχετε εντοπίσει προηγουμένως. Πρέπει να γνωρίζετε τι πρέπει να κάνετε όταν εντοπίζεται μια απειλή — και ποιος πρέπει να το κάνει. Αυτό το σχέδιο θα πρέπει να κωδικοποιηθεί έτσι ώστε, ακόμη και αν συμβεί κάποιο περιστατικό μετά την αποχώρησή σας από την εταιρεία, η ομάδα που βρίσκεται επί του παρόντος θα έχει έναν οδικό χάρτη για το πώς να ανταποκριθεί.

fred-kloet-_ypnDyMjLgc-unsplash
Cyber_risk

11. Να είστε προσεκτικοί στο περιβάλλον απειλής σας

Οι εγκληματίες του κυβερνοχώρου συνεχίζουν να αξιοποιούν πληροφορίες που συλλέγονται από δημόσιες πηγές, όπως το LinkedIn ή το Facebook, για να εξαπολύσουν εξελιγμένες επιθέσεις phishing. Μια επίθεση phishing είναι ένας τύπος εταιρικής επίθεσης phishing που στοχεύει στελέχη υψηλού επιπέδου (CEO ή CFO), για να κλέψουν ευαίσθητες πληροφορίες από μια εταιρεία. Σε ορισμένες περιπτώσεις, οι χάκερ μπορεί να παρουσιάζονται ως Διευθύνων Σύμβουλος ή άλλα στελέχη για να χειραγωγήσουν τους στόχους τους ώστε να εξουσιοδοτήσουν την πρόσβαση σε οικονομικές πληροφορίες ή προσωπικά στοιχεία εργαζομένων. Για το λόγο αυτό, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο να επενδύσουν σε εκπαίδευση για την ασφάλεια στον κυβερνοχώρο για τα υψηλού επιπέδου στελέχη τους.

Η εκτέλεση ανάλυσης κινδύνου κυβερνοασφάλειας βοηθά την εταιρεία σας να εντοπίσει, να διαχειρίζεται και να προστατεύει δεδομένα, πληροφορίες και περιουσιακά στοιχεία που θα μπορούσαν να είναι ευάλωτα σε επίθεση στον κυβερνοχώρο. Μια τέτοια ανάλυση σάς βοηθά να εντοπίσετε συστήματα και πόρους, να προσδιορίσετε τον κίνδυνο και να δημιουργήσετε ένα σχέδιο για ελέγχους ασφαλείας που μπορούν να βοηθήσουν στην προστασία της εταιρείας σας.

 

Κωνσταντίνος Πατεράκης, Co-Founder

sign-dark