GRC 101: Ce este riscul cibernetic?

BY admin
|

riscul cibernetic este astăzi cea mai rapidă creștere a riscului de întreprindere și a priorității organizaționale. Conform sondajului global de percepție a riscurilor din 2019, riscul cibernetic a fost clasat ca o prioritate de top 5 de 79% dintre organizațiile globale.

creșterea riscului cibernetic este în mare parte legată de utilizarea tot mai mare a tehnologiei ca factor de valoare. Inițiativele strategice—cum ar fi externalizarea, utilizarea furnizorilor terți, migrația în cloud, tehnologiile mobile și accesul la distanță-sunt utilizate pentru a stimula creșterea și a îmbunătăți eficiența, dar și pentru a crește expunerea la riscuri cibernetice. Riscul cibernetic a evoluat de la o problemă tehnologică la o problemă organizațională. Pe scurt, riscul cibernetic este problema tuturor.

un factor de compunere aici este în ultimele două decenii, criminalitatea cibernetică a crescut exponențial. Potrivit IC3, mecanismul de raportare a criminalității cibernetice al FBI, daunele monetare cauzate de infracțiunile cibernetice raportate au totalizat 3 dolari.5 miliarde în 2019, în timp ce Cybersecurity Ventures estimează că costurile globale ale criminalității informatice se vor dubla la 6 trilioane de dolari în 2021, de la 3 trilioane de dolari în 2015.

definiția riscului cibernetic

riscul cibernetic sau riscul de securitate cibernetică este expunerea potențială la pierderi sau daune care rezultă din sistemele de informații sau comunicații ale unei organizații. Atacurile cibernetice sau încălcările datelor sunt două exemple frecvent raportate de risc cibernetic. Cu toate acestea, riscul de securitate cibernetică se extinde dincolo de deteriorarea și distrugerea datelor sau pierderea monetară și cuprinde furtul de proprietate intelectuală, pierderi de productivitate și daune reputaționale.

Exemple de risc cibernetic

riscul cibernetic poate fi confruntat de orice organizație și poate proveni din interiorul organizației (risc intern) sau de la părți externe (risc extern). Atât riscurile interne, cât și cele externe pot fi rău intenționate sau neintenționate.

riscurile interne provin din acțiunile angajaților din interiorul organizației. Un exemplu de risc cibernetic intern rău intenționat ar fi sabotarea sistemelor sau furtul de date de către un angajat nemulțumit. Un exemplu de risc intern neintenționat ar fi un angajat care nu a reușit să instaleze un patch de securitate pe software-ul depășit.

riscurile externe provin din afara organizației și a părților interesate. Un atac extern, rău intenționat, ar putea fi o încălcare a datelor de către o terță parte, un atac de tip denial-of-service sau instalarea unui virus. Un atac neintenționat, extern, provine de obicei de la parteneri sau terțe părți care sunt în afara, dar sunt legate de organizație – un furnizor ale cărui întreruperi ale sistemelor duc la o întrerupere operațională a propriei organizații.

impactul riscului cibernetic

potrivit Deloitte Advisory Cyber Risk Services, „riscul cibernetic este o problemă care există la intersecția dintre riscul de afaceri, reglementare și tehnologie.”În studiul Future of Cyber din 2019, Deloitte a constatat că impactul incidentelor de securitate a variat de la costuri monetare reale, inclusiv pierderi financiare datorate întreruperilor operaționale și amenzilor de reglementare, la costuri intangibile, inclusiv pierderea încrederii clienților, pierderea reputației sau schimbarea conducerii.

riscurile de securitate cibernetică pot avea ca rezultat atât pierderi cantitative, cât și efecte calitative. Costurile realizate pot include venituri pierdute din cauza întreruperilor productivității sau operațiunilor, a cheltuielilor de atenuare și remediere a incidentelor, a taxelor legale sau chiar a amenzilor. Impacturile mai puțin tangibile ale incidentelor de securitate cibernetică, care sunt dificil de cuantificat și, în general, necesită mai mult timp pentru a fi corectate, includ pierderea fondului comercial, diminuarea reputației mărcii sau o poziție slabă pe piață.

gestionarea riscului cibernetic

riscul cibernetic are potențialul de a afecta fiecare aspect al unei organizații, inclusiv clienții, angajații, partenerii, vânzătorii, activele și reputația.

ca atare, un program eficient de gestionare a riscurilor cibernetice implică întreaga organizație. Deși IT sau Infosec pot deține în cele din urmă gestionarea riscurilor de securitate cibernetică, riscul cibernetic este dispersat în întreaga organizație, necesitând o abordare integrată și o colaborare încrucișată pentru a gestiona și atenua în mod eficient expunerea.

mai jos sunt 4 pași cheie pe care organizația dvs. îi poate lua pentru a implementa o strategie robustă de gestionare a riscurilor cibernetice.

  1. înțelegerea profilului de risc: înțelegerea profilului de risc și a expunerii potențiale necesită o evaluare a amenințărilor la nivelul întregii întreprinderi.
    • identificați riscurile critice ale întreprinderii pentru a determina aplicațiile, sistemele, bazele de date și procesele supuse riscului cibernetic. Luați în considerare gama de amenințări externe și interne, de la eroarea neintenționată a utilizatorului la accesul terților la atacuri rău intenționate.
    • efectuează evaluări ale riscurilor împreună cu toate părțile interesate pentru a evalua probabilitatea și impactul potențial al expunerii la riscul cibernetic, inclusiv efectele transversale și secundare și dependențele tehnologice. Luați în considerare expunerea terților, deoarece acestea au devenit din ce în ce mai vectori pentru incidentele cibernetice și riscul reprezentat de extinderea perimetrului tehnologic din cauza cerințelor de lucru de la domiciliu.
    • cuantifică riscurile, inclusiv potențialul impact financiar, operațional, reputațional și de Conformitate al unui incident de risc cibernetic. Un cadru de evaluare a riscurilor poate ajuta la asigurarea unui clasament mai holistic al amenințărilor.
  2. stabiliți o strategie la nivel de firmă: Stabilirea unui cadru strategic la nivel de firmă pentru gestionarea riscurilor cibernetice
    • prioritizarea riscurilor prin utilizarea unui cadru comun de măsurare a riscurilor și a sistemelor de raportare pentru a prioritiza în mod eficient riscurile în întreaga organizație și pentru a permite alocarea în cunoștință de cauză a resurselor.
    • luați în considerare standardele de risc specifice industriei și încorporați orice cerințe specifice de conformitate în practica dvs. de gestionare a riscurilor cibernetice.
    • stabiliți și comunicați o strategie IT și de gestionare a riscurilor cibernetice la nivel de întreprindere. Infrastructura tehnologică și utilizarea aplicațiilor sunt esențiale în fiecare organizație. Prin urmare, expunerea la riscul cibernetic poate apărea în orice diviziune, făcându-l o prioritate organizațională, mai degrabă decât una IT.
  3. investește în infrastructura de gestionare a riscurilor cibernetice
    • evaluează cerințele de sistem pentru a înțelege de unde provin amenințările cibernetice organizaționale și oferă un ghid pentru tipurile de sisteme necesare. O organizație distribuită, bazată pe cloud, va avea nevoi diferite față de o organizație intensivă a activelor fizice. Luați în considerare modul în care compania dvs. operează în prezent pentru a vă asigura că o platformă GRC va satisface nevoile în evoluție.
    • investițiile potențiale în software-ul GRC sau alte instrumente de gestionare a riscurilor cibernetice ar trebui să ia în considerare, de asemenea, cerințele de raportare a riscurilor și de gestionare a incidentelor, fluxurile de lucru, ușurința de utilizare, flexibilitatea și capacitatea de extindere viitoare.
  4. stabilirea unui proces dinamic de gestionare a riscurilor cibernetice
    • stabilirea unei supravegheri solide prin menținerea unui inventar actualizat al potențialelor amenințări și cuantificarea dinamică a impactului potențial și a costurilor de atenuare a incidentelor cibernetice.
    • comunică cu terțe părți pentru a se asigura că protocoalele lor de securitate se aliniază standardelor și practicilor organizaționale.
    • investește în Training – odată cu evoluția rapidă a tehnologiei și a riscurilor de securitate cibernetică aferente, gestionarea riscurilor cibernetice nu este o soluție statică, bifați caseta. Organizațiile pot cheltui sume mari pe infrastructura de securitate de ultimă generație, dar un program cu adevărat eficient de gestionare a riscurilor cibernetice necesită o instruire eficientă a părților interesate.

LogicGate ‘ s it Risk Management Solution

pe măsură ce amploarea și amploarea riscului cibernetic explodează, cum poate organizația dvs. să evalueze, să cuantifice, să gestioneze și să atenueze cu exactitate riscul de securitate cibernetică? Gestionarea riscurilor de securitate cibernetică necesită o platformă robustă care să permită implicarea la nivel de întreprindere și gestionarea eficientă a riscurilor.

stabilirea unei culturi de conștientizare a riscurilor cibernetice este mai ușoară cu o interfață personalizată și flexibilă. Software-ul de gestionare a riscurilor de securitate IT LogicGate oferă instrumentele comune de care aveți nevoie pentru a comunica cadrul de risc al companiei dvs., pentru a vă proteja activele informaționale și pentru a respecta standardele din industrie, astfel încât să puteți menține reputația organizației dvs. și să vă protejați compania, angajații, clienții și clienții.