В сегодняшней опасной среде киберрисков CISO и ИТ-директора должны защищать свои организации от неустанных киберугроз, включая программы-вымогатели, фишинг, атаки на инфраструктуру, нарушения в цепочках поставок, злоумышленных инсайдеров и многое другое. В то же время руководители служб безопасности испытывают огромное давление, требуя сократить расходы и разумно инвестировать.
Одним из наиболее эффективных способов для CISO и ИТ-директоров наилучшим образом использовать свои ограниченные ресурсы для защиты своих организаций является проведение оценки киберрисков. Комплексная оценка киберрисков может помочь:
- Определение уязвимостей и угроз
- Приоритетность инвестиций в безопасность
- Оценка зрелости кибербезопасности
- Доведите киберриски до руководителей
- Обеспечить основу для количественной оценки киберрисков
Новое руководство от поставщика услуг по оптимизации кибербезопасности CYE (СКАЧАТЬ) объясняет, как этого можно достичь. В руководстве излагаются несколько подходов к оценке киберрисков и описываются необходимые шаги, которые могут привести к глубокому пониманию и рекомендациям для руководителей служб безопасности.
Проведение эффективной оценки киберрисков
Существуют различные подходы к проведению оценки киберрисков — каждый со своими плюсами и минусами. Однако все это требует понимания состояния безопасности организации и требований соответствия, сбора данных об угрозах, уязвимостях и активах, моделирования потенциальных атак и определения приоритетов действий по смягчению последствий.
Согласно руководству, эффективная оценка киберрисков включает в себя следующие пять шагов:
- Понять состояние безопасности организации и требования соответствия
- Определение угроз
- Выявляйте уязвимости и прокладывайте маршруты атак
- Моделируйте последствия атак
- Расставьте приоритеты в вариантах смягчения последствий
Оценка киберрисков также создает основу для количественной оценки киберрисков, которая оценивает в денежном выражении потенциальную стоимость киберугроз в сравнении со стоимостью устранения. CRQ может помочь экспертам по безопасности точно определить, какие уязвимости в среде угроз организации представляют наибольшую угрозу, и расставить приоритеты для их устранения. Это также помогает CISO сообщать руководству о стоимости киберрисков и обосновывать бюджеты на обеспечение безопасности.
Создание дорожной карты кибербезопасности
Проведение оценки киберрисков – это только первый шаг. Выводы и рекомендации, полученные в результате оценки, могут заложить основу для создания дорожной карты поэтапного укрепления киберпространства организации. Затем команда может отслеживать, измерять и количественно оценивать киберустойчивость с течением времени. Оценку также следует периодически пересматривать для рассмотрения любых возникающих угроз, изменений в бизнесе и изменений в технологиях организации, ИТ-архитектуре и средствах контроля безопасности.
Для эффективной оценки, количественного определения и снижения киберрисков организации должны быть уверены в наличии правильных инструментов и платформ, а также специальных профессиональных рекомендаций, предоставляемых признанными экспертами по кибербезопасности.
Author: admin
Related Posts
Руководством по сертификации – The Ultimate Guide to the CISSP (Certified Information Systems Security Professional)
План Агентства по уменьшению военной угрозы (DTRA) по противодействию глобальным угрозам оружия массового уничтожения (ОМУ)
