GRC 101: Co je to kybernetické riziko?

BY admin
|

kybernetické riziko je dnes nejrychleji rostoucí podnikovou a organizační prioritou. Podle průzkumu globálního vnímání rizik 2019 bylo kybernetické riziko hodnoceno jako priorita top 5 79% globálních organizací.

růst kybernetického rizika je z velké části spojen s rostoucím využíváním technologie jako hodnotového ovladače. Strategické iniciativy, jako je například outsourcing, použití třetí-party prodejci, migrace cloud, mobilní technologie, a vzdálený přístup—jsou zvyklí řídit růst a zvýšit efektivitu, ale také zvýšení kybernetické riziko expozice. Kybernetické riziko se vyvinulo z technologického problému na organizační problém. Stručně řečeno, kybernetické riziko je problémem každého.

složením faktorem je v posledních dvou desetiletích, kybernetická kriminalita rostla exponenciálně. Podle IC3, mechanismu hlášení kybernetické kriminality FBI, peněžní škody z hlášené počítačové kriminality činily 3$.5 miliardy eur v roce 2019, zatímco Kybernetické bezpečnosti Ventures projektu, že globální náklady kyberzločinu se zdvojnásobí na 6 bilionů dolarů v roce 2021, a to až z 3 bilionů dolarů v roce 2015.

definice kybernetického rizika

kybernetické riziko nebo riziko kybernetické bezpečnosti je potenciální vystavení ztrátám nebo škodám vyplývajícím z informačních nebo komunikačních systémů organizace. Kybernetické útoky nebo narušení dat jsou dva často hlášené příklady kybernetického rizika. Riziko kybernetické bezpečnosti však přesahuje poškození a zničení dat nebo peněžní ztráty a zahrnuje krádež duševního vlastnictví, ztráty produktivity a poškození pověsti.

příklady kybernetického rizika

kybernetickému riziku může čelit jakákoli organizace a může pocházet z organizace (vnitřní riziko) nebo od externích stran (vnější riziko). Vnitřní i vnější rizika mohou být škodlivá nebo neúmyslná.

vnitřní rizika vyplývají z jednání zaměstnanců uvnitř organizace. Příkladem škodlivého interního kybernetického rizika by byla sabotáž systémů nebo krádež dat nespokojeným zaměstnancem. Příkladem nezamýšleného vnitřního rizika by byl zaměstnanec, který nedokázal nainstalovat bezpečnostní opravu na zastaralý software.

vnější rizika vyplývají z vnější strany organizace a jejích zúčastněných stran. Externí škodlivý útok může být porušením dat třetí stranou, útokem odmítnutí služby nebo instalací viru. Neúmyslné, vnější útok obvykle pramení z partnerů, nebo třetích stran, kteří jsou mimo, ale související organizace – dodavatele, jejichž systémy výpadek má za následek přerušení provozu na své vlastní organizace.

Dopad Kybernetických Rizik

Podle Deloitte Advisory Kybernetické Riziko Služeb, „Cyber riziko je problém, který existuje na křižovatce obchodních rizik, nařízení a technologie.“V jejich 2019 Future of Cyber Průzkum,
Deloitte zjistila, že dopad bezpečnostních incidentů lišily od skutečné peněžní náklady, včetně finanční ztráty v důsledku provozních poruch a regulační pokuty, nehmotné náklady, včetně ztráty důvěry zákazníků, ztráty dobré pověsti, ztráta nebo změna ve vedení.

rizika kybernetické bezpečnosti mohou mít za následek kvantitativní ztrátu i kvalitativní dopad. Realizované náklady mohou zahrnovat ušlý příjem v důsledku narušení produktivity nebo provozu, náklady na zmírnění a nápravu incidentů, právní poplatky, nebo dokonce pokuty. Méně hmatatelné dopady kybernetické incidenty, které se obtížně kvantifikují a obecně trvat déle, opravit, zahrnují ztrátu dobré vůle, zmenšil pověst značky, nebo oslabenou pozici na trhu.

Řízení Kybernetických Rizik

Kybernetické riziko má potenciál ovlivnit každý aspekt organizace, včetně zákazníků, zaměstnanců, partnerů, dodavatelů, majetek a pověst.

efektivní program řízení kybernetických rizik jako takový zahrnuje celou organizaci. Ačkoli IT nebo Infosec mohou v konečném důsledku vlastnit řízení rizik kybernetické bezpečnosti, kybernetické riziko je rozptýleno v celé organizaci, vyžadující integrovaný přístup a mezirozměrnou spolupráci pro efektivní řízení a zmírnění expozice.

níže jsou uvedeny 4 klíčové kroky, které může vaše organizace podniknout k implementaci robustní strategie řízení kybernetických rizik.

  1. pochopte svůj rizikový profil: pochopení rizikového profilu a potenciální expozice vyžaduje posouzení hrozeb v rámci celého podniku.
    • Identifikaci kritických podnikových rizik k určení aplikací, systémů, databází, procesů a podléhají kybernetické riziko. Zvažte řadu externích a interních hrozeb, od neúmyslné chyby uživatele až po přístup třetích stran k škodlivým útokům.
    • Provést posouzení rizik se všemi zainteresovanými stranami posuzovat pravděpodobnost a potenciální dopad kybernetických rizik expozice, včetně cross-divizní a sekundární efekty a technologie závislosti. Zvažte expozici třetích stran, protože se stále více stávají vektory kybernetických incidentů, a riziko, které představuje rozšiřující se technologický obvod v důsledku práce z domácích požadavků.
    • kvantifikujte rizika včetně možného finančního, provozního, reputačního a compliance dopadu kybernetického rizika. Rámec hodnocení rizik může pomoci poskytnout holističtější hodnocení hrozeb.
  2. stanovte celofiremní strategii: Vytvořit firmwide strategický rámec pro řízení kybernetických rizik
    • Priority rizika tím, že zaměstná sdílený rámec měření rizik a systémy podávání hlášení s cílem efektivně stanovit priority rizik v rámci celé organizace a umožní informován, že přidělování zdrojů.
    • Zvažte průmysl-specifické riziko norem a začlenit nějaké konkrétní požadavky do své počítačové praxi řízení rizik.
    • nastavit a komunikovat celopodnikovou strategii řízení IT a kybernetických rizik. Technologická infrastruktura a využití aplikací je rozhodující v každé organizaci. K kybernetickému riziku proto může dojít v jakékoli divizi, což z ní činí organizační prioritu, spíše než it.
  3. Investovat do Kybernetické Infrastruktury Řízení Rizik
    • Posoudit požadavky na systém, aby se pochopit, kde organizační kybernetické hrozby pocházejí, a poskytují průvodce na typy systémů vyžadováno. Distribuovaná organizace založená na cloudu bude mít různé potřeby od organizace náročné na fyzická aktiva. Zvažte, jak vaše společnost v současné době funguje, abyste zajistili, že platforma GRC vyhoví vyvíjejícím se potřebám.
    • potenciální investice do softwaru GRC nebo jiných nástrojů pro řízení kybernetických rizik by měly také zvážit požadavky na hlášení rizik a správu incidentů, pracovní postupy, snadné použití, flexibilitu a budoucí možnosti rozšíření.
  4. zavést dynamický proces řízení kybernetických rizik
    • zavést robustní dohled udržováním aktualizovaného inventáře potenciálních hrozeb a dynamickou kvantifikací potenciálních dopadů a nákladů na zmírnění kybernetických incidentů.
    • komunikujte s třetími stranami, abyste zajistili, že jejich bezpečnostní protokoly budou v souladu s organizačními standardy a postupy.
    • investujte do školení – s rychlým vývojem technologií a souvisejícími riziky kybernetické bezpečnosti není řízení kybernetických rizik statické, zaškrtněte políčko řešení. Organizace mohou utratit velké částky za nejmodernější bezpečnostní infrastrukturu,ale skutečně účinný program řízení kybernetických rizik vyžaduje efektivní školení zúčastněných stran.

LogicGate je TO Řízení Rizik, Řešení

Jako měřítko a rozsah kybernetické riziko exploduje, jak může vaše organizace přesně posoudit, kvantifikovat, řídit a zmírňovat riziko kybernetické bezpečnosti? Řízení rizik kybernetické bezpečnosti vyžaduje robustní platformu, která umožní celopodnikovou angažovanost a efektivní řízení rizik.

vytvoření kultury povědomí o kybernetických rizicích je snazší díky přizpůsobenému a flexibilnímu rozhraní. LogicGate je TO Bezpečnostní Riziko Management Software poskytuje sdílené nástroje, které potřebujete pro komunikaci vaší společnosti rizika rámec, chránit vaše informační aktiva, a v souladu s průmyslovými standardy, takže si můžete udržet vaše organizace pověst a chránit vaši společnost, zaměstnance, klienty a zákazníky.