4 wskazówki dotyczące oceny ryzyka związanego z bezpieczeństwem cybernetycznym

Źródło: Pixabay

Trudno jest określić, jaki poziom inwestycji w bezpieczeństwo cybernetyczne należy uznać za konieczny w celu utrzymania ryzyka na poziomie akceptowalnym. Co jest niezbędne, a co jest dodatkowo zalecane? Ocena ryzyka cybernetycznego (CRA) może pomóc w podjęciu decyzji. Poniżej przedstawiono cztery wskazówki dotyczące procesu CRA.

Ocena ryzyka cybernetycznego (CRA) to proces, w którym organizacja identyfikuje, analizuje i ocenia ryzyko, na jakie może być narażona w przypadku ataku cybernetycznego lub naruszenia bezpieczeństwa danych. Producenci i zakłady przetwórcze narażają się na ryzyko związane z bezpieczeństwem cybernetycznym w zakresie przychodów i reputacji; ocena ryzyka związanego z bezpieczeństwem cybernetycznym powinna być częścią procesu zarządzania ryzykiem w każdej organizacji. Bezpieczeństwo cybernetyczne i związane z nim problemy nadal nękają przedsiębiorstwa w kontekście zapewnienia ciągłości funkcjonowania. Można je uznać za rodzaj wymagań dotyczących bezpieczeństwa organizacji. Podobnie jak w przypadku bezpieczeństwa, trudno jest określić, jak duże nakłady na cyberbezpieczeństwo wystarczą, aby obniżyć ryzyko do akceptowalnego poziomu. Ile aktualizacji, ile zmian w architekturze i ile szkoleń wystarczy? Aby rozwiać te wątpliwości, bardzo pomocna może być ocena ryzyka zagrożeń cybernetycznych. Chociaż istnieje wiele różnych sposobów przeprowadzania oceny ryzyka, poniższe kroki mogą pomóc tym, którzy chcą wykonać pierwszy krok.

Aby obniżyć ryzyko ludzkiego błędu, firmy muszą szkolić i edukować personel w zakresie cyberataków.

1. Nie panikuj.

Chociaż firmy mogą nie zdawać sobie z tego sprawy, istnieje duże prawdopodobieństwo, że zostaną dotknięte ukrytym cyberatakiem nawet bez ich wiedzy. Jednak ostatnią rzeczą, jaką można zrobić w takich okolicznościach, jest panika. Odpowiednie procesy CRA pomogą podjąć właściwe decyzje, w tym te dotyczące priorytetyzacji działań, na których należy się skupić, a tym samym wykorzystać wymagane zasoby.

2. Rozsądne wykorzystanie zasobów.

Po zidentyfikowaniu obszarów priorytetowych, następnym krokiem jest optymalne wykorzystanie zasobów. W tym celu należy sformułować cele w oparciu o charakter działalności i jej indywidualne wymagania. Ramy oceny ryzyka cybernetycznego wymagają sklasyfikowania potencjalnych zagrożeń na następujących poziomach:

  Poziom podstawowy – powinien obejmować rozważania dotyczące najbardziej podstawowych i łatwych do uniknięcia zagrożeń bezpieczeństwa.

  Poziom średniozaawansowany – obejmuje wdrożenie środków zapobiegających ryzyku związanemu z najbardziej powszechnymi atakami.

  Poziom zaawansowany – obejmuje ochronę przed wszystkimi zagrożeniami wskazanymi w modelu zagrożeń organizacji.

Ciągłe zarządzanie ryzykiem polega na stałym monitorowaniu zagrożeń i zapobieganiu im w miarę odkrywania nowych.

Oprócz powyższych, inne uzupełniające kroki obejmują:

  Pozbycie się wszystkich rozwiązań „na skróty” – To rozwiązanie zapewnia najlepszy zwrot z inwestycji (ROI), ponieważ jest prostsze w implementacji bez dużego zapotrzebowania na zasoby. Rozwiązaniami „na skróty” możemy nazwać między innymi takie elementy, jak nieaktualne poprawki i aktualizacje zabezpieczeń, nieaktualna ochrona przed złośliwym oprogramowaniem, przestarzałe metody uwierzytelniania publicznie dostępnych zasobów i usług wewnętrznych.

  Ryzyko powinno być analizowane i normalizowane w celu odzwierciedlenia rzeczywistego narażenia organizacji i całej branży. „Rzeczywiste” ryzyko może być domyślną wartością każdej odkrytej podatności (CVE), jest zazwyczaj albo wyższe, albo niższe.

  Inwestowanie w wykrywanie: Konieczne jest, aby firmy znały skuteczność i wyniki końcowe wdrożonych środków bezpieczeństwa. Zdarzenia i ataki, które wcześniej wydawały się nieistotne, teraz mogą wymagać ponownej oceny.

  Zbuduj procedurę reagowania i odzyskiwania danych w przypadku cyberataków i naruszeń danych: Przygotuj kompleksową, ale zwartą listę działań, które pracownicy będą mogli zapamiętać i podjąć w razie pilnej potrzeby. 500-stronicowy dokument dotyczący zgodności z polityką firmy nie wydaje się zbyt pomocny w nagłych wypadkach.

  Szkolenie pracowników w zakresie programów uświadamiających dotyczących bezpieczeństwa IT/cyberbezpieczeństwa: Hakerzy uzyskują najlepszy profit z ataków phishingowych i socjotechnicznych. Aby zapobiec możliwości popełnienia błędu przez człowieka, firmy muszą szkolić i edukować swój personel w zakresie cyberataków.

3. Za każdym razem robić to dobrze: Cykl nieprzerwany.

Raport z oceny ryzyka cyberbezpieczeństwa ma zazwyczaj bardzo krótki czas przydatności, a nawet może być przestarzały już w momencie jego przygotowania. Mimo to raport ten jest nadal istotny i prawdopodobnie jest jedynym sposobem na ochronę organizacji przed cyberatakami. Aby proces ten był sprawny i wartościowy, musi być przeprowadzony w etapach, które są autonomiczne w jak największym stopniu. Częstym błędem jest przeprowadzanie corocznej, kompleksowej oceny ryzyka cybernetycznego obejmującej całe przedsiębiorstwo. Najlepszym podejściem jest stworzenie ciągłego cyklu oceny ryzyka cyberbezpieczeństwa, który obejmuje ocenę podatności i testy penetracyjne bezpieczeństwa dla publicznie lub zewnętrznie narażonych zasobów oraz zasobów wewnętrznych. Jak wspomniano wcześniej, jej celem jest identyfikacja różnych aktywów informacyjnych, które mogą zostać dotknięte cyberatakiem, oraz przypisanie odpowiednich poziomów ryzyka i zastosowanie środków bezpieczeństwa i kontroli w celu zminimalizowania i ograniczenia skutków udanego cyberataku.

Ocena ryzyka cyberbezpieczeństwa pomaga firmom podejmować świadome decyzje dotyczące tego, na co wydać pieniądze, aby zrównoważyć ryzyko z wydatkami na ochronę.

4. W razie potrzeby szukaj pomocy w zakresie bezpieczeństwa cybernetycznego.

Chociaż użytkownicy mogą to zrobić samodzielnie, lepiej nawiązać współpracę z firmą, która posiada doświadczenie w zakresie oceny ryzyka cybernetycznego. Dobrze jest również, gdy doradca ds. cyberbezpieczeństwa posiada wiedzę i doświadczenie w pracy w odpowiednich segmentach rynku, ponieważ zapewnia to takie korzyści, jak:

  Pomoc w wyborze odpowiedniego modelu bezpieczeństwa cybernetycznego (cybersecurity framework);

  Dostarczenie wskazówek dotyczących standardów regulacyjnych;

  Informowanie o oczekiwanym wyniku;

  Dodatkową korzyścią jest pomoc firmy partnerskiej we wdrażaniu procesów i kontroli wynikających z oceny ryzyka cyberbezpieczeństwa.

Nigdy nie jest za późno lub za wcześnie na przeprowadzenie oceny ryzyka cyberbezpieczeństwa lub zmianę metodologii podejścia do problemu. Gorzka prawda jest taka, że w końcu większość z przedsiębiorstw wyda na bezpieczeństwo cybernetyczne bardzo dużo lub, jeśli zwrócą się do eksperta, zbyt mało w porównaniu z potencjalnym ryzykiem, na jakie firma może być narażona. Ocena ryzyka cyberbezpieczeństwa pomaga firmom podejmować świadome decyzje dotyczące tego, na co wydać pieniądze. Konieczne będzie podejmowanie przemyślanych decyzji równoważących ryzyko i wydatki na ochronę przed zagrożeniami cybernetycznymi. Podejmowanie decyzji o tym, ile wydać, jest bardziej sztuką niż nauką. 


Erez Ravina jest starszym architektem ds. bezpieczeństwa w L&T Technology Services w Izraelu. Atanu Niyogi jest szefem działu ds. cyberbezpieczeństwa w L&T Technology Services. L&T Technology Services jest partnerem CFE Media.