GRC 101: Mi a Kiberkockázat?

BY admin
|

a Kiberkockázat ma a leggyorsabban növekvő vállalati kockázat és szervezeti prioritás. A 2019-es Global Risk Perception Survey szerint a kiberkockázatot a globális szervezetek 79% – a rangsorolta a top 5 prioritásként.

a kiberkockázat növekedése nagyrészt a technológia mint értékteremtő eszköz növekvő használatához kötődik. A stratégiai kezdeményezések—mint például a kiszervezés, a külső gyártók használata, a felhő—migráció, a mobil technológiák és a távoli hozzáférés-a növekedés ösztönzésére és a hatékonyság növelésére szolgálnak, de növelik a kiberkockázatnak való kitettséget is. A kiberkockázat technológiai problémából szervezeti problémává fejlődött. Röviden, a kiberkockázat mindenki problémája.

az elmúlt két évtizedben a számítógépes bűnözés exponenciálisan nőtt. Az IC3, az FBI kiberbűnözési jelentési mechanizmusa szerint a bejelentett kiberbűnözésből származó pénzbeli károk összesen 3 dollárt tettek ki.5 milliárd 2019-ben, míg a Cybersecurity Ventures azt tervezi, hogy a számítógépes bűnözés globális költségei megduplázódnak, 6 billió dollárra 2021-ben, 3 billió dollárról 2015-ben.

a Kiberkockázat meghatározása

a Kiberkockázat vagy a kiberbiztonsági kockázat a szervezet információs vagy kommunikációs rendszereiből eredő veszteségnek vagy kárnak való potenciális kitettség. A kibertámadások vagy az adatok megsértése a kiberkockázat két gyakran jelentett példája. A kiberbiztonsági kockázat azonban túlmutat az adatok károsodásán és megsemmisítésén vagy a pénzügyi veszteségen, és magában foglalja a szellemi tulajdon ellopását, a termelékenység csökkenését és a jó hírnév károsodását.

példák a Kiberkockázatra

a Kiberkockázattal bármely szervezet szembesülhet, és származhat a szervezeten belül (belső kockázat) vagy külső felektől (külső kockázat). Mind a belső, mind a külső kockázatok lehetnek rosszindulatúak vagy nem szándékosak.

a belső kockázatok a szervezeten belüli alkalmazottak tevékenységéből fakadnak. A rosszindulatú, belső kiberkockázatra példa lehet a rendszerek szabotálása vagy az elégedetlen alkalmazott adatlopása. A nem szándékos, belső kockázat példája lehet egy alkalmazott, aki nem telepített biztonsági javítást az elavult szoftverekre.

a külső kockázatok a szervezeten és az érdekelt feleken kívülről erednek. Külső, rosszindulatú támadás lehet egy harmadik fél általi adatsértés, szolgáltatásmegtagadási támadás vagy vírus telepítése. A nem szándékos, külső támadás általában olyan partnerektől vagy harmadik felektől származik, akik kívül vannak, de kapcsolatban állnak a szervezettel – olyan szállítótól, akinek a rendszerkimaradása működési zavarokat okoz a saját szervezetében.

a Kiberkockázat hatása

a Deloitte Advisory Cyber Risk Services szerint “a Kiberkockázat olyan probléma, amely az üzleti kockázat, a szabályozás és a technológia metszéspontjában áll.”A 2019-es Future of Cyber felmérésükben,
a Deloitte megállapította, hogy a biztonsági incidensek hatása a valós pénzügyi költségektől, beleértve a működési zavarok és a szabályozási bírságok miatti pénzügyi veszteséget, az immateriális költségekig terjed, beleértve az ügyfelek bizalmának elvesztését, a hírnév elvesztését vagy a vezetés megváltoztatását.

a kiberbiztonsági kockázatok mind mennyiségi veszteséget, mind minőségi hatást eredményezhetnek. A realizált költségek magukban foglalhatják a termelékenység vagy a műveletek megszakadása miatt elvesztett Bevételeket, az események enyhítését és a kármentesítési költségeket, a jogi díjakat vagy akár a bírságokat. A kiberbiztonsági incidensek kevésbé kézzelfogható hatásai, amelyeket nehéz számszerűsíteni, és általában hosszabb időt vesz igénybe a kijavítás, magukban foglalják a goodwill elvesztését, a márka hírnevének csökkenését vagy a gyengülő piaci pozíciót.

a Kiberkockázat kezelése

a Kiberkockázat hatással lehet a szervezet minden aspektusára, beleértve az ügyfeleket, alkalmazottakat, partnereket, szállítókat, eszközöket és hírnevet.

mint ilyen, egy hatékony kiberkockázat-kezelési program magában foglalja az egész szervezetet. Bár az IT vagy az Infosec végső soron a kiberbiztonsági kockázatkezelés tulajdonosa lehet, A kiberkockázat a szervezet egészében szétszórt, integrált megközelítést és megosztások közötti együttműködést igényel az expozíció hatékony kezelése és mérséklése érdekében.

az alábbiakban 4 kulcsfontosságú lépés található, amelyeket szervezete megtehet egy robusztus kiberkockázat-kezelési stratégia megvalósításához.

  1. kockázati profiljának megértése: kockázati profiljának és potenciális expozíciójának megértéséhez vállalati szintű fenyegetésértékelésre van szükség.
    • azonosítsa a kritikus vállalati kockázatokat a kiberkockázatnak kitett alkalmazások, rendszerek, adatbázisok és folyamatok meghatározásához. Vegye figyelembe a külső és belső fenyegetések sorát, a nem szándékos felhasználói hibától a harmadik fél hozzáféréséig a rosszindulatú támadásokhoz.
    • kockázatértékelést kell végezni valamennyi érdekelt fél bevonásával a kiberkockázatnak való kitettség valószínűségének és lehetséges hatásának felmérése érdekében, ideértve a megosztásokat és a másodlagos hatásokat, valamint a technológiafüggőségeket. Fontolja meg a harmadik felek expozícióját, mivel ezek egyre inkább a számítógépes események vektorává váltak, valamint a növekvő technológiai kerület által jelentett kockázatot az otthoni munka követelményei miatt.
    • számszerűsítse a kockázatokat, beleértve a kiberkockázati események lehetséges pénzügyi, működési, reputációs és megfelelőségi hatásait. A kockázatértékelési keretrendszer segíthet a fenyegetések holisztikusabb rangsorolásában.
  2. állítsa be a Firmwide stratégiát: Hozzon létre egy vállalati szintű stratégiai keretet a kiberkockázat-kezeléshez
    • a kockázatok rangsorolása megosztott kockázatmérési keretrendszer és jelentési rendszerek alkalmazásával, hogy hatékonyan rangsorolja a kockázatokat az egész szervezetben, és lehetővé tegye a tájékozott erőforrás-allokációt.
    • vegye figyelembe az iparág-specifikus kockázati szabványokat, és építsen be bármilyen speciális megfelelőségi követelményt a kiberkockázat-kezelési gyakorlatába.
    • állítson be és kommunikáljon egy vállalati szintű informatikai és kiberkockázat-kezelési stratégiát. A technológiai infrastruktúra és az alkalmazások használata minden szervezetben kritikus fontosságú. Ezért a kiberkockázatnak való kitettség bármely részlegben előfordulhat, így inkább szervezeti prioritássá, mint informatikai prioritássá válik.
  3. fektessen be a Kiberkockázat-kezelési infrastruktúrába
    • értékelje a rendszerkövetelményeket, hogy megértse, honnan származnak a szervezeti kiberfenyegetések, és útmutatást adjon a szükséges rendszerek típusaihoz. Egy elosztott, felhőalapú szervezetnek más igényei lesznek, mint egy fizikai eszközigényes szervezetnek. Fontolja meg, hogyan működik a vállalat jelenleg annak biztosítása érdekében, hogy a GRC platform megfeleljen a változó igényeknek.
    • a GRC szoftverekbe vagy más kiberkockázat-kezelési eszközökbe történő potenciális befektetésnek figyelembe kell vennie a kockázatjelentési és eseménykezelési követelményeket, a munkafolyamatokat, a könnyű használatot, a rugalmasságot és a jövőbeni bővítési képességeket is.
  4. dinamikus Kiberkockázat-kezelési folyamat létrehozása
    • megbízható felügyelet létrehozása a lehetséges fenyegetések naprakész jegyzékének fenntartásával, valamint a kiberbiztonsági események lehetséges hatásainak és mérséklési költségeinek dinamikus számszerűsítésével.
    • kommunikáljon harmadik felekkel annak biztosítása érdekében, hogy biztonsági protokolljaik megfeleljenek a szervezeti szabványoknak és gyakorlatoknak.
    • fektessen be a képzésbe – a technológia és a kapcsolódó kiberbiztonsági kockázatok gyors fejlődésével a kiberkockázat-kezelés nem statikus megoldás. A szervezetek nagy összegeket költhetnek a legkorszerűbb biztonsági infrastruktúrára, de egy valóban hatékony kiberkockázat-kezelési program hatékony érdekelt felek képzését igényli.

a LogicGate informatikai kockázatkezelési megoldása

ahogy a kiberkockázat mértéke és terjedelme felrobban, hogyan tudja Szervezete pontosan felmérni, számszerűsíteni, kezelni és mérsékelni a kiberbiztonsági kockázatot? A kiberbiztonsági kockázatkezeléshez megbízható platformra van szükség, amely lehetővé teszi a vállalati szintű elkötelezettséget és a kockázatok hatékony kezelését.

a kiberkockázati tudatosság kultúrájának kialakítása egyszerűbbé válik a személyre szabott és rugalmas interfésszel. A LogicGate informatikai biztonsági kockázatkezelési szoftvere biztosítja azokat a megosztott eszközöket, amelyekre szüksége van a vállalat kockázati kereteinek kommunikálásához, az információs eszközök védelméhez és az iparági szabványoknak való megfeleléshez, így megőrizheti szervezete hírnevét, és megvédheti vállalatát, alkalmazottait, ügyfeleit és ügyfeleit.